ช่องโหว่ Ring-Road บนโปรโตรคอลของกูเกิล "QUIC" เผยความยาวของรหัสผ่าน ยังไม่มีการพิสูจน์อย่างแน่ชัด
กลุ่มนักวิจัยจาก Purdue University ได้ออกมานำเสนอช่องโหว่หม่ที่ค้นพบบนโปรโตคอล QUIC ซึ่งเป็นโปรโตคอลที่ถูกพัฒนาโดยกูเกิลและมีการใช้งานอยู่ Chrome และบริการของกูเกิลหลายบริการซึ่งส่งผลให้ผู้โจมตีทราบความยาวของข้อมูลที่เป็นความลับ เช่น รหัสผ่าน ของผู้ใช้งานเมื่อมีการส่งแบบเข้ารหัสได้
อย่างไรก็ตามช่องโหว่นี้ยังคงเป็นที่เคลือบแคลงของหลายๆ คน อันเนื่องมาจากการกล่าวอ้างของผู้ค้นพบที่นำเสนอประเด็นในเรื่องของ "การรั่วไหลของความยาวของรหัสผ่าน" นำไปสู่ "การข้ามผ่านกระบวนการพิสูจน์ตัวตนได้" อีกทั้งยังขาดหลักฐานที่พิสูจน์การมีอยู่ของช่องโหว่อย่างแน่ชัด
นอกเหนือจากนั้นแล้วคำแนะนำจากทีมนักวิจัยของ Purdue University ให้ทำการปิดการใช้งานโปรโตคอล QUIC ก็ไม่ได้ช่วยในการแก้ปัญหาทั้งหมด เนื่องจากบนโปโตรคอล TLS ยังมีช่องโหว่ HTTPS Bicycle Attack ที่ได้ผลลัพธ์ออกมาเป็นความยาว
สุดท้ายแล้วก็คงจะต้องติดตามกันต่อไปว่าแท้จริงแล้วช่องโหว่นี้ถูกค้นพบได้อย่างไร และมีผลที่แท้จริงและเชื่อถือเป็นอย่างไร
ที่มา: ringroadbug
A deeper look into malware abusing TeamViewer
มัลแวร์ TeamSpy ใช้ TeamViewer ในการเข้าควบคุมและสั่งการเครื่องของเหยื่อ Avast ได้มีการเผยแพร่ผลการวิเคราะห์มัลแวร์ TeamSpy ซึ่งเคยมีการแพร่กระจายครั้งแรกในช่วงปี 2013 โดยมีการแอบติดตั้งโปรแกรม TeamViewer ที่มีการปรับแต่งเอาไว้เพื่อให้เข้าถึงเครื่องที่มีการติดเชื้อภายหลังได้
TeamSpy มีการแพร่กระจายผ่านทางไฟล์เอกสารที่ัฝังมาโครสคริปต์ที่เป็อันตรายเอาไว้ ในกรณีที่มาโครสคริปต์นั้นถูกรัน มันจะทำการดาวโหลดไฟล์ที่มีนามสกุล PNG แต่แท้จริงแล้วเป็นไฟล์โปรแกรมมาติดตั้งบนเครื่องของเหยื่อ
หลังจากมัลแวร์มีการติดตั้งไฟล์ดังกล่าวแล้ว ไฟล์ที่ถูกติดตั้งทั้งหมดจะเป็นไฟล์ของโปรแกรม TeamViewer โดยมีเพียงสองไฟล์ที่ไม่ได้มีการรับรองด้วยลายเซ็นดิจิตอลจาก TeamViewer คือ msimg32.dll และ tvr.
Drupal Core – Critical – Access Bypass – SA-CORE-2017-002
Drupal ออก version 8.2.8 และ 8.3.1 อุดช่องโหว่รุนแรง
Drupal ถือเป็น CMS(Content Management System) ที่ได้รับความนิยมอันดับต้นๆจากทั้งหมด แต่ล่าสุดมีการปล่อย update ออกมาเพื่ออุดช่องโหว่ร้ายแรงทำให้สามารถ bypass การ login ได้ครับ แนะนำ update ด่วน
โดย Drupal ที่ได้รับผบกระทบประมาณ 150,000 เว็บไซด์ โดยเว็บไซด์ที่มีช่องโหว่จะต้องมีคุณสมบัติดังนี้
- Enable RESTFul Web service (rest module)
- อนุญาตให้ใช้ PATCH request
- Attacker สามารถหา user หรือ register user บนเว็บไซด์ที่เป็นเป้าหมายได้
version ที่ได้รับผลกระทบคือ Drupal 8.x < 8.2.8 และ 8.3.1 ครับ ตอนนี้ทาง Drupal ได้ออก version ใหม่เพื่ออุดช่องโหว่เรียบร้อยแล้วครับ
ระบบที่ได้รับผลกระทบ: Drupal 8.x < 8.2.8 และ 8.3.1
ผลกระทบ: Access Bypass (Critical Severity)
วิธีการแก้ไข: Update เป็น Drupal version 8.2.8 หรือ 8.3.1
ที่มา: drupal
MS Office zero-day exploited in attacks – no enabling of macros required
พบช่องโหว่ 0day ใน Microsoft Office ทำให้เมื่อผู้ใช้ที่เปิดไฟล์ document ที่ฝังโค้ดอันตรายไว้อาจถูกยึดเครื่องได้ แม้เครื่องผู้ใช้จะเป็น Windows 10 ที่ patch ล่าสุดและไม่ได้ enable macro ใน Microsoft Office แล้วก็ตามที
ช่องโหว่ดังกล่าวถูกพบและเปิดเผยโดย McAfee เมื่อวันศุกร์(07/04/2017) ที่ผ่านมา และมีการ confirm ว่าใช้งานได้จริงโดยทางทีม Research ของ FireEye โดยช่องโหว่ดังกล่าวจะเป็นการโจมตีที่ไม่จำเป็นต้องหลอกให้ user เปิดไฟล์พร้อมกับใช้งาน Macro แต่อย่างใด เพียงแค่เปิดไฟล์ใน Microsoft Office ที่มีช่องโหว่ก็สามารถยึดเครื่องได้ทันที โดยช่องโหว่นี้เกี่ยวกับ Windows Object Linking and Embedding (OLE) ซึ่งเป็น feature สำคัญของ Microsoft Office อีกด้วย
สิ่งที่ Hacker ทำคือ Hacker สร้างไฟล์ RTF (Rich Text Format) ขึ้นมา โดยภายในไฟล์นั้นจะฝัง OLE2Link ไว้ เมื่อเปิดไฟล์ด้วยเวิร์ด ส่วนของ OLE จะทำงานทำให้เอกสารมีการติดต่อไปยัง C&C (Command & Control Server) เพื่อ download .hta ไฟล์ลงมา จากนั้นจึงรันไฟล์ .hta นั้นๆ อีกที
ซึ่งทาง McAfee ได้มีการนำเรื่องนี้ให้ Microsoft จัดการปิดช่องโหว่ดังกล่าว ซึ่งก็คงต้องรอต่อไปว่า Microsoft จะออก patch เมื่อไหร่ครับ ตอนนี้สิ่งที่ทำได้คือการป้องกันโดยการเปิดไฟล์ในลักษณะ Protected View ไปก่อน
ที่มา : HELPNETSECURITY
RAT new malware attacking South Korean word processor
Cisco Talos แจ้งเตือนผู้ใช้งานในเกาหลีใต้หลังตรวจพบการโจมตีด้วย RAT ภายใต้ชื่อ ROKRAT
Cisco Talos ออกประกาศแจ้งเตือนผู้ใช้งานในเกาหลีใต้อีกครั้งหลังจากพบอัตราการเพิ่มขึ้นของ RAT หลังจากเคยมีการตรวจพบมาก่อนแล้วในเดือนกุมภาพันธ์ที่ผ่านมาซึ่งเคยมีการใช้เว็บไซต์ของหน่วยงานรัฐบาลในการแพร่กระจายมัลแวร์
การโจมตีครั้งล่าสุดที่ Cisco Talos มีการเผยแพร่เมื่อวันจันทร์นั้นได้มีการอธิบายว่าผู้โจมตียังคงอาศัยวิธีในการแพร่กระจายผ่านทางลักษณะของอีเมลที่มีไฟล์แนบเป็นไฟล์เอกสารของ Hangul Word Processor (HWP) ซึ่งมีการฝังเป็นโปรแกรม RAT ชื่อว่า ROKRAT และมีการใช้ช่องโหว่ของ PostScript (CVE-2013-0808) ในการปกปิดโปรแกรม RAT และสั่งการให้โปรแกรม RAT ทำงานอีกด้วย ROKRAT เมื่อมีการแพร่กระจายไปสู่ระบบของผู้ใช้งานจะมีการใช้ Twitter, Yandex และ Mediafire เป็นเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมรวมไปถึงรอรับไฟล์ที่ผู้โจมตีจะขโมยออกมาซึ่งส่งผลให้เป็นเรื่องยากที่จะมีการบล็อคบริการเหล่านี้ ROKRAT ยังมีความสามารถในการถ่ายภาพหน้าจอเพื่อเก็บข้อมูล ดักการพิมพ์ผ่านคีย์บอร์ดและการป้องกันตัวเองเมื่อถูกตรวจสอบโดยการใช้ sandbox หรือเมื่อถูกดีบั๊กเพื่อทำการวิเคราะห์อีกด้วย
ข้อมูลเพิ่มเติมสำหรับการป้องกัน รวมไปถึงค่าแฮชของมัลแวร์และพฤติกรรมอื่นๆ สามารถตรวจสอบได้จากลิงค์ที่มาของ Cisco Talos
ที่มา : theregister,Cisco Talos
McAfee is McAfee again
บริษัทด้านความปลอดภัย McAfee หลังจากถูกซื้อไปในปี 2010 ด้วยมูลค่า 7.68 พันล้านเหรียญสหรัฐฯ โดย Intel และถูกเปลี่ยนชื่อเป็น Intel Security ได้กลับมาเป็นบริษัท McAfee อีกครั้งหลังจากดีลล่าสุดระหว่าง TPG และ Intel ที่ทำให้ Intel ถือหุ้น 49% จากทั้งหมด ส่วนอีก 51% เป็นของ TPG
ผลจากดีลล่าสุดทำให้ McAfee กลับมาเป็นบริษัทด้านความปลอดภัยที่ไม่ได้อยู่ภายใต้ร่มของบริษัทใดอีกครั้งซึ่งนับว่าเป็นผลดีต่อบริษัทในแง่ของความคล่องตัวและอิสระมากขึ้น
สำหรับในการบริหารนั้น Chris Young ซึ่งเคยทำหน้าที่บริหาร Intel Security มาแล้วตลอด 2 ปีที่ผ่านมาจะยังคงนั่งตำแหน่ง CEO อยู่ โดยมี Bryan Taylor จากฝั่ง TPG นั่งในตำแหน่งประธานบอร์ดและมี Steve Grobman ในตำแหน่ง CTO
Steve Grobman ให้สัมภาษณ์กับ Zdnet ว่า "ทิศทางและกลยุทธ์ของ McAfee จะยังคงเหมือนเดิมไม่มีเปลี่ยนแปลง แต่สิ่งที่กำลังจะเปลี่ยนไปคือความเร็วและความยืดหยุ่นที่จะมีมากขึ้น" อีกทั้งยังเพิ่มเติมด้วยว่า "วิธีการบริหารบริษัทผลิตชิปมันต่างสิ่งที่บริษัทด้านความมั่นคงปลอดภัยในระบบคอมพิวเตอร์ต้องการ"
ที่มา : techcrunch,theregister,TPG
Windows NTP Time Service Sends Wrong Time to Users Worldwide
NTP server ของไมโครซอฟต์ "time.windows.com" ส่งค่าเวลาผิด กระทบระบบหลายระบบ
NTP server หลักของระบบปฏิบัติการวินโดวส์ที่มีการตั้งค่ามาเป็นค่าเริ่มต้นของระบบ (time.
Trochilus and New MoonWind RATs Used In Attack Against Thai Organizations
Palo Alto แจ้งเตือนมัลแวร์ Trochilus และ MoonWind ที่โจมตีหลายหน่วยงานในไทย
Palo Alto ได้มีการประกาศแจ้งเตือนการแพร่กระจายของมัลแวร์ Trochilus และ MoonWind ที่มุ่งโจมตีหน่วยงานหลายแห่งในไทยเมื่อสุดสัปดาห์ทีผ่านมาโดยมีการตรวจพบการโจมตีของมัลแวร์ในช่วงเดือนกันยายนถึงเดือนพฤศจิกายของปีที่ผ่านมา
สำหรับมัลแวร์ MoonWind ที่พึ่งมีการตรวจสอบพบล่าสุดนั้น เมื่อมีการแพร่กระจายไปยังระบบแล้ว มัลแวร์จะมีการสร้างโปรเซสชื่อ svcohos.
Alert on cyber attacks stealing data from USB storage devices
JPCERT/CC ได้มีการประกาศแจ้งเตือนพฤติกรรมของมัลแวร์ที่มีการขโมยข้อมูลจากอุปกรณ์เก็บข้อมูลแบบ USB วันนี้
พฤติกรรมของมัลแวร์ดังกล่าวจะเริ่มต้นที่การแพร่กระจายไปยังเครื่องเป้าหมายที่สามารถเข้าถึงอินเตอร์เน็ต หลังจากนั้นมัลแวร์จะมีการติดตั้งตัวเองไปที่ C:\intel\logs, C:\Windows\System32 หรือพาธอื่นๆ ที่มัลแวร์มีการแก้ไขด้วยชื่อไฟล์ อาทิ intelUPD.exe, intelu.
McDonald’s Canada cyberattack exposed 95,000 job-seekers’ personal information
ไม่มีที่ไหนที่ปลอดภัย ทุกๆที่สามารถตกเป็นเป้าหมายการโจมตีได้หมด ล่าสุดเว็บไซด์สมัครงานของ McDonald Canada ถูกแฮ็ค ทำให้ข้อมูลผู้ที่สมัครงาน McDonald Canada หลุดออกมาถึง 95,000 คน
McDonald Canada ประกาศออกมาเองว่าเว็บไซด์สมัครงานของตนถูกแฮ็ค มีข้อมูลหลุดออกมาประมาณ 95,000 คน โดยเป็นผู้สมัครงานผ่านช่องทางเว็บไซด์ตั้งแต่ มีนาคม 2014 - มีนาคม 2017 ซึ่งข้อมูลมีทั้ง ชื่อ, ที่อยู่, หมายเลขโทรศัพท์, email address, ประวัติการทำงานย้อนหลัง และข้อมูลส่วนตัวอื่นๆ แต่ไม่มีข้อมูล หมายเลขประกันสังคม, ข้อมูลธนาคารและข้อมูลสุขภาพ หลุดออกมาด้วย เมื่อทีมงานทราบได้ทำการปิดเว็บไซด์รับสมัครงานนั้นทันที พร้อมทั้งเริ่มทำการสืบสวนแล้ว อีกทั้ง McDonald จะแจ้งผู้สมัครทุกคนที่ได้รับผลกระทบทั้งทางจดหมาย , อีเมล์, เบอร์โทรศัพท์ อีกทั้ง McDonald ยังมีการแยกเบอร์สำหรับรับเรื่องการได้รับผลกระทบจากการนำข้อมูลที่หลุดออกไปใช้อีกด้วย
ที่มา : Globalnews