McAfee บริษัทด้านความปลอดภัยไซเบอร์ ได้รายงานถึงการเพิ่มขึ้นของ Faceliker อย่างรวดเร็วในช่วงไตรมาสที่ 2 ที่ผ่านมา ซึ่งเป็นเรื่องที่น่าแปลกใจ

Faceliker เป็นมัลแวร์ที่จะทำการเพิ่มยอด like ให้กับ Content ที่ต้องการผ่านการสั่งงาน Javascript (click-jacking) มักจะพบว่าแฝงมากับโปรแกรมส่วนขยาย(Add-on) ของ Browser โดยเฉพาะส่วนขยายของ Chrome โดยผู้ใช้จะถูกล่อลวงให้ไปยังหน้าเว็บไซต์ที่หลอกให้ติดตั้งส่วนขยายเหล่านี้ผ่านทาง E-mail หรือสแปม บน Facebook Messenger ทั้งนี้ Faceliker ไม่ใช่มัลแวร์ใหม่แต่อย่างไร แต่ได้ปรากฎออกมาตั้งแต่ปีที่แล้ว

ผลกระทบจาก Faceliker Malware นั้นไม่มากมายนัก มีเพียงการที่ Page หรือ Post ของผู้ไม่หวังดีจะถูกพบเห็นบน Facebook News Feed ได้ง่ายขึ้นเท่านั้น แต่ก็อาจมีการพัฒนาให้ทำการขโมย Password บน Browser หรือทำการเพิ่มโฆษณาบนหน้าเวปไซต์ที่เข้าใช้งานปกติก็เป็นไปได้ แต่อย่างไรก็ตาม Facebook เองก็ได้คำนึงถึงจุดนี้จึงได้มี Feature ที่ให้ผู้ใช้งานสามารถเข้าไปดู Activity Log ของตนเอง เพื่อตรวจสอบว่ามีพฤติกรรมผิดปกติใดๆที่ตนเองไม่ได้กระทำหรือไม่ (โดยสามารถดูข้อมูลเพิ่มเติมได้จาก https://www.

Sonic Drive-In ร้านอาหารฟาสต์ฟู้ดที่มีชื่อเสียงและมีสาขาหลายแห่งในสหรัฐอเมริกา ถูกเข้าถึงระบบการชำระเงินภายในร้าน ข้อมูลบัตรเครดิตและเดบิตของลูกค้าถูกขโมยมากกว่า 1 ล้านราย และพบว่าข้อมูลดังกล่าวถูกนำไปขายในตลาดใต้ดิน ซึ่งสถาบันการเงินหลายแห่งได้สังเกตเห็นพฤติกรรมการทำธุรกรรมที่ดูผิดปกติของบัตรที่มีการใช้งานที่ Sonic Drive-In มาก่อน ทั้งนั้คาดว่าผู้โจมตีน่าจะใช้ Point-of-Sale(PoS) มัลแวร์ ในการโจรกรรมข้อมูลจากสาขาต่างๆ โดยปัจจุบัน Sonic Drive-In มีสาขาอยู่ประมาณ 3,600 สาขา ใน 45 รัฐทั่วสหรัฐอเมริกา

ที่มา : krebsonsecurity

หลังจากเมื่อวันจันทร์ที่ผ่านมา มีข่าวว่าข้อมูลจาก Deloitte บริษัทตรวจสอบชื่อดังของโลกได้รั่วไหลออกมา ถัดมาอีกวัน ในวันอังคารได้มีการพบข้อมูล VPN password, user name และรายละเอียดการทำงานของ Deloitte บน GitHub ที่เปิดสู่สาธารณะ และได้ถูกลบออกในชั่วโมงถัดมา นอกจากนี้ยังพบว่าพนักงานของ Deloitte ได้อัพโหลดข้อมูล Proxy Login Credentials ขึ้นไปบน Google+ นานกว่า 6 เดือน และได้ถูกลบออกไปเมื่อไม่นานมานี้เอง ซึ่งจากข้อมูลที่หลุดออกมานี้ทำให้เชื่อได้ว่าบริษัทน่าจะมีการเปิดให้ Remote Desktop เข้ามาบนเครื่องผ่านเครือข่ายภายนอกได้ โดยนักวิจัยด้านความปลอดภัย Dan Tentler ผู้ก่อตั้ง Phobos Group ได้เปิดเผยว่าพบ Windows Server 2012 R2 ของ Deloitte ที่ทำหน้าที่เป็น Active Directory ซึ่งตั้งอยู่ที่แอฟริกาใต้ มีการเปิด RDP ให้สามารถเข้าถึงได้โดยตรง และพบว่าแผนก IT ใช้ซอฟต์แวร์ที่ยังไม่ได้รับการอัพเดท และน่าจะมีบางส่วนที่ยังไม่ได้ทำการ อัปเดต Security Patch ด้วย

ที่มา : theregister

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

Apple ได้มีการปล่อย iOS 11.0.1 ออกมาให้อัพเดทกันแล้ว หลังจากได้มีการปล่อย iOS 11.0.0 ออกมาก่อนหน้านี้ โดยการอัพเดทครั้งนี้มีการปิดช่องโหว่บางรายการของ iOS เวอร์ชั่นก่อนหน้า รวมถึงช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องจากระยะไกล(Remote Attack) ด้วย

ที่มา:us-cert

หลายเดือนก่อน มีการค้นพบมัลแวร์ชื่อว่า "RETADUP" ที่ถูกใช้โจมตีในโรงพยาบาลอิสราเอล จากการตรวจสอบพบ Android มัลแวร์ที่ชื่อว่า "GhostCtrl" ในระบบ โดยจะถูกใช้ในการโจมตี หรือโจรกรรมข้อมูล ในขณะเดียวกันก็ได้พบว่ามีการโจมตีเกิดขึ้นในโซนอเมริกาใต้ ซึ่งพบว่าเป็นมัลแวร์ตระกูลเดียวกับ RETADUP ที่พบมาก่อนหน้านี้ แต่มีจุดประสงค์เพื่อโจมตีเป้าหมายเพียงอย่างเดียว ไม่ได้ต้องการที่จะโจรกรรมข้อมูลแต่อย่างไร เชื่อว่ามัลแวร์กลุ่มนี้น่าจะเน้นการโจมตีเฉพาะเป้าหมายที่เป็นกลุ่มอุตสาหกรรม และรัฐบาล และยังไม่พบหลักฐานว่ามีการซื้อขายมัลแวร์ดังกล่าวในตลาดมืด

ในระบบที่ติดมัลแวร์ "RETADUP" นี้ จะพบเครื่องมือที่ใช้ในการขุดสกุลเงินดิจิตอล(cryptocurrency) ที่หลากหลายแตกต่างกันออกไป ในอดีต RETADUP จะใช้เครื่องมือที่ชื่อว่า "cpuminer-multi" ซึ่งเป็น Opensource ที่ใช้ในการขุดเงินดิจิตอล แต่ในตัวที่พบล่าสุดนี้เป็นการเขียน Code ให้ทำงานโดยตรง และได้มีการปรับพฤติกรรมการทำงานให้แตกต่างกับตัวเก่าออกไปหลายอย่าง เช่น แบ่งการทำงานออกเป็น 2 ส่วน คือส่วนที่ทำให้ติด(Infector) และส่วนการ remote(RAT), มีการใช้ HTTP GET Request ในการรับส่งข้อมูลกับ C&C และพบว่ามีการนำส่วนที่เกี่ยวข้องกับการโจรกรรมข้อมูลออกไป

ทั้งนี้ยังมีข้อสงสัยหลายประการที่ยังไม่สามารถหาคำตอบได้เกี่ยวกับมัลแวร์ตระกูลนี้ เช่น การโจมตีเกิดจากกลุ่ม หรือบุคคลใด, ปัจจัยอะไรบ้างที่ทำให้เกิดการโจมตี, และจุดประสงค์ของการโจมตีที่ยังไม่ชัดเจน ถึงแม้การขุดเงินดิจิตอลจะดูเหมือนเป็นแรงจูงใจที่ดี แต่ตัวบ่งชี้จากเป้าหมายที่ถูกโจมตีนั้นน่าจะเหมาะกับการโจรกรรมข้อมูลมากกว่า

ที่มา:trendmicro

iTerm2 เป็นแอปพลิเคชันที่มีความนิยมในหมู่ผู้ใช้ macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่ติดตั้งมากับระบบ โปรแกรมเวอร์ชัน 3.0.0 มีฟีเจอร์ที่ใช้ในการตรวจสอบลิงค์เพิ่มเข้ามา เพื่อจะตรวจสอบว่าข้อมูลดังกล่าวเป็นลิงค์ และมีอยู่จริงหรือไม่ โดยส่งข้อมูลดังกล่าวผ่าน DNS request เช่นเดียวกับการนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุด และรั่วไหลออกไปได้ผ่าน DNS request เช่นเดียวกัน ซึ่งไม่ได้มีการเข้ารหัสระหว่างการส่ง อย่างไรก็ตามใน version 3.1.1 ได้ทำการนำฟีเจอร์นี้ออกไปแล้ว

ทั้งนี้ผู้ที่ใช้งานเวอร์ชั้น 3.0.0 และ 3.0.12 อยู่ อย่างน้อยที่สุดควรจะอัพเดตให้เป็นเวอร์ชั่น 3.0.13 ซึ่งได้มีการเพิ่มให้สามารถทำการปิดฟีเจอร์ DNS lookups โดยไปที่ Preferences ⋙ Advanced ⋙ Semantic History และเลือกเป็น NO

ที่มา:bleepingcomputer

Red Hat ได้ทำการอัพเดต MySQL 5.6(rh-mysql56-mysql) โดยได้ทำการแก้ไขช่องโหว่ตามรายงาน CVE ที่ได้มีการเปิดเผยออกมา, MySQL ซึ่งเป็น SQL Server Database ที่สามารถใช้งานแบบผู้ใช้หลายคน (Multi- user) และมีการประมวลผลหลายๆงานพร้อมกัน (multi-threaded) ประกอบด้วยเซิร์ฟเวอร์ MySQL daemon, mysqld และโปรแกรม Client จำนวนมาก ทั้งนี้ได้มีการอัพเกรดแพ็คเกจต่อไปนี้เป็น Version ที่ใหม่กว่าคือ rh-mysql56-mysql (5.6.37) เพื่อแก้ปัญหาข้อบกพร่องที่เกิดขึ้น ตัวอย่างช่องโหว่ที่ไดรับการปรับปรุงแล้ว มีดังนี้

1. ข้อบกพร่องเรื่อง Integer Overflow ที่จะนำไปสู่ Buffer Overflow ของ MySQL ทำให้ผู้โจมตีจากระยะไกล(Remote Attack) ใช้ข้อบกพร่องนี้เพื่อโจมตี และทำให้ MySQL เกิด crash ได้ (CVE-2017-3599)
2. พบว่าเครื่องมือ mysql และ mysqldump ไม่สามารถจัดการฐานข้อมูลและชื่อตารางที่มีอักขระเป็น Newline ได้อย่างถูกต้อง ผู้ใช้ฐานข้อมูลที่มีสิทธิ์สร้างฐานข้อมูล และตาราง สามารถรันคำสั่ง shell หรือ SQL ได้โดยพลการ ขณะที่มีการ Restore ข้อมูลจาก Backup ที่ถูกสร้างโดย mysqldump (CVE-2016-5483, CVE-2017-3600)
3. พบข้อบกพร่องหลายอย่างในสคริปต์ MySQL init ที่ใช้ในการจัดการค่าเริ่มต้นของ Data Directory ในฐานข้อมูล และการตั้งค่าสิทธิ์ใน Error Log File ทำให้ผู้ใช้ MySQL สามารถใช้ข้อบกพร่องนี้เพื่อเพิ่มสิทธิ์เป็น root ได้ (CVE-2017-3265)
4. พบว่าเครื่องมือ Command line ของ MySQL client จะมีการตรวจสอบก็ต่อเมื่อพบว่า Server รับรองการใช้งาน SSL เท่านั้น ทำให้สามารถใช้ man-in-the-middle attacker เพื่อแย่งชิงการตรวจสอบความถูกต้องของ Client ไปยัง Server แม้ว่า Client จะได้รับการกำหนดค่าให้ใช้งาน SSL ก็ตาม (CVE-2017-3305)
5. พบข้อบกพร่องใน mysqld_safe script ที่ใช้ในการสร้างไฟล์ error log ทำให้ผู้ใช้งาน MySQL สามารถเพิ่มสิทธิ์ของตนเองให้เป็น root ได้ (CVE-2017-3312)
6. พบข้อบกพร่องใน Client Library ของ MySQL(libmysqlclient) ที่ใช้จัดการเมื่อ Client หลุดจากการเชื่อมต่อกับ Server ทำให้ Server อื่นๆที่ไม่รู้จัก หรือใช้ man-in-the-middle attacker ทำให้ Application ที่มีการใช้ libmysqlclient เกิดการ Crash ได้ (CVE-2017-3302)

นอกจากนี้ยังครอบคลุมช่องโหว่อื่นๆอีกมากมาย ซึ่งส่งผลกระทบกับ MySQL โดยสามารถหารายละเอียดได้จากเวปไซต์ของ Oracle Critical Patch Update

ที่มา : redhat

นักวิจัยด้านความปลอดภัยและอดีตพนักงาน NSA ประกาศช่องโหว่ 0day บน macOS High Sierra

Patrick Wardle นักวิจัยด้านความปลอดภัยและอดีตพนักงาน (แฮกเกอร์) ของ NSA ได้มีการประกาศการค้นพบช่องโหว่แบบ local บน macOS ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลจาก Keychain ซึ่งเป็นฟีเจอร์เก็บรหัสผ่านบน macOS โดยไม่ต้องอาศัยรหัสผ่านเพื่อเข้าถึงได้

Patrick ได้ทำการทดสอบช่องโหว่ดังกล่าวกับ macOS ในรุ่นล่าสุดที่พึ่งเปิดตัว "High Sierra" ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวใช้ได้จริง Patrick ยังกล่าวเพิ่มเติมว่าช่องโหว่นี้สามารถใช้งานได้กับ macOS ในรุ่นเก่าๆ ได้อีกด้วย

Patrick กล่าวเพิ่มเติมว่า เขาได้ทำการแจ้งไปยังแอปเปิลเกี่ยวกับรายละเอียดของช่องโหว่ดังกล่าวแล้ว อย่างไรก็ตามแอปเปิลยังไม่ได้มีประกาศว่าจะมีการแพตช์หรือไม่แพตช์ช่องโหว่นี้ ซึ่งอาจเป็นไปได้ว่าแพตช์อาจมาในอัพเดตต่อไปๆ ของระบบปฏิบัติการ

ดูวีดิโอแสดงการทดสอบช่องโหว่ได้ที่ https://player.

WordPress ได้มีการปล่อยเวอร์ชั่นใหม่ออกมาคือ WordPress 4.8.2 และมีการแนะนำให้ทำการอัพเดทในทันที โดยในเวอร์ชัน WordPress 4.8.1 และก่อนหน้ามีช่องโหว่อยู่หลายจุดโดยได้รับรายงานจากผู้เชี่ยวชาญหลายคน เช่น
(1) $wpdb->prepare() ที่สามารถสร้าง queries ที่อันตรายได้ และอาจนำไปสู่ SQL injection ในส่วน Core ของ WordPress เองอาจไม่ได้รับผลกระทบโดยตรงจากช่องโหว่นี้ แต่ก็ได้มีการเพิ่มความปลอดภัยให้ เพื่อป้องกัน plugins และ themes ที่อาจทำให้เกิดช่องโหว่โดยไม่ได้ตั้งใจ ช่องโหว่นี้ถูกพบโดย Slavco
(2) ช่องโหว่ cross-site scripting (XSS) ถูกพบหลายที่ด้วยกัน ได้แก่ ใน oEmbed ซึ่งเป็น API สำหรับแสดงผลส่วนที่เป็น Embed บนเวปไซต์ ซึ่งถูกพบโดย xknown จาก WordPress Security Team, ใน visual editor โดย Rodolfo Assis จาก Sucuri Security, ใน plugin editor โดย 陈瑞琦 (Chen Ruiqi), ใน template names โดย Luka (sikic) และใน link modal โดย Anas Roubi (qasuar)
(3) ช่องโหว่ path traversal ถูกพบใน Code ส่วนการ unzipping ไฟล์ รายงานโดย Alex Chapman (noxrnet)
(4) ช่องโหว่ที่เปิดให้สามารถ redirect ได้ ถูกพบบนหน้าจอการแก้ไขข้อมูลผู้ใช้ และข้อตกลงเงื่อนไข
(5) ช่องโหว่ path traversal ถูกพบใน customizer รายงานโดย Weston Ruter จาก WordPress Security Team
ทาง WordPress ได้ออกมากล่าวขอบคุณ ผู้ที่รายงานช่องโหว่ดังกล่าวทุกคน และได้ทำการแก้ไขช่องโหว่เหล่านี้เรียบร้อย ทั้งนี้สามารถอัพเกรดเป็นเวอร์ชั่น 4.8.2 หรือทำการดาวน์โหลดได้จาก link ด้านล่าง
https://wordpress.