News

EFAIL

เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่นี้

ที่มา : Efail

วิเคราะห์ช่องโหว่ EFAIL: เมื่อการเข้ารหัสอีเมลไม่เป็นผล

สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

[In-Dept] : Joomla! Second Order SQL Injection

ทีมนักวิจัยด้านความปลอดภัย RIPSTech ตรวจพบช่องโหว่ SQL Injection บน Joomla! ตั้งแต่เวอร์ชั่น 3.8.3 ลงมา และมากกว่า 3.7.0 โดยที่ช่องโหว่นี้สามารถนำไปสู่การยกระดับสิทธิ์ของผู้โจมตีได้
Affected version
Joomla! ตั้งแต่เวอร์ชั่น 3.7.0 - 3.8.3
Impact
ผู้โจมตีสามารถเข้าถึงข้อมูลในระบบฐานข้อมูลได้ และสามารถนำข้อมูลที่ได้ไปใช้สู่การโจมตีขั้นต่อไปเช่น การยกระดับสิทธิ์และเข้าควบคุมระบบ
Technical Analysis
สำหรับการโจมตีในช่องโหว่นี้ ผู้โจมตีจะต้องผ่านการยืนยันตัวตนกับระบบ Backend ของ Joomla! และมีสิทธิ์ในระดับ Manager ก่อน โดยที่ User Group ดังกล่าวนี้มีอยู่เป็น Default ของระบบ Joomla! อยู่แล้ว

ในส่วนของจุดที่พบช่องโหว่ SQL Injection นั้นอยู่ที่ไฟล์ administrator/templates/hathor/postinstall/hathormessage.

Google Releases Security Update for Chrome

Google เปิดตัว Chrome เวอร์ชัน 66.0.3359.170 สำหรับ Windows, Mac และ Linux โดยเวอร์ชั่นนี้มีการแก้ไขช่องโหว่ที่ผู้โจมตีสามารถโจมตีได้จากระยะไกลเพื่อเข้าควบคุมเครื่อง ช่องโหว่ที่แก้ไขอยู่ในระดับ Critical,High

Critical: Chain leading to sandbox escape.

Phishing Attack Bypasses Two-Factor Authentication

Two-Factor Authentication(2FA) เป็นมาตรฐานความปลอดภัยในการเข้าสู่ระบบที่กำลังถูกใช้อย่างแพร่หลายไปทั่วโลก แต่ผู้โจมตีกำลังหาวิธีหลีกเลี่ยง เพื่อเข้าถึงบัญชีเป้าหมายด้วยการใช้ Phishing และมีเครื่องมือชื่อว่า "Evilginx" ถูกพัฒนาขึ้นมาโดย white hacker ที่มีชื่อว่า Kuba Gretzky

เริ่มต้นด้วยการที่ผู้โจมตีสร้าง URL ที่เป็นอันตราย ซึ่งออกแบบมาให้ดูคล้ายกับเว็บไซต์ที่ผู้คนส่วนใหญ่รู้จัก โดยการสาธิตเริ่มจากเปิดอีเมลปลอมที่คล้ายๆว่ามาจาก LinkedIn แต่ที่จริงมันคือ "llnked[dot]com" เมื่อเหยื่อคลิกลิงก์ดังกล่าวจะถูก redirect ไปยังหน้าเข้าสู่ระบบเพื่อหลอกให้ป้อนชื่อผู้ใช้, รหัสผ่าน และรหัสการตรวจสอบสิทธิ์ที่จะถูกส่งไปยังโทรศัพท์มือถือของเจ้าของบัญชี ในขณะเดียวกันผู้โจมตีจะมีการเก็บชื่อผู้ใช้ รหัสผ่าน และรหัส 6-Digit ที่กรอก รวมถึง Session Cookie ที่เกิดขึ้น

แม้ว่ารหัส 2FA ที่เหยื่อกรอก จะไม่สามารถถูกนำมาใช้ซ้ำได้ แต่สิ่งที่ผู้โจมตีต้องการคือ Session Cookie โดย Cookie ดังกล่าวจะถูกป้อนผ่าน Developer Tools บนเว็บไซต์จริง แล้วกด Refresh แค่นั้นเอง ก็สามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้แล้ว

รายละเอียดเครื่องมือ: https://breakdev.

Adobe patches critical vulnerabilities in Flash, Creative Cloud

Adobe ออกแพทช์ด้านความปลอดภัยประจำเดือนพฤษภาคม เพื่อแก้ไขช่องโหว่จำนวนหนึ่ง รวมถึงช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบกับผู้ใช้งาน Adobe Creative Cloud Desktop application, Adobe Flash Player และ Adobe Connect

หนึ่งในช่องโหว่ที่ได้รับการแก้ไขคือ ช่องโหว่ที่ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้หากทำการโจมตีได้สำเร็จ(CVE-2018-4944) ส่งผลกระทบกับ Adobe Flash Player Desktop Runtime, Adobe Flash Player สำหรับ Google Chrome , Adobe Flash Player สำหรับ Microsoft Edge , Internet Explorer 11 เวอร์ชัน 29.0.0.140 และเวอร์ชั่นก่อนหน้านี้ที่กระทบระบบปฏิบัติการ Macintosh, Linux, Chrome OS, Windows 10 และ 8.1

ทาง Adobe ได้แก้ไขช่องโหว่อีก 3 ช่องโหว่ในแอปพลิเคชัน Creative Cloud Desktop ได้แก่ ช่องโหว่ CVE-2018-4992, CVE-2018-4991 และ CVE-2018-4873 ส่งผลกระทบต่อ Creative Cloud เวอร์ชั่น 4.5.0.331 ในระบบปฏิบัติการ Windows และ MacOS ส่งผลให้ผู้โจมตีสามารถบายพาสระบบความปลอดภัยและสามารถยกระดับสิทธิ์ในการเข้าถึง

นอกจากนี้ยังครอบคลุมช่องโหว่ที่ทำให้ผู้โจมตีสามารถบายพาสการพิสูจน์ตัวตนใน Adobe Connect เวอร์ชั่น 9.7.5 และก่อนหน้า(CVE-2018-4994) ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญได้

ทาง Adobe แนะนำให้ผู้ใช้ทำการอัพเดทแพทช์ด้านความปลอดภัยโดยด่วน เพื่อป้องกันการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา : zdnet

Google Maps flaw lets hackers redirect users to malicious sites

ผู้ใช้งาน Google Maps ในช่วงนี้จะต้องระมัดระวัง เนื่องจากพบว่าสามารถถูกใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในบริการแชร์ลิงก์(link-sharing) ของโปรแกรมเพื่อกระจายลิงก์จากเว็บไซต์ที่เป็นอันตราย

บริษัทด้านความปลอดภัย Sophos กล่าวว่า แม้ว่าแฮกเกอร์ไม่สามารถใช้ URLs ที่อยู่บน Google Maps ซึ่งถูกแชร์โดย Google เอง ในการเปลี่ยนเส้นทาง(redirect) ผู้ใช้ไปยังเว็บไซต์ที่ต้องการได้ แต่สามารถใช้ช่องโหว่จากบริการแชร์ลิงก์(maps[.]app[.]goo[.]gl/link=xxx) เพื่อ redirect ผู้ใช้งานไปยังฟิชชิ่งไซต์หรือมัลแวร์ไซต์ได้

นักวิจัยสังเกตเห็นว่า ผู้ไม่ประสงค์ดีบางกลุ่มกำลังมีการใช้ URL shortener เพื่อซ่อนลิงก์ของมัลแวร์หรือฟิชชิ่งไซต์ ในการเปลี่ยนเส้นทาง(redirect) เหยื่อไปยังเว็บไซต์ที่ไม่ปลอดภัย โดยส่วนใหญ่จะเป็นการเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์รัสเซียก่อน หลังจากนั้นลิงก์ที่เป็นอันตรายดังกล่าวจะถูกแชร์ผ่าน Google Maps อีกที ซึ่งส่วนนี้เป็นปัญหาจากการที่ Google ไม่มีกระบวนการในการตรวจสอบว่าลิงก์ที่ถูกแชร์ดังกล่าวเป็นลิงก์ที่ปลอดภัยหรือไม่

ทั้งนี้ผู้ใช้งานสามารถระมัดระวังตนเองได้โดยการสังเกต URL ของ Google Maps ที่ถูกแชร์มา โดย URL ดังกล่าวไม่ควรจะมีพารามิเตอร์ในแท็ก link ที่เป็นลิงค์อื่นๆ เช่น maps[.]app[.]goo[.]gl/?link=https%3A%2F%2Fexample.

Facebook Messenger malware is stealing your password and your money

พบมัลแวร์แพร่กระจายผ่าน Facebook Messenger อีกครั้ง แต่ความสามารถเพิ่มขึ้น !!!

มัลแวร์ตัวนี้ถูกเรียกว่า "FacexWorm" คาดว่าน่าจะเป็นตัวเดียวกับมัลแวร์ที่เคยระบาดบน Facebook Messenger เมื่อเดือนสิงหาคมปีที่แล้ว เหยื่อจะพบว่ามี Link ถูกส่งมาทาง Facebook Messenger ซึ่งผู้ส่งอาจจะเป็นเพื่อนที่ติดมัลแวร์ตัวนี้แล้ว เมื่อกด link ดังกล่าว จะทำการเปิดหน้า YouTube ปลอมขึ้นมา หากใช้ Google Chrome จะมีการแจ้งให้ผู้ใช้ติดตั้ง extension ที่มีชื่อว่า "Koblo"(ชื่ออาจจะถูกเปลี่ยนได้ในอนาคต)

ความสามารถของมัลแวร์ตัวนี้คือ สามารถขโมย credentials บน website ที่มีการใช้งาน, สามารถขโมยเงินดิจิตอล(cryptocurrency) เมื่อมีการเข้าไปทำธุรกรรมต่างๆ(Trading) และสุดท้ายคือสามารถใช้เครื่องผู้ใช้งานในการขุดสกุลเงินดิจิตอล นอกจากนี้ยังสามารถใช้บัญชีผู้ใช้ของเหยื่อในการโจมตีผู้อื่นต่อไปได้อีกด้วย

วิธีป้องกันตนเอง
- ไม่กดเข้า link ใดๆก็ตามที่ไม่น่าเชื่อถือ แม้มาจากคนรู้จักก็ตาม
- หากพบว่าถูกส่งมาจากคนรู้จัก ควรแจ้งเจ้าของบัญชีนั้นๆ
- ไม่ติดตั้ง extension ใดๆก็ตามที่ไม่รู้จัก

ที่มา : Komando

MS-ISAC Releases Advisory on PHP Vulnerabilities

MS-ISAC ประกาศแจ้งเตือนช่องโหว่ใน PHP หลายช่องโหว่ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมระบบหรือซอฟต์แวร์ที่มีช่องโหว่ได้ โดยในขณะนี้ยังตรวจไม่พบการใช้ช่องโหว่ดังกล่าวในการโจมตี

สำหรับช่องโหว่ในรอบนี้นั้นมีการถูกค้นพบกว่าหลาย 10 รายการ โดยส่งมีความรุนแรงของช่องโหว่อยู่ในระดับสูง (High) กระทบ PHP ตั้งแต่รุ่น 7.2 (ก่อน 7.2.5), 7.1 (ก่อน 7.1.17), 7.0 (ก่อน 7.0.30) และ 5.0 (ก่อน 5.6.36)
สำหรับผู้ใช้งานหรือนักพัฒนาที่มีการใช้ซอฟต์แวร์ในรุ่นที่มีช่องโหว่อยู่นั้น MS-ISAC แนะนำให้อัปเกรดเป็นรุ่นย่อยของแต่ละเวอร์ชัน ได้แก่ 7.2.5, 7.1.17, 7.0.30 และ 5.6.36 โดยทันที รวมไปถึงให้มีการตรวจสอบควบคู่ไปด้วยว่าระบบยังคงทำงานโดยปกติ ไม่มีการเข้าถึงหรือแก้ไขข้อมูลโดยที่ไม่ได้รับอนุญาต

ที่มา : us-cert

Hackers Deface Canon Security Cameras in Japan

พบกล้องวงจรปิดหลายๆแห่งในประเทศญี่ปุ่นถูกเจาะระบบ และทำการเปลี่ยนหน้าจอแสดงผล !!!

เมื่อวันที่ 6 พฤษภาคมที่ผ่านมา สื่อท้องถิ่นในประเทศญี่ปุ่นได้รายงานว่ากล้องวงจรปิดในหลายๆแห่งของประเทศญี่ปุ่น ซึ่งรวมถึงหน่วยงานราชการหลายๆแห่งถูกเจาะระบบ และเพิ่มข้อความว่า "I'm Hacked.