News

Working from home จงระวัง! แฮกเกอร์แอบปล่อยมัลแวร์ด้วยแอปพลิเคชัน Zoom ปลอม

เนื่องจากการระบาดของโรค Coronavirus หรือ COVID-19 ทำให้สถาบัน, องค์กรหรือแม้แต่หน่วยงานภาครัฐทั่วโลกต้องปิดตัวลง ทุกอย่างขึ้นอยู่กับการดำเนินงานจากระยะไกลทำให้ผู้คนส่วนมากกำลังมองหาแพลตฟอร์มการสื่อสารทางวิดีโอเพื่อที่จะจัดการประชุม รวมไปถึงการให้บรรยายสำหรับนักเรียนในชั้นเรียนและเพื่อทำงานร่วมกับเพื่อนร่วมงานในองค์กรอย่างราบรื่น

Zoom ซึ่งเป็นแพลตฟอร์มการสื่อสารทางวิดีโอจากระยะไกลและมีฐานผู้ใช้ที่เพิ่มขึ้นอย่างรวดเร็ว จึงทำให้ผู้โจมตีพยายามใช้ประโยชน์จากฐานผู้ใช้ที่เพิ่มขึ้นของ Zoom ตั้งแต่การระบาดของ COVID-19 เริ่มต้นขึ้นโดยการจดทะเบียนโดเมนที่เกี่ยวข้องกับ Zoom หลายร้อยโดเมนเพื่อจุดประสงค์ที่เป็นอันตราย

นักวิจัยค้นพบไฟล์ที่เป็นอันตรายโดยใช้ชื่อว่า zoom-us-zoom _ ##########.exe และ microsoft-teams_V # mu # D _ ##########. exe ซึ่งเมื่อทำการเปิดตัวติดตั้ง InstallCore จะพยายามติดตั้งแอปพลิเคชันของผู้โจมตีที่แอบเเฝง Payload ที่ขึ้นอยู่กับเป้าหมายของผู้โจมตี การเเพร่มัลแวร์เกิดขึ้นผ่านทางอีเมลฟิชชิ่งที่มีลิงก์หรือไฟล์ที่เป็นอันตรายโดยมัลแวร์จะเปลี่ยนแปลงไปตามความสามารถและเป้าหมายของผู้โจมตี"

นักวิจัยยังพบผู้ใช้ Zoom ที่ติดมัลแวร์ Neshta ที่เป็นสายพันธุ์มัลแวร์ที่รู้จักกันในการเก็บรวบรวมข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้งอยู่ในปัจจุบัน, แอปพลิเคชันที่ใช้งานและบัญชีอีเมล SMTP ด้วย

แนวทางปฏิบัติพื้นฐานและเเนวทางความปลอดภัย คือควรตรวจสอบชื่อโดเมนที่คุณป้อนลงในแถบเบราว์เซอร์ทุกครั้งและอย่าดาวน์โหลดไฟล์ใด ๆ จากแหล่งที่มาที่ไม่น่าเชื่อถือ

ที่มา: bleepingcomputer.

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนภัยผู้ใช้เครือข่ายในรัสเซียสามารถเข้าถึงได้ผ่าน RDP

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Positive Technologie กล่าวว่าจำนวนโหนดเครือข่ายในสหพันธรัฐรัสเซียสามารถเข้าถึงได้ผ่าน RDP (RDP) เพิ่มขึ้น 9% และอาจสูงถึงกว่า 112,000 คน เหตุจากผู้ใช้งานทำงานจากที่บ้านมากขึ้นเนื่องจากระบาดของโรค Coronavirus หรือ COVID-19

นับตั้งเเต่ปี 2019 ถึงปัจจุบันมีช่องโหว่ที่เกี่ยวข้องกับ RDP มีจำนวนมาก ช่องโหว่ที่สำคัญ ได้เเก่ CVE-2019-0708 (BlueKeep) ผู้เชี่ยวชาญด้านความปลอดภัยยังกล่าวอีกว่าถ้าหากแฮกเกอร์ส่งคำสั่งรันโปรแกรมจากระยะไกลหรือคำร้องขอ RDP พิเศษไปยัง Remote Desktop Services (RDS) ที่มีช่องโหว่การโจมตี ผู้โจมตีสามารถ Bypass การตรวจสอบสิทธิ์ หากการโจมตีประสบความสำเร็จผู้โจมตีสามารถติดตั้งและลบโปรแกรมบนระบบที่ถูกบุกรุก และสร้างบัญชีที่มีระดับการเข้าถึงสูงสุดเพื่ออ่านและแก้ไขข้อมูลที่เป็นความลับ

คำเเนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยกล่าวเตือนว่าควรอัพเดทแพตช์จาก Microsoft หรือแหล่งข้อมูลที่เชื่อถือได้อยู่เสมอเพื่อความปลอดภัยจากการโจมตีระบบและข้อมูล การเชื่อมต่อระยะไกลที่ปลอดภัยผู้ใช้จำเป็นต้องใช้ VPN Gateway เสมอเพื่อเชื่อมเข้าองค์กรและไม่แนะนำให้เชื่อมต่อโดยตรงกับที่ทำงาน

ที่มา: ehackingnews.

FBI แจ้งเตือนรูปแบบการก่อกวน Zoombombing พุ่งเป้าการประชุมวีดิโอคอลออนไลน์

FBI มีการประกาศแจ้งเตือน ถึงรูปแบบของการก่อกวนลักษณะใหม่ภายใต้ชื่อ Zoombombing ซึ่งผู้ก่อเหตุนั้นอาศัยการเข้าถึงระบบประชุมวีดิโอคอลออนไลน์อย่าง Zoom, Microsoft Teams, หรือ WebEx และก่อกวนด้วยวิธีการต่างๆ อาทิ ส่งเสียงรบกวนหรือเปิดกล้องเพื่อแสดงร่างกายเปลือย ก่อนจะบันทึกปฏิกิริยาการตอบสนองไปเผยแพร่บนเครือข่ายสังคมออนไลน์

อ้างอิงจากการสอบสวนโดย FBI มีโรงเรียนในเขตแมสซาชูเซตส์อย่างน้อย 2 แห่งที่มีการแจ้งเหตุในลักษณะเดียวกันนี้ โดยผู้ก่อเหตุเข้าถึงห้องเรียนออนไลน์ของทางโรงเรียนซึ่งใช้งานระบบ Zoom ก่อนจะมีการตะโกนก่อกวน, ดูหมิ่นรวมไปถึงเปิดเผยที่อยู่ของอาจารย์ของโรงเรียน

การป้องกันเหตุในลักษณะนี้สามารถทำได้ผ่านการตั้งค่าระบบประชุมออนไลน์ให้เหมาะสม โดยในกรณีของ Zoom นั้น ทาง FBI แนะนำให้ผู้ใช้งานตั้งค่าให้การประชุมเป็น Private เสมอ, ไม่แชร์หรือเผยแพร่ลิงค์สำหรับเข้าถึงในเครือข่ายสังคมออนไลน์, กำหนดค่า Screen sharing ให้เฉพาะกับ Host ของการประชุม รวมไปถึงตั้งค่ารหัสผ่านในการเข้าถึง

ที่มา: bleepingcomputer.

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

แฮกเกอร์ปล่อยข้อมูลซอร์สโค้ด GPU ของ Xbox Series X ที่ขโมยมา

บริษัท AMD ยอมรับว่าแฮกเกอร์ได้ทำการขโมยข้อมูลซอร์สโค้ดฮาร์ดแวร์สำหรับ GPU ที่ AMD กำลังจะเปิดตัวผลิตภัณฑ์และบริษัทได้ออกแถลงการณ์ยืนยันอย่างเป็นทางการแล้ว

คำแถลงของ AMD กล่าวว่าการแฮกเกิดขึ้นในเดือนธันวาคม 2019 แฮกเกอร์ดำเนินการโดยใช้ชื่อว่า “ xxXsoullessXxx” ได้เข้ามาขโมยข้อมูลกราฟิกซีพียู “Series X” ซึ่งส่วนใหญ่ใช้ใน Xbox พร้อมกับซอร์สโค้ดของกราฟิกการ์ดที่กำลังจะใช้สำหรับคอมพิวเตอร์พีซี

ในขณะนี้ มีการปรากฎของซอร์สโค้ดบางส่วนบน GitHub ซึ่งเชื่อกันว่าแฮกเกอร์เป็นผู้เผยแพร่ข้อมูลดังกล่าว โดยซอร์สโค้ดที่ถูกปล่อยออกมานั้นเป็นซอร์สโค้ดและข้อมูลที่ได้รับการยืนยันแล้วว่าเกี่ยวข้องกับฮาร์ดแวร์ AMD Navi GPU

ยังไม่มีรายละเอียดถึงวิธีการและเทคนิคที่แฮกเกอร์ใช้ในการเข้าถึงระบบภายในและขโมยข้อมูลออกมา

ที่มา: hackread

แคมเปญมัลแวร์ Poisoned News: มุ่งโจมตีผู้ใช้ iPhone ในฮ่องกงด้วยช่องโหว่และแบ็คดอร์ iOS ที่ช่วยให้ผู้โจมตีสามารถสอดแนมได้

แคมเปญมัลแวร์ Poisoned News: มุ่งโจมตีผู้ใช้ iPhone ในฮ่องกงด้วยช่องโหว่และแบ็คดอร์ iOS ที่ช่วยให้ผู้โจมตีสามารถสอดแนมได้

เมื่อวันที่ 19 กุมภาพันธ์ ผู้เชี่ยวชาญด้านความปลอดภัยที่ Trend Micro ได้เปิดช่องโหว่โจมตีเป้าหมายผู้ใช้ iOS ด้วย URL ที่ชี้ไปยังเว็บไซต์ที่เป็นอันตราย แคมเปญนี้มีชื่อว่า” Operation Poisoned News” ที่มุ่งโจมตี iPhone ของผู้ใช้ในฮ่องกงด้วยการติดตามแบ็คดอร์ iOS lightSpy

ผู้โจมตีใช้ลิงค์ที่เป็นอันตรายซึ่งจะกระจายผ่านการโพสต์บนฟอรัมที่ได้รับความนิยมม, พาดหัวข่าว clickbait เกี่ยวกับการระบาดของ COVID-19 ในฮ่องกง และนำผู้ใช้ไปยังเว็บไซต์ข่าวจริงที่ถูกบุกรุกและเเฝงโค้ดที่จะโหลดและเรียกใช้มัลแวร์

การโจมตีใช้ประโยชน์จากช่องโหว่ความปลอดภัย CVE-2019-8605 ที่อนุญาตให้ผู้โจมตีได้รับสิทธิ์ root มีผลต่ออุปกรณ์ Apple iPhone 6S จนถึง iPhone X ที่ใช้ iOS 12.1 และ 12.2 ที่ไม่ได้รับการอัพเดตแพตช์และจะทำการฝังมัลแวร์แบ็คดอร์ lightSpy ที่สามารถเข้าควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์

แบ็คดอร์ lightSpy ยังทำการเก็บข้อมูลประวัติการใช้ WiFi ที่เชื่อมต่อ, รายชื่อ, ตำแหน่ง GPS, ข้อมูลฮาร์ดแวร์, iOS keychain, ประวัติการโทร, เว็บเบราว์เซอร์ Safari และ Chrome, ข้อความ SMS, IP Address, แอปพลิเคชัน Telegram, QQ และ WeChat

ที่มา: securityaffairs, zdnet

Microsoft แก้ไขข้อบกพร่องการสแกนของ Windows Defender ด้วยอัพเดทแพตช์ใหม่

Microsoft ได้แก้ไขข้อผิดพลาดการทำงานของ Windows Defender ข้อผิดพลาดเกิดขึ้นจากการที่ Windows Defender Antivirus สแกนข้ามรายการที่สแกนเนื่องจากการยกเว้นหรือการตั้งค่าการสแกนเครือข่าย ทำให้การแจ้งเตือนของ Windows Defender เกิดข้อผิดพลาด

ข้อผิดพลาดเกิดจากการอัปเดตสแกนเนอร์ของ Windows Defender ที่ปิดใช้งานการสแกนเครือข่ายโดยอัตโนมัติสำหรับรุ่นที่ใหม่กว่าหลังจากที่เปิดการใช้งานมาแล้วก่อนหน้านี้

Microsoft แก้ไขปัญหาด้วยการเปิดตัวแพตช์อัพเดต KB4052623 ที่จะเพิ่มเวอร์ชันของเอ็นจินการสแกนเป็น 4.18.2003.8 และจะป้องกันการแจ้งเตือนของไฟล์ที่ถูกข้ามไม่ให้ปรากฏ ผู้ใช้ควรทำการอัปเดตแพตช์ KB4052623 ได้โดยอัตโนมัติผ่านทาง Windows Update แพตช์อัพเดต KB4052623 สามารถอัพเดตได้ใน Windows 10 (รุ่น Enterprise, Pro และ Home), Windows Server 2019 และ Windows Server 2016

ที่มา: bleepingcomputer

ผู้ใช้ WordPress โปรดระวังมัลแวร์ WP-VCD ที่เเฝงมากับปลั๊กอิน Coronavirus ที่ละเมิดลิขสิทธิ์

นักวิจัยที่ MalwareHunterTeam พบว่ามัลแวร์ WP-VCD ถูกแฝงมาใน WordPress ปลั๊กอินที่ชื่อ “COVID-19 Coronavirus – Live Map WordPress Plugin”, “Coronavirus Spread Prediction Graphs” และ “ Covid-19” ถูกเเพร่กระจายไปอย่างรวดเร็วโดยมัลแวร์ WP-VCD ยังพยายามที่จะโจมตีเว็บไซต์อื่น ๆ ที่ใช้โฮสต์ร่วมกัน

ไฟล์ปลั๊กอินที่ชี่อ 'class.

ช่องโหว่ OpenWrt กระทบอุปกรณ์เน็ตเวิร์คหลายล้านรายการ

Guido Vranken จากบริษัท ForAllSecure ได้เผยรายละเอียดทางเทคนิคต่อทีมพัฒนา OpenWrt ในบล็อก เกี่ยวกับช่องโหว่การโจมตีระยะไกล (RCE) ที่ผลกระทบต่อกระทบอุปกรณ์เน็ตเวิร์ค ที่ใช้ OpenWrt ซึ่งเป็นระบบปฏิบัติการบน Linux ที่ใช้กันอย่างแพร่หลายในเร้าเตอร์เกตเวย์และอุปกรณ์ embedded

ช่องโหว่ CVE-2020-7982 เป็นช่องโหว่การจัดการใน OPKG package manager ของ OpenWrt ที่จะทำการตรวจสอบความสมบูรณ์ของแพ็กเกจในการดาวน์โหลด โดยใช้ SHA-256 checksum ถ้าผู้โจมตีเรียกใช้คำสั่ง 'opkg install' บนระบบ ช่องโหว่จะอนุญาตให้ผู้โจมตีระยะไกลสามารถรันโค้ดโดยการหลอกระบบ เพื่อเข้าสู่การติดตั้งแพ็กเกจที่เป็นอันตรายหรือซอฟต์แวร์อัพเดตของผู้โจมตีโดยไม่ต้องตรวจสอบ เนื่องจากไฟล๋ opkg บน OpenWrt ทำงานด้วย Root จะสามารถเข้าถึงการเขียนระบบไฟล์ทั้งหมด การโจมตีช่องโหว่นั้นจะทำให้ผู้โจมตีระยะไกลสามารถควบคุมอุปกรณ์เครือข่าย OpenWrt ของเป้าหมายได้

รุ่นที่ได้รับผลกระทบ

OpenWrt เวอร์ชั่น 18.06.0 ถึง 18.06.6 และ 19.07.0 เช่นเดียวกับ LEDE 17.01.0 ถึง 17.01.7

การเเก้ไข

Vranken ได้แนะนำให้ลบ SHA256 checksum ออกจากรายการแพ็กเกจหลังจากทำการติดตั้งแพ็กเกจและขอแนะนำให้อัพเกรดเฟิร์มแวร์อุปกรณ์เป็น OpenWrt รุ่นล่าสุด 18.06.7 และ 19.07.1

ที่มา: thehackernews

Adobe แก้ไขช่องโหว่ในแอพพลิเคชั่น Creative Cloud

Adobe ได้เผยแพร่แพตช์ความปลอดภัยสำหรับแอปพลิเคชัน Creative Cloud Desktop โดย Adobe ระบุว่ามีการค้นพบช่องโหว่ระดับ 'Critical' ในแอพพลิเคชั่น Creative Cloud Desktop ที่จะทำให้ผู้โจมตีสามารถลบไฟล์บนคอมพิวเตอร์ได้โดยกระทบกับ Creative Cloud Desktop แอพพลิเคชั่นก่อนเวอร์ชัน 5.1

รายละเอียดช่องโหว่

CVE-2020-3808: ช่องโหว่จัดอยู่ในประเภท Time-of-check Time-of-use (TOCTOU) ทำให้ผู้โจมตีจากระยะไกล (REC) สามารถเข้ามาลบไฟล์บนระบบได้โดยพลการ

การเเก้ไขช่องโหว่

ผู้ใช้ควรอัพเกรดเป็น Adobe Creative Cloud Desktop Application เวอร์ชัน 5.1

ที่มา : adobe-fixes-critical-vulnerability-in-creative-cloud-application

Google แก้ไขช่องโหว่บนเบราว์เซอร์ Google Chrome

Google เปิดให้อัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Google Chrome ก่อนเวอร์ชั่น 80.0.3987.149 ช่องโหว่ค้นพบโดย David Manouchehri นักล่าเงินรางวัลและเป็นผู้ค้นพบช่องโหว่ CVE-2020-6422 ที่เป็นช่องโหว่ Use After Free (UAF) ใน WebGL และรับเงินรางวัล $8,500 จากโคงการ bug bounty ของ Google

รายละเอียดช่องโหว่

CVE-2020-6422 เป็นช่องโหว่โจมตีจากระยะไกล (REC) ที่จะอนุญาติให้ผู้โจมตีฯ heap ทำให้เกิด heap corruption ผ่าน HTML ที่ผู้โจมตีสร้างขึ้น

การอัปเดตความปลอดภัย

Google ยังระบุการเเก้ไขช่องโหว่ความปลอดภัยอีกจำนวน 13 รายการ และได้เปิดอัปเดต Chrome เวอร์ชั่น 80.0.3987.149 ที่สามารถใช้งานและดาวน์โหลดได้ใน Windows, Mac OS และ Linux

ที่มา : google-chrome-bugs