News

Ransomware halts production for days at major airplane parts manufacturer

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

Your Linux Can Get Hacked Just by Opening a File in Vim or Neovim Editor

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

Hacker Discloses Second Zero-Day to Bypass Patch for Windows EoP Flaw

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

Microsoft warns about email spam campaign abusing Office vulnerability

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

Adobe fixes critical security flaws in Flash, ColdFusion, Campaign

Adobe ทำการแก้ไขช่องโหว่ด้านความปลอดภัยบน Flash, ColdFusion และ Campaign Classic

Adobe ออกแพตช์แก้ไขประจำเดือนมิถุนายน 2019 ช่องโหว่ส่วนใหญ่ที่ถูกแก้นี้มักจะเป็นช่องโหว่ที่ทำให้รันโค้ดได้โดยไม่ได้รับอนุญาต

ใน Adobe Flash มีการแก้ไขเพียงช่องโหว่เดียวสำหรับซอฟต์แวร์รุ่น 32.0.0.192 และก่อนหน้าบนระบบ Windows, macOS, Linux และ Chrome OS คือช่องโหว่ CVE-2019-7845 ช่องโหว่ด้านความปลอดภัยที่ทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตได้

Adobe ColdFusion รุ่น 11 , 2016 และ 2018 มีแก้ไข 3 ช่องโหว่ คือ CVE-2019-7838, CVE-2019-7839 และ CVE-2019-7840 เป็นช่องโหว่ที่สามารถแนบไฟล์ที่เป็นอันตราย ช่องโหว่ command injection และช่องโหว่ที่ทำให้รันโค้ดที่ไม่ปลอดภัยโดยไม่ได้รับอนุญาตได้

และใน Adobe Campaign Classic แก้ไข 7ช่องโหว่ มีช่องโหว่ร้ายแรงมากคือ CVE-2019-7850 เป็นช่องโหว่ command injection ส่วนช่องโหว่อื่น CVE-2019-7843, CVE-2019-7941, CVE-2019-7846, CVE-2019-7848 และ CVE-2019-7849 สามารถทำให้ข้อมูลรั่วไหลได้ และ CVE-2019- 7847 ให้สิทธิ์ในการเข้าถึงอ่าน file system ได้

Adobe ได้ขอบคุณนักวิจัยจาก Zero Day Initiative ของ Trend Micro ทีม 404 Booz Allen Hamilton และโซลูชั่น Cyber ของ Aon สำหรับการรายงานช่องโหว่ต่างๆ ในแพตช์ครั้งนี้

ผู้ใช้ควรทำการ update patch เพื่อหลีกเลี่ยงการโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา:zdnet

Microsoft Patches Critical Vulnerabilities in NTLM

Microsoft ออกแพตช์ประจำเดือนมิถุนายน 2019 แก้ไขช่องโหว่กว่า 90 ช่องโหว่ รวมถึง 2 ช่องโหว่ในระดับ Critical ที่มีผลกระทบกับโปรโตคอล NTLM

CVE-2019-1040 และ CVE-2019-1019 คือช่องโหว่ภายใน NTLM ที่ทำให้ผู้โจมตีข้ามกลไกการตรวจสอบสิทธิ์ของ NTLM ได้ โดยมีผลกระทบต่อ windows ทุกรุ่น ผู้โจมตีที่ใช้งานช่องโหว่นี้จะสามารถรันโค้ดอันตรายบนเครื่อง windows หรือเข้าถึง HTTP server ที่รองรับ Windows Integrated Authentication (WIA) ซึ่งจะรวมถึง Exchange และ ADFS

NTLM นั่นอาจถูกโจมตีจาก relay attacks ได้ ทำให้ Microsoft เพิ่มกลไกในการป้องกันการโจมตีดังกล่าว แต่นักวิจัยจาก Preempt พบวิธีที่จะข้ามกลไกการป้องกันได้แก่ Message Integrity Code (MIC) SMB Session Signing และ Enhanced Protection for Authentication (EPA) ได้ ทำให้สามารถทำการโจมตีด้วย relay attacks สำเร็จได้

ผู้ใช้ควรทำการ update แพตช์ให้เป็นปัจจุบัน ทำการตั้งค่าบนเครื่อง server ให้ปลอดภัย ได้แก่บังคับใช้SMB Signing, บล็อก NTLMv1, บังคับใช้ LDAP/S Signing และบังคับใช้ EPA และลดการใช้งาน NTLM ในส่วนที่ไม่จำเป็น

ที่มา:securityweek

BlackSquid Uses 7 Exploits to Infect Web Servers with Miners

Trend Micro ได้พบมัลแวร์ตัวใหม่โดยตั้งชื่อว่า BlackSquid ซึ่งมีการใช้งานเครื่องมือโจมตีถึง 8 อย่างเพื่อโจมตีเป้าหมาย
นอกจากนั้น BlackSquid ยังมีความสามารถตรวจสอบว่าถูก Debug หรือตรวจสอบว่ารันอยู่ใน Sandbox โดยรูปแบบการติดมัลแวร์ตัวนี้ว่าเป็นไปได้ 3 ทางคือ web servers, network drives และ removable drives ปัจจุบัน BlackSquid มุ่งโจมตีเว็บเซิร์ฟเวอร์เพื่อขุดเหมือง Monero แต่ยังอยู่ในระหว่างการพัฒนาทำให้อาจมีการเปลี่ยนจุดมุ่งหมายในการโจมตีได้
เครื่องมือโจมตีถึง 8 อย่างใน BlackSquid ประกอบด้วยเครื่องมือแฮก EternalBlue และ DoublePulsar ของ NSA เครื่องมือโจมตีช่องโหว่ใน ThinkPHP สำหรับรุ่นที่แตกต่างกันสามรุ่น เครื่องมือโจมตีเพื่อใช้โค้ดจากระยะไกล (remote code execution) ผ่านทาง CVE-2014-6287 บน Rejetto HTTP File Server เครื่องมือโจมตีช่องโหว่ CVE-2017-12615 บน Apache Tomcat และเครื่องมือโจมตี CVE-1017-8464 บน Windows Shell
BlackSquid จะใช้ GetTickCount API เพื่อสุ่มหา live IP ของเว็บเซิร์ฟเวอร์จากนั้นจึงเริ่มการโจมตีผ่านการใช้ช่องโหว่หรือ Brute-force ซึ่ง BlackSquid จะทำการตรวจสอบเครื่องที่จะโจมตีก่อนโดยตรวจสอบปัจจัยต่างๆ อย่างเช่น Username, ไดร์ฟเวอร์ หรือ DLL เพื่อให้แน่ใจว่าไม่ในอยู่ใน sandbox, Virtual Machine หรือ Debugger มิฉะนั้นจะหยุดขั้นตอนการติดเชื้อและไม่แสดงพฤติกรรมน่าสงสัย
เมื่อ BlackSquid แน่ใจว่าตัวเองไม่ได้จากนั้นจึงเริ่มทำงาน ติดตั้ง XMRig เข้ามาเพื่อขุดเหมืองเงินดิจิทัล Monero และหากตรวจสอบพบว่าเครื่องเหยื่อใช้การ์ดจอ Nvidia หรือ AMD ก็จะมีส่วนประกอบเพิ่มเติมเพื่อใช้งาน GPU ร่วมขุดเหมืองด้วย นอกจากนี้ถ้า BlackSquid สามารถโจมตีช่องโหว่ CVE-1017-8464 บน Windows Shell ได้สำเร็จก็จะมีสิทธิ์ระดับเดียว local system user อีกด้วย ซึ่งอาจถูกใช้เพื่อเปิดช่องทางให้ผู้โจมตีเข้าควบคุมเครื่องเพื่อขโมยข้อมูลหรือใช้ประโยชน์อื่นๆ ได้

ที่มา :bleepingcomputer.

MacOS Zero-Day Allows Trusted Apps to Run Malicious Code

นักวิจัยพบช่องโหว่ Zero Day บนระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple สามารถหลอกระบบปฏิบัติการให้รันคำสั่งอันตรายได้
Patrick Wardle นักวิจัยด้าน MacOS เปิดเผยช่องโหว่ดังกล่าวเมื่อวันจันทร์ (3 มิถุนายน 2019) ว่าในระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple มีฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) ซึ่งอนุญาตให้ใช้งานเฉพาะโปรแกรมที่ได้รับอนุญาต (Trusted Apps) ซึ่ง Patrick Wardle พบว่ามีช่องโหว่ในการตรวจสอบว่าโปรแกรมที่ได้รับอนุญาตนั้นถูกดัดแปลงมาหรือไม่ ในกรณีที่เขาดัดแปลงโปรแกรมที่ได้รับอนุญาตให้เป็นโปรแกรมอันตราย เขาจะสามารถใช้ฟังก์ชันจำลองการคลิกเมาส์ดังกล่าวเพื่อเข้าถึงข้อมูลสำคัญได้ เช่น เปิดไมโครโฟน หรือเข้าถึงข้อมูลพิกัด GPS ของเครื่อง
Patrick Wardle ได้แสดง proof-of-concept การโจมตีด้วยช่องโหว่ดังกล่าวด้วยการดัดแปลงโปรแกรม VLC ซึ่งเป็นหนึ่งในโปรแกรมที่ได้รับอนุญาตให้ใช้ฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) และสาธิตการโจมตีด้วยการจำลองการคลิกเมาส์โดยไม่ต้องมี user's interaction ทั้งนี้หากผู้โจมตีต้องการโจมตีอย่างแนบเนียนก็จะสามารถสั่งให้มีการจำลองการคลิกเมาส์เฉพาะเวลาที่เครื่องอยู่ในโหมด sleep ได้
ช่องโหว่ดังกล่าวถูกรายงานต่อ Apple แล้วแต่ยังไม่ได้รับการยืนยันว่าจะแก้ไขหรือไม่ โดย Patrick Wardle ระบุว่าการใช้ช่องโหว่ดังกล่าวถือเป็นการโจมตีขั้นที่สองที่ผู้โจมตีต้องสามารถควบคุมเครื่องได้ก่อน หรือสามารถลงโปรแกรมที่ถูกดัดแปลงไว้ได้แล้ว

ที่มา :thehackernews.

Cisco Fixes High Severity Flaws in Industrial, Enterprise Tools

Cisco ประกาศแพตช์ช่องโหว่ระดับความร้ายแรงสูงสำหรับโซลูชัน Industrial และ Enterprise

Cisco ประกาศแพตช์สำหรับสองช่องโหว่ในโซลูชัน Cisco Industrial Network Director (IND) และ Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS, and Cisco Expressway Series) วันนี้หลังจากมีการตรวจพบช่องโหว่ที่มีความร้ายแรงระดับสูง

สำหรับ Cisco IND นั้น มีการตรวจพบช่องโหว่รหัส CVE-2019-1861 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution โดยมีที่มาจากการไม่ตรวจสอบไฟล์ที่ถูกอัปโหลดไปยังแอปพลิเคชันอย่างเหมาะสม ส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ซึ่งเป็นอันตรายได้ด้วยสิทธิ์ของผู้ดูแลระบบ ช่องโหว่ได้คะแนน CVSSv3 เท่ากับ 7.2 โดยผู้ใช้งานสามารถทำการอัปเดตเป็น Cisco IND เวอร์ชัน 1.6.0 เพื่อรับการแก้ไขช่องโหว่ได้

สำหรับ Cisco Unfied Presence นั้น มีการตรวจพบช่องโหว่รหัส CVE-2019-1845 ซึ่งเป็นช่องโหว่ประเภท Denial-of-Service (DoS) ที่คะแนน CVSSv3 เท่ากับ 8.6 โดยที่มาของช่องโหว่นี้มาจากการที่ซอฟต์แวร์ไม่ได้มีการตรวจสอบกระบวนการทำงานซึ่งเกี่ยวข้องกับหน่วยความจำอย่างเหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งแพ็คเกตเฉพาะในโปรโตคอล Extensible Messaging and Presence Protocol (XMPP) เพื่อทำให้เกิดเงื่อนไข DoS ได้ รายการของผลิตภัณฑ์ที่มีช่องโหว่และเวอร์ชันที่มีการแก้ไขช่องโหว่แล้วสามารถตรวจสอบได้จาก Cisco Security Advisory ที่ tools.

Remote Desktop Zero-Day Bug Allows Attackers to Hijack Sessions

พบช่องโหว่ RDP ใหม่ ผู้โจมตีสามารถขโมย Session ได้

พบช่องโหว่ที่ยังไม่แก้ไขใน Microsoft Windows Remote Desktop Protocol (RDP) โดยผู้โจมตีสามารถผ่านหน้า Lock Screen ของฝั่งผู้ใช้งานที่เชื่อมต่ออยู่ได้ ได้รับ CVE-2019-9510 กระทบ Windows 10 ตั้งแต่เวอร์ชัน 1803 และ Windows Server 2019 ในการโจมตีนี้ทำให้ผู้โจมตีสามารถขโมย session แม้ว่าหน้าจอของผู้ใช้งานถูกล็อกอยู่ โดยเกิดจากฟังก์ชั่น Network Level Authentication (NLA) ที่ทำงานไม่ใช่อย่างที่ควรจะเป็น
ช่องโหว่นี้ถูกค้นพบโดย Joe Tammariello จาก Carnegie Mellon University Software Engineering Institute (SEI) โดยทีม CERT/CC ของ Carnegie Mellon University ได้อธิบายขั้นตอนในการโจมตีดังต่อไปนี้
1. User ใช้เครื่องคอมพิวเตอร์ต้นทางเชื่อมต่อกับเครื่องคอมพิวเตอร์ปลายทางที่เป็น Windows 10 เวอร์ชั่น 1803 หรือ Server 2019 ผ่าน RDP
2. User ล็อก Remote Desktop Sessions
3. User เดินไปทำอย่างอื่นโดยปล่อยให้เครื่องต้นทางยังเชื่อมต่อกับเครื่องปลายทาง (เครื่องต้นทางยังเป็น RDP client)
ผู้โจมตีที่สามารถเข้าถึงเครื่องต้นทางที่ไม่มีคนดูแลจะสามารถโจมตีช่องโหว่ดังกล่าวได้ โดยผู้โจมตีต้องทำให้การเชื่อมต่ออินเตอร์เน็ตของเครื่องต้นทางสะดุดเพื่อให้เกิดการ reconnect RDP ไปยังเครื่องคอมพิวเตอร์ปลายทาง ซึ่งเมื่อ reconnect แล้ว ผู้โจมตีจะสามารถควบคุมเครื่องปลายทางได้แม้กว่าเครื่องปลายทางจะถูกล็อกอยู่
โดย Joe Tammariello ได้มีการแจ้งให้กับ Microsoft ทราบถึงปัญหานี้ในวันที่ 19 เมษายน แต่ทางบริษัทก็ยังไม่มีแผนที่จะแก้ไขในเร็ว ๆ นี้
อย่างไรก็ตามผู้ใช้สามารถป้องกันตัวเองได้โดยทำการตัดการเชื่อมต่อ Remote Desktop Sessions จากเครื่องปลายทางก่อนไปทำอย่างอื่น
ทั้งนี้ NLA สามารถใช้เพื่อป้องกันช่วงโหว่ RDP อีกช่องโหว่หนึ่ง คือช่องโหว่ BlueKeep บน Windows 7 และ Windows Server 2008 ได้

bleepingcomputer.