SAP Releases August 2018 Security Updates

SAP ออกอัปเดตแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018

SAP ซึ่งเป็นผู้ให้บริการ ERP (Enterprise Resource Planning) รายใหญ่ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 ซึ่งไม่มีช่องโหว่ระดับร้ายแรงมาก (critical) แต่มีการแก้ไขช่องโหว่ระดับร้ายแรง (high) 9 รายการ และช่องโหว่ร้ายแรงปานกลาง 18 รายการ

2 ช่องโหว่จาก 9 ช่องโหว่ระดับร้ายแรงมาถูกค้นพบโดยนักวิจัยจากบริษัท Onapsis ผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับระบบ ERP หนึ่งในนั้นคือช่องโหว่ SQL injection ใน SAP BusinessObjects (CVE-2018-2447)

ทั้งนี้ในปลายเดือนกรกฏาคม 2018 ที่ผ่านมา Onapsis ร่วมกับ Digital Shadows ได้ออกรายงานเกี่่ยวกับความเป็นไปได้ที่จะมีการโจมตีระบบ ERP เพิ่มขึ้น โดยระบบ ERP ที่ตกเป็นเป้าหมายการโจมตีมักเป็นระบบที่บกพร่องในการแพตช์ สามารถอ่านรายละเอียดเพิ่มเติมของรายงานดังกล่าวได้จาก https://www.

Email Phishers Using New Way to Bypass Microsoft Office 365 Protections

บริษัทด้าน Cloud Security "Avanan" พบอีเมลฟิชชิ่งแบบใหม่ในผู้ใช้ Office 365 ถูกส่งมาในรูปแบบของอีเมลจาก Microsoft ที่มีลิงก์ไปยังเอกสาร SharePoint

นักวิจัยด้านความปลอดภัยได้แจ้งคำเตือนเกี่ยวกับการโจมตีฟิชชิ่งแบบใหม่ที่แฮ็กเกอร์ใช้เพื่อ Bypass Advanced Threat Protection (ATP) ที่เป็นบริการที่ใช้กันอย่างแพร่หลายในบริการอีเมลปัจจุบัน รวมถึง Microsoft Office 365 ซึ่งเป็น Software ที่ตอบโจทย์สำหรับผู้ใช้บริการออนไลน์หลายรูปแบบ ได้แก่ Exchange Online, SharePoint Online, Lync Online และ Office Web Apps อื่น ๆ เช่น Word, Excel, PowerPoint, Outlook และ OneNote

ข้อความของอีเมลมีลักษณะเป็นคำเชิญ SharePoint จากเพื่อนร่วมงาน เมื่อผู้ใช้คลิกลิงก์ที่อยู่ในอีเมล เบราว์เซอร์จะเปิดไฟล์ SharePoint ขึ้นโดยอัตโนมัติ เนื้อหาของไฟล์ SharePoint จะมีการร้องขอการเข้าถึงไฟล์ OneDrive แต่แท้จริงแล้วปุ่ม 'Access Document' ในไฟล์จะเป็นลิงก์ไปยัง URL ที่เป็นอันตราย และจะ redirects เหยื่อไปที่หน้าการเข้าสู่ระบบ Office 365 เพื่อหลอกให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบ ซึ่งแฮกเกอร์จะทำการเก็บข้อมูล

Microsoft จะสแกนเนื้อหาของอีเมลรวมถึงลิงก์ที่มีอยู่ในอีเมล แต่เนื่องจากลิงก์ที่ถูกใช้ล่าสุดจะนำไปสู่เอกสาร SharePoint ทางบริษัทจึงไม่ได้ระบุว่าเป็นภัยคุกคาม

ข้อเสนอแนะ
- ผู้ใช้งานควรใช้ความระมัดระวังในการคลิก link ที่ไม่คุ้นเคย โดยการสังเกต URL ที่ถูก redirect ไป
- เปิดใช้ Two-Factor Authentication (2FA) ถึงแม้ว่าแฮ็กเกอร์จะได้ชื่อผู้ใช้หรือรหัสผ่านไป ก็ไม่สามารถเอาไปใช้ประโยชน์ได้

ที่มา : thehackernews

Microsoft Releases August 2018 Security Updates

Microsoft ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 แก้ไขช่องโหว่กว่า 60 ช่องโหว่ โดยบางช่องโหว่ถูกใช้โจมตีแล้ว

Microsoft ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 เพื่อแก้ไขช่องโหว่ 60 ช่องโหว่ ซึ่งสองช่องโหว่ในนั้นเป็นช่องโหว่ Zero-Day ได้แก่ CVE-2018-8414 และ CVE-2018-8373 ซึ่งมีรายงานการเผยแพร่และใช้ในการโจมตีแล้ว

CVE-2018-8414 เป็นช่องโหว่ใน Windows Shell ที่กำลังมีผู้พัฒนาทดลองแพร่มัลแวร์ผ่านช่องโหว่นี้ และ CVE-2018-8373 เป็นช่องโหว่ Internet Explorer ที่ทำให้ผู้โจมตีสามารถใช้โค้ดอันตรายได้ จะใช้โค้ดนั้นได้ตามสิทธิ์ของผู้ใช้ที่ใช้งาน Internet Explorer ขณะนั้น

ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ดังกล่าวเพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว โดยสามารถอ่านรายละเอียดของแต่ละช่องโหว่ทั้งหมดที่ได้รับการแก้ไขได้จากที่มาด้านล่าง

ที่มา : us-cert

WhatsApp Flaw Lets Users Modify Group Chats to Spread Fake News

นักวิจัย checkpoint ค้นพบช่องโหว่ด้านความปลอดภัยของ WhatsApp แอพพลิเคชั่น โดยความผิดปกติที่พบคือ ผู้โจมตีสามารถแก้ไขข้อความที่ส่งหากันทั้งในแชทส่วนตัวและกลุ่ม

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของโปรโตคอล protobuf2 ที่ WhatsApp ใช้ในการส่งข้อความเข้ารหัสระหว่าง WhatsApp Mobile และ WhatsApp Web เพื่อดักจับข้อความและแปลงให้กลับมาเป็น JSON ทำให้สามารถเห็น parameter ที่ถูกใช้ในการส่งข้อมูลและเปลี่ยนค่ามันได้ ผู้โจมตีจึงสามารถสร้างเนื้อหา หรือข่าวปลอมเพื่อส่งให้เหยื่อ หรือภายใน group chat ได้, ผู้โจมตีสามารถใช้ 'quote' ซึ่งเป็นการ reply ด้วยการอ้างอิงข้อความใดๆ ใน group chat โดยสามารถเปลี่ยนทั้งผู้ส่งและข้อความที่ส่ง รวมทั้งผู้โจมตีสามารถดักข้อความที่ถูกส่งในกลุ่มเพื่อกำหนดว่าจะให้ใครในกลุ่มเห็น หรือไม่เห็นข้อความ พร้อมทั้งส่งข้อความดังกล่าวไปให้บุคคลอื่นได้ด้วย

นักวิจัยได้ทำการสร้าง extension ใหม่ที่ใช้กับ Burp Suite ขึ้นมาเพื่อใช้ทดสอบ โดยเครื่องมือตัวนี้มีชื่อว่า "WhatsApp Protocol Decryption Burp Tool" ซึ่งมีการแชร์อยู่บน GitHub ทั้งนี้ได้มีการแจ้งช่องโหว่ไปยังผู้ผลิตแล้ว แต่ได้รับการตอบกลับมาว่ายังไม่มีแผนที่จะทำการเปลี่ยนแปลงใดๆกับแอพพลิเคชั่นดังกล่าว ปัจจุบันพบว่า WhatsApp เป็นแอพพลิเคชั่นอันดับต้นๆที่ถูกใช้ในการส่งข่าวปลอม และส่งข้อมูลที่บิดเบือน

ที่มา : thehackernews

Critical Vulnerability Patched in Oracle Database

Oracle ออกอัปเดตแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database

เมื่อวันศุกร์ที่ 10 สิงหาคม 2018 ที่ผ่านมา บริษัท Oracle ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database และเตือนให้ผู้ใช้อัปเดตแพตช์ดังกล่าวให้เร็วที่สุด

ช่องโหว่ดังกล่าวคือ CVE-2018-3110 เป็นช่องโหว่ของ Java VM ที่อยู่ภายในระบบ Oracle Database Server ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวเพื่อยึดระบบฐานข้อมูล Oracle Database และสามารถเข้าถึง shell ของเซิร์ฟเวอร์ที่ลงฐานข้อมูลดังกล่าวได้ ช่วงโหว่ดังกล่าวกระทบระบบฐานข้อมูล Oracle Database รุ่น 11.2.0.4 และ 12.2.0.1 บน Windows และ รุ่น 12.1.0.2 บน Windows และ Linux

ผู้ใช้ระบบฐานข้อมูลรุ่นดังกล่าวควรทำการอัปเดตให้เร็วที่สุดเพื่อป้องกันความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : securityweek

DNS Hijacking targets Brazilian financial institutions

นักวิจัยค้นพบการทำ DNS Hijacking โดยกำหนดเป้าหมายเป็นกลุ่มลูกค้าของธนาคารในประเทศบราซิล

ผู้โจมตีพุ่งเป้าไปยังเราเตอร์ DLink DSL เพื่อเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ภายใต้การควบคุม การโจมตีดังกล่าวส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญที่ใช้สำหรับเข้าสู่ระบบของผู้ใช้งานได้ โดยการเปลี่ยนเส้นทางของผู้ใช้ที่พยายามเชื่อมต่อกับเว็บไซต์ธนาคารที่ปลอดภัยไปยังเว็บไซต์ที่เป็นอันตรายที่แฮกเกอร์สร้างขึ้น(redirect)

จากการวิเคราะห์โดยผู้เชี่ยวชาญพบว่าผู้โจมตีได้มีการเปลี่ยนเส้นทางไปใช้เซิร์ฟเวอร์ DNS สองเครื่องคือ 69.162.89.185 และ 198.50.222.136 ซึ่ง DNS ทั้งสองตัวจะเปลี่ยนเส้นทางของเว็บไซต์ Banco de Brasil (www.

Vulnerabilities Found in the Firmware of 25 Android Smartphone Models

นักวิจัยด้านความปลอดภัยนำเสนอช่องโหว่กว่า 47 ช่องโหว่ในเฟิร์มแวร์และอีก 25 ช่องโหว่ในแอปพลิเคชันบนระบบปฏิบัติการ Android ในงานประชุมด้านความปลอดภัย DEF CON ที่ลาสเวกัส

ช่องโหว่ที่พบมีความรุนแรงตั้งแต่ทำให้อุปกรณ์ทำงานผิดพลาดเล็กน้อยไปจนถึงช่องโหว่ร้ายแรงที่ทำให้ได้รับสิทธิ์ root ของอุปกรณ์ ซึ่งหากมีผู้โจมตีด้วยช่องโหว่ร้ายแรงจะสามารถเข้าถึงข้อมูลเรียกดูหรือส่งข้อความ SMS จากโทรศัพท์ของผู้ใช้, ถ่ายภาพหน้าจอหรือบันทึกวิดีโอจากหน้าจอโทรศัพท์เรียกดูรายชื่อผู้ติดต่อของผู้ใช้ บังคับให้ติดตั้งแอพพลิชันโดยพลการโดยไม่ต้องใช้การยินยอมจากผู้ใช้ หรือแม้แต่ลบข้อมูลทั้งหมดของผู้ใช้ออกจากอุปกรณ์

ช่องโหว่เหล่านี้ถูกค้นพบในแอปพลิเคชันเริ่มต้นที่ติดตั้งไว้ล่วงหน้าบนอุปกรณ์และอยู่ในเฟิร์มแวร์ของไดรเวอร์หลักที่ไม่สามารถลบออกได้ ซึ่งยี่ห้อของสมาร์ทโฟนที่พบช่องโหว่ดังกล่าวได้แก่ ZTE, Sony, Nokia, LG, Asus, Alcatel, Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee และ Coolpad

ที่มา : bleepingcomputer

Popular Android Apps Vulnerable to Man-in-the-Disk Attacks

แอพพลิเคชัน Android ยอดนิยมบางตัวที่ติดตั้งในโทรศัพท์ อาจมีช่องโหว่เสี่ยงต่อการถูกโจมตีแบบใหม่ที่ชื่อว่า "Man-in-the-Disk (MitD)" ซึ่งทำให้แอพพลิเคชั่นอื่น crash และเรียกรัน code ที่เป็นอันตรายได้

ทีมงาน Check Point พบการโจมตีแบบ Man-in-the-Disk (MitD) ที่เกี่ยวกับความสามารถในการใช้ "External Storage" ของ Android OS เนื่องจากนักพัฒนาแอพพลิเคชั่นบางรายไม่ชอบใช้พื้นที่จัดเก็บข้อมูลภายใน เพราะหากมีขนาดใหญ่มากอาจจะทำให้ผู้ใช้ตัดสินใจไม่ใช้งานแอพพลิเคชั่นดังกล่าว ทำให้ต้องขอใช้สิทธิ์ในการเข้าถึง External Storage เช่น SD Card หรืออุปกรณ์เก็บข้อมูล USB ที่ต่ออยู่กับโทรศัพท์ และจัดเก็บไฟล์ของแอพพลิเคชั่นไว้ที่นั่น

Man-in-the-Disk ทำงานได้เนื่องจากสาเหตุสองประการ สาเหตุแรกคือแอพพลิเคชั่นใด ๆ ที่ใช้การจัดเก็บข้อมูลภายนอกสามารถถูกแทรกแซงจากแอพพลิเคชั่นอื่นได้ สาเหตุที่สองเนื่องจากแอพพลิเคชั่นเกือบทั้งหมดที่ขออนุญาตใช้งานการจัดเก็บข้อมูลภายนอก ผู้ใช้มักจะมองข้ามและอนุญาตให้งานได้ทันที โดยไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัย

ในระหว่างการทดสอบ นักวิจัยของ Check Point ได้ทำการสร้างแอพพลิเคชั่นขึ้นมา และใช้แอพพลิเคชั่นดังกล่าวที่ได้รับอนุญาตให้ใช้งานการจัดเก็บข้อมูลภายนอก โจมตีแอพพลิเคชั่นอื่น และผลลัพธ์แรกที่ได้คือสามารถทำให้แอพพลิเคชั่นเกิดการ crash โดยการแทรกข้อมูลที่ผิดปกติลงไป เพื่อให้เกิดช่องโหว่ และใช้ประโยชน์จากช่องโหว่นั้นเพื่อใส่ code ที่เป็นอันตราย ทั้งนี้หากแอพพลิเคชั่นที่ถูกทำให้ crash มีสิทธิ์สูงกว่าแอพพลิเคชั่นที่ใช้โจมตี จะทำให้ผู้โจมตีได้รับสิทธิ์ดังกล่าว

ผลลัพธ์ที่สองคือสามารถหลอกให้แอพพลิเคชั่นทำการอัพเดทไปเป็นเวอร์ชั่นปลอมที่ผู้โจมตีสร้างขึ้นมาได้ โดยแอพพลิเคชั่นที่ถูกใช้โจมตีนั้นจะทำการตรวจสอบพื้นที่เก็บข้อมูลภายนอก เพื่อดูช่วงเวลาที่แอพพลิเคชั่นจะทำการอัปเดต เนื่องจากบางแอพพลิเคชั่นจะใช้ External Storage เพื่อเก็บไฟล์การอัปเดตชั่วคราวก่อนที่จะใช้ทำการอัปเดต ผู้โจมตีสามารถเปลี่ยนไฟล์เหล่านั้นและหลอกให้แอพพลิเคชันติดตั้งเวอร์ชั่นที่เป็นของตัวเอง

นักวิจัยระบุว่าพบแอพพลิเคชั่นยอดนิยมบางรายการที่มีช่องโหว่ดังกล่าว ซึ่งรวมถึงแอพพลิเคชั่น Google บางตัวที่ติดตั้งไว้ล่วงหน้าอยู่แล้วในอุปกรณ์ Android เช่น Google Translate, Google Voice Typing, Yandex Translate เป็นต้น และยังได้ระบุด้วยว่าปัจจัยหลักที่ทำให้การโจมตีนี้สำเร็จได้นั้น เกิดจากการที่ Developer ไม่ยอมทำตามคำแนะนำใน "Android security guidelines" เกี่ยวกับการใช้งานพื้นที่เก็บข้อมูลภายนอก (External Storage)

คำแนะนำสำหรับ developer

ควรทำการตรวจสอบความถูกต้องของข้อมูล Input เมื่อมีการใช้ข้อมูลจากที่จัดเก็บข้อมูลภายนอก
อย่าเก็บไฟล์ executable หรือ class ไฟล์ไว้ในที่จัดเก็บข้อมูลภายนอก
ไฟล์จัดเก็บข้อมูลภายนอกควรมีการ sign และตรวจสอบการเข้ารหัสก่อนการโหลดแบบไดนามิก

ที่มา : bleepingcomputer

Hacker leaks Snapchat’s source code on Github

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread

DarkHydrus Relies on Open-Source Tools for Phishing Attacks

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer