Microsoft ออกเเพตซ์เเก้ไขช่องโหว่ระดับวิกฤติ “SIGRed” ใน Windows DNS Server เอามาใช้ทำมัลแวร์ได้แบบ WannaCry

Microsoft ออกเเพตซ์เเก้ไขช่องโหว่ระดับ “Critical” ซึ่งอยู่ใน Windows DNS Server โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถทำการโจมตีเพื่อให้ได้รับสิทธิ์ผู้ดูแลระบบโดเมนและสามารถทำการโจมตีระบบ infrastructure ทั้งหมดที่ทำงานอยู่ในองค์กรได้ ช่องโหว่รหัส CVE-2020-1350 ถูกค้นพบโดยนักวิจัยจาก Check Point และถูกตั้งชื่อว่า “SIGRed”

ช่องโหว่นี้เป็นช่องโหว่การเรียกโค้ดโจมตีจากระยะไกล โดยเกิดจากขั้นตอนการประมวลผล DNS response ในโค้ดของไฟล์ dns.

บันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียถูกเปิดเผยใน Dark web

ผู้เชี่ยวชาญจากบริษัท Cyble ได้เปิดเผยว่าได้พบบันทึกของผู้เดินทางกว่า 45 ล้านคนที่เดินทางมายังประเทศไทยและมาเลเซียจากหลายประเทศโผล่ใน Darkweb

ผู้เชี่ยวชาญกล่าวว่าข้อมูลจำนวนมหาศาลถูกค้นพบนั้น ถูกพบระหว่างที่พวกเขาทำการติดตามตรวจสอบกิจกรรมต่างๆ ใน Deepweb และ Darkweb โดยบันทึกของผู้เดินทางที่รั่วไหลนั้น ได้แก่ รหัสผู้โดยสาร, ชื่อเต็ม, หมายเลขโทรศัพท์มือถือ, รายละเอียดหนังสือเดินทาง, ที่อยู่, เพศและรายละเอียดเที่ยวบิน

ผู้เชี่ยวชาญได้ทำการวิเคราะห์ข้อมูลที่ถูกค้นพบและได้จัดทำข้อมูลเพื่อใช้ในการตรวจสอบข้อมูลที่รั่วไหลแล้วที่ AmiBreached.

VMware ออกเเพตซ์แก้ไขช่องโหว่ใน VMware Fusion, VMRC, Horizon Client

VMware ได้ทำการออกเเพตซ์แก้ไขช่องโหว่การยกระดับสิทธิพิเศษถูกติดตามด้วยรหัส CVE-2020-3974 ในผลิตภัณฑ์ VMware Fusion, VMRC, Horizon Client สำหรับ macOS

ช่องโหว่ CVE-2020-3974 เป็นช่องโหว่การยกระดับสิทธิ์ที่เกิดจากการตรวจสอบของ XPC Client ใน VMware ทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ใช้ปกติสามารถใช้ประโยชน์จากช่องโหว่ทำให้สามารถยกระดับสิทธิ์ไปเป็น root บนระบบ โดยช่องโหว่นี้มีความรุนเเรงตาม CVSSv3 อยู่ที่ 7.8

ช่องโหว่มีผลกับ VMware Fusion เวอร์ชั่น 11.x, VMRC เวอร์ชั่น 11.x หรือเวอร์ชั่นก่อนหน้า และ Horizon Client เวอร์ชั่น 5.x หรือเวอร์ชั่นก่อนหน้า สำหรับ macOS

ผู้ใช้งานควรทำการอัพเดตเเพตซ์ VMware Fusion, VMRC และ Horizon Client ให้เป็นเวอร์ชั่น 11.5.5, 11.2.0 และ 5.4.3 ตามลำดับเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: vmware.

SentinelOne เปิดบริการถอดรหัส ThiefQuest Ransomware ฟรีสำหรับผู้ใช้ macOS ที่ตกเป็นเหยื่อ

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.

Mozilla จะลดวันหมดอายุ TLS Certificate ลงเหลือครั้งละ 1 ปีโดยจะเริ่มปฏิบัติ 1 กันยายน 2020

Mozilla ได้ประกาศอย่างเป็นทางการแล้วว่าตั้งแต่วันที่ 1 กันยายน 2020 และ Mozilla จะไม่พิจารณา certificate ที่ออกใหม่และมีอายุมากว่า 398 วันหรือมากกว่าหนึ่งปีขึ้นไป

Mozilla กล่าวว่านักพัฒนาเบราว์เซอร์และผู้เชี่ยวชาญด้านความปลอดภัยได้พยายามผลักดันเพื่อลดอายุการใช้งานสูงสุดของ TLS certificate จาก 825 วันเป็น 398 วันโดยมีจุดประสงค์ในการปกป้องการเชื่อมต่อ HTTPS ของผู้ใช้ด้วยเหตุผลหลายประการ โดยมีเหตุผลหลักๆ ดังนี้

ให้ความคล่องตัวมากขึ้นเมื่อทำการยกเลิก certificate ในกรณีเมื่อค้นพบช่องใหว่ใหม่ในอัลกอริธึมการเข้ารหัส
สามารถจำกัดความเสี่ยงในกรณีที่เกิดการรั่วไหลหรือการขโมย private key และ TLS certificate โดยผู้ประสงค์ร้ายจะสามารถใช้ certificate ที่ถูกขโมยไปได้เเค่ 1 ปี
ป้องกันผู้ให้บริการโฮสต์จากการใช้ certificate เป็นเวลานานหลังจากที่โดเมนไม่ได้ใช้งานอีกต่อไปหรือเปลี่ยนผู้ให้บริการ

Mozilla ยังกล่าวถึงข้อเสียของการลดวันหมดอายุ TLS certificate ลงเหลือครั้งละ 1 ปีในประเด็นซึ่งเกี่ยวข้องกับผู้ดูแลเว็บไซต์ บริษัทที่มีการให้บริการเว็บไซต์หลายแห่งจะมีค่าใช้จ่ายมากขึ้นเนื่องจากค่าใช้จ่ายในการต่ออายุ TLS certificate จะหมดอายุบ่อยขึ้น สำหรับผู้ที่มี TLS certificate มากกว่า 2 ปีและทำการขอ TLS certificate ก่อนวันที่ 1 กันยายน 2020 จะไม่ได้รับผลกระทบและจะสามารถใช้งานได้จนกว่าจะหมดอายุการใช้งาน

ที่มา:

bleepingcomputer.

กลุ่ม Maze Ransomware ประกาศกฎการจ่ายค่าไถ่ใหม่ พร้อมขู่ปล่อยข้อมูลหากไม่มีการพูดคุยกันหลังจาก 10 วัน คาด “การไฟฟ้าส่วนภูมิภาค” อาจถูกปล่อยข้อมูลหากไม่ยอมจ่ายค่าไถ่เร็วๆ นี้

กลุ่ม Maze Ransomware ซึ่งมีผลงานล่าสุดกับการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคและระบบของบริษัทชั้นนำอย่าง ST Engineering มีการอัปเดตกฎใหม่ผ่าน Official press ของทางกลุ่ม โดยเราอาจมองได้ว่านี่คือ Service Level Agreement (SLA) ที่ Maze นำเสนอมาใหม่

ภายใต้ประกาศใหม่นั้น Maze จะปล่อยข้อมูลภายในของเหยื่อเพื่อยืนยันการโจมตีภายใน 3 วัน โดยกลุ่มสนับสนุนให้มีการพูดคุยกันเพื่อหาข้อตกลงที่เหมาะสมที่สุดในการจ่ายค่าไถ่ พร้อมคำขู่ใหม่ว่าจะมีการปล่อยข้อมูลทั้งหมดหากเหยื่อไม่ยอมเข้ามาพูดคุยเรื่องข้อตกลงภายใน 10 วัน โดยเมื่อมีการปล่อยข้อมูลแล้ว ทาง Maze จะมีการติดต่อไปยังลูกค้าและคู่ค้าของเหยื่อ รวมไปถึงหน่วยงานกำกับดูแลเพื่อกดดันและประจานด้วย

การออกมาของกฎใหม่นี้กระทบกับกรณีของการโจมตีการไฟฟ้าส่วนภูมิภาค เนื่องจากกลุ่มได้มีการระบุอย่างชัดเจนว่าทางกลุ่ม Maze Ransomware กำลังจะดำเนินการปล่อยข้อมูลทั้งหมดของเหยื่อซึ่งรวมไปถึงการไฟฟ้าส่วนภูมิภาคในเร็ววันนี้

ที่มา: twitter

Zoom working on patching zero-day disclosed in Windows client

พบ Zero-day ใหม่ใน Zoom รันโค้ดอันตรายผ่านการกระทำของผู้ใช้ กระทบกับ Windows 7 และ Windows Server 2008 R2

บริษัทรักษาความปลอดภัยทางด้านไซเบอร์ ACROS Security ได้เปิดเผยถึงช่องโหว่ Zero-day ใหม่ในแอปพลิเคชัน Zoom ซึ่งช่องโหว่นี้กระทบไคลเอนต์ Zoom ที่ใช้งานบน Windows 7 และ Windows Server 2008 R2 และรุ่นก่อนหน้า

Mitja Kolsek ซีอีโอของบริษัท ACROS Security ได้กล่าวว่าช่องโหว่ Zero-day นี้ทำให้ผู้โจมตีสามารถโจมตีจากระยะไกลสามารถโดยการสั่งรันโปรแกรมบนคอมพิวเตอร์ของเหยื่อที่ติดตั้ง Zoom Client สำหรับ Windows ได้โดยให้ผู้ใช้ดำเนินการบางอย่างเพื่อเป็นการเริ่มโจมตีช่องโหว่ เช่น เปิดไฟล์เอกสาร

Kolsek ยังกล่าวอีกว่าช่องโหว่ Zero-day นี้จะไม่มีผลกับไคลเอนต์ Zoom ที่ใช้งานบน Windows 8 หรือ Windows 10 และทาง ACROS ได้ทำการเเจ้งให้ทาง Zoom ถึงช่องโหว่ดังกล่าวแล้ว ซึ่งทางโฆษกของ Zoom ได้ออกยืนยันช่องโหว่และความถูกต้องของรายงาน

บริษัท ACROS Security ไม่ได้ทำการเผยเเพร่เทคนิคใดๆ ของช่องโหว่ Zero-day เเก่สาธารณะ ซึ่งทาง ACROS ได้ทำการเเก้ไขช่องโหว่และทำการอัปเดตแพตซ์ใน 0patch เพื่อป้องกันผู้ใช้งานตกเป็นเหยื่อของผู้ประสงค์ร้ายในระหว่างที่ Zoom ทำการอัปเดตไคลเอนต์เป็นเวอร์ชั่นใหม่

ที่มา: zdnet

EDP energy giant confirms Ragnar Locker ransomware attack

EDP บริษัทด้านพลังงานยักษ์ใหญ่ในยุโรปยืนยันถูก Ragnar Locker ransomware โจมตี

Energias de Portugal Renewables North America (EDPR NA) บริษัทพลังงานทดแทนอเมริกาเหนือยืนยันถูก Ragnar Locker ransomware โจมตีส่งผลกระทบต่อระบบงานของบริษัทแม่ ซึ่งเป็นบริษัทด้านพลังงานยักษ์ใหญ่ข้ามชาติของโปรตุเกส Energias de Portugal (EDP)

ตามรายงานในขณะนั้นพบว่าแฮกเกอร์ขอให้กลุ่ม EDP จ่ายค่าไถ่จำนวน 1580 Bitcoins (ประมาณ 10 ล้านดอลลาร์) สำหรับข้อมูลที่มากกว่า 10 TB ที่ถูกกล่าวหาว่าขโมยข้อมูลมาจากเซิร์ฟเวอร์

Ragnar Locker ransomware ถูกพบครั้งแรกขณะที่ใช้เป็นส่วนหนึ่งของการโจมตีในช่วงหลังเดือนธันวาคม 2019 โดย Ragnar Locker เป็นที่รู้จักจากการพุ่งเป้าโจมตีกลุ่มผู้ให้บริการแบบ MSP

ที่มา: bleepingcomputer

North Korean hackers linked to web skimming (Magecart) attacks, report says

กลุ่มแฮกเกอร์เกาหลีเหนือถูกเชื่อมโยงกับการโจมตีเว็บไซต์ Online Store หลายเเห่งโดยการโจมตีด้วย web skimming หรือ Magecart

SanSec บริษัทรักษาความปลอดภัยทางด้านไซเบอร์ของเนเธอร์แลนด์ ได้กล่าวถึงรายงานที่ตีพิมพ์ว่ากลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือได้ทำการโจมตีเว็บไซต์ Online Stores หลายเเห่ง โดยกลุ่มแฮกเกอร์ได้ทำการรันโค้ดที่เป็นอันตรายลงไปในเว็บไซต์ Online Store เพื่อทำการขโมยข้อมูลบัตรเคดิตของลูกค้าที่ทำการกรอกข้อมูลจ่ายเงินในเว็บไซต์ Online Store

ในรายงานยังกล่าวอีกว่ากลุ่มแฮกเกอร์ที่ทำการโจมตีนั้นจะใช้วิธีการโจมตีประเภท "web skimming," "e-skimming" หรือ "Magecart attack" โดยเป้าหมายของกลุ่มแฮกเกอร์คือการเข้าถึงเซิร์ฟเวอร์แบ็กเอนด์ของเว็บไซต์ Online Store หรือ third-party widget ที่พวกเขาสามารถทำการติดตั้งและเรียกใช้โค้ดที่เป็นอัตราย เพื่อทำการรวบรวมข้อมูลการชำระเงินด้วยบัตรเครดิตของลูกค้าที่ทำการจ่ายเงินเพื่อทำการขโมยและนำไปขายในเว็บไซต์ใต้ดิน

บริษัท SanSec ยังกล่าวอีกว่าหลักฐานการโจมตีนี้ชี้กลับไปที่กลุ่มแฮกเกอร์เกาหลีเหนือที่ชื่อ Hidden Cobra หรืออีกชื่อคือ Lazarus Group ซึ่งรูปแบบการโจมตีของแฮกเกอร์กลุ่มนี้นั้นยังไม่เป็นที่รู้จัก แต่มักจะพบว่าใช้การโจมตีแบบ Spearphishing attack เพื่อขโมยรหัสผ่านของพนักงานขาย

ทั้งนี้ผู้ใช้งานอินเตอร์เน็ตต้องมีความระมัดระวังในการใช้งานเว็บไซต์ Online Store และควรทำการตรวจยอดเงินการใช้จ่ายบัตรเคดิตอยู่เสมอ หากพบยอดชำระผิดปกติให้ทำการติดต่อธนาคารเพื่อเเจ้งยกเลิกบัตร

ที่มา: zdnet

Palo Alto Networks แก้ไขช่องโหว่ CVE-2020-2034 บน PAN-OS

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer