Karsten Nohl และ Jakob Lell นักวิจัยด้านความปลอดภัยจาก Security Research Labs (SRL) ได้ออกมาเปิดเผยงานวิจัยว่า ผู้ผลิตแอนดรอยด์พร้อมซอฟต์แวร์ (OEM) หลายเจ้าซึ่งรวมไปถึง Samsung, Xiaomi, OnePlus, Sony, HTC, LG และ Huawei นั้นไม่ได้มีการปล่อยแพตช์ด้านความปลอดภัยให้ผู้ใช้งานแม้ว่าจะมีการออกแพตช์อย่างเป็นทางการมาจาก Google ในทุกๆ เดือนแล้วก็ตาม

งานวิจัยของ SRL เปิดเผยจากการทดสอบอุปกรณ์กว่า 1200 เครื่องและพบว่าผู้ผลิตบางเจ้านอกจากจะไม่ได้ปล่อยแพตช์ด้านความปลอดภัยออกมาให้กับผู้ใช้งานแล้ว ยังมีการเปลี่ยนแปลงวันที่อัปเดตของแพตช์ด้านความปลอดภัยเป็นวันที่ล่าสุดเพื่อตบตาผู้ใช้งานว่าได้ทำการอัปเดตแล้วด้วย โดยเมื่อแยกแพตช์ด้านความปลอดภัยในระดับวิกฤติและในระดับสูง ผู้ผลิตหลายรายไม่ได้ปล่อยแพตช์แยกได้ดังนี้

- Google, Sony, Samsung และ Wiko Mobile มีกรณีที่ไม่ได้ปล่อยแพตช์น้อยที่สุดเพียงครั้งเดียว
- Xiaomi, OnePlus และ Nokia มีกรณีที่ไม่ได้ปล่อยแพตช์ 1-3 ครั้ง
- HTC, Hauwei, LG และ Motorola มีกรณีที่ไม่ได้ปล่อยแพตช์ 3-4 ครั้ง
- TCL และ ZTE มีกรณีที่ไม่ได้ปลอดภัยแพตช์มากกว่า 4 ครั้ง

SRL ได้แนะนำให้ผู้ใช้งานตรวจสอบระดับความปลอดภัยของแอนดรอยด์ที่้ใช้งานอยู่ด้วยผ่านทางแอปซึ่งทาง SRL ออกแบบชื่อ SnoopSnitch ซึ่งจะช่วยตรวจสอบข้อเท็จจริงจากคำกล่าวอ้างของผู้ผลิตได้ด้วย

ที่มา : thehackernews

ไมโครซอฟต์ปล่อยแพตช์ด้านความปลอดภัยประจำเดือนเกือบ 70 รายการ

ไมโครซอฟต์ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายนแล้วเมื่ออาทิตย์ที่ผ่านมาโดยในรอบนี้ในครอบคลุมช่องโหว่ทั้งหมด 66 รายการ โดยมีช่องโหว่ระดับความร้ายแรงสูงกว่า 22 รายการ

แนะนำให้อัปเดตแพตช์ผ่านทาง Windows Update หรือในช่องทางอื่นๆ โดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าว

ที่มา : Microsoft

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ร่วมกับ FBI และหน่วยงานความมั่นคงทางไซเบอร์ของอังกฤษได้ร่วมกันออกประกาศแจ้งเตือนแคมเปญซึ่งเชื่อกันว่าผู้โจมตีได้รับการสนับสนุนจากรัสเซีย โดยแคมเปญการโจมตีดังกล่าวนั้นพุ่งเป้าไปที่อุปกรณ์เครือข่ายประเทศต่างๆ ซึ่งมีเป้าหมายทั้งในกลุ่มผู้ให้บริการสาธารณูปโภค ผู้ให้บริการเครือข่ายและในภาคส่วนอื่นๆ เพื่อทำการตั้งค่าอุปกรณ์ใหม่ให้มีการส่งข้อมูลกลับมายังรัสเซีย

สำหรับรายละเอียดในการโจมตีนั้น แฮกเกอร์จะพุ่งเป้าไปที่อุปกรณ์ที่มีการตั้งค่าที่ไม่ปลอดภัยอยู่ก่อนแล้ว หรือหมดอายุการซัพพอร์ตทางด้านความปลอดภัยโดยเป็นการโจมตีที่ไม่ต้องอาศัยช่องโหว่ 0day หรือช่องโหว่ในรูปแบบพิเศษใดๆ โดยแฮกเกอร์จะทำการสแกนพอร์ตมาที่พอร์ต 3, 80, 8080, 161, 162 และ 4768 เพื่อทำการเก็บข้อมูลก่อนที่จะพยายามเข้าถึงระบบตามลักษณะของโปรโตคอลที่ไม่ปลอดภัยต่างๆ หลังจากการโจมตีเสร็จเรียบร้อยแล้วแฮกเกอร์มักจะสร้างแอคเคาท์ลับ (backdoor) เอาไว้รวมไปถึงตั้งค่าการเชื่อมต่อใหม่เพื่อให้อุปกรณ์แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้

ทาง US-CERT ได้ประกาศขั้นตอนในการตรวจสอบว่าถูกโจมตีหรือไม่และการตั้งค่าด้านความปลอดภัยที่ควรปฏิบัติเอาไว้แล้ว แนะนำให้ตรวจสอบวิธีการรับมือพร้อมทั้ง IOC เพิ่มเติมได้จากแหล่งที่มา

ที่มา : us-cert

Oracle ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายน 2018 โดยแพตช์ด้านความปลอดภัยนี้นั้นมีจำนวนช่องโหว่ที่ถูกแพตช์ไปแล้วรวมทั้งหมด 251 รายการ ซึ่งมีช่องโหว่ที่มีความร้ายแรงในระดับวิกฤติ (คะแนน 9.8 เต็ม 10) อยู่ในหลายผลิตภัณฑ์ อาทิ Oracle Enterprise Manager Products Suite และ Oracle Financial Services Applications

แนะนำให้ผู้ดูแลระบบเข้าไปตรวจสอบรายละเอียดเพิ่มเติมจากแหล่งที่มา และดำเนินการแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าวโดยด่วน

ที่มา : http://www.

นักวิจัยด้านความปลอดภัยพบข้อบกพร่องของแอปพลิเคชั่น Django ซึ่งทำให้เสี่ยงต่อการถูกขโมยข้อมูลสำคัญ เช่น API key, รหัสผ่านเครื่องเซิร์ฟเวอร์, AWS Access Token

Fábio Castro นักวิจัยด้านความปลอดภัยชาวบราซิลบอกว่าสาเหตุหลักของเรื่องนี้คือผู้พัฒนาแอปลืมที่จะปิดฟังก์ชัน debug mode ของตัวแอป ตัวแอป Django เป็น Python framework ที่มีประสิทธิภาพสูง และสามารถปรับแต่งได้ ซึ่งส่วนใหญ่จะใช้ในการสร้าง Web Application และเป็น App Backend ซึ่ง Castro บอกกับทาง Bleeping Computer ว่าพบแอป Django กว่า 28,165 แอปที่มีการลืมปิดฟังก์ชัน Debug ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลที่สำคัญของตัวแอป และในบางกรณี รหัสผ่านเข้าฐานข้อมูล และ AWS access token อาจทำให้เข้าถึงข้อมูลสำคัญในส่วนอื่นๆ ของแอพพลิเคชั่น

Castro บอกกับทาง Bleeping Computer เพิ่มเติมว่านี่ไม่ใช่ความผิดพลาดของตัว Django เพียงแต่เป็นการลืมปิด debug mode เท่านั้น ซึ่งก็ได้ให้คำแนะนำไว้ว่าให้ปิดโหมดดังกล่าวทุกครั้งก่อนนำขึ้นใช้งานจริง แต่จากรายงานของนักวิจัยซึ่งเป็นประธานของ GDI Foundation ชื่อว่า Victor Gevers ระบุว่ามีเซิร์ฟเวอร์บางตัวที่ถูกแฮ็คแล้ว Gevers ได้ทำการเตือนไปยังเจ้าของเซิร์ฟเวอร์เกี่ยวกับการรั่วไหลของข้อมูลดังกล่าว ซึ่งในตอนนี้มีรายงานยืนยันออกมาแล้วว่าเซิร์ฟเวอร์ที่ได้รับการแก้ไขแล้วหรือนำออกจากการใช้งาน 143 เครื่องจาก 1,822 เครื่องที่ได้รับผลกระทบ

ที่มา : Bleepingcomputer

นักวิจัยด้านความปลอดภัยจาก Netskope Threat Research Labs ตรวจพบมัลแวร์เอทีเอ็มตัวใหม่ชื่อว่า ATMJackpot (ตั้งชื่อตามเทคนิคที่เรียกว่า ATM Jackpotting) จากการตรวจสอบเบื้องต้นพบว่ามัลแวร์ดังกล่าวแพร่กระจายมาจากประเทศฮ่องกง

ATMJackpot อยู่ในช่วงพัฒนาเนื่องจากเมื่อเปรียบเทียบกับมัลแวร์ตัวอื่นๆ แล้ว ATMJackpot ยังมีคุณสมบัติบางอย่างที่จำกัดอยู่ เช่น UI ที่ใช้เป็นขั้นพื้นฐาน แสดงเฉพาะชื่อโฮสต์และข้อมูลเกี่ยวกับผู้ให้บริการ (เช่น PIN pad, card reader และผู้ให้บริการเครื่องรับฝากเช็ค) ซึ่งเป็นข้อมูลที่ค่อนข้างจำกัดเมื่อมัลแวร์สามารถอยู่ในระบบเอทีเอ็มได้

ATMJackpot ถูกพัฒนามาเพื่อการขโมยเงินจากตู้เอทีเอ็ม โดยใช้การโจมตีแบบ Logical Attack คือ ใช้มัลแวร์เพื่อควบคุมการจ่ายเงินสดจากเครื่องเอทีเอ็มซึ่งปกติแล้วมัลแวร์จะถูกส่งไปยังเครื่องเอทีเอ็มจากระยะไกลหรือผ่านทางพอร์ต USB หลังจากมีการโจมตีระบบเครือข่ายของเครื่องเอทีเอ็มสำเร็จ แต่สำหรับมัลแวร์ดังกล่าวยังไม่สามารถระบุได้ว่าเกิดจากการติดตั้งด้วยตนเองผ่าน USB บนเครื่องเอทีเอ็มหรือถูกดาวโหลดจากเครือข่ายที่ติดไวรัส

มัลแวร์ดังกล่าวถูกสังเกตเห็นครั้งแรกที่ยุโรปในปี 2014 และพบว่าผู้โจมตีใช้เทคนิค Jackpot เพิ่มขึ้นอย่างมากในปี 2017 ต่อมาในเดือนมกราคมปี 2018 กลุ่มแฮกเกอร์ชื่อ Carbanak ใช้มัลแวร์ดังกล่าวเป็นครั้งแรกในการโจมตีเครื่องเอทีเอ็มของสหรัฐอเมริกาโดยสามารถขโมยเงินได้ 1.24 ล้านเหรียญ

ที่มา : Hackread

วันที่ 3 เมษายน Microsoft ประกาศอัปเดตแพตช์ด้านความปลอดภัยฉุกเฉินผ่านทาง Windows Update ซึ่งเป็นการแก้ไขช่องโหว่ CVE-2018-0986 ที่เป็นช่องโหว่ระดับ critical ใน Microsoft Malware Protection Engine (MMPE)

MMPE (mpengine.

Apple ประกาศแพตช์ด้านความปลอดภัยให้กับหลายอุปกรณ์และซอฟต์แวร์เมื่อช่วงปลายเดือนที่ผ่านมาโดยอาจมีจำนวนกว่า 100 ช่องโหว่ที่ได้ถูกแพตช์ในครั้งนี้ และมีถึงกว่า 40 ช่องโหว่ที่อยู่บน iOS

หนึ่งในช่องโหว่ที่มีความอันตรายร้ายแรงสูงสุดนั้นคือ CVE-2018-4148 ซึ่งเป็นช่องโหว่ buffer overflow ในฟีเจอร์การใช้งานโทรศัพท์ซึ่งกระทบ iPhone 5s หรือใหม่กว่ารวมไปถึง iPad Air ทั้งแบบ Wi-Fi และ Cellular ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลได้

แนะนำให้ทำการอัปเดตแพตช์เพื่อลดความเสี่ยงทางด้านความปลอดภัยโดยด่วน

ที่มา : us-cert

Trend Micro ได้ออกมาประกาศการค้นพบมัลแวร์บนแอนดรอยด์ตัวใหม่ "HiddenMiner" ซึ่งถูกติดตั้งบนเครื่องของเหยื่อเพื่อขุดสกุลเงินดิจิตอล Monero โดยที่มาของชื่อของมัลแวร์นั้นมีที่มาจากความยากในการค้นหาและระบุตัวรวมไปถึงการเอาออกจากอุปกรณ์

Trend Micro เปิดเผยการวิเคราะห์ HiddenMiner ในเบื้องต้นว่า HiddenMiner มีความแตกต่างจากมัลแวร์ตัวอื่นตรงที่มันถูกพัฒนาให้ทำงานไปเรื่อยๆ ไม่มีเงื่อนไขใดๆ ที่จะหยุดการทำงานของมัลแวร์ได้ ซึ่งอาจทำให้อุปกรณ์ที่ถูกแพร่กระจายนั้นเป็นพาหะขุดสกุลเงินดิจิตอลไปเรื่อยๆ จนกว่าแบตจะหมด หรือเครื่องร้อนจนพังและดับไป

HiddenMiner แพร่กระจายผ่านทางแอปพลิเคชันปลอมบน Google Play สามารถสังเกตได้จากสิทธิ์ของแอปที่จะขอสิทธิ์ของผู้ดูแลระบบเมื่อติดตั้ง ซึ่งเป็นสิทธิ์จำเป็นเพื่อให้มัลแวร์สามารถทำงานอยู่เบื้องหลังได้ นอกเหนือจากนั้นมัลแวร์ยังมีรูปแอปเป็นรูปสีใสทำให้ค้นหาได้ยาก ไม่สามารถค้นหาได้จากหน้าต่างเมนูและไม่สามารถเอาออกได้จนกว่าจะถูกดำเนินการโดยใช้สิทธิ์ของผู้ดูแลระบบที่เท่ากัน

ที่มา : techrepublic

โรงงานผลิตชิ้นส่วนเครื่องบินโบอิ้ง 77 ในนอร์ทชาร์ลสตันของโบอิ้ง (Boeing) บริษัทผู้ผลิตเครื่องบินรายใหญ่ที่สุดของโลกติดมัลแวร์ถูกโจมตีด้วยมัลแวร์ WannaCry

จากการแถลงการณ์ล่าสุดของโบอิ้ง โบอิ้งกล่าวว่าระบบที่มีการแพร่กระจายของ WannaCry เป็นระบบที่ไม่ได้รับการแพตช์ยังสมบูรณ์ทำให้ยังคงมีช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายได้อยู่ อย่างไรก็ตามระบบที่ได้รับผลกระทบนั้นต่างเป็นระบบส่วนที่ไม่ได้กระทบกับกระบวนการผลิตของบริษัท

อย่างที่ทราบกันดีเมื่อวันที่ 12 พฤษภาคม 2560 WannaCry ransomware ถือเป็นการโจมตีที่รุนแรงที่สุด ซึ่งเริ่มต้นโจมตีจากระบบเครือข่ายของ National Health Service (NHS) ในสหราชอาณาจักร การโจมตีดังกล่าวใช้เครื่องมือที่รั่วไหลจาก NSA อย่าง EternalBlue และ DoublePulsar และใช้ประโยชน์จากช่องโหว่ SMB ที่ติดตั้งอยู่ในเครื่อง Windows รุ่นเก่า (MS17-010) ทำให้การโจมตีจาก WannaCry ransomware แพร่กระจายไปยัง 150 ประเทศและกำหนดเป้าหมายไปยังคอมพิวเตอร์มากกว่า 200,000 เครื่อง

การกลับมาของ WannaCry ไม่น่าแปลกใจมากนัก เนื่องจากปัจจุบันพบการโจมตีของมัลแวร์เพิ่มขึ้นอย่างมากจนทำให้บริการต่างๆขัดข้องและผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์ได้ ซึ่งเมื่อเดือนที่แล้วบริษัท Colorado DOT ถูกโจมตีจาก SamSam ransomware ทำให้เครื่องคอมพิวเตอร์กว่า 2,000 เครื่องติด Ransomware ในขณะที่บริษัทด้านความปลอดภัยเทคโนโลยีสารสนเทศยักษ์ใหญ่อย่าง Avast ได้ทำการบล็อคการโจมตี WannaCry จำนวน 1.7 ล้านรายในอินโดนีเซีย, 1.2 ล้านรายในอินเดียและ 1.1 ล้านรายในบราซิล

ที่มา : hackread