News

Use an 8-char Windows NTLM password? Don’t. Every single one can be cracked in under 2.5hrs

นักวิจัยด้านความปลอดภัย Steven Myer แสดงให้เห็นว่ารหัสผ่าน 8 ตัวอักษร (53- บิต) สามารถถูกคาดเดา (Brute force) ได้ใน 44 วัน หรืออาจถูกคาดเดาได้ภายใน 14 วินาทีหากใช้ HashCat 6.0.0 ควบคู่ไปกับ rainbow tables โดยใช้ความเร็วของ GPU ในการโจมตี จากการทดสอบนักวิจัยได้ใช้ Nvidia GTX 2080Ti GPUs 8 ตัว ในการโจมตีแบบออฟไลน์ เพื่อเดารหัสผ่านในการเข้าถึงเครื่องผ่าน NTLM และพบว่าสามารถทำการคาดเดาได้ถึง 100GH/s (gigahashes per second)

อย่างไรก็ตามการตั้งรหัสผ่านด้วยความยาวอย่างน้อย 8 ตัวนั้น ถูกใช้เป็นเกณฑ์มาตรฐานที่ได้รับการแนะนำให้ปฏิบัติตามโดย NIST แต่ก็ยังมีผู้ให้บริการหลายรายที่ไม่ได้ปรับปรุงระบบตัวเองให้รองรับตามคำแนะนำดังกล่าว ทั้งนี้ปัจจุบัน Hardware มีการพัฒนาอย่างต่อเนื่อง ส่งผลทำให้เกิดประสิทธิภาพการทำงานที่ดียิ่งขึ้น ดังนั้นในอนาคตข้อแนะนำต่างๆ ด้านความปลอดภัยอาจต้องมีการปรับตัวตามให้ทัน

ที่มา: theregister

Cryptojacking Coinhive Miners for the first time found on the Microsoft Store

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Symantec ค้นพบแอพพลิเคชั่นใน Microsoft Store ที่ใช้แพร่กระจายสคริปต์สำหรับขุดบิทคอยน์

แอพพลิเคชั่นที่พบว่ามีการฝัง Coinhive สคริปต์ มีด้วยกัน 8 รายการ ได้แก่ Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019 และ Findoo Mobile & Desktop Search โดยมีการเพิ่มแอพพลิเคชั่นที่เป็นอันตรายใน Microsoft Store ระหว่างเดือนเมษายนถึงธันวาคม ปีที่แล้ว

สคริปต์ที่ใช้สำหรับขุดบิทคอยน์ถูกติดตั้งในแอพพลิเคชั่นผ่าน Google Tag Manager (GTM) library ซึ่งปกติถูกใช้โดยผู้พัฒนา (Developer) เพื่อใส่สคริปต์สำหรับใช้ในการทำ Analytics ทันทีที่มีการเปิดแอพพลิเคชั่น จะมีการเรียกสคริปต์สำหรับขุดบิทคอยน์ผ่าน Google Tag Manager (GTM) และเริ่มใช้ CPU ของคอมพิวเตอร์เพื่อเริ่มต้นการขุด

จากการวิเคราะห์ทราฟฟิกเครือข่ายที่เกี่ยวข้องกับแอพพลิเคชั่นทั้งหมด ทำให้นักวิจัยสามารถระบุได้ว่าเซิร์ฟเวอร์ (C&C) ทั้งหมดมาจากที่เดียวดัน และแอพพลิเคชั่นน่าจะเผยแพร่โดยนักพัฒนาเดียวกันแต่ใช้ชื่อที่แตกต่างกัน

คำแนะนำ
ปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอ
อย่าดาวน์โหลดแอพพลิเคชั่นจากเว็บไซต์ที่ไม่น่าเชื่อถือ
ติดตั้งแอพจากแหล่งที่เชื่อถือได้เท่านั้น
ตรวจสอบการร้องขอสิทธิ์เข้าถึงความสามารถเครื่องจากแอพพลิเคชั่นที่ติดตั้ง
สังเกตการใช้งาน CPU และหน่วยความจำ (RAM) ของคอมพิวเตอร์หรืออุปกรณ์ว่าผิดปกติหรือไม่
ติดตั้งแอพความปลอดภัยที่เหมาะสม เพื่อปกป้องอุปกรณ์และข้อมูล
ทำการสำรองข้อมูลที่สำคัญบ่อยครั้ง

ที่มา: securityaffairs

Adobe Fixes 43 Critical Acrobat and Reader Flaws

Adobe ได้ทำการแก้ไขช่องโหว่ที่มีสำคัญและร้ายแรง 75 รายการ ครอบคลุม Acrobat Reader DC, Adobe Flash Player, Adobe Coldfusion และ Creative Cloud Desktop

แพทช์ที่ออกมาเป็นการแก้ไขช่องโหว่ระดับร้ายแรง (Critical) 43 รายการใน Acrobat Reader ซึ่งรวมถึงแก้ไข ข้อผิดพลาด zero-day ที่ 0patch ได้ปล่อยแพทช์ชั่วคราวออกมาก่อนหน้านี้ ข้อผิดพลาดดังกล่าวทำให้ผู้โจมตีสามารถขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่านที่อยู่ในรูปแบบของค่า hash นอกจากนี้ยังมีช่องโหว่อื่นๆ เช่น
- CVE-2018-19725 และ CVE-2019-7041 เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถเพิ่มระดับสิทธิ์ตัวเองได้ (Privilege Escalation)
- CVE-2019-7030 เป็นช่องโหว่ที่ทำให้มีการเปิดเผยข้อมูล

นอกจากนี้ยังมีช่องโหว่อื่นๆ อย่างเช่น ช่องโหว่ที่ทำให้สามารถสั่งรันคำสั่งได้ตามต้องการ และช่องโหว่ที่เกี่ยวกับการจัดการหน่วยความจำของข้อมูล (buffer, out of bound และ use-after-free) โดยเวอร์ชันที่ได้รับผลกระทบ ได้แก่ Acrobat DC และ Acrobat Reader DC Continuous (เวอร์ชั่น 2019.010.20069 และรุ่นก่อนหน้า) Acrobat และ Acrobat Reader Classic 2017 (เวอร์ชั่น 2017.011.30113 ขึ้นไป) และ Acrobat DC และ Reader DC Classic 2015 (รุ่น 2015.006.30464 และรุ่นก่อนหน้า) ทั้งบน Windows และ macOS

รวมทั้งช่องโหว่ใน ColdFusion (CVE-2019-7091) ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ และช่องโหว่อื่นที่ได้รับการแก้ไข ได้แก่ ช่องโหว่การยกระดับสิทธิ์ (CVE-2019-7093) ใน Creative Cloud Desktop (รุ่น 4.7.0.400 และรุ่นก่อนหน้า), ช่องโหว่การเปิดเผยข้อมูล (CVE-2019-7090) ใน Adobe Flash (รุ่น 32.0.0.114 และก่อนหน้า บน Desktop Runtime, Google Chrome, Microsoft Edge และ IE 11)

แนะนำให้ผู้ใช้งานทำการอัพเดตแพทช์ที่ออกมาประจำเดือนกุมภาพันธ์นี้ เพื่อแก้ไขช่องโหว่ที่เกิดขึ้น

ที่มา: threatpost.

Microsoft February 2019 Patch Tuesday Includes Fixes for 70 Vulnerabilities

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2019 แก้ไขช่องโหว่ 70 รายการ โดยที่ 18 รายการถูกจัดอยู่ในระดับ Critical การอัพเดตครั้งนี้รวมถึงการแก้ไขช่องโหว่ zero-day ใน Adobe Flash Player และช่องโหว่ที่เป็นที่รู้จักอีกหลายรายการ อย่างเช่น

ช่องโหว่ 'PrivExchange' ของ Microsoft Exchange เป็นปัญหาใน Exchange Web Services (EWS) สำหรับการแจ้งเตือนแบบพุชเพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบในเซิร์ฟเวอร์ที่ถูกโจมตี

ช่องโหว่การเปิดเผยข้อมูลใน Internet Explorer (CVE-2019-0676) ช่องโหว่นี้ถูกค้นพบโดย Google Project Zero หากเหยื่อเข้าชมเว็บไซต์ที่เป็นเพจอันตราย ผู้โจมตีจะสามารถตรวจสอบการมีอยู่ของไฟล์บนฮาร์ดไดรฟ์ของเหยื่อได้

ช่องโหว่ SMBv2 Remote Code Execution (CVE-2019-0630) ช่องโหว่นี้อาจทำให้ถูกโจมตีด้วยการส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ SMBv2 ที่เป็นเป้าหมาย ทำให้สามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) ผ่านบัญชีผู้ใช้ที่ผ่านการ Authenticated แล้วได้

ช่องโหว่ DHCP (CVE-2019-0626) เป็นช่องโหว่ Memory Corruption ทำให้ผู้โจมตีส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ DHCP หากสำเร็จจะช่วยให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) บนเซิร์ฟเวอร์ที่ถูกโจมตี

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว โดยสามารถดูรายละเอียดเพิ่มเติมของช่องโหว่ต่างๆ ได้จากที่มา

ที่มา : bleepingcomputer

GandCrab ransomware campaign targets Italy using steganography

Matthew Rowan ผู้เชียวชาญด้านความปลอดภัยจาก Bromium พบการใช้ steganography ในการซ่อน GandCrab ransomware มาในรูปภาพมาริโอ้

การเข้ารหัสในไฟล์รูปภาพ (steganography) นี้ถูกใช้ในการซ่อนชุดคำสั่ง PowerShell ไว้ในโค้ดสีเขียวและสีน้ำเงิน ของรูปภาพมาริโอ้ โดยเทคนิคนี้ทำให้ยากต่อการตรวจจับโดยอุปกรณ์ความปลอดภัยอย่าง Firewall หรือ Anti-virus

โดยผู้เชียวชาญขี้ว่าการโจมตีพุ่งป้าไปยังผู้ใช้งานในประเทศอิตาลี แต่ดูเหมือนว่าแคมเปญนี้อาจกำลังขยายตัวไปสู่ส่วนอื่นของโลก

ที่มา : securityaffairs

Adobe Reader Zero-Day Micropatch Stops Malicious PDFs from Calling Home

0patch ได้เผยแพร่ micropatch เพื่อแก้ไขช่องโหว่ zero-day ใน Adobe Reader ที่ส่งผลให้ผู้ไม่หวังดีสามารถสร้างไฟล์ PDF ที่เป็นอันตราย เพื่อส่งข้อมูลชื่อผู้ใช้งาน และค่า hash ของรหัสผ่านสำหรับเข้าสู่ระบบจาก NTLM กลับมาผ่าน SMB ได้

ช่องโหว่นี้ถูกค้นพบและได้รับการเปืดเผยโดย Alex Inführ ช่องโหว่นี้คล้ายกับช่องโหว่ Bad-PDF (CVE-2018-4993) ที่รายงานโดย CheckPoint ในเดือนเมษายนปีที่ผ่านมา มีผลกับ Adobe Acrobat Reader DC เวอร์ชันล่าสุด (19.010.20069) และคาดว่าจะมีผลกับเวอร์ชั่นก่อนหน้าด้วย

ล่าสุด 0patch ได้ออก micropatch เพื่อแก้ไขช่องโหว่ดังกล่าว โดยผู้ที่ต้องการดาวน์โหลดจะต้องเข้าไปยัง 0patch.

Latest iOS 12.1.4 Update Patches 2 Zero-Day and FaceTime Bugs

Apple ได้ออกแพทช์ iOS 12.1.4 เพื่อแก้ไขข้อผิดพลาดของ Group FaceTime ที่ส่งผลให้ผู้ใช้ Apple สามารถได้ยินหรือมองเห็นอีกฝ่ายก่อนที่จะรับสายผ่านเมื่อมีการโทรแบบกลุ่มบน FaceTime

ปัญหาของ Facetime (CVE-2019-6223) ดังกล่าว ถูกค้นพบโดย Grant Thompson อายุ 14 ปี จากโรงเรียนมัธยม Catalina Foothills ในขณะที่เขาพยายามที่จะติดต่อกับเพื่อนของเขาผ่าน FaceTime ข้อผิดพลาดดังกล่าวได้ถูกรายงานไปยัง Apple หนึ่งสัปดาห์ก่อนที่จะมีรายงานข่าวออกมา ส่งผลให้ Apple จำเป็นที่จะต้องปิดการใช้งานโทรกลุ่มของ FaceTime ชั่วคราว

การอัปเดต iOS 12.1.4 นี้ ยังแก้ไขช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ โดย 2 จาก 3 รายการถูกค้นพบและรายงานโดยนักวิจัยของ Google Project Zero และอีกรายการเกี่ยวข้องกับ FaceTime ด้วย

CVE-2019-7286: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตราย ยกระดับสิทธิ์สูงขึ้นบนอุปกรณ์
CVE-2019-7287: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกรันโค๊ดได้ด้วยสิทธิ์ kernel
CVE-2019-7288: ค้นพบโดยทีมรักษาความปลอดภัยของ Apple ข้อบกพร่องของ FaceTime ที่เกี่ยวกับ Live Photos

ผู้ใช้งานสามารถทำการอัพเดตอุปกรณ์ของตนเองได้แล้ว สำหรับ iPhone, iPad หรือ iPod ไปที่ Settings→ General → Software Update และ macOS ควรอัปเดตเป็น macOS Mojave 10.14.3 ได้ที่ 'System Preferences' คลิก 'Software Update' และทำการดาวน์โหลด

ที่มา : thehackernews

RunC Vulnerability Gives Attackers Root Access on Docker, Kubernetes Hosts

แจ้งเตือนช่องโหว่ใน runc กระทบ LXC, Docker และ Kubernetes รันโค้ดอันตรายทะลุถึงโฮสต์ได้

นักพัฒนาประจำโครงการ runc ซึ่งเป็น container runtime ให้กับโครงการ container หลายโครงการได้ออกมาประกาศการค้นพบช่องโหว่รหัส CVE-2019-5736 วันนี้ การโจมตีช่องโหว่นี้จะส่งผลให้ผู้โจมตีสามารถรันโค้ดอันตรายด้วยสิทธิ์ระดับสูงในระบบโฮสต์ได้ ช่องโหว่นี้ได้คะแนน CVSSv3 7.2 คะแนน

ช่องโหว่ดังกล่าวจะถูกโจมตีได้เมื่อมีการรัน container ที่ถูกสร้างขึ้นมาอย่างเฉพาะ โดย container ดังกล่าวนั้นจะเขียนทับไบนารีของ runc บนโฮสต์เพื่อรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root ได้

ช่องโหว่นี้จะไม่ถูกบล็อคโดยการตั้งค่าเริ่มต้นของ AppArmor และ SELinux บน Fedora หากมีการติดตั้ง moby-engine แต่จะถูกบล็อคหากการใช้งาน namepsace นั้นมีลักษณะที่รัดกุมพอ เช่น ไม่มีการ map โฮสต์เข้ากับ namspace ของ container

runc ถูกใช้เป็น container runtime ในหลายโครงการ อาทิ Docker, cri-o, containerd, Kubernetes และ Apache Mesos ซึ่งยืนยันแล้วว่าได้รับผลกระทบจากช่องโหว่

ผู้ใช้งานที่ได้รับผลกระทบควรดำเนินการอัปเดตซอฟต์แวร์ใดๆ ที่มีการใช้งาน runc เป็นเวอร์ชันล่าสุดที่มีการแพตช์แล้วโดยด่วน

ที่มา : bleepingcomputer

Google Patches Critical .PNG Image Bug

Google ออกแพทช์เพื่ออุดช่องโหว่งร้ายแรงสำหรับระบบปฎิบัติการแอนดรอยด์ โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถอาศัยไฟล์ภาพที่ (PNG) โดยทำการสร้างไฟล์ภาพอันตรายที่มีการแฝง code และส่งไปยังเครื่องเหยื่อ

การอัพเดทด้านความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ (February Android Security) Google ได้เปิดเผยว่ามีช่องโหว่ร้ายแรง 3 ตัว (CVE-2019-1986, CVE-2019-1987, CVE2019-1988) โดยหนึ่่งในนั้นเป็นช่องโหว่ .PNG โดยส่งผลกระทบกับระบบปฎิบัติการแอนดรอยด์ ตั้งแต่ Nougat(7.0) จนถึงปัจจุบัน(9.0) รวมแล้วการประกาศประจำเดือนนี้เป็นช่องโหว่ที่มีระดับความร้ายแรง (Critical) ทั้งหมด 11 รายการ และมี 3 รายการที่เป็นช่องโหว่เกี่ยวกับ Framework และจากช่องโหว่ที่ถูกแก้ไขแล้ว 42 รายการ มี 30 รายการที่ถูกจัดความรุนแรงอยู่ในระดับสูง (high) ทั้งนี้คำอธิบายรายละเอียดของช่องโหว่ คาดว่าจะถูกเปิด เผยในภายหลัง

ที่มา: threatpost.

Siri Shortcuts สามารถนำไปสู่การนำไปใช้ในทางที่ไม่ดี และการแพร่กระจายของมัลแวร์

Siri Shortcuts ซึ่งเป็นคุณสมบัติใหม่ที่ Apple เพิ่มใน iOS 12 อาจทำให้ผู้ใช้เสี่ยงต่อภัยคุกคาม เช่น การหลอกให้เชื่อเพื่อเรียกค่าไถ่ (ransom) การแพร่กระจายมัลแวร์ หรือการโจรกรรมข้อมูลสำคัญ (exfiltration) เป็นต้น

John Kuhn นักวิจัยภัยคุกคามจาก IBM X-Force เชื่อว่าการใช้ Siri Shortcuts อาจทำให้ผู้ไม่หวังดีนำไปใช้ประโยชน์โดยการสร้างเครื่องมือที่เอาไว้ข่มขู่เพื่อเรียกค่าไถ่บนเครื่องของเหยื่อ โดยการทำให้เหยื่อเชื่อว่าข้อมูลในเครื่องของพวกเขาอยู่ในมือของผู้ไม่หวังดีแล้ว นอกจากนี้ผู้ไม่หวังดีอาจจะใช้สคริปต์เพื่อรวบรวมข้อมูลจากโทรศัพท์เหยื่อก่อน และนำไปข่มขู่เพื่อให้ดูน่าเชื่อถือยิ่งขึ้นโดย และจากตัวอย่างการทดสอบสคริปต์อันตรายดังกล่าวนี้สามารถเปิดหน้าเว็บที่แสดงหน้าข้อความเพื่อข่มขู่เรียกค่าไถ่และแสดงข้อมูลตัวอย่างข้อมูลจากเครื่องโทรศัพท์ของเหยื่ออีกด้วย หรืออาจทำให้เครื่องของเหยื่อส่งข้อความที่มีการระบุลิงค์อันตรายไปตามรายชื่อผู้ติดต่อทั้งหมดโดยอัตโนมัติ

John Kuhn และทีม IBM X-Force แนะนำว่าผู้ใช้ควรติดตั้ง Siri Shortcut จากแหล่งที่เชื่อถือได้เท่านั้นและควรตรวจสอบสิทธิ์ที่แอพพลิเคชั่นขอใช้ในการเข้าถึงข้อมูล หรือแอพพลิเคชั่นอื่นๆ บนเครื่องอย่างละเอียดก่อนตัดสินใจติดตั้ง

ที่มา: zdnet.