Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.

Zomato เว็บไซต์สำหรับการแนะนำร้านอาหารชื่อดังในอินเดีย ถูกแฮกข้อมูลของผู้ใช้งาน เช่น ชื่อผู้ใช้, อีเมล์ รหัสผ่านของลูกค้ากว่า 17 ล้านบัญชีนั้น ถูกขโมยออกไป Deepinder Goyal, CEO ของ Zomato
ได้ออกมาอธิบายว่าเกิดอะไรขึ้นว่า
- เริ่มต้นจากเหตุการณ์ที่ 000webhost ซึ่งเป็นเว็บโฮสติ้งฟรี ถูกแฮกเมื่อเดือนพฤศจิกายนปี 2015 ทำให้ข้อมูลผู้ใช้ และรหัสผ่านรั่วไหลออกมา โดยมีรหัสผ่านเป็น plaintext (ไม่มีการเข้ารหัส)
- หนึ่งในนักพัฒนาของ Zomato มีการใช้งาน 000webhost เช่นกันทำให้ข้อมูลของเขารั่วไหลออกไป
- นักพัฒนารายนั้นใช้อีเมล์ และรหัสผ่านเดียวกันกับบัญชีของ Github ที่ใช้เก็บโค้ดของ Zomato และไม่ได้เปิดใช้งาน 2 factor authentication
- ทำให้แฮกเกอร์สามารถ Login เข้าสู่ระบบ Github ของนักพัฒนานั้นได้และทำการรีวิวซอสโค้ดบางส่วนของ Zomato ได้
- จากจุดนี้แฮกเกอร์ยังไม่สามารถเข้าถึงฐานข้อมูลของ Zomato เนื่องจากระบบได้ทำการจำกัดไอพีที่สามารถเข้าถึงระบบต่างๆ ไว้
- แฮกเกอร์จึงทำการสแกนหาช่องโหว่จากโค้ดที่สามารถเข้าถึงได้ และพบกับช่องโหว่ Remote Code Execution ที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ในภายหลัง
จากเหตุการณ์ข้างต้นเป็นตัวอย่างที่ผู้ใช้งานอินเตอร์เน็ต ไม่ควรที่จะใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์หรือบริการอื่นๆ
และควรใช้โปรแกรมจำพวก Password Manager ในการจดจำรหัสผ่านเพื่อเพิ่มความปลอดภัย

ที่มา : Zomato,ZomatoHacked

พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494 ซึ่งหากมีการใช้งาน SAMBA อยู่แนะนำให้รีบ update เพื่อลดความเสี่ยง

ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา : samba.

Checkpoint พบช่องโหว่ใน Media Player ยอดนิยมต่างๆไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio ในการอ่าน subtitle ทำให้ตกเป็นเหยื่อของแฮ็คเกอร์ได้หากไปโหลด subtitle จากแหล่งที่ไม่น่าเชื่อถือมา
Subtitle ของหนังหรือรายการทีวีใดๆที่ถูกเขียนโดยใครก็ได้และปล่อยให้ download ในแหล่ง download subtitle ต่างๆ อาจกลายเป็นแหล่งการโจมตีของแฮ็คเกอร์ได้ เมื่อมีการพบว่า Application ที่เป็นตัวเล่นไฟล์ media ต่างๆ ไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio
โดยการทดสอบจะเริ่มจากการเปิด VDO ใดๆใน Media Player ต่างๆ จากนั้นก็ทำการ load subtitle ที่ฝัง code อันตรายไว้ จากนั้นก็รอให้ code อันตรายนั้นๆทำงาน
สิ่งที่เราทำได้มีเพียงการ patch media player ให้เป็น version ใหม่ล่าสุดอยู่เสมอก็พอจะช่วยป้องกันการโจมตีแบบนี้ได้ครับ โดยหลังจากที่ทั้ง 4 เจ้าได้รับการแจ้งเตือนช่องโหว่ดังกล่าว ตอนนี้ก็ได้มีการออก patch มาแก้กันทั้ง 4 เจ้าแล้ว

ที่มา : Helpnetsecurity

Ransomware WannaCry เป็นตัวที่ดัดแปลงมาจาก NSA Tool ที่ชื่อว่า Eternal Blue สำหรับการโจมตีช่องโหว่ใน service SMB (port 445) และฝัง Backdoor ที่ชื่อว่า DoublePulsar นั่นหมายความว่า WannaCry มีการดัดแปลงเครื่องมือจาก NSA จำนวน 2 ตัวจากที่มีการปล่อยออกมาทั้งหมด แต่ตัวใหม่ที่ชื่อว่า EternatRocks มีการนำเครื่องมือจาก NSA มาดัดแปลง 7 ตัวด้วยกัน
EternalRocks มีการใช้งานเครื่องมือ 2 ตัวจาก NSA ในการเก็บข้อมูลรายละเอียด SMB คือ SMBTOUCH และ ARCHITOUCH จากนั้นใช้เครื่องมือต่างๆของ NSA ไม่ว่าจะเป็น ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, และ ETERNALSYNERGY ทั้งหมด 4 ตัวในการโจมตี สุดท้ายจะทำการฝัง backdoor ที่ชื่อว่า DOUBLEPULSA ต่ออีกที ซึ่ง EternalRocks ไม่มีการฝัง malware content แต่อย่างใด นั่นหมายความว่า ณ ปัจจุบัน EternalRocks ผลกระทบยังไม่รุนแรงเท่า WannaCry และ EternalRocks ไม่มี kill switch domain feature แต่อย่างใด นั่นหมายความว่าจะไม่มีการตรวจสอบ domain ใดๆ ก่อนเริ่มการทำงาน ซึ่ง EternalRocks จะเริ่มจากการฝังตัวเข้าไปในเครื่อง จากนั้น download Tor Client และติดต่อไปยัง C&C Server (Command & Control Server) ต่ออีกที ซึ่งจะใช้เวลาประมาณ 24 ชม. กว่า C&C Server จะตอบกลับมา เพื่อทำการพยายาม bypass Sandbox และไม่ให้ตรวจจับจาก Security Researcher ได้ (โดยปกติ Sandbox ระดับ enterprise ต่างๆ มักจะเข้าไปแก้ไข code ของ malware ตอน Runtime ให้เปลี่ยน sleep ต่างๆกลายเป็น 0 เพื่อปิดการหน่วงเวลาของ Malware ต่างๆ ที่ทำงานตามเวลาที่กำหนดหรือ Logic Bomb)
หลังจาก stage แรกผ่านไป stage ที่ 2 จะเริ่มทำการติดตั้งโดยการ download shadowbrokers.

ข่าว update เพิ่มเติมจากการที่พบวิธีการถอดรหัสไฟล์ใน Windows XP โดยการหาค่า prime number ที่นำไปใช้สร้าง private key สำหรับการถอดรหัสไฟล์ ตอนนี้มีการทดสอบเพิ่มเติมพบว่าสามารถทำใน Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 ได้อีกด้วย

หลังจากที่นาย Andrien ได้ทำการสร้างเครื่องมือสำหรับการหาค่า prime number ที่ถูกใช้ทำการสร้าง RSA key ในการเข้ารหัสของ WannaCry จาก memory ออกมาได้สำเร็จ และปล่อยเครื่องมือที่ชื่อว่า WannaKey ออกมา ก็ได้มี security researcher ทำตามหลายๆคนด้วยกัน ล่าสุดนาย Benjamin Delpy (@gentilkiwi) ได้พัฒนา application ที่หลักการเดียวกับ WannaKey แต่มีการปรับ format output ให้เข้ากับโปรแกรม WannaDecrypt ของนาย Benjamin เอง จากนั้นจึงรวมเข้าด้วยกันกลายเป็น Wanakiwi ซึ่งเป็นแบบ all-in-one คือทำทุกอย่างจบด้วยตัวเอง ไม่ว่าจะเป็นการหา prime number, การสร้าง private key จนกระทั่งไปถึงการไล่ decrypt ไฟล์ทั้งหมดที่ถูกเข้ารหัสโดย WannaCry

ซึ่งทางนาย Matt Suiche ได้ทำการทดสอบแล้วผลปรากฏว่าใช้ได้ทั้งใน Windows XP, Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 เลยทีเดียว แต่เงื่อนไขสำคัญยังเหมือนเดิมคือ "ห้ามปิดหรือ restart เครื่องหลังจากติด WannaCry แล้วโดยเด็ดขาด" อีกทั้งห้ามปล่อยเวลาให้ผ่านนานเกินไป ไม่งั้น memory ส่วนที่เก็บค่า prime number นั้นอาจถูกลบหรือถูกเขียนทับโดย process อื่นไปแล้วก็เป็นได้

วิธีการใช้งานคือ

1. Download Wanakiwi
https://github.

คล้ายๆกับการดูหนัง series ก็ว่าได้ เมื่อมีการเปิดเผยจาก Proofpoint ว่าเจอ malware ที่โจมตีโดยใช้
MS17-010 ไม่มีผิด แต่เป็นการฝังตัวของ Application เพื่อขุดเงิน cryptocurrency (ประมาณ Bitcoin) ให้กับ Hacker ก่อนที่จะเริ่มมีการระบาด WannaCry ด้วยซำ้ โดย malware ตัวนั้นมีชื่อว่า Adylkuzz

Adylkuzz เป็น Malware ที่โจมตีและแพร่กระจายตัวเหมือนกับ WannaCry คือการโจมตีไปเป็น MS17-010 แต่แตกต่างกันที่ Adylkuzz จะไม่ได้มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่จะเน้นเรื่องการแอบรันโปรแกรมขุดเงิน cryptocurrency แบบเงียบๆในเครื่องของเหยื่อแทน โดย Proofpoint เชื่อว่า Adylkuzz เริ่มกระจายตัวตั้งแต่วันที่ 2 พค. 2017 เผลอๆอาจจะเป็นวันที่ 24 เมษายน 2017 ซึ่งก่อน WannaCry แพร่กระจายถึง 2 สัปดาห์
การพบ Adylkuzz ถือเป็นเรื่องบังเอิญด้วยซ้ำ หลังจากที่ WannaCry เริ่มแพร่กระจาย, Proofpoint พยายามตั้ง Honeypot ดักล่อ WannaCry เพื่อนำมาวิเคราะห์แต่กลับกลายเป็นได้ Malware ที่พฤติกรรมการแพร่กระจายคล้ายๆกับ WannaCry แทน ซึ่งนั่นก็คือ Adylkuzz

เมื่อ Adylkuzz ถูกติดตั้งลงไปในเครื่องของเหยื่อเรียบร้อยแล้วก็จะติดต่อไปยังเครื่อง C&C ของ Hacker เพื่อดึงตัวเครื่องมือขุด cryptocurrency และดึงขั้นตอนการขุดมา โดยในตัวอย่างที่พบจะเป็นการขุด cryptocurrency ที่ชื่อว่า Monero (คล้ายๆกับ Bitcoin) โดย ณ เวลาตอนนี้ 7.58 Monero จะมีค่าประมาณ 205$

ซึ่งบ่งบอกว่า ไม่ใช่แค่มี WannaCry เท่านั้นที่พยายามโจมตีและแพร่กระจายไปย้ง 445 (SMBv1) ดังนั้นหากเป็นไปได้ก็รีบ patch รีบป้องกันให้เร็วที่สุดเท่าที่จะได้ทำได้นะครับ

ที่มา: proofpoint

พบความเกี่ยวโยงระหว่าง WannaCry และ Malware ที่ถูกสร้างโดยเกาหลีเหนือ
Neel Mehta ซึ่งเป็นหนึ่งในบุคคลแรกๆ ของโลก(เป็น Google Researcher)ที่ทำการวิจัยและวิเคราะ Ransomware ที่ดังที่สุดในโลกในขณะนี้ นั่นคือ WannaCry นั่นเอง โดย Neel พบว่ามีโค้ดบางส่วนของ WannaCry คล้ายกับ Malware ที่ชื่อว่า Contopee ซึ่งถูกพบตั้งแต่ปี 2015 และกลุ่มที่อยู่เบื้องหลัง Contopee ก็คือ Lazarus Group ซึ่งคือกลุ่มที่เชื่อว่าเป็นกลุ่มของเกาหลีเหนือและอยู่เบื้องหลังการโจมตีเกาหลีใต้มาตั้งแต่ปี 2007 นั่นเอง
Neel Mehta พบความน่าสงสัยเกี่ยวกับ WannaCry ว่ามีส่วนฟังก์ชั่นการทำงานที่ค่อนข้างคล้ายคลึงกับ Contopee ซึ่งทั้งทาง Kaspersky และ Symantec ก็ให้ความเห็นไปในทางเดียวกันว่าน่าจะเป็นการนำฟังก์ชั่นของ Contopee มาใช้งาน
ซึ่งหากไม่ใช่กลุ่มพัฒนาเดียวกัน ก็น่าจะเป็นไปได้ยากที่โค้ดจะเหมือนกันขนาดนี้ และหากเป็นจริง WannaCry จะถือว่าเป็น Ransomware ตัวแรกที่ได้รับการสนับสนุนที่เป็นอาวุธการโจมตี Cyber ของประเทศใดๆตัวแรกของโลกเลยทีเดียว

ที่มา: blog.

พบตัว Customize WannaCrypt0r ชื่อว่า Aron WanaCrypt0r 2.0 Generator
หลังจากที่มีการปล่อย WannaCry ให้อาละวาดมาตั้งแต่วันศุกร์ (12/05/2017) ที่ผ่านมา ก็ได้มีการพบว่า Ransomware Developer ต่างๆเริ่มสร้างของตัวเองขึ้นมา แต่ครั้งจะไปเขียนเองก็เสียเวลาก็เลยกลายเป็นนำ WannaCry มาดัดแปลงแทน โดยใช้เครื่องมือที่ชื่อว่า Aron WanaCrypt0r 2.0 Generator 1.0
Aron WanaCrypt0r 2.0 Generator v1.0 เป็นเครื่องมือที่นำเอา WannaCry มาแก้ไขหน้าตาให้กลายเป็น version ใหม่ขึ้นมา ซึ่งโปรแกรมนี้จะทำให้ผู้ใช้งานสามารถที่จะเปลี่ยนแปลงหน้าตาของ WannaCry lock screen ดัดแปลงได้ทั้งข้อความที่จะแสดง, รูปภาพ, และสีของ lock screen
ทั้งนี้ Aron WanaCrypt0r 2.0 Generator v1.0 ยังไม่สามารถดัดแปลงส่วน execute ของ WannaCry ได้ครับ ดังนั้น algorithm ในการเข้ารหัส หรือลักษณะการทำงานใดๆ ยังไม่สามารถเปลี่ยนแปลงได้นั่นเอง กล่าวคือถึงแม้ว่าจะเปลี่ยนภาษาหรือว่าเปลี่ยนเลข version ของตัว lock screen แต่ก็ยังคงทำงานเหมือนๆกับ WannaCry นั่นเอง
ทั้งนี้มีการเปลี่ยน text การขู่เป็นภาษาไทยด้วย แต่ version ดังกล่าวยังไม่มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่นั่นหมายความว่าอาจจะมีคนที่เป็นคนไทยได้เครื่องมือ generator ดังกล่าวไปแล้วก็เป็นได้

ที่มา : bleepingcomputer

มีรายงานจาก NHS ซึ่งเป็นหน่วยงานให้บริการการรักษาของอังกฤษถูกโจมตีด้วย Ransomware ที่ชื่อว่า WannaCryptor ในหลายๆหน่วยงานทั่วประเทศไม่ว่าจะเป็น คลีนิค, โรงพยาบาล ต่างก็ได้รับผลกระทบไปด้วย โดย ransomware ดังกล่าวจะทำการ lock user ออกจากเครื่องและทำ popup ขึ้นมาให้จ่ายเงินเพื่อให้สามารถเข้าถึงเครื่องได้ และบางเครื่องสามารถเข้าใช้งานได้แต่ไฟล์ที่สำคัญต่างๆก็จะถูกเข้ารหัสไว้

โดยข้อมูลที่ถูกเข้ารหัสมีด้วยกันหลายประเภทด้วยกันไม่ว่าจะเป็น ข้อมูลคนไข้, ตารางนัดหมาย, ข้อมูลโทรศัพท์ภายใน, email โดยไฟล์ที่ถูกเข้ารหัสโดย ransomware ดังกล่าวจะมีนามสกุลเป็น (.WCRY) ทั้งนี้ทางหน่วยงาน NHS Digital กล่าวว่ามีหน่วยงานหลากหลายประเภทมากที่โดน ransomware เล่นงาน ทางทีมงาน NHS Digital จึงได้ร่วมมือกับ National Crime Agency ซึ่งถือว่าเป็นหน่วยงานเทียบเท่า FBI ในอังกฤษได้เริ่มทำการสอบสวนเหตุการณ์ที่เกิดขึ้นแล้ว โดยตอนนี้ยังไม่มีหลักฐานใดๆบ่งบอกถึงการที่ข้อมูลคนป่วยถูกเข้าถึงแต่อย่างใด อีกทั้งทางทีมงาน NHS Digital ได้ร่วมมือกับ National Cyber Security Center เพื่อจัดการและหาวิธีแก้ไขอย่างถูกวิธีแล้วอีกด้วย

จาก report ของคนทำงาน IT ของ NHS กล่าวว่าระบบเมล์เริ่มใช้งานไม่ได้ตั้งแต่วันที่ 11 12:30pm จากนั้นก็ตามมาด้วยระบบที่เกี่ยวกับคลีนิคมากมากที่ใช้งานไม่ได้ จากนั้นก็เป็นระบบคนไข้ และจาก report เครื่องส่วนใหญ่จะถูกขู่ให้จ่ายเงินประมาณ 300$ การถูกโจมตีครั้งนี้ถือเป็นครั้งที่ร้ายแรงที่สุดในรอบ 6 ปีเลยทีเดียว

รายงานล่าสุดพบ ransomware ตัวนี้ในไทยแล้วนะครับระวังกันให้ดี ซึ่งเป็นการโจมตีโดยใช้การโจมตีของเครื่องมือ NSA ที่หลุดมาช่วงเดือนก่อน นั่นคือ MS17-010 หรือ EternalBlue นั่นเอง ทั้งนี้แนะนำให้ทำการปิด port 445 หรือยกเลิกการใช้งาน SMBv1 เพื่อลดความเสี่ยงที่เกิดขึ้นจาก WannaCryptor

วิธีการป้องกัน
1. Update patched Windows ให้เป็น version ล่าสุด.
2. ปิด port remote การเข้าถึงอย่าง RDP และ SMB จาก internet
3. Disable SMBv1 และ protocol ใดๆที่เก่า
4. นำเครื่องใดๆที่ไม่สามารถ patch ได้ให้ไปอยู่ในส่วนที่มี security control

วิธีการแก้ไขเมื่อติด WannaCryptor
1. เข้า Windows ในลักษณะ Safe Mode
2. เข้าไปที่ msconfig.