แอพพลิเคชัน Android ยอดนิยมบางตัวที่ติดตั้งในโทรศัพท์ อาจมีช่องโหว่เสี่ยงต่อการถูกโจมตีแบบใหม่ที่ชื่อว่า "Man-in-the-Disk (MitD)" ซึ่งทำให้แอพพลิเคชั่นอื่น crash และเรียกรัน code ที่เป็นอันตรายได้

ทีมงาน Check Point พบการโจมตีแบบ Man-in-the-Disk (MitD) ที่เกี่ยวกับความสามารถในการใช้ "External Storage" ของ Android OS เนื่องจากนักพัฒนาแอพพลิเคชั่นบางรายไม่ชอบใช้พื้นที่จัดเก็บข้อมูลภายใน เพราะหากมีขนาดใหญ่มากอาจจะทำให้ผู้ใช้ตัดสินใจไม่ใช้งานแอพพลิเคชั่นดังกล่าว ทำให้ต้องขอใช้สิทธิ์ในการเข้าถึง External Storage เช่น SD Card หรืออุปกรณ์เก็บข้อมูล USB ที่ต่ออยู่กับโทรศัพท์ และจัดเก็บไฟล์ของแอพพลิเคชั่นไว้ที่นั่น

Man-in-the-Disk ทำงานได้เนื่องจากสาเหตุสองประการ สาเหตุแรกคือแอพพลิเคชั่นใด ๆ ที่ใช้การจัดเก็บข้อมูลภายนอกสามารถถูกแทรกแซงจากแอพพลิเคชั่นอื่นได้ สาเหตุที่สองเนื่องจากแอพพลิเคชั่นเกือบทั้งหมดที่ขออนุญาตใช้งานการจัดเก็บข้อมูลภายนอก ผู้ใช้มักจะมองข้ามและอนุญาตให้งานได้ทันที โดยไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัย

ในระหว่างการทดสอบ นักวิจัยของ Check Point ได้ทำการสร้างแอพพลิเคชั่นขึ้นมา และใช้แอพพลิเคชั่นดังกล่าวที่ได้รับอนุญาตให้ใช้งานการจัดเก็บข้อมูลภายนอก โจมตีแอพพลิเคชั่นอื่น และผลลัพธ์แรกที่ได้คือสามารถทำให้แอพพลิเคชั่นเกิดการ crash โดยการแทรกข้อมูลที่ผิดปกติลงไป เพื่อให้เกิดช่องโหว่ และใช้ประโยชน์จากช่องโหว่นั้นเพื่อใส่ code ที่เป็นอันตราย ทั้งนี้หากแอพพลิเคชั่นที่ถูกทำให้ crash มีสิทธิ์สูงกว่าแอพพลิเคชั่นที่ใช้โจมตี จะทำให้ผู้โจมตีได้รับสิทธิ์ดังกล่าว

ผลลัพธ์ที่สองคือสามารถหลอกให้แอพพลิเคชั่นทำการอัพเดทไปเป็นเวอร์ชั่นปลอมที่ผู้โจมตีสร้างขึ้นมาได้ โดยแอพพลิเคชั่นที่ถูกใช้โจมตีนั้นจะทำการตรวจสอบพื้นที่เก็บข้อมูลภายนอก เพื่อดูช่วงเวลาที่แอพพลิเคชั่นจะทำการอัปเดต เนื่องจากบางแอพพลิเคชั่นจะใช้ External Storage เพื่อเก็บไฟล์การอัปเดตชั่วคราวก่อนที่จะใช้ทำการอัปเดต ผู้โจมตีสามารถเปลี่ยนไฟล์เหล่านั้นและหลอกให้แอพพลิเคชันติดตั้งเวอร์ชั่นที่เป็นของตัวเอง

นักวิจัยระบุว่าพบแอพพลิเคชั่นยอดนิยมบางรายการที่มีช่องโหว่ดังกล่าว ซึ่งรวมถึงแอพพลิเคชั่น Google บางตัวที่ติดตั้งไว้ล่วงหน้าอยู่แล้วในอุปกรณ์ Android เช่น Google Translate, Google Voice Typing, Yandex Translate เป็นต้น และยังได้ระบุด้วยว่าปัจจัยหลักที่ทำให้การโจมตีนี้สำเร็จได้นั้น เกิดจากการที่ Developer ไม่ยอมทำตามคำแนะนำใน "Android security guidelines" เกี่ยวกับการใช้งานพื้นที่เก็บข้อมูลภายนอก (External Storage)

คำแนะนำสำหรับ developer

ควรทำการตรวจสอบความถูกต้องของข้อมูล Input เมื่อมีการใช้ข้อมูลจากที่จัดเก็บข้อมูลภายนอก
อย่าเก็บไฟล์ executable หรือ class ไฟล์ไว้ในที่จัดเก็บข้อมูลภายนอก
ไฟล์จัดเก็บข้อมูลภายนอกควรมีการ sign และตรวจสอบการเข้ารหัสก่อนการโหลดแบบไดนามิก

ที่มา : bleepingcomputer

Source Code ของ Snapchat Social Media ที่ได้รับความนิยม ถูกแฮกเกอร์นำมาโพสไว้บน GitHub

GitHub Account ที่ชื่อว่า Khaled Alshehri (i5xx) ซึ่งอ้างว่ามาจากปากีสถาน ได้สร้างพื้นที่เก็บข้อมูล GitHub ที่เรียกว่า Source-Snapchat พร้อมคำอธิบายว่า "Source Code for SnapChat" และเผยแพร่โค้ดที่อ้างว่าเป็นแอพพลิเคชั่น Snapchat บน iOS

บริษัท Snap ได้ติดต่อไปยัง GitHub เพื่อใช้สิทธิ์ดำเนินการตามลิขสิทธิ์ Digital Millennium Copyright Act (DMCA) ในการลบที่เก็บข้อมูล Source Code ของ Snapchat

Snap ยืนยันว่าโค้ดได้ถูกลบออกไปแล้วและไม่กระทบกับแอพพลิเคชั่น แต่พบผู้ใช้ Twitter 2 ราย (คนหนึ่งอยู่ในปากีสถานและอีกคนหนึ่งอยู่ในประเทศฝรั่งเศส) ซึ่งเชื่อว่าเป็นผู้สร้าง i5xx GitHub Account ระบุว่าได้มีการแจ้งไปยัง Snapchat เกี่ยวกับ Source Code และ Bug โดยคาดว่าจะได้รับรางวัลจาก Snap แต่กลับไม่ได้รับการตอบสนองใดๆ จึงทำการขู่ว่าจะอัพโหลด Source Code ของ Snapchat อีกครั้งจนกว่าจะได้รับคำตอบจาก Snapchat

ที่มา : hackread

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer

S. Iswaran รัฐมนตรีว่าการกระทรวงการสื่อสารและข้อมูลของสิงคโปร์ (Ministry of Communications and Information) เปิดเผยในแถลงการณ์ต่อรัฐสภา เรื่อง การโจมตีระบบ SingHealth ที่ล่าสุดพบว่าอาจเชื่อมโยงกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล

S.Iswaran กล่าวว่าเมื่อระหว่างวันที่ 27 มิถุนายนถึง 4 กรกฏาคม ที่ผ่านมา ผู้โจมตีได้ใช้เครื่องมือที่มีความซับซ้อนซึ่งเป็นทั้งมัลแวร์ที่สร้างขึ้นเอง ทำให้สามารถหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัส และเครื่องมือรักษาความปลอดภัยที่ SingHealth ใช้อยู่ ช่วยให้สามารถยกระดับสิทธิ์เพื่อเข้าถึงฐานข้อมูล และสามารถขโมยข้อมูลไปได้ โดยรอยเตอร์รายงานเมื่อวันที่ 20 กรกฎาคม ที่ผ่านมาว่า รัฐบาลสิงคโปร์ได้ให้รายละเอียดของข้อมูลที่รั่วไหล ว่าเป็นข้อมูลบันทึกสุขภาพ 1.5 ล้านรายการ ที่รวมถึงประวัติสุขภาพของนายกรัฐมนตรีสิงคโปร์ ลี เซียน ลุง และบันทึกการใช้ยาผู้ป่วย 160,000 รายการ ในที่นี้ไม่รวมข้อมูลที่เกี่ยวข้องกับตัวยา

รัฐบาลสิงคโปร์ได้ตั้งคณะกรรมการสอบสวน เพื่อสืบสวนเหตุการณ์นี้ร่วมกับบริษัทที่ปรึกษา PricewaterhouseCoopers (PWC) และ บริษัท Singapore Cyber Security Agency เพื่อลดผลกระทบและความเสียหายที่เกิดจากเหตุการณ์ในครั้งนี้

ที่มา : cyberscoop

Jens Steube ผู้พัฒนาโอเพนซอร์ส "Hashcat" พบเทคนิคใหม่ในการแคร็กรหัสผ่านจาก Pairwise Master Key Identifier (PMKID) ของวิธีการเข้ารหัสแบบ WPA และ WPA2 ของเครือข่าย Wireless ซึ่งเทคนิคที่พบนี้เป็นเทคนิคที่พบโดยบังเอิญในขณะที่กำลังมองหาวิธีการใหม่ในการโจมตีมาตรฐานความปลอดภัยใหม่อย่าง WPA3

ไอเดียหลักของการเทคนิคนี้นั้นอยู่ที่การดักจับข้อมูลเพื่อให้ได้มาซึ่งส่วนที่เรียกว่า PMKID ซึ่งสามารถถูกดึงมาได้จากจากส่วนที่ถูกเรียกว่า RSN IE ใน EAPOL frame เมื่อได้ PMKID มาแล้ว ผู้โจมตีสามารถใน PMKID มาทำการ brute force ด้วยโปรแกรมซึ่งทำให้เวลาในการคาดเดารหัสผ่านนั้นลดลงไปได้เป็นจำนวนมากเมื่อเปรียบเทียบวิธีการก่อนหน้าที่ผู้โจมตีจำเป็นต้องมีข้อมูลหลายจำพวกก่อนที่จะเริ่มทำการเดารหัสผ่าน

อย่างไรก็ตามการโจมตี WPA3 นั้นจะยากกว่า WPA และ WPA2 เนื่องจาก WPA3 มีการเรียกใช้โปรโตคอลที่ดีขึ้นอย่าง Simultaneous Authentication of Equals (SAE) โดยสำหรับ WPA3 ได้รับการรับรองจาก Wi-Fi Alliance แล้วเมื่อช่วงเดือนมิถุนายนที่ผ่านมา และน่าจะมีการปรากฎบนอุปกรณ์โดยทั่วไปภายในปีนี้

ที่มา : theregister

ธนาคาร TCM ของอเมริการายงานว่ามีข้อมูลลูกค้าหลุดจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัย

ธนาคาร TCM ของอเมริกาซึ่งเป็นธนาคารที่จัดการเรื่องการออกบัตรเครดิตให้กับธนาคารขนาดเล็กรายอื่นกว่า 750 ธนาคารในสหรัฐอเมริกา รายงานว่ามีข้อูมลของลูกค้าหลุด โดยข้อมูลดังกล่าวหลุดเนื่องจากการตั้งค่าเว็บไซต์ที่ไม่ปลอดภัยในช่วงเวลาระหว่างเดือนมีนาคม ปี 2017 ถึง ช่วงกลางเดือนกรกฏาคม ปี 2018 และส่งผลกระทบลูกค้าที่สมัครบัตรเครดิตระหว่างเวลาดังกล่าว

ทั้งนี้เว็บไซต์ที่ดั้งค่าไม่ปลอดภัยนั้นดูแลโดยผู้รับเหมาภายนอก ธนาคาร TCM ได้ทราบปัญหาดังกล่าวในวันที่ 16 กรกฏาคม ปี 2018 และได้ทำการแก้ไขในวันต่อมา จากการประเมินของธนาคารพบว่าข้อมูลที่หลดได้แก่ ชื่อ ที่อยู่ วันเกิด และหมายเลขประกันสังคมของลูกค้าน้อยกว่าหนึ่งหมื่นราย คิดเป็นน้อยกว่า 25 % ของลูกค้าที่สมัครทำบัตรเครดิตในช่วงเวลาดังกล่าว ซึ่งธนาคารได้กำชับให้ผู้รับเหมาทำงานเข้มงวดขึ้นและหาวิธีตรวจจับและป้องกันปัญหาแบบเดียวกันให้ดีขึ้น

จากเหตุการณ์ดังกล่าวผู้เชี่ยวชาญด้านความปลอดภัยออกมาให้ความเห็นว่า บริษัทที่จ้างผู้รับเหมาภายนอกดูแลระบบ ควรมีการตรวจสอบระดับความปลอดภัยของระบบดังกล่าวว่าเป็นไปตามมาตราฐานความปลอดภัยที่กำหนดหรือไม่อยู่เสมอเพื่อป้องกันเหตุการณ์แบบเดียวกัน

ที่มา : Scmagazine

ฐานข้อมูล MongoDB ถูกเปิดเผยข้อมูลทางออนไลน์ ซึ่งมีข้อมูลสุขภาพของผู้ป่วย 2 ล้านคนในเม็กซิโก เช่น ชื่อ เพศ วันเดือนปีเกิด ข้อมูลการประกันสถานะความพิการและที่อยู่

ฐานข้อมูลถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Bob Diachenko ผ่านทาง Shodan ซึ่งเป็นเครื่องมือค้นหาอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด โดยพบว่าฐานข้อมูลนี้ถูกเปิดเผยบนอินเทอร์เน็ต สามารถเข้าถึงและแก้ไขได้แม้ไม่มีรหัสผ่าน

หลังจากการวิเคราะห์ฐานข้อมูล นักวิจัยสามารถค้นหาฟิลด์ที่มีที่อยู่อีเมลของผู้ดูแลระบบได้ อีเมลเหล่านี้มีโดเมนของ hovahealth.

Mozilla เผยแพร่แพตช์สำหรับช่องโหว่ร้ายแรงบนโปรแกรม Thunderbird ล่าสุดซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่บางรายการเพื่อควบคุมระบบที่ได้รับผลกระทบจากระยะไกลได้ อย่างไรก็ตามช่องโหว่นี้ไม่สามารถงานได้ผ่านทางอีเมลใน Thunderbird เนื่องจากสคริปต์จะไม่สามารถทำงานได้ถ้าเปิดอ่านอีเมล ทำให้สามารถลดความเสี่ยงที่จะถูกโจมตีได้

หนึ่งในช่องโหว่ระดับวิกฤติที่ถูกเผยแพร่ออกมานั้นคือช่องโหว่รหัส CVE-2018-12359 ซึ่งเป็นช่องโหว่ buffer overflow ที่จะเกิดขึ้นเมื่อมีการแสดงเนื้อหา Canvas ขณะปรับความสูงและความกว้างของ แบบไดนามิก ทำให้เกิดความผิดพลาดของข้อมูลซึ่งถูกเขียนขึ้นนอกขอบเขตที่คำนวณ และส่งผลให้ผู้โจมตีสามารถเขียนทับหน่วยความจำเพื่อควบคุมกระบวนการทำงานของโปรแกรมได้

NCCIC แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบและอัปเดต โปรแกรม Thunderbird ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อป้องกันการถูกโจมตีผ่านทางช่องโหว่นี้

ที่มา:us-cert

รัฐแอตแลนตาอาจต้องจ่ายเงินกว่า 17 ล้านเหรียญสหรัฐฯ เพื่อฟื้นฟูความเสียหายจากมัลแวร์เรียกค่าไถ่ SamSam

เมื่อวันที่ 22 มีนาคมที่ผ่านมา ระบบเครือข่ายของรัฐแอตแลนตาตกเป็นเป้าหมายของมัลแวร์เรียกค่าไถ่ SamSam ซึ่งส่งผลให้ระบบส่วนมากไม่สามารถให้บริการได้ โดยทางรัฐฯ ตัดสินใจที่จะไม่จ่ายเงินค่าไถ่จำนวน 51,000 ดอลลาร์สหรัฐฯ ให้กับผู้พัฒนามัลแวร์

จากเหตุการณ์นี้รัฐแอตแลนตาได้ทำการประเมินค่าใช้จ่ายเพื่อปรับปรุงและฟื้นฟูระบบของรัฐแอตแลนตาให้ปลอดภัยมากยิ่งขึ้น โดยจากรายละเอียดล่าสุดนั้น ค่าใช้จ่ายอาจเพิ่มขึ้นสูงไปถึง 17 ล้านเหรียญสหรัฐฯ ซึ่งเพิ่มขึ้นจากการประมาณการในครั้งแรกกว่า 11 ล้านดอลลาร์สหัฐฯ

ที่มา:scmagazine

นักวิจัยด้านความปลอดภัย Juha-Matti Tilli ประกาศการค้นพบช่องโหว่ในลินุกซ์เคอร์เนล "SegmentSmack" ส่งผลให้ผู้โจมตีสามารถทำ DoS กับระบบได้จากระยะไกลเพียงส่งแพ็คเกตพิเศษเข้าไปโจมตี กระทบตั้งแต่ลินุกซ์เคอร์เนลรุ่น 4.9 เป็นต้นไป

ช่องโหว่ดังกล่าวเป็นผลลัพธ์มาจากการทำงานของฟังก์ชัน tcp_collapse_ofo_queue() และ tcp_prune_ofo_queue() ในลินุกซ์เคอร์เนลที่ผิดพลาดซึ่งส่งผลให้เมื่อมีการส่งแพ็คเกตในรูปแบบพิเศษที่ถูกสร้างขึ้นมาเพื่อโจมตีช่องโหว่นี้โดยเฉพาะทางการเชื่อมต่อบนโปรโตคอล TCP ที่สร้างไว้แล้ว จะทำให้ระบบหยุดการทำงานในเงื่อนไขของการโจมตีแบบปฏิเสธการทำงาน (DoS) ได้

ช่องโหว่ดังกล่าวสามารถโจมตีได้จากระยะไกล จากทุกพอร์ตที่มีการเปิดใช้งานอยู่ แต่เนื่องจากจำเป็นต้องอาศัยการโจมตีบนโปรโตคอล TCP ทำให้การโจมตีช่องโหว่นี้ไม่สามารถที่จะปลอมแปลงแหล่งที่มาได้
Recommendation ในขณะนี้ผู้ผลิตฮาร์ดแวร์และซอฟต์แวร์ได้มีการทยอยออกแพตช์ที่ช่วยป้องกันการโจมตีมาที่ช่องโหว่ SegmentSmack แล้ว แนะนำให้ผู้ใช้งานทำการตรวจสอบและอัปเดตแพตช์โดยด่วน
Affected Platform Linux kernal ตั้งแต่เวอร์ชัน 4.9 เป็นต้นไป

ที่มา : KB.Cert.