OpenWRT Forum ถูกบุกรุกและถูกขโมยข้อมูล แจ้งผู้ใช้ทำการเปลื่ยนรหัสผ่านใหม่โดยด่วน

เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Microsoft แจ้งเตือนถึงผู้ดูแลระบบเกี่ยวกับการบังคับการอัปเดตแพตช์ความปลอดภัยเกี่ยวกับช่องโหว่ของ Windows Zerologon

Microsoft ออกแจ้งเตือนถึงผู้ดูแลระบบเกี่ยวกับการบังคับใช้การอัปเดตแพตช์ความปลอดภัยเกี่ยวกับช่องโหว่ของ Windows Zerologon ที่จะเริ่มเข้าสู่ขั้นตอนการบังคับใช้ในเดือนกุมภาพันธ์ 2021

ช่องโหว่ Zerologon เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญระดับ CVSS 10/10 ติดตามด้วยรหัส CVE-2020-1472 โดยเมื่อผู้โจมตีใช้ประโยชน์จากช่องโหว่ได้สำเร็จ ผู้โจมตีจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนโดเมนและจะสามารถเข้าควบคุมโดเมนได้

Microsoft มีแผนจะทำการบังคับใช้การอัปเดตแพตช์เพื่อปรับปรุงความปลอดภัยและแก้ไขช่องโหว่ในวันที่ 9 กุมภาพันธ์ 2021 เป็นส่วนหนึ่งของการออกแพตช์การอัปเดตประจำเดือนหรือ Patch Tuesday แพตช์นี้จะเริ่มบังคับใช้การเชื่อมต่อแบบ Domain Controller enforcement mode ซึ่งจะส่งผลให้ระบบที่เกี่ยวข้องกับจะต้องใช้งาน secure RPC และ Netlogon secure channel ถึงจะใช้งานร่วมกันได้

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายและเพื่อป้องกันการขัดข้องของระบบเมื่อถึงเวลาที่ Microsoft บังคับใช้การเชื่อมต่อแบบปลอดภัยบนเครือข่าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องที่จะทำให้ Windows 10 เกิด Blue Screen of Death เมื่อเข้าถึงพาธเฉพาะ

Jonas Lykkegaard นักวิจัยด้านความปลอดภัยด้านระบบปฏิบัติการ Windows ได้เปิดเผยถึงการค้นพบพาธที่จะทำให้ Windows 10 เกิดขัดข้องและจะแสดง Blue Screen of Death (BSOD) ทันทีเพียงแค่เปิดพาทในแถบ Address bar ของเบราว์เซอร์หรือใช้คำสั่งอื่นๆ

Lykkegaard กล่าวว่าเขาได้ค้นพบพาธสำหรับ Win32 device namespace สำหรับอุปกรณ์ในกลุ่ม "console multiplexer driver" ที่สามารถอ้างถึงได้ผ่านพาธ \\.\globalroot\device\condrv\kernelconnect โดยหากมีการพยายามเข้าถึงพาธนี้ไม่ว่าจะในลักษณะใดก็ตาม ระบบจะเกิดการแครชและแสดงหน้า Blue Screen of Death ทันที การวิเคราะห์เบื้องต้นพบว่าพาธดังกล่าวนั้นจำเป็นจะต้องมีการระบุพารามิเตอร์อย่างน้อยหนึ่งรายการ ทั้งนี้หากเรียกพาธดังกล่าวโดยไม่ระบุค่าใดๆ ไป ระบบจะเกิดข้อผิดพลาดจากการตรวจสอบเงื่อนไขนี้ไม่สมบูรณ์ และทำให้เกิดสถานการณ์ดังกล่าว

หลังจากพบข้อบกพร่องนักวิจัยได้ทำการแจ้งต่อ Microsoft แล้วเมื่อสัปดาห์ที่ผ่านเพื่อให้ Microsoft ทำการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงานและจัดเตรียมการอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: bleepingcomputer

 

ฟอร์มของผู้พัฒนาซอฟต์แวร์ IObit ถูกแฮกและถูกใช้ประโยชน์จากการบุกรุกเพื่อทำการเเพร่กระจาย DeroHE Ransomware

IObit ผู้พัฒนาซอฟต์แวร์ยูทิลิตี้ที่รู้จักกันดีในเรื่องการเพิ่มประสิทธิภาพของระบบ Windows และโปรแกรมป้องกันมัลแวร์เช่น Advanced SystemCare ถูกแฮกในช่วงสุดสัปดาห์ที่ผ่านมา ผู้ประสงค์ร้ายได้ใช้ประโยชน์จากการบุกรุกนี้เพื่อทำการโจมตีผู้ใช้อย่างกว้างขวางโดยการแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลด

การแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลดนั้นเกิดขึ้นในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งสมาชิกฟอรัม IObit จะได้รับอีเมลที่อ้างว่ามาจาก IObit โดยระบุว่าสมาชิกฟอรัม IObit มีสิทธิ์ได้รับการใช้งานซอฟต์แวร์ฟรี 1 ปี ซึ่งเป็นสิทธิพิเศษในการเป็นสมาชิกฟอรัมเท่านั้น โดยภายในอีเมลจะมีลิงก์คือ hxxps://forums.

นักวิจัยด้านความปลอดภัยค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์

Kirk Sayre นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงการค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์ MineBridge บนอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

คำสั่ง "Finger" เป็นยูทิลิตี้ที่ช่วยให้ผู้ใช้สามารถเรียกดูรายชื่อและข้อมูลเกี่ยวกับผู้ใช้ได้จากระยะไกล ซึ่งในเดือนกันยายน 2020 ทีผ่านมา ได้มีนักวิจัยด้านความปลอดภัยออกรายงานถึงการค้นพบวิธีใช้ Finger เป็น Living-off-the-Land binaries (LOLBINS) เพื่อดาวน์โหลดมัลแวร์จากคอมพิวเตอร์ระยะไกล

FireEye ได้ออกรายงานเกี่ยวกับมัลแวร์ MineBridge หลังจากพบแคมเปญฟิชชิ่งจำนวนมากที่กำหนดเป้าหมายไปยังองค์กรในเกาหลีใต้ โดยใช้อีเมลฟิชชิ่งที่มีเอกสาร Word ที่เป็นอันตรายและมีเนื้อหาเป็นประวัติย่อของผู้สมัครงาน เมื่อเหยื่อคลิกที่ปุ่ม "Enabled Editing" หรือ "Enable Content" โค้ดมาโครที่อยู่ภายในเอกสารที่เป็นอันตรายจะทำงาน และจะมีการใช้คำสั่ง Finger เพื่อดาวน์โหลด Certificate ที่เข้ารหัส Base64 จากเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้าย จากนั้น Certificate ที่ถูกดาวน์โหลดจะถูกถอดรหัสและจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์ MineBridge และ DLL ที่เป็นอันตรายของ MineBridge บนเครื่องของผู้ที่ตกเป็นเหยื่อ

ทั้งนี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อ ผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก

ที่มา: bleepingcomputer

TikTok รวบรวม MAC addresses โดยใช้ประโยชน์จากช่องโหว่ของ Android

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

SAP เผยเเพร่คำแนะนำด้านความปลอดภัย 10 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Microsoft Sysmon now detects malware process tampering attempts

Microsoft ปล่อยเครื่องมือ Sysmon เวอร์ชั่น 13 เพิ่มความสามารถในการตรวจจับการโจมตีที่พยายามแทรกคำสั่งอันตรายลงไปในโปรเซสปกติที่มีการทำงานอยู่บนเครื่อง (Tampering) ไม่ว่าจะเป็นการโจมตีด้วยเทคนิค Process Hollowing หรือ Process Herpaderping

การแทรกคำสั่งอันตรายลงไปในโปรเซสบนเครื่อง จะช่วยให้สามารถหลบหลีกการตรวจจับจากอุปกรณ์ความปลอดภัยบนเครื่องได้ เนื่องจากหากไม่มีการตรวจสอบเชิงลึก จะเสมือนว่าเป็นการทำงานตามปกติของโปรเซสนั้นๆ แต่ใน Sysmon ที่ปล่อยออกมาใหม่นี้จะเพิ่มการตรวจจับการโจมตีในลักษณะนี้เพิ่มขึ้นมา โดยผู้ดูแลระบบจะต้องทำการเพิ่ม “ProcessTampering” ลงไปในไฟล์ configuration ของ Sysmon หากตรวจพบจะมีการเขียน event log ที่ Applications and Services Logs/Microsoft/Windows/Sysmon/Operational โดยใช้ “Event 25 - Process Tampering”

อย่างไรก็ตามจากแหล่งข่าวได้ระบุว่า จากการทดสอบพบว่าจะมีการตรวจจับที่ผิดพลาด โดยจับการทำงานตามปกติของโปรแกรม Web Browser ไม่ว่าจะเป็น Chrome, Opera, Firefox, Fiddler, Microsoft Edge รวมทั้งโปรแกรมสำหรับติดตั้งอื่นๆ อีกหลายตัว ซึ่งไม่ใช่การโจมตี นอกจากนั้นยังได้มีการทดสอบกับมัลแวร์ TrickBot และ BazarLoader ตัวล่าสุด แต่กลับไม่พบข้อมูลการตรวจจับ

ที่มา: bleepingcomputer

Adobe ออกแพตช์แก้ไขช่องโหว่ระดับ Critical จำนวน 7 รายการ ในการอัปเดตแพตช์ความปลอดภัยประจำเดือนมกราคม 2021

Adobe ออกแพตช์แก้ไขช่องโหว่ที่สำคัญและมีความรุนแรงระดับ Critical จำนวน 7 รายการในผลิตภัณฑ์ Adobe Photoshop, Illustrator, Animate, Bridge, InCopy, Captivate และ Campaign Classic

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Photoshop คือ CVE-2021-21006 เป็นช่องโหว่ Heap-based buffer overflow ที่จะทำให้ผู้ประสงค์ร้ายสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต โดยช่องโหว่จะส่งผลกระทบกับ Adobe Photoshop สำหรับ Windows และ macOS

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Illustrator คือ CVE-2021-21007 เป็นช่องโหว่ที่เกิดจากข้อผิดพลาดขององค์ประกอบเส้นทางการค้นหาที่ไม่มีการควบคุม (Uncontrolled search path element) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตได้ ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Illustrator สำหรับ Windows

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Bridge คือ CVE-2021-21012 และ CVE-2021-21013 เป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Bridge สำหรับ Windows เวอร์ชัน 11 และก่อนหน้า

นอกจากนี้ Adobe ยังแก้ไขช่องโหว่ที่สำคัญใน Adobe Animate (CVE-2021-21008), Adobe InCopy (CVE-2021-21010) และ Adobe Captivate (CVE-2021-21011)

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตและติดตั้งแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet | threatpost