สนามบิน Bristol Airport ของอังกฤษประสบปัญหาจอแสดงตารางเที่ยวบินไม่สามารถให้บริการได้ในช่วงวันหยุดสุดสัปดาห์เนื่องจากโดน ransomware เข้าโจมตีระบบดังกล่าวโดยใช้เวลาในการกู้ระบบให้กลับมาปกติกว่าสองวันตั้งแต่เช้าวันศุกร์จนกระทั่งเช้าวันอาทิตย์

โดยจากข้อมูลของเจ้าหน้าที่ได้ออกมาประกาศทาง social media ให้ผู้โดยสารเผื่อเวลาในการ check-in เนื่องจากต้องกลับมาใช้การตรวจสอบกับกระดาน whiteboard แทน โดยเจ้าหน้านี้ได้ปฏิเสธการจ่ายเงินให้กับผู้โจมตีในครั้งนี้และเลือกที่จะกู้ระบบกลับมาเอง โดยเปิดเผยว่าในเหตุการณ์นี้ ไม่ได้ส่งผลให้ flight เกิดความล่าช้า

สำหรับเหตุการณ์การโจมตีที่เกิดขึ้นกับสนามบินครั้งนี้ไม่ใช่เหตุการณ์แรก ๆ โดยในมีนาคมที่ผ่านมา Hartsfield-Jackson Atlanta International Airport จำเป็นต้องปิดระบบ Wi-Fi ทั้งหมดเนื่องจากระบบหลักของรัฐบาลถูกโจมตีด้วย ransomware จนได้รับผลกระทบกับสนามบินเช่นกัน

ทั้งนี้ควรมีการป้องกันในส่วนของ end point security เพื่อลดความเสี่ยงที่ผู้ใช้งานอาจจะไม่ระมัดระวัง และสร้างโอกาสที่จะทำให้ malware ต่าง ๆ เข้ามาในระบบภายในได้ รวมถึงมีการอบรมเจ้าหน้าที่พนักงานให้ตระหนักถึงภัยคุกคามและความปลอดภัยในการใช้งานและควรมีกระบวนการกู้คืนข้อมูลที่ดี และรวดเร็ว

ที่มา: zdnet

พบมัลแวร์ตัวใหม่ XBash ที่มีคุณสมบัติทั้ง 4 ประเภท ได้แก่ ransomware, coinminers, botnets, และ worms สร้างความเสียหายให้กับ Linux และ Windows servers

มัลแวร์ตัวใหม่นี้ถูกพัฒนาด้วยกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ "Iron" และ "Rocke" คาดว่ากลุ่มนี้อยู่ที่ประเทศจีน นักวิจัยจาก Palo Alto Networks กล่าวว่ากลุ่มนี้ได้พัฒนามัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "XBash" ซึ่งเป็นการนำความสามารถของ botnet, coinminer และ ransomware มารวมเข้าด้วยกัน และพบว่ามีการนำความสามารถของ worm เพิ่มเข้ามาด้วย อย่างไรก็ตามความสามารถของ botnet และ ransomware จะใช้งานได้เฉพาะระบบ Linux เท่านั้น ขณะที่ coinminer ใช้งานได้เฉพาะบนระบบ Windows

วิธีการทำงานของ XBash คือการใช้ (1) โมดูล botnet สำหรับสแกนหาช่องโหว่ของเครื่อง Hadoop, Redis หรือ ActiveMQ ที่เป็นระบบ Linux และสแกนหาเครื่องเซิร์ฟเวอร์อื่นๆ ที่ยังมีการใช้พาสเวิร์ดที่ไม่ปลอดภัย เพื่อทำการวาง botnet และ ransomware แต่สำหรับระบบที่เป็น Windows จะใช้ช่องโหว่ของ Redis เพื่อทำการวาง coinminer เท่านั้น

(2) ส่วนของโมดูล ransomware จะทำการค้นหา Database service บนเครื่อง เมื่อพบจะทำการสแกนและลบฐานข้อมูลทิ้ง จากนั้นจะทำการวาง Ransom note ไว้ โดยเหยื่อจะต้องจ่ายเป็นจำนวน 0.02 Bitcoin ($125) เพื่อแลกกับการได้ข้อมูลคืนมา

(3) ส่วนของโมดูล worm จะทำหน้าที่แพร่กระจาย ไปยังเครือข่ายภายในที่อยู่ใน subnet เดียวกัน จากการวิเคราะห์นักวิจัยพบว่าโมดูลนี้จะถูกติดตั้งบน Windows เท่านั้น โดยมีการเรียกใช้เครื่องมือที่ชื่อว่า "LanScan"

นักวิจัยเชื่อว่าหลังจากนี้น่าจะมีการพัฒนาโมดูลของ coinminer สำหรับเซิร์ฟเวอร์ที่เป็น Linux ตามออกมาด้วยเช่นกัน เนื่องจากจะช่วยให้สามารถสร้างผลประโยชน์ได้มากขึ้นกว่าที่เป็นอยู่ในขณะนี้

ที่มา: zdnet

มีการค้นพบการโจมตีด้วย CSS ส่งผลให้ระบบปฏิบัติการ iOS ทำการ restart หรือ respring (การเรียกใช้งานหน้าจอ Home ของ iPhone ใหม่อีกรอบ) และระบบปฏิบัติการ macOS ค้าง เพียงแค่เข้าไปชมเว็บไซต์ที่มี CSS และ HTML ที่เป็นอันตราย ผู้ใช้ Windows และ Linux ไม่ได้รับผลกระทบจากปัญหานี้

การโจมตีนี้ค้นพบโดย Sabri Haddouche นักวิจัยด้านความปลอดภัยของ Wire การโจมตีใช้จุดอ่อนในคุณสมบัติ webkit-backdrop- filter CSS การโจมตีนี้มีผลกับเบราว์เซอร์ทั้งหมดบน iOS เช่นเดียวกับ Safari และ Mail ใน macOS เพราะทั้งหมดใช้เครื่องมือการแสดงผล WebKit จากการทดสอบพบว่าหากเป็น iOS 12 อุปกรณ์จะทำการ reboot แต่ใน iOS 11.4.1 จะเกิดเพียงแค่การ respring และสำหรับ macOS การโจมตีจะทำให้เมล์และซาฟารีหยุดทำงานเป็นเวลาสองวินาทีและทำให้คอมพิวเตอร์ทำงานช้าลง

ทั้งนี้นักวิจัยได้มีการโพสต์ CSS และ HTML ที่ใช้ทดสอบดังกล่าวไว้ในหน้า GitHub ของเขา โดยผู้ที่สนใจจะต้องใช้ความระมัดระวังอย่างสูงในการทดสอบ เนื่องจากหากเผลอคลิกลิงค์ จะส่งผลทำให้ iOS เกิดปัญหาขึ้นหรือทำให้เกิดปัญหากับ Mac อย่างรวดเร็ว

ที่มา:bleepingcomputer

OpenSSL project ได้เปิดตัว OpenSSL 1.1.1 ซึ่งเป็นไลบรารีการเข้ารหัส ที่ได้รับความนิยมมากที่สุดที่เข้ารหัสผ่านโปรโตคอล TLS (Transport Layer Security) และ Secure Sockets Layer (SSL)

การเปิดตัว OpenSSL 1.1.1 ที่สำคัญที่สุดคือการสนับสนุนโปรโตคอล TLS 1.3 ใหม่ที่เปิดตัวออกมาเมื่อเดือนมีนาคม ส่งผลให้ลดการใช้งานอัลกอริทึมการเข้ารหัสลับที่เก่าหรือไม่ปลอดภัย และขยายการสนับสนุน Long-Term Support (LTS) สำหรับอัลกอริทึมที่ใหม่กว่า ซึ่งจะได้รับการแก้ไขข้อบกพร่องและการอัปเดตด้านความปลอดภัยสำหรับปีต่อ ๆ ไป

OpenSSL 1.1.1 จะรองรับอัลกอริทึมการเข้ารหัสลับแบบใหม่ 11 แบบ เช่น SHA3, SHA512/224, SHA512/256, EdDSA (Ed25519 และ Ed448), X448, Multi-Prime RSA, SM2, SM3, SM4, SipHash และ ARIA พร้อมทั้งมีการปรับปรุง Random Number Generator (RNG) ที่ถือว่าเป็นส่วนประกอบสำคัญสำหรับไลบรารีทั้งหมดเนื่องจากอัลกอริธึมการเข้ารหัสทั้งหมดขึ้นอยู่กับตัวเลขแบบสุ่มนี้ นอกจากนี้ยังสนับสนุนการปรับปรุงความปลอดภัยสำหรับการป้องกันการโจมตี side-channel attacks

OpenSSL เวอร์ชัน 1.0.2 จะได้รับการแก้ไขข้อบกพร่องจนถึงสิ้นปี 2018 และการแก้ปัญหาด้านความปลอดภัยจนถึงสิ้นปี 2019 OpenSSL 1.1.0 จะได้รับการแก้ไขปัญหาด้านความปลอดภัยจนถึงเดือนกันยายน 2019 อีกหนึ่งปีต่อจากนี้

ที่มา:zdnet

การหลอกลวงโดยการแอบอ้างเป็นบุคคลอื่นทางอีเมลหรือที่เรียกว่า Business Compromise Email (BEC) มีจำนวนเพิ่มขึ้น 58% ในปีนี้และมีแนวโน้มเพิ่มขึ้นเรื่อยๆ เนื่องจากแฮกเกอร์สามารถเข้าถึงบัญชีอีเมลทางธุรกิจได้ง่าย และใช้มันในการปลอมเป็นเจ้าของบัญชีเพื่อหลอกลวงพนักงานบริษัท, ลูกค้า หรือบริษัทคู่ค้า (partners)

ตามข้อมูลของ Lloyds Bank พบว่าธุรกิจตั้งแต่ขนาดเล็กจนถึงขนาดใหญ่ในสหราชอาณาจักรสูญเสียเงินโดยเฉลี่ยแล้วประมาณ 27,000 ปอนด์ (ประมาณ 35,160 เหรียญสหรัฐ) จากการโจมตีประเภทนี้ และพบว่า 1 ใน 5 ของเหยื่อถูกบังคับให้ต้องไล่พนักงานออกไป เพราะการตกเป็นเหยื่อของการหลอกลวงประเภทนี้อาจเป็นเรื่องร้ายแรง เนื่องจากไม่ได้ส่งผลกระทบเพียงแค่การเงินเท่านั้น

ปัญหาส่วนหนึ่งคือการขาดการฝึกอบรมเกี่ยวกับความปลอดภัยในโลกไซเบอร์ของพนักงาน (Awareness Training) พนักงาน 37% กล่าวว่าพวกเขาไม่ทราบว่าควรจะต้องระวังอะไรในการตรวจสอบอีเมลที่หลอกลวง หรือไม่มีมาตรการป้องกันด้านความปลอดภัยในองค์กร

รายงานระบุว่ากว่าครึ่งหนึ่งของพนักงานที่ได้รับการสำรวจ กล่าวว่าพวกเขาพบการหลอกลวงแอบอ้างเป็นเจ้านายของพวกเขาและอีกครึ่งหนึ่งกล่าวว่าพวกเขามีประสบการณ์ในการถูกหลอกในฐานะซัพพลายเออร์ด้วยการปลอมใบแจ้งหนี้ซึ่งกลายเป็นอีกหนึ่งเทคนิคที่เป็นที่นิยม ซึ่งผลการวิจัยเหล่านี้ชี้ให้เห็นว่าอีเมลไม่ถือเป็นวิธีการสื่อสารทางธุรกิจที่ปลอดภัยนัก

ที่มา:techrepublic

Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่

แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ

มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework

Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ

35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components

ที่มา : securityweek

Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน

Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้

เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว

ที่มา : bleepingcomputer

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.

Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน

Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้

อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0

นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7

ที่มา : The Hacker News

แฮกเกอร์ที่โจมตีบัญชีของลูกค้า Vodafone ไปนอนในคุกเรียบร้อยแล้ว

จากรายงานข่าวของสาธารณรัฐเช็ก ระบุว่าแฮกเกอร์ 2 รายที่ได้เข้าถึงบัญชีลูกค้า Vodafone และได้ทำการชำระเงินผ่านมือถือ โดยแฮกเกอร์ได้สิทธิ์ในการเข้าถึงบัญชีเพียงใช้การเดารหัสผ่านแบบง่ายๆ ทำให้สามารถเปิดใช้งานซิมการ์ดได้ง่ายๆ และใช้ส่ง SMS ไปยังเว็บไซต์การพนันเพื่อจ่ายตังค์ ส่งผลให้ได้รับความเสียหายโดยรวมประมาณ 30,000 ดอลลาร์

Vodafone เชื่อว่าลูกค้าที่ใช้รหัสผ่านที่คาดเดาง่าย เช่น 1234 หรือ QWERTY ควรได้รับการชดเชยในความเสียหายที่เกิดขึ้น เนื่องจากผู้ที่ตกเป็นเหยื่ออ้างว่าพวกเขาไม่ทราบอะไรเกี่ยวกับรหัสผ่านและบริการออนไลน์ของ Vodafone และพนักงานของ Vodafone จะเป็นคนตั้งรหัสผ่านเริ่มต้นให้ลูกค้าเอง

ในอีกแง่มุมหนึ่งของ Oleg Galushkin ผู้อำนวยการการรักษาความปลอดภัยข้อมูลที่ SEC Consult Services กล่าวว่า "ถ้าผู้ใช้เองไม่ต้องการที่จะรักษาความปลอดภัยของพวกเขาแม้ในระดับพื้นฐานแล้ว พวกเขาก็ต้องยอมรับกับผลที่เกิดขึ้น" แต่ทั้งนี้ก็เป็นความผิดพลาดของบริษัทเองด้วยที่หละหลวมในการป้องกันด้านความปลอดภัย และแฮกเกอร์ทั้ง 2 รายต้องโทษจำคุกเป็นเวลา 2 ปี และ 3 ปี

ที่มา : E Hacking News