News

10 สิ่งที่ต้องรู้สำหรับ “มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ ปี 2563”

10 สิ่งที่ต้องรู้สำหรับ "มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ ปี 2563"

กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคมได้ออกประกาศ "มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์" ซึ่งจะมีผลบังคับใช้ตั้งแต่ 27 พ.ค. 2563 นี้ สิ่งที่ควรรู้มีดังนี้

ผู้ที่ร่วมประชุมผ่านสื่อ ต้องทำการยืนยันตัวเองผ่าน Username, Password หรือการใช้ OTP
แอปพลิเคชันที่ใช้ต้องสามารถถ่ายทอดภาพและเสียงได้อย่างชัดเจน และต้องมีการบันทึกภาพและเสียงตลอดการประชุม
ผู้ที่เป็นประธานต้องมีอำนาจควบคุมการประชุม เช่น การสั่งหยุดภาพและเสียงของผู้ประชุมได้
ผู้เข้าร่วมประชุมต้องสามารถเข้าถึงเอกสารการประชุมได้ โดยผู้จัดการประชุมอาจจะส่งเอกสารให้ก่อนหรือหลังการประชุมก็ได้
ถ้าเกิดมีการโหวตในที่ประชุม ให้ทำการแสดงสัญลักษณ์หรือข้อความสำหรับการโหวตทั่วไป สำหรับการประชุมลับให้ใช้เเบบสอบถามออนไลน์ในการโหวต
ผู้จัดการประชุมต้องจัดเก็บข้อมูลการประชุมของผู้เข้าร่วมประชุม เช่น ภาพ, เสียง, จำนวนผู้เข้าร่วมประชุม, รายชื่อผู้เข้าร่วมประชุม, ข้อมูลการเข้าใช้งานของผู้เข้าร่วมประชุม, วันและเวลาในการรร่วมประชุม
หากมีการขัดข้องในการประชุม ผู้จัดประชุมต้องมีแผนสำรองหรือแอปพลิเคชันที่จะใช้ในเหตุที่เกิดความขัดข้อง
เมื่อจบการประชุมแล้ว ผู้ดูแลการประชุมหรือผู้ให้บริการในการประชุมต้องจัดส่งข้อมูลที่ทำการบันทึกให้ผู้จัดการประชุมภายในเวลา 7 วัน
เมื่อเกิดเหตุทำให้มีการทำลายการประชุม ให้ผู้จัดการประชุมทำการทำลายข้อมูลเช่น ภาพ, เสียงหรือบันทึกการประชุมด้วยเทคโนโลยีที่เชื่อถือได้และปลอดภัย
(เฉพาะการประชุมลับ) ถ้าจัดการประชุมกับหน่วยงานของรัฐ ผู้จัดการประชุมต้องใช้แอปพลิเคชันที่ผ่านการประเมินของหน่วยงานของรัฐและต้องมีเซิร์ฟเวอร์การให้บริการในประเทศไทยเท่านั้น

ที่มา: ดาวน์โหลดเอกสาร

26 million LiveJournal accounts being shared on hacker forums

บัญชี LiveJournal จำนวน 26 ล้านบัญชีถูกนำมาเผยเเพร่บนแฮกเกอร์ฟอรัม
พบฐานข้อมูลบัญชีผู้ใช้ LiveJournal มากกว่า 26 ล้านบัญชีถูกแชร์บนแฮกเกอร์ฟอรัม นักวิจัยตั้งข้อสันนิษฐานว่าฐานข้อมูลบัญชี LiveJournal นี้น่าจะถูกละเมิดตั้งเเต่ปี 2014 และน่าจะมีข้อมูลผู้ใช้มากกว่า 33 ล้านคน

ฐานข้อมูลบัญชีผู้ใช้ LiveJournal ที่ถูกพบบนแฮกเกอร์ฟอรัมนั้นประกอบไปด้วย อีเมล, ชื่อบัญชีของผู้ใช้, โปรไฟล์ URL และรหัสผ่านแบบ plaintext ที่ถูกถอดแฮชจากฟังก์ชันแฮช MD5
ทั้งนี้ผู้ใช้งาน LiveJournal ควรทำการตรวจสอบอีเมลของผู้ใช้งานบนเว็บไซต์ haveibeenpwned ที่ให้บริการตรวจสอบการรั่วไหลของอีเมล ถ้าหากบริการ Have I Been Pwned แสดงว่ามีอีเมลอยู่ในฐานข้อมูลเว็บไซต์ ผู้ใช้งานควรทำการเปลี่ยนรหัสผ่าน LiveJournal ทันทีเพื่อความปลอดภัยของบัญชีผู้ใช้

ที่มา: bleepingcomputer, zdnet

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

Discord client turned into a password stealer by updated malware

โทรจัน AnarchyGrabber3 รุ่นใหม่ปรับความสามารถในการขโมยบัญชี Discord

MalwareHunterteam ได้เผยถึงการค้นพบโทรจัน AnarchyGrabber3 เวอร์ชันใหม่ที่ได้รับการปรับปรุงให้มีความสามารถขโมยรหัสผ่านและโทเค็นของผู้ใช้รวมไปถึงทำการปิดการใช้งาน 2FA และสามารถกระจายมัลแวร์ไปยังเพื่อนของผู้ที่ตกเหยื่อ โดยการเเพร่กระจายโทรจัน AnarchyGrabber3 ใน Discord นั้นทำโดยการเเสร้งว่าเป็นซอฟต์แวร์เครื่องมือโกงเกม, บอทเกมหรือซอฟต์แวร์ที่มีลิขสิทธิ์

เมื่อติดตั้งซอฟต์แวร์แล้ว AnarchyGrabber3 ที่ถูกเเฝงมาจะทำการแก้ไขไฟล์ %AppData%\Discord\<version>\modules\discord_desktop_core\index.

Docker fixes Windows client bug letting programs run as SYSTEM

Docker ทำการเเก้ไขช่องโหว่ที่ทำให้สามารถดำเนินการด้วยสิทธ์ SYSTEM บน Windows
Docker ทำการแก้ไขช่องโหว่ความปลอดภัยใน Docker สำหรับ Windows Desktop ที่อนุญาตให้ผู้โจมตีสามารถดำเนินการคำสั่งด้วยสิทธิ์ SYSTEM ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-11492
Docker Desktop สำหรับ Windows หลังจากการติดตั้งจะเริ่มต้นของแอปพลิเคชันด้วยการสร้าง child โปรเซสที่ใช้เชื่อมต่อกับเซอร์วิสของ Windows ชื่อว่า pipes ซึ่งเป็น child โปรเซสที่จะอนุญาตให้เซิร์ฟเวอร์ทำการเชื่อมต่อกับไคลเอนต์ด้วยสิทธิ์ SYSTEM ผู้โจมตีสามารถใช้ประโยน์จากสิ่งนี้เพื่อทำการยกระดับสิทธิ์บนระบบที่ทำการบุกรุก
ช่องโหว่นี้มีผลกับ Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ที่ได้ทำการเเก้ไขก่อนจะปล่อยให้ทำการอัพเดตเมื่อวันที่ 11 พฤษภาคมที่ผ่านมา
ทั้งนี้ผู้ใช้งาน Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ควรทำการอัพเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ดังกล่าวและลดความเสี่ยงจากการถูกผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: bleepingcomputer

RagnarLocker Ransomware ใช้เทคนิคการติดตั้งมัลเเวร์บน Virtual Machine เพื่อซ่อนตัวจากซอฟต์แวร์ป้องกันไวรัส

ทีมวิจัยจากบริษัท Sophos ได้เผยเเพร่ข้อมูล RagnarLocker ransomware ซึ่งใช้เทคนิคในการหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันไวรัสโดยการติดตั้ง VirtualBox และทำการรันตัวเองบน Virtual Machine (VM) ในเครื่องที่ติดเชื้อของผู้ใช้

รูปแบบการใช้ RagnarLocker ransomware โจมตีนั้นผู้โจมตีได้ใช้ช่องโหว่การโจมตี Windows Remote Desktop Protocol (RDP) ในกลุ่มเป้าหมาย เมื่อสามารถเข้าถึงเป้าหมายได้ ผู้โจมตีที่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะใช้งาน GPO เพื่อเรียกใช้ Microsoft Installer (msiexec.

รายงาน Verizon Data Breach Investigations Report 2020 เผย DoS มีอัตราการโจมตีที่สูงมากขึ้น

Verizon ได้ออกรายงาน DBIR ประจำปี 2020 โดยใจความสำคัญของรายงานนั้นชี้ว่าภัยคุกคามอันดับต้น ๆ หรือ Threat Action Varieties นั้นจะพบโจมตีการปฏิเสธการให้บริการ (DoS), Phishing, Ransomware และการละเมิดข้อมูลทางการเงินเป็นกลุ่มเหตุการณ์ที่ถูกพบมากที่สุดในรายงาน Verizon DBIR ของปีนี้

Verizon DBIR มีการนำรายละเอียดมาจากการวิเคราะห์เหตุการณ์ด้านความปลอดภัยจำนวน 32,002 รายการ โดยพบว่ามีการละเมิดข้อมูล 3,950 รายการในกลุ่มอุตสาหกรรม 16 กลุ่ม ส่วนการโจมตี DoS นั้นเป็นรูปแบบที่ใช้ในการใช้โจมตีมากที่สุดและมีจำนวนเพิ่มขึ้นซึงมีเหตุการณ์ 13,000 เหตุการณ์และถูกมองว่าเป็นเครื่องมือการโจมตีของอาชญากรไซเบอร์ที่มากที่สุด โดยคิดเป็น 40% ของเหตุการณ์ความปลอดภัยที่รายงาน

ในรายงาน Verizon DBIR ยังพบว่าในปี 2019 ที่ผ่านมานั้นการโจมตีและการจารกรรมทางไซเบอร์มีเปอร์เซ็นต์ที่ลดลงเหลือเพียงแค่ 3.2 เปอร์เซ็นต์จาก 13.5 เปอร์เซ็นต์ในปี 2018 แต่พบแคมเปญที่ทำการกำหนดเป้าหมายเพื่อทำการจารกรรมและการโจมตีมากขึ้น เช่นแคมเปญโจมตีองค์การอนามัยโลก (WHO), การจารกรรมข้อมูลในของหน่วยงานหรือรัฐบาลในภูมิภาคเอเชียแปซิฟิก เป็นต้น

ทั้งนี้ผู้ที่สนใจรายงานสามารถอ่านเพิ่มเติมได้ทีนี้:https://enterprise.

A massive database of 8 billion Thai internet records leaks

พบฐานข้อมูลบันทึกการใช้งานอินเตอร์เน็ตจาก AIS รั่วไหล มีข้อมูลกว่า 8.3 พันล้านรายการ ดำเนินการปิดเรียบร้อยแล้ว

นักวิจัยด้านความปลอดภัย Justin Paine พบฐานข้อมูล ElasticSearch สามารถเข้าถึงได้จากอินเตอร์เน็ตโดยไม่ต้องเข้าสู่ระบบ โดย Justin Paine ระบุว่าฐานข้อมูลนั้นเป็นของ Advanced Wireless Network (AWN).ซึ่งอยู่ในเครือ Advanced Info Service (AIS) โดยมีข้อมูลกว่า 8.3 พันล้านรายการ ฐานข้อมูลดังกล่าวมีข้อมูล DNS query และ Netflow data ซึ่งข้อมูลเหล่านี้สามารถใช้เพื่อตรวจสอบพฤติกรรมการเข้าอินเตอร์เน็ตได้

Justin Paine ยกตัวอย่างการดึงข้อมูล DNS query จาก 1 ไอพี พบข้อมูลการเข้าเว็บไซต์ต่างๆ ซึ่งสามารถอนุมานจากข้อมูลได้ว่าบุคคลนี้ใช้อุปกรณ์อะไรบ้าง ระบบปฏิบัติการมือถืออะไร ใช้โปรแกรมป้องกันมัลแวร์ใด เข้าเว็บไซต์อะไรบ้าง ใช้เบราว์เซอร์อะไร แต่ปกติแล้วในบ้านหรือออฟฟิศมักจะมีการแชร์ไอพีกัน ทำให้ไม่สามารถระบุลึกถึงตัวตนรายบุคคลได้ แต่มีประโยชน์มากกับการทำโฆษณา

Justin Paine พบฐานข้อมูลนี้ในวันที่ 7 พ.ค. 2020 เขาพยายามติดต่อ AIS ในวันที่ 13-21 พ.ค. 2020 แต่ไม่ได้รับการตอบรับ จึงติดต่อ ThaiCERT ในวันที่ 21 พ.ค. 2020 โดยไม่สามารถเข้าถึงฐานข้อมูลนี้ได้อีกในวันที่ 22 พ.ค. 2020

ทั้งนี้ TechCrunch พยายามติดต่อขอข้อมูลเพิ่มเติมจากทาง AIS แต่ยังไม่ได้รับการตอบรับ

ที่มา : rainbowtabl

VMware fixes CVE-2020-3956 Remote Code Execution issue in Cloud Director

VMware ออกเเพตซ์แก้ไข CVE-2020-3956 ใน VMware Cloud Director

VMware ได้ทำการแก้ไขช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ที่ถูกค้นพบช่องโหว่โดย Tomáš Melicher และ LukášVáclavík จาก Citadelo ถูกระบุเป็นรหัส CVE-2020-3956 ในผลิตภัณฑ์ VMware Cloud Director

ช่องโหว่ CVE-2020-3956 (CVSSv3 8.8) เป็นช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกล ซึ่งช่องโหว่สามารถทำให้ผู้โจมตีที่ได้รับการรับรองความถูกต้องสามารถส่งทราฟฟิกที่เป็นอันตรายไปยัง Cloud Director เพื่อทำการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต การโจมตีช่องโหว่ดังกล่าวสามารถใช้ช่องโหว่ผ่านทาง HTML5 และ Flex-based UIs, API Explorer interface และ API access

ช่องโหว่นี้ส่งผลกระทบต่อ VMware Cloud Director 9.5.x, 9.7.x และ 10.0.x บนระบบปฏิบัติการ Linux และ Photon OS

ทั้งนี้ VMware Cloud Director เวอร์ชัน 8.x, 9.0.x, 9.1.x และ 10.1.0 บนระบบปฏิบัติการ Linux จะไม่ได้รับผลกระทบนี้ ผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ VMware vCloud Director เป็นเวอร์ชัน 9.1.0.4, 9.5.0.6, 9.7.0.5 และ 10.0.0.2 เพื่อแก้ปัญหาช่องโหว่และลดความเสี่ยงต่อการถูกโจมตี

ที่มา: securityaffairs

British Airline EasyJet Suffers Data Breach Exposing 9 Million Customers’ Data

สายการบิน EasyJet เกิดเหตุการณ์ข้อมูลรั่วไหล กระทบลูกค้า 9 ล้านราย

สายการบิน EasyJet ออกประกาศวันที่ 19 พ.ค. 2020 แจ้งเหตุการณ์ข้อมูลรั่วไหล ลูกค้า 9 ล้านกว่ารายถูกเข้าถึงอีเมล โดยมีลูกค้า 2,208 รายถูกเข้าถึงข้อมูลบัตรเครดิต พร้อมระบุว่าลูกค้าทั้งหมดที่ได้รับผลกระทบจะได้รับการติดต่อภายในวันที่ 26 พ.ค. 2020

ทางสายการบินยังไม่ได้ให้รายละเอียดว่าข้อมูลดังกล่าวถูกเข้าถึงได้อย่างไรและถูกเข้าถึงนานเท่าไรก่อนการประกาศในครั้งนี้ โดยสายการบินได้ทำตามขั้นตอนรับมือภัยคุกคาม จ้างผู้เชี่ยวชาญพิสูจน์หลักฐาน แจ้ง Information Commissioner's Office (ICO) และแจ้งหน่วยงานที่เกี่ยวข้องกับความปลอดภัยของข้อมูลแล้ว

ที่มา : thehackernews