กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

นักวิจัยด้านความปลอดภัย Alexy Firsh จาก Kaspersky Lab ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บนแอปแช็ต Telegram ในเวอร์ชันเดสทอปก์เฉพาะของวินโดวส์ซึ่งค้นพบตั้งแต่เดือนตุลาคม 2017 หลังจากตรวจพบการนำมาใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์สำหรับขุดในสกุลเงิน Monero และ Zcash
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากวิธีการที่ Telegram แสดงผลตัวอักษรยูนิโค้ด U+202E โดยเป็นตัวอักษรที่ส่งผลให้เกิดการกลับของข้อความต่อจากนั้นแบบสลับขวาซ้ายซึ่งใช้กันมากในภาษาอารบิกและฮีบรู แฮกเกอร์ใช้ประโยชน์ของช่องโหว่นี้ในการ "ซ่อนนามสกุลของไฟล์อันตราย" เพื่อทำให้ไฟล์อันตรายนั้นเมื่อถูกแสดงผ่าน Telegram ในรุ่นที่มีช่องโหว่จะแสดงเป็นนามสกุลไฟล์ที่แฮกเกอร์ต้องการได้
ตัวอย่างการโจมตี เช่น หากตั้งชื่อไฟล์เป็น photo_high_re*U+202E*gnp.

ธนาคารสัญชาติอินเดีย City Union Bank ได้มีการประกาศแจ้งเตือนลูกค้าเมื่อวันอาทิตย์ที่ผ่านมาหลังจากตรวจพบการทำธุรกรรมที่ผิดปกติจากระบบ SWIFT ของทางธนาคารและยืนยันผ่านทางประกาศว่าระบบของธนาคารถูกโจมตี โดยผู้โจมตีประสบความสำเร็จในการถอนเงินออกจากธนาคารไปได้เกือบ 2 ล้านดอลลาร์สหรัฐฯ
อ้างอิงจากแถลงการณ์ของธนาคาร ทางธนาคารได้มีการยืนยันว่าการโจมตีดังกล่าวนั้นเกิดขึ้นจากองค์กรอาชญากรข้ามชาติที่มุ่งโจมตีระบบของธนาคารโดยตรง และยืนยันว่าไม่มีการร่วมมือของบุคคลภายในในการโจมตีแต่อย่างใด
สำหรับธุรกรรมที่ถูกดำเนินการผิดปกตินั้นประกอบด้วย 3 ธุรกรรมย่อยซึ่งทั้งหมดนั้นถูกบล็อคอันเนื่องมาจากพฤติกรรมที่ผิดปกติ โดยหนึ่งในสามของธุรกรรมที่เป็นการโอนเงินมูลค่า 500,000 ดอลลาร์สหรัฐฯ ได้รับการยืนยันว่ามีการส่งคืนเงินจำนวนดังกล่าวแล้ว ทาง City Union Bank จะดำเนินการประสานงานกับธนาคารปลายทางเพื่อเจรจาขอยกเลิกการทำธุรกรรมและกู้คืนเงินในแต่ละธุรกรรมต่อไป
ในขณะนี้ยังไม่มีข้อมูลที่แน่ชัดถึงวิธีการที่ผู้โจมตีดำเนินการเพื่อโจมตีระบบ

ที่มา : theregister

นักวิจัยด้านความปลอดภัยชาวอิตาเลียนจาก Mobile World แจ้งเตือนหลังจากมีการค้นพบช่องโหว่ใหม่ซึ่งกระทบเกือบทุกอุปกรณ์ของแอปเปิล โดยเป็นผลมาจากตัวอักษรเพียงตัวอักษรเดียวซึ่งเมื่อถูกเปิดด้วยแอปพลิเคชันบางประเภทที่อยู่บนอุปกรณ์แล้ว อาจทำให้อุปกรณ์ค้างจนหรือปิดตัวเองได้

ตัวอักษรดังกล่าวนั้นเป็นตัวอักษรในภาษาอินเดียซึ่งเรียกว่า Telugu ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่ทำการส่งตัวอักษรไปยังช่องทางต่างๆ โดยหากทำการส่งตัวอักษรไปซ้ำๆ กันหลายครั้ง ระบบปลายทางที่รับตัวอักษรดังกล่าวจะค้างและทำการรีบูตตัวเองทันที

ในขณะนี้แอปพลิเคชันที่คาดว่าได้รับผลกระทบได้แก่ WhatsApp, Facebook Messenger, Outlook for iOS, และ Gmail ทางแอปเปิลได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวแล้ว โดยจะมีการแก้ไขใน iOS 11.3 ซึ่งจะถูกปล่อยในช่วงฤดูใบไม้ผลิ

Recommendation
ในส่วนของการป้องกันสำหรับผู้ใช้งานทั่วไปนั้น หากผู้ใช้งานค้นพบพฤติกรรมที่ผิดปกติ เช่น ระบบมีการรีบูตตัวเองหรือแอปที่ใช้งานอยู่นั้นปิดตัวเองโดยอัตโนมัติ ให้พยายามระบุหาข้อความซึ่งอาจมีตัวอักษร Telegu นี้ผสมอยู่แล้วดำเนินการลบการสนทนาหรือข้อความนั้นออกโดยทันที

ที่มา : thehackernews

ไมโครซอฟต์ออกประกาศเตรียมเพิ่มระบบปฏิบัติการที่สามารถใช้งาน Windows Defender Advanced Threat Protection (ATP) ได้โดยการเพิ่ม Windows 7 SP1 และ Windows 8.1 เข้าไปหลังจากแต่เดิมนั้นใช้ได้เพียง Windows 10 โดยจะเริ่มดำเนินการเร็วนี้ๆ

Windows Defender Advacned Threat Protection (ATP) เป็นบริการแบบเสียตังค์จากไมโครซอฟต์โดยมีแกนหลักเป็นระบบตรวจจับภัยคุกคามที่อาศัยเอนจินบนคลาวด์ โดยอาศัยการตรวจสอบทั้งจากพฤติกรรมของไฟล์ การใช้งานเครือข่ายหรือลักษณะของไฟล์ต่างๆ ในระบบ ATP ยังมีการเพิ่มประสิทธิภาพการตรวจจับโดยใช้เทคโนโลยี machine learning ร่วมด้วย

ที่มา : bleepingcomputer

ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนกุมภาพันธ์ 2018 แล้วเมื่อวานนี้ โดยในรอบนี้นั้นมีแพตช์ช่องโหว่ด้านความปลอดภัยทั้งหมด 50 รายการ ซึ่งมี 14 รายการเป็นแพตช์ระดับร้ายแรง (critical) รวมไปถึงแพตช์ปรับปรุงสำเร็จช่องโหว่ Spectre และ Meltdown ด้วย

หนึ่งในแพตช์ที่น่าสนใจในรอบนี้มาจากช่องโหว่รหัส CVE-2018-0852 สำหรับผลิตภัณฑ์ Microsoft Outlook มีการค้นพบว่าผู้โจมตีสามารถรันโค้ดที่อันตรายบนระบบของเหยื่อ ติดตั้งมัลแวร์หรือขโมยข้อมูลที่สำคัญออกไปได้เพียงแค่ส่งอีเมลที่มีโค้ดสำหรับโจมตีช่องโหว่อยู่และถูกเปิดโดย Microsoft Outlook นั้นรุ่นที่มีช่องโหว่

Recommendation
แนะนำให้ตรวจสอบและอัปเดตแพตช์ผ่านทางช่องทางต่างๆ เพื่อลดผลกระทบหากมีการโจมตีช่องโหว่ดังกล่าวโดยด่วน

Affected Platform
- IE 9, 10, 11
- Microsoft Edge
- Windows 7, 8.1, RT 8.1, 10, Server 2008/2008 R2, Sever 2012, 2012 R2, Server 2016
- SharePoint Server 2016
- Project Server 2013
- Outlook/Word/Office 2007, 2010, 2013, 2016
- ChakraCore
- Adobe Flash

ที่มา : bleepingcomputer

กลุ่มนักวิจัยด้านความปลอดจาก NewSky Security ประกาศแจ้งเตือนหลังจากตรวจพบมัลแวร์ประเภทบ็อตเน็ต "DoubleDoor" ซึ่งมีการใช้ช่องโหว่ CVE-2015-7755 และ CVE-2016-10401 ซึ่งส่งผลให้เกิดการบายพาสไฟร์วอลล์ Juniper Netscreen เพื่อไปโจมตีเราท์เตอร์ ZyXEL ได้ อย่างไรก็ตามยังไม่มีการชี้ชัดถึงความร้ายแรงและพฤติกรรมที่เป็นอันตรายของมัลแวร์ชนิดนี้

สำหรับช่องโหว่ที่มัลแวร์มีการใช้นั้น CVE-2015-7755 เป็นช่องโหว่ชื่อดังซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบด้วยชื่อผู้ใช้งานใดๆ ก็ได้เพียงแค่ใช้รหัสผ่านเป็น <<< %s(un=’%s’) = %u ส่วน CVE-2016-10401 เป็นช่องโหว่ในลักษณะเดียวกันคือผู้โจมตีสามารถเข้าถึงระบบได้ด้วยชื่อผู้ใช้งาน admin และรหัสผ่าน CenturyL1nk ก่อนจะใช้รหัสผ่านลับที่ฝังอยู่ภายใน zyad5001 เพื่อยกระดับสิทธิ์ตัวซึ่งสามาถควบคุมการทำงานของอุปกรณ์ได้ทั้งหมด

Recommendation
แนะนำให้ตรวจสอบรายละเอียดของอุปกรณ์ที่ได้รับผลกระทบจากรหัส CVE ที่ปรากฎและทำการอัปเดตรุ่นของเฟิร์มแวร์โดยด่วน

Affected Platform
Juniper ScreenOS 6.2.0r15 ถึง 6.2.0r18, 6.3.0r12 ถึงก่อน 6.3.0r12b, 6.3.0r13 ถึงก่อน 6.3.0r13b, 6.3.0r14 ถึงก่อน 6.3.0r14b, 6.3.0r15 ถึงก่อน 6.3.0r15b, 6.3.0r16 ถึงก่อน 6.3.0r16b, 6.3.0r17 ถึงก่อน 6.3.0r17b, 6.3.0r18 ถึงก่อน 6.3.0r18b, 6.3.0r19 ถึงก่อน 6.3.0r19b, และ 6.3.0r20 ถึงก่อน 6.3.0r21

ที่มา : bleepingcomputer

ช่องโหว่ โดยมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ขุด Monero "DDG" คาดมีจำนวนกว่า 4,000 เซิร์ฟเวอร์ สร้างรายได้กว่าเกือบ 1 ล้านดอลลาร์

อ้างอิงผลการสำรวจของ Netlab การโจมตีในครั้งนี้นั้นดูเหมือนจะมีจุดเริ่มต้นมาตั้งแต่ช่วงเดือนมีนาคม 2017 โดยผู้โจมตีนั้นพุ่งเป้าไปที่การเดารหัสผ่านสำหรับเซิร์ฟเวอร์ที่เป็น Redis และโจมตีด้วยช่องโหว่รหัส CVE-2017-11467 เพื่อให้สามารถรันโค้ดที่เป็นอันตรายได้กับเป้าหมายที่เป็น OrientDB จากสถิติการโจมตีที่รวบรวมมาได้นั้น 73% ของเซิร์ฟเวอร์ที่ถูกโจมตีนั้นอยู่ในจีนซึ่งส่วนแบ่งที่มีมากที่สุดนั้นมาจากเซิร์ฟเวอร์ที่เป็น Redis

เพื่อเป็นการป้องกันการแพร่กระจายของมัลแวร์ ผู้ดูแลระบบและผู้ใช้งานควรมีการปฏิบัติการ security best practice อย่างเคร่งครัด โดยสำหรับ Redis นั้น สามารถดำเนินการตามขั้นตอนแนะนำได้ที่ https://redis.

ต้นเหตุเพราะปลั๊กอิน! เว็บหน่วยงานราชการ UK ติด CoinHive กว่า 4,000 เว็บไซต์

เว็บหน่วยงานราชการของอังกฤษตกเป็นเป้าหมายการโจมตีอีกครั้งหลังจากแฮกเกอร์ทำการโจมตีช่องโหว่บนปลั๊กอิน Browsealoud เพื่อฝังสคริปต์สำหรับสร้างผลกำไรในสกุลเงินออนไลน์เสมือนกว่า 4,000 เว็บไซต์

ปลั๊กอินเจ้าปัญหา Browsealoud นั้นเป็นปลั๊กอินที่ช่วยให้ผู้พิการสามารถใช้งานเว็บไซต์ได้ง่ายมากขึ้น ในขณะเดียวกัน Texthelp ซึ่งเป็นผู้ผลิตปลั๊กอินดังกล่าวยืนยันว่าในขณะนี้ปลั๊กอิน Browsealoud กำลังถูกตรวจสอบเพื่อหาปัญหาด้านความปลอดภัยอย่างถี่ถ้วนอีกครั้ง และยืนยันว่าไม่มีการเข้าถึงหรือการขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้งานใดๆ
Recommendation หากเว็บไซต์ใดมีการใช้งาน Browsealoud อยู่ ทาง Texthelp ได้แนะนำให้ผู้ดูแลเว็บไซต์หรือระบบนำปลั๊กอินออกก่อน จนกว่าจะมีรายละเอียดและแพตช์ด้านความปลอดภัยที่สามารถช่วยลดผลกระทบได้

ที่มา : hackread

นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์

McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้

อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด

ที่มา : securingtomorrow.