พบช่องโหว่ในตัว Android Bootloader จาก 5 ผู้ผลิต chipset ซึ่งทำให้เสีย CoT (Chain of Trust) ระหว่างที่กำลังทำการ boot-up ซึ่งทำให้ตัวเครื่องสามารถถูกโจมตีได้ CoT คือสิ่งที่ถูกสร้างขึ้นจากการตรวจสอบทั้ง hardware และ software จากส่วนย่อย ซึ่งจุดประสงค์ก็เพื่อทำให้แน่ใจว่ามีเพียง software และ hardware ที่ไว้ใจได้เท่านั้นที่อนุญาติให้ใช้งานได้ โดยที่ภาพรวมยังคงประสิทธิภาพเดิมอยู่ ทีมนักวิจัยจึงเริ่มทำการวิจัยเกี่ยวกับช่องโหว่นี้ พบว่าเนื่องจากส่วนต่างๆ ในตัว Android bootloaders เป็น closed source และมักจะไม่มี typical metadata (program headers หรือ debugging symbols) ที่พบในโปรแกรมปกติทั่วไป จึงทำให้การวิเคราะห์ข้อมูลทำได้ยาก ซึ่งข้อมูลเลห่านี้จะช่วยในเรื่องของการทำ reverse engineering และการทำ security audits
งานวิจัยส่วนใหญ่จะเน้นไปที่การพัฒนาเครื่องมือใหม่ที่ชื่อว่า BootStomp ซึ่งจะช่วยในเรื่องของการทำ test และวิเคราะห์ bootloaders ในกรณีนี้จากการใช้ BootStomp เข้ามาทดสอบพบว่ามีช่องโหว่ 7 จุดโดยที่เป็นช่องโหว่ใหม่ 6 ตัวและ ที่เคยพบมาแล้วอีก 1 ตัว(CVE-2014-9798) ช่องโหว่ดังกล่าวบางตัวอาจทำให้ผู้โจมตีสามารถ execute arbitrary code หรือทำการโจมตีแบบ Dos ทีมนักวิจัยได้ให้ข้อมูลเพิ่มเติมว่าเครื่องมือ BootStomp ยังตรวจเจอช่องโหว่อีกสองตัวที่อาจช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าใช้งานของตัวเองให้เป็นสิทธิ์ root บนระบบได้

ที่มา : bleepingcomputer

WikiLeaks รายงานการรั่วไหลของข่าวเกี่ยวกับเรื่องที่ว่า CIA ทำการสอดแนมพันธมิตรด้านข่าวกรองทั่วโลกซึ่งรวมไปถึง FBI, DHS, NSA เพื่อเก็บรวบรวมข้อมูลจากองค์กรเหล่านั้นอย่างลับๆ CIA เสนอระบบเก็บข้อมูลแบบ Biometric (biometric collection system) ให้กับทางตัวแทนพันธมิตรด้านข่าวกรอง ซึ่งระบบมีการตั้งค่าต่างๆ มาให้แล้วทั้ง hardware, OS, และ software เพื่อช่วยให้รวมและใช้ข้อมูลร่วมกันระหว่างองค์กรได้ง่ายขึ้น แต่เนื่องจากไม่มีองค์กรไหนที่ยอมแบ่งปันข้อมูลด้วยระหว่างกัน ทำให้หน่วยงานย่อยใน CIA ชื่อว่า Office of Technical Services (OTS) พัฒนาเครื่องมือสอดแนมข้อมูลขึ้นมาอย่างลับๆ
เนื้อหาในข่าวที่รั่วไหลออกมาระบุว่า software สอดแนมตัวนี้ชื่อว่า Expresslane จะถูกลงโปรแกรมโดยเจ้าหน้าที่จาก CIA ให้เป็นส่วนหนึ่งของ Biometric system routine Upgrade รายงานยังระบุเพิ่มเติมอีกว่า OTS officers ซึ่งเป็นผู้ดูแล biometric collection systems จะทำการลงโปรแกรมตัวนี้ ในระหว่างที่หน้าจอกำลังแสดงแถบ upgrade โดย Software ดังกล่าวประกอบด้วยสองส่วนคือ Create Partition ซึ่งมีหน้าที่ช่วยให้สร้าง partition โดยจะซ่อนอยู่ในระบบเพื่อใช้เป็นที่เก็บข้อมูลที่สอดแนมมาได้ และส่วนที่สองคือ Exit Ramp ช่วยให้ดึงข้อมูลจาก partition ที่สร้างไว้ในตอนแรกเพียงแค่เสียบ USB
เวอร์ชันล่าสุดของ Expresslane คือ ExpressLane 3.1.1 โดยค่า default คือการลบตัวเองทิ้งหลังจากการลงโปรแกรม 6 เดือน เพื่อเป็นการป้องกันการแกะรอย ถึงแม้ว่าเจ้าหน้าที่ OTA จะสามารถเปลี่ยนจำนวนวันดังกล่าวได้ก็ตาม

ที่มา : thehackernews

นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด

CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้

โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว

ที่มา : SECURITYWEEK

นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)

แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)

ที่มา : The Hacker News

นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้

Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้

Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า

ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้

Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย

Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม

ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่

ที่มา : BLEEPINCOMPUTER

Cex, หนึ่งใน Website ตัวกลางรายใหญ่ที่ทำหน้าเป็นตัวกลางในการซื้อขายอุปกรณ์ IT เช่น ชิ้นส่วนคอมพิวเตอร์, เกมส์, ภาพยนต์, อัลบั้มเพลงเก่าและอื่นๆ ได้ออกมาให้ข่าวว่าถูก Hacker เจาะระบบและขโมยข้อมูล

ทางบริษัทกำลังติดต่อลูกค้าทุกคนที่คาดว่าได้รับผลกระทบจากเหตุการณ์นี้ ทาง Cex ได้มีการกล่าวเพิ่มเติมเกี่ยวกับผลกระทบของข้อมูลที่หลุดไปว่า ข้อมูลที่ Hacker ได้ไปนั้นรวมไปถึงข้อมูลเช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์และอีเมล ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ถูกเก็บอยู่ในฐานข้อมูลจำนวนกว่า 2,000,000 รายการ อย่างไรก็ตาม Cex ได้หยุดเก็บรายละเอียดของบัตร credit และ debit ตั้งแต่ปี 2009 ทำให้ข้อมูลที่ Hacker สามารถขโมยไปได้ในตอนนั้นหมดอายุแล้วในเวลานี้และไม่สามารถใช้งานได้อีก

หากใครได้รับอีเมลจาก Cex แนะนำให้ปฏิบัติตามโดยการแก้ไขข้อมูลรหัสผ่านให้เหมาะสม

ที่มา : BLEEPINCOMPUTER

รายงานจากทาง WikiLeaks ระบุเกี่ยวกับ โปรเจค Angelfire ของทาง CIA ซึ่งเป็นการพัฒนา Malware Framework เพื่อนำไปใช้กับระบบคอมพิวเตอร์ที่มีระบบปฏิบัติการเป็น Windows ส่วนประกอบหลักของ Angelfire มีอยู่ 5 ส่วน คือ Solartime, Wolfcreek, Keystone, BadMFS, และ Windows Transitory File System

ทั้งนี้ Angelfire เป็นเพียงแค่หนึ่งในหลายๆ เครื่องมือที่ทาง CIA พัฒนาขึ้นมาเพื่อใช้ hack ระบบคอมพิวเตอร์ Grasshopper, ELSA, AfterMidnight และ Assassin คือ Framework รุ่นก่อนๆ ที่ CIA เคยใช้ในการ hack
เมื่อเทียบกับเครื่องมือตัวอื่นๆ แล้ว Angelfire ยังไม่ใช้เครื่องมือที่ดีมากนัก เพราะยังมีข้อเสียอยู่หลายอย่าง เช่น Security Software บนตัวเครื่องผู้ใช้งานอาจตรวจเจอระบบไฟล์ของ BadMFS จากไฟล์ที่ชื่อว่า “zf” และผู้ใช้งานอาจเห็น popup เมื่อส่วนนึ่งของ Angelfire Framework เกิดการ crash และ Keystone สามารถปลอมเป็น Process ที่อยู่ C:\Windows\system32\svchost.

นักวิจัยด้านความปลอดภัยจาก Malwarebytes ค้นพบวิธีการแพร่กระจาย Locky ransomware จากกลุ่มซึ่งใช้ชื่อแฝงว่า Locky ID#5 และ Locky ID# 3 ผ่านช่องทางต่างๆ หลายรูปแบบ
Marcelo Rivero นักวิจัยด้านความปลอดภัยจาก Malwarebytes ได้ค้นพบการแพร่กระจาย spam ผ่านไฟล์เอกสารด้วยมาโครสคริปต์โดยการทำงานจะต่างจากปกติคือมาโครสคริปต์จะไม่มีการรันจนกว่าผู้ใช้จะทำการปิดไฟล์เอกสาร ซึ่งจะทำให้โซลูชั่นในการรักษาความปลอดภัยต่างๆ ไม่สามารถ สแกนเจอไฟล์ที่เป็นอันตราย
อีกวิธีที่ใช้ในการแพร่กระจาก Locky คือการส่งอีเมลโดยใช้บัญชีของ Dropbox เพื่อหลอกให้ผู้ใช้ทำการยืนยันตัวตน นอกจากนี้ผู้โจมตียังมีการใช้เทคนิคป๊อปอัป "HoeflerText" ซึ่งจะใช้ประโยชน์จากมัลแวร์และ exploit kit โดยเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังหน้าเว็บที่เป็นอันตรายที่มีข้อความว่า "HoeflerText font missing" แสดงเป็นป๊อปอัพขึ้นมา เพื่อหลอกให้ผู้ใช้ดาวโหลดและติดตั้งฟอนต์ที่แท้จริงแล้วเป็นไฟล์จาวาสคริปต์ (ดาวโหลดเป็นไฟล์สคริปต์ JS) โดยเบราว์เซอร์ที่ได้รับผลกระทบคือ Firefox และในตระกูล Chrome เท่านั้น

ที่มา: hbleepingcomputer

รายงานจากทาง WikiLeaks ระบุเกี่ยวกับ โปรเจค Angelfire ของทาง CIA ซึ่งเป็นการพัฒนา Malware Framework เพื่อนำไปใช้กับระบบคอมพิวเตอร์ที่มีระบบปฏิบัติการเป็น Windows ส่วนประกอบหลักของ Angelfire มีอยู่ 5 ส่วน คือ Solartime, Wolfcreek, Keystone, BadMFS, และ Windows Transitory File System
ทั้งนี้ Angelfire เป็นเพียงแค่หนึ่งในหลายๆ เครื่องมือที่ทาง CIA พัฒนาขึ้นมาเพื่อใช้ hack ระบบคอมพิวเตอร์ Grasshopper, ELSA, AfterMidnight และ Assassin คือ Framework รุ่นก่อนๆ ที่ CIA เคยใช้ในการ hack
เมื่อเทียบกับเครื่องมือตัวอื่นๆ แล้ว Angelfire ยังไม่ใช้เครื่องมือที่ดีมากนัก เพราะยังมีข้อเสียอยู่หลายอย่าง เช่น Security Software บนตัวเครื่องผู้ใช้งานอาจตรวจเจอระบบไฟล์ของ BadMFS จากไฟล์ที่ชื่อว่า “zf” และผู้ใช้งานอาจเห็น popup เมื่อส่วนนึ่งของ Angelfire Framework เกิดการ crash และ Keystone สามารถปลอมเป็น Process ที่อยู่ C:\Windows\system32\svchost.

ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point

ที่มา : NRI-SECURE