เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Microsoft ออกแจ้งเตือนถึงผู้ดูแลระบบเกี่ยวกับการบังคับใช้การอัปเดตแพตช์ความปลอดภัยเกี่ยวกับช่องโหว่ของ Windows Zerologon ที่จะเริ่มเข้าสู่ขั้นตอนการบังคับใช้ในเดือนกุมภาพันธ์ 2021

ช่องโหว่ Zerologon เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญระดับ CVSS 10/10 ติดตามด้วยรหัส CVE-2020-1472 โดยเมื่อผู้โจมตีใช้ประโยชน์จากช่องโหว่ได้สำเร็จ ผู้โจมตีจะสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนโดเมนและจะสามารถเข้าควบคุมโดเมนได้

Microsoft มีแผนจะทำการบังคับใช้การอัปเดตแพตช์เพื่อปรับปรุงความปลอดภัยและแก้ไขช่องโหว่ในวันที่ 9 กุมภาพันธ์ 2021 เป็นส่วนหนึ่งของการออกแพตช์การอัปเดตประจำเดือนหรือ Patch Tuesday แพตช์นี้จะเริ่มบังคับใช้การเชื่อมต่อแบบ Domain Controller enforcement mode ซึ่งจะส่งผลให้ระบบที่เกี่ยวข้องกับจะต้องใช้งาน secure RPC และ Netlogon secure channel ถึงจะใช้งานร่วมกันได้

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายและเพื่อป้องกันการขัดข้องของระบบเมื่อถึงเวลาที่ Microsoft บังคับใช้การเชื่อมต่อแบบปลอดภัยบนเครือข่าย

ที่มา: bleepingcomputer

Jonas Lykkegaard นักวิจัยด้านความปลอดภัยด้านระบบปฏิบัติการ Windows ได้เปิดเผยถึงการค้นพบพาธที่จะทำให้ Windows 10 เกิดขัดข้องและจะแสดง Blue Screen of Death (BSOD) ทันทีเพียงแค่เปิดพาทในแถบ Address bar ของเบราว์เซอร์หรือใช้คำสั่งอื่นๆ

Lykkegaard กล่าวว่าเขาได้ค้นพบพาธสำหรับ Win32 device namespace สำหรับอุปกรณ์ในกลุ่ม "console multiplexer driver" ที่สามารถอ้างถึงได้ผ่านพาธ \\.\globalroot\device\condrv\kernelconnect โดยหากมีการพยายามเข้าถึงพาธนี้ไม่ว่าจะในลักษณะใดก็ตาม ระบบจะเกิดการแครชและแสดงหน้า Blue Screen of Death ทันที การวิเคราะห์เบื้องต้นพบว่าพาธดังกล่าวนั้นจำเป็นจะต้องมีการระบุพารามิเตอร์อย่างน้อยหนึ่งรายการ ทั้งนี้หากเรียกพาธดังกล่าวโดยไม่ระบุค่าใดๆ ไป ระบบจะเกิดข้อผิดพลาดจากการตรวจสอบเงื่อนไขนี้ไม่สมบูรณ์ และทำให้เกิดสถานการณ์ดังกล่าว

หลังจากพบข้อบกพร่องนักวิจัยได้ทำการแจ้งต่อ Microsoft แล้วเมื่อสัปดาห์ที่ผ่านเพื่อให้ Microsoft ทำการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงานและจัดเตรียมการอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: bleepingcomputer

IObit ผู้พัฒนาซอฟต์แวร์ยูทิลิตี้ที่รู้จักกันดีในเรื่องการเพิ่มประสิทธิภาพของระบบ Windows และโปรแกรมป้องกันมัลแวร์เช่น Advanced SystemCare ถูกแฮกในช่วงสุดสัปดาห์ที่ผ่านมา ผู้ประสงค์ร้ายได้ใช้ประโยชน์จากการบุกรุกนี้เพื่อทำการโจมตีผู้ใช้อย่างกว้างขวางโดยการแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลด

การแจกจ่ายซอฟต์แวร์ที่แฝง DeroHE ransomware ไว้ให้กับสมาชิกฟอรัมทำการดาวน์โหลดนั้นเกิดขึ้นในช่วงสุดสัปดาห์ที่ผ่านมา ซึ่งสมาชิกฟอรัม IObit จะได้รับอีเมลที่อ้างว่ามาจาก IObit โดยระบุว่าสมาชิกฟอรัม IObit มีสิทธิ์ได้รับการใช้งานซอฟต์แวร์ฟรี 1 ปี ซึ่งเป็นสิทธิพิเศษในการเป็นสมาชิกฟอรัมเท่านั้น โดยภายในอีเมลจะมีลิงก์คือ hxxps://forums.

Kirk Sayre นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงการค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์ MineBridge บนอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

คำสั่ง "Finger" เป็นยูทิลิตี้ที่ช่วยให้ผู้ใช้สามารถเรียกดูรายชื่อและข้อมูลเกี่ยวกับผู้ใช้ได้จากระยะไกล ซึ่งในเดือนกันยายน 2020 ทีผ่านมา ได้มีนักวิจัยด้านความปลอดภัยออกรายงานถึงการค้นพบวิธีใช้ Finger เป็น Living-off-the-Land binaries (LOLBINS) เพื่อดาวน์โหลดมัลแวร์จากคอมพิวเตอร์ระยะไกล

FireEye ได้ออกรายงานเกี่ยวกับมัลแวร์ MineBridge หลังจากพบแคมเปญฟิชชิ่งจำนวนมากที่กำหนดเป้าหมายไปยังองค์กรในเกาหลีใต้ โดยใช้อีเมลฟิชชิ่งที่มีเอกสาร Word ที่เป็นอันตรายและมีเนื้อหาเป็นประวัติย่อของผู้สมัครงาน เมื่อเหยื่อคลิกที่ปุ่ม "Enabled Editing" หรือ "Enable Content" โค้ดมาโครที่อยู่ภายในเอกสารที่เป็นอันตรายจะทำงาน และจะมีการใช้คำสั่ง Finger เพื่อดาวน์โหลด Certificate ที่เข้ารหัส Base64 จากเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้าย จากนั้น Certificate ที่ถูกดาวน์โหลดจะถูกถอดรหัสและจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์ MineBridge และ DLL ที่เป็นอันตรายของ MineBridge บนเครื่องของผู้ที่ตกเป็นเหยื่อ

ทั้งนี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อ ผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก

ที่มา: bleepingcomputer

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Microsoft ปล่อยเครื่องมือ Sysmon เวอร์ชั่น 13 เพิ่มความสามารถในการตรวจจับการโจมตีที่พยายามแทรกคำสั่งอันตรายลงไปในโปรเซสปกติที่มีการทำงานอยู่บนเครื่อง (Tampering) ไม่ว่าจะเป็นการโจมตีด้วยเทคนิค Process Hollowing หรือ Process Herpaderping

การแทรกคำสั่งอันตรายลงไปในโปรเซสบนเครื่อง จะช่วยให้สามารถหลบหลีกการตรวจจับจากอุปกรณ์ความปลอดภัยบนเครื่องได้ เนื่องจากหากไม่มีการตรวจสอบเชิงลึก จะเสมือนว่าเป็นการทำงานตามปกติของโปรเซสนั้นๆ แต่ใน Sysmon ที่ปล่อยออกมาใหม่นี้จะเพิ่มการตรวจจับการโจมตีในลักษณะนี้เพิ่มขึ้นมา โดยผู้ดูแลระบบจะต้องทำการเพิ่ม “ProcessTampering” ลงไปในไฟล์ configuration ของ Sysmon หากตรวจพบจะมีการเขียน event log ที่ Applications and Services Logs/Microsoft/Windows/Sysmon/Operational โดยใช้ “Event 25 - Process Tampering”

อย่างไรก็ตามจากแหล่งข่าวได้ระบุว่า จากการทดสอบพบว่าจะมีการตรวจจับที่ผิดพลาด โดยจับการทำงานตามปกติของโปรแกรม Web Browser ไม่ว่าจะเป็น Chrome, Opera, Firefox, Fiddler, Microsoft Edge รวมทั้งโปรแกรมสำหรับติดตั้งอื่นๆ อีกหลายตัว ซึ่งไม่ใช่การโจมตี นอกจากนั้นยังได้มีการทดสอบกับมัลแวร์ TrickBot และ BazarLoader ตัวล่าสุด แต่กลับไม่พบข้อมูลการตรวจจับ

ที่มา: bleepingcomputer

Adobe ออกแพตช์แก้ไขช่องโหว่ที่สำคัญและมีความรุนแรงระดับ Critical จำนวน 7 รายการในผลิตภัณฑ์ Adobe Photoshop, Illustrator, Animate, Bridge, InCopy, Captivate และ Campaign Classic

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Photoshop คือ CVE-2021-21006 เป็นช่องโหว่ Heap-based buffer overflow ที่จะทำให้ผู้ประสงค์ร้ายสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต โดยช่องโหว่จะส่งผลกระทบกับ Adobe Photoshop สำหรับ Windows และ macOS

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Illustrator คือ CVE-2021-21007 เป็นช่องโหว่ที่เกิดจากข้อผิดพลาดขององค์ประกอบเส้นทางการค้นหาที่ไม่มีการควบคุม (Uncontrolled search path element) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตได้ ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Illustrator สำหรับ Windows

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Bridge คือ CVE-2021-21012 และ CVE-2021-21013 เป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Bridge สำหรับ Windows เวอร์ชัน 11 และก่อนหน้า

นอกจากนี้ Adobe ยังแก้ไขช่องโหว่ที่สำคัญใน Adobe Animate (CVE-2021-21008), Adobe InCopy (CVE-2021-21010) และ Adobe Captivate (CVE-2021-21011)

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตและติดตั้งแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet | threatpost