News

พบช่องโหว่ 13 รายการใน Siemens Nucleus TCP/IP Stack ที่มีการใช้งานอยู่บนอุปกรณ์กว่าพันล้านเครื่อง

เมื่อวันที่ 9 พฤศจิกายนที่ผ่านมา ทาง Forescout Research ได้เผยแพร่รายงานที่มีชื่อว่า “NUCLEUS:13” โดยภายในรายงานได้ระบุรายละเอียดเกี่ยวกับการวิจัย Nucleus NET ซึ่งเป็น TCP/IP stack ของ Nucleus ที่เป็นระบบปฏิบัติการแบบเรียลไทม์ (RTOS) ของ Siemens ได้พบช่องโหว่ใหม่ 13 รายการ โดย RTOS นี้ได้มีการใช้งานในอุปกรณ์มากกว่า 3 พันล้านเครื่องในหลาย ๆ อุตสาหกรรม เช่น อุตสาหกรรมยานยนต์ การดูแลสุขภาพ เป็นต้น

ช่องโหว่ที่เกิดขึ้นนั้นสามารถที่จะนำมาใช้ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE), denial-of-service (DoS) และการเปิดเผยข้อมูลได้ โดยทั้ง 13 ช่องโหว่มีรายละเอียดดังนี้

 

 

 

 

 

 

 

โดยช่องโหว่ความรุนแรงสูงสุดมีอยู่ 4 ช่องโหว่ คือ (CVE-2021-31886, CVE-2021-31887, CVE-2021-31888, CVE-2021-31885) เนื่องจาก File Transfer Protocol (FTP) หรือ TFTP ซึ่ง FTP เป็น Protocol ที่ไม่ปลอดภัยเนื่องจากไม่มีการเข้ารหัส หรือกลไกการตรวจสอบสิทธิ์ที่ปลอดภัย โดยทั่วไปจะพบในรุ่นเก่า ๆ เพราะฉะนั้นการเปิดใช้งาน FTP ภายในองค์กรจึงทำให้มีความเสี่ยงได้ และในปัจจุบันทาง Siemens ได้ออกแพตช์สำหรับช่องโหว่ทั้งหมดเรียบร้อยแล้ว

ที่มา: thehackernews

Trojan บน Android ตัวใหม่ที่ชื่อว่า SharkBot มีความสามารถในการขโมยบัญชีธนาคาร และบัญชีสกุลเงินดิจิทัล

เมื่อวันจันทร์ที่ 15 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ทำการปิด Android Trojan ตัวใหม่ ที่มีความสามารถในการเข้าถึงอุปกรณ์เพื่อดูดเอาข้อมูลประจำตัวจากบริการของธนาคาร หรือสกุลเงินดิจิทัล ในประเทศอิตาลี สหราชอาณาจักร และสหรัฐอเมริกา

SharkBot malware ออกแบบมาเพื่อโจมตีเป้าหมายทั้งหมด 27 เป้าหมาย โดยจะมีธนาคารในอิตาลี และสหราชอาณาจักร 22 แห่ง รวมถึงแอปพลิเคชั่นเกี่ยวกับสกุลเงินดิจิทัล 5 แอปพลิเคชั่นในสหรัฐอเมริกา ซึ่งพบว่ามีการโจมตีมาตั้งแต่ปลายเดือนตุลาคม 2564

SharkBot มีการพัฒนาแอพของตัวเองขึ้นมาเพื่อหลอกล่อเหยื่อเช่น Media player, Live TV หรือ แอปกู้คืนข้อมูล และหลังจากเหยื่อดาวน์โหลด และติดตั้งแอพดังกล่าวแล้ว ตัวแอพจะใช้ประโยชน์จาก Accessibility Service ของระบบโดยการตั้งค่าสำหรับโจมตีแบบ Automatic Transfer Systems (ATS) ที่จะคอยช่วยให้ระบบ กรอกข้อมูลอัตโนมัติในแอพพลิเคชั่นธนาคารบนมือถือ และเริ่มโอนเงินจากอุปกรณ์ที่ถูกบุกรุกไปยัง Money mule ที่เป็นตัวกลางในการโอนเงิน ที่ถูกควบคุมโดยผู้โจมตีอีกที

มัลแวร์ดังกล่าวยังมีความสามารถในการขโมยข้อมูลการเข้าสู่ระบบ ข้อมูลบัตรเครดิต และการสกัดกั้น SMS จากธนาคารไม่ให้มีการแจ้งเตือนต่าง ๆ รวมถึงการควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยไกล

นอกจากนี้ยังสามารถหลบหลีกการตรวจจับ และสามารถซ่อนไอคอนของแอพจากหน้าจอหลักหลังจากการติดตั้งได้ และ Google Play Store ยังไม่พบว่าแอพที่ได้กล่าวไปข้างต้นนั้นเป็นมัลแวร์อีกด้วย ซึ่งเป็นไปได้ว่าอาจถูกติดตั้งบนอุปกรณ์ของผู้ใช้งานไปแล้วจำนวนมาก

ที่มา: thehackernews

มัลแวร์ Emotet กลับมาแล้ว และสร้าง botnet ใหม่ผ่าน TrickBot

มัลแวร์ Emotet เป็นมัลแวร์ที่พบการแพร่กระจายเป็นจำนวนมากในอดีตที่ผ่านมา โดยใช้แคมเปญสแปม และไฟล์แนบที่เป็นอันตรายเพื่อแพร่กระจายมัลแวร์

Emotet จะใช้เครื่องที่ติดไวรัสเพื่อโจมตีต่อด้วยแคมเปญสแปมอื่นๆ และติดตั้งเพย์โหลดอื่นๆ เช่น QakBot (Qbot) และมัลแวร์ Trickbot จากนั้นเพย์โหลดเหล่านี้จะถูกนำมาใช้เพื่อทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเหล่านี้เพื่อติดตั้งแรนซัมแวร์ต่อไป เช่น Ryuk, Conti, ProLock, Egregor และอื่นๆ อีกมากมาย

เมื่อช่วงต้นปีที่ผ่านมา มีการบังคับใช้กฎหมายระหว่างประเทศซึ่งดำเนินการโดย Europol และ Eurojust เข้าควบคุมระบบ Infrastructure ของ Emotet และมีการจับกุมผู้ที่เกี่ยวข้องได้ 2 คน โดยหน่วยงานด้านกฎหมายของเยอรมนีใช้ระบบ Infrastructure ของ Emotet เอง เพื่อถอนการติดตั้งมัลแวร์จากอุปกรณ์ที่ถูกควบคุมโดย Emotet ทั้งหมดเมื่อวันที่ 25 เมษายน 2021

Emotet ได้กลับมาหลังจากการถูกจับครั้งล่าสุด

นักวิจัยจาก Cryptolaemus, GData และ Advanced Intel เริ่มพบเห็นมัลแวร์ TrickBot dropping Loader ของ Emotet บนอุปกรณ์ที่ติดไวรัส

ที่ผ่านมา Emotet ได้ใช้ TrickBot ซึ่งนักวิจัยจาก Cryptolaemus จะเรียกวิธีการที่ผู้โจมตีใช้ลักษณะนี้ว่า "Operation Reacharound" ซึ่งจะทำการสร้าง Botnet ขึ้นมาใหม่โดยใช้ Infrastructure ที่มีอยู่แล้วของ TrickBot

Joseph Roosen ผู้เชี่ยวชาญด้าน Emotet และนักวิจัยจาก Cryptolaemus บอกกับ BleepingComputer ว่าพวกเขาไม่เห็นสัญญาณอื่นๆจาก Emotet ในการกลับมาใช้สแปม หรือไฟล์อันตรายในการแพร่กระจายตัวมัลแวร์

การที่ยังไม่ค่อยพบแพร่กระจายจากการสแปม น่าจะเกิดจากการที่ Emotet ต้องเริ่มสร้างระบบของตนขึ้นใหม่ตั้งแต่ต้น ซึ่งหลังจากนี้อาจจะเริ่มพบเห็นแคมเปญสแปมเพิ่มขึ้นจากปฏิบัติการเข้ายึดอีเมลจากผู้ตกเป็นเหยื่อหลังจากนี้

Cryptolaemus กลุ่มนักวิจัย Emotet ได้เริ่มวิเคราะห์ Emotet loader ใหม่และบอกกับ BleepingComputer ว่ามีข้อมูลเปลี่ยนแปลงเมื่อเทียบกับข้อมูลก่อนหน้านี้

นักวิจัยของ Cryptolaemus กล่าวกับ BleepingComputer ว่า "จนถึงตอนนี้ เราสามารถยืนยันได้แล้วว่า Command buffer มีการเปลี่ยนแปลง โดยตอนนี้มี 7 commands แทนที่จะเป็น 3-4 commands ดูเหมือนว่าจะมีตัวเลือกการ execution ต่างๆ สำหรับไบนารีที่ดาวน์โหลด (เพราะไม่ใช่แค่ dlls)"

Vitali Kremez ของ Intel ได้วิเคราะห์ Emotet dropper ตัวใหม่และเตือนว่าการกลับมาของ botnet มัลแวร์อาจนำไปสู่การติด ransomware ที่เพิ่มขึ้น

Kremez บอกกับ BleepingComputer ว่า Emotet loader DLL ปัจจุบันมี timestamp เป็น "6191769A (วันอาทิตย์ที่ 14 พ.ย. เวลา 20:50:34 ปี 2021)"

การป้องกัน Emotet botnet ตัวใหม่

Abuse.

พบ 14 ช่องโหว่ใหม่ใน BusyBox Linux Utility

BusyBox นั้นได้รับการขนานนามว่า Swiss Army Knife ของ Embedded Linux เป็นชุดซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย ซึ่งรวมเอา Utility หรือ Applets Unix ทั่วไปไว้ในไฟล์สำหรับสั่งการในไฟล์เดียวที่สามารถทำงานบนระบบ Linux เช่น Programmable Logic Controllers (PLC), Human-machine interfaces (HMIs) และ Remote terminal units (RTUs)

และเมื่อวันอังคารที่ผ่านมานี้เอง นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ที่สำคัญ 14 ช่องโหว่ใน BusyBox Linux Utility ที่สามารถนำไปใช้โจมตีได้ โดยจะส่งผลให้เกิด denial-of-service (DOS) และในบางกรณีอาจนำไปสู่การรั่วไหลของข้อมูล หรือการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

บริษัท DevOps JFrog และบริษัทรักษาความปลอดภัยทางไซเบอร์ในอุตสาหกรรม Claroty ได้กล่าวในรายงานร่วมกันว่า ช่องโหว่ดังกล่าวมีเลข CVE-2021-42373 ถึง CVE-2021-42386 โดยช่องโหว่ดังกล่าวมีผลกระทบกับเครื่องมือหลาย Version ตั้งแต่ 1.16-1.33.1

รายการช่องโหว่ทั้งหมดที่ได้รับผลกระทบ

man - CVE-2021-42373
lzma/unlzma - CVE-2021-42374
ash - CVE-2021-42375
hush - CVE-2021-42376, CVE-2021-42377
awk - CVE-2021-42378,CVE-2021-42379, CVE-2021-42380,CVE-2021-42381, CVE-2021-42382,CVE-2021-42383, CVE-2021-42384,CVE-2021-42385, CVE-2021-42386

ล่าสุดช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วใน BusyBox version 1.34.0

ที่มา: thehackernews

Palo Alto แจ้งเตือนช่องโหว่ Zero-Day บน Firewall ที่ใช้ GlobalProtect Portal VPN

ช่องโหว่ Zero-Day ใหม่ที่ Palo Alto ออกมาแจ้งเตือนนี้อาจถูกนำมาใช้ในการโจมตีเข้ามาในเครือข่ายโดยไม่ต้องพิสูจน์ตัวตน และสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

นักวิจัย Randori จากบริษัทรักษาความปลอดภัยทางไซเบอร์ใน Massachusetts ได้เป็นผู้ค้นพบช่องโหว่ดังกล่าว และถูกระบุเป็นช่องโหว่หมายเลข CVE-2021-3064 (PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces | CVSS:9.8) ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.1 (PAN-OS 8.1.0 - PAN-OS 8.1.16) โดยช่องโหว่ดังกล่าวประกอบไปด้วยวิธีการ Bypass validations โดยเว็บเซิฟเวอร์จากภายนอก (HTTP smuggling) และการทำ Buffer overflow

ช่องโหว่ดังกล่าวได้รับการพิสูจน์แล้วว่าทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Physical Firewall และ Virtual Firewall ได้ แต่ด้านรายละเอียดทางเทคนิคที่เกี่ยวข้องกับช่องโหว่นี้นั้นจะยังไม่ถูกเปิดเผยออกมาเป็นเวลา 30 วัน เพื่อป้องกันไม่ให้ผู้ที่ไม่หวังดีนำไปใช้ในการโจมตี

ทาง Palo Alto Networks ออกมาให้ข้อมูลว่า ช่องโหว่ Memory corruption ใน Palo Alto Networks GlobalProtect portal และ Gateway interface ทำให้ผู้โจมตี disrupt system processes จึงทำให้ผู้โจมตีอาจจะสามารถสั่งรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงได้ แต่ผู้โจมตีจะต้องมีการเข้าถึง GlobalProtect interface ได้ก่อนในการโจมตีด้วยช่องโหว่นี้

อย่างไรก็ตาม Palo Alto Networks ได้แนะนำให้องค์กรที่ได้รับผลกระทบเปิดใช้งาน Threat Signature ID “91820 และ 91855” สำหรับตรวจสอบ Traffic เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับช่องโหว่ CVE-2021-3064

ที่มา: thehackernews

กลุ่ม Clop ใช้ประโยชน์จากช่องโหว่ของ SolarWinds Serv-U ในการโจมตีโดยใช้แรนซัมแวร์

กลุ่มแรนซัมแวร์ Clop หรือในชื่ออื่น ๆ เช่น TA505 และ FIN11 กำลังใช้ช่องโหว่ของ SolarWinds Serv-U เพื่อโจมตีเครือข่ายองค์กร และเข้ารหัสด้วยแรนซัมแวร์

Serv-U Managed File Transfer และ Serv-U Secure FTP มีช่องโหว่ Remote code execution ซึ่งมีหมายเลขช่องโหว่ CVE-2021-35211 ซึ่งสามารถทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

SolarWinds ได้ปล่อยอัปเดตฉุกเฉินในเดือนกรกฎาคม 2021 หลังจากการพบว่าเริ่มมีการใช้ช่องโหว่ดังกล่าวในการโจมตี บริษัทยังเตือนด้วยว่าช่องโหว่นี้จะมีผลเฉพาะกับลูกค้าที่เปิดใช้งาน SSH feature

ช่องโหว่ที่ใช้ในการโจมตีด้วยแรนซัมแวร์

จากรายงานโดย NCC พบว่าการติดมัลแวร์เรียกค่าไถ่ Clop ในช่วงสองสามสัปดาห์ที่ผ่านมา ส่วนใหญ่เริ่มต้นจากการโจมตีด้วยช่องโหว่ CVE-2021-35211

เป็นที่ทราบกันดีว่ากลุ่ม Clop มักจะใช้ช่องโหว่ต่างๆในการโจมตี เช่น การโจมตีช่องโหว่ Zero-day ของ Accellion แต่นักวิจัยระบุว่ากลุ่ม Clop ก็มักใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายในการโจมตีด้วยเช่นเดียวกัน

ในการโจมตีครั้งใหม่ที่พบโดย NCC ผู้โจมตีใช้ประโยชน์จากช่องโหว่บน Serv-U เพื่อสร้างกระบวนการที่ควบคุมโดยผู้โจมตี ซึ่งทำให้พวกเขาสามารถเรียกใช้คำสั่งบนระบบเป้าหมายได้ ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ และทำการ lateral movement ไปยังภายในเครือข่าย โดยเป้าหมายก็เพื่อการโจมตีด้วยแรนซัมแวร์ต่อไป

สัญญาณที่บ่งบอกว่าระบบกำลังถูกโจมตีคือ Errors ใน Serv-U logs ซึ่งจะเกิดขึ้นเมื่อถูกโจมตีผ่านช่องโหว่ข้างต้น

Errors ที่แสดงใน logs จะคล้ายกับข้อความต่อไปนี้:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

สัญญาณของการถูกโจมตีอีกประการหนึ่งคือร่องรอยของ PowerShell command execution ซึ่งใช้ในการติดตั้ง Cobalt Strike บนระบบที่มีช่องโหว่

สำหรับการพยายามแฝงตัวอยู่บนเครื่องที่โจมตีได้สำเร็จ ผู้โจมตีจะใช้การ Hijack schedule task ที่ถูกใช้อยู่แล้วบนระบบ เช่น registry backup เพื่อโหลด 'FlawedGrace RAT' ขึ้นมาทำงานได้ตลอดเวลา ซึ่ง FlawedGrace เป็นเครื่องมือที่ TA505 ใช้มาตั้งแต่เดือนพฤศจิกายน 2017 และยังคงเป็นเครื่องมือที่ใช้งานอยู่ของกลุ่ม

กลุ่ม NCC ได้โพสต์วิธีการตรวจสอบสำหรับผู้ดูแลระบบที่สงสัยว่าอาจถูกโจมตี:

ตรวจสอบว่าเวอร์ชัน Serv-U ของคุณมีช่องโหว่หรือไม่
ค้นหา DebugSocketlog.

ช่องโหว่ VMware vCenter Server ที่มีระดับความรุนแรงสูง และยังไม่มีแพตช์อัปเดต

vCenter Server เป็นยูทิลิตี้การจัดการจากส่วนกลางสำหรับ VMware และใช้เพื่อจัดการ Virtual machines, multiple ESXi hosts และส่วนประกอบที่เกี่ยวข้องทั้งหมดจากตำแหน่ง single centralized

ช่องโหว่อยู่ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) โดยได้รับคะแนน CVSS 7.1 ช่องโหว่นี้รายงานโดย Yaron Zinar และ Sagi Sheinfeld จาก CrowdStrike

เซิร์ฟเวอร์ vCenter มีช่องโหว่ในการยกระดับสิทธิ์ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) ผู้โจมตีที่มีการเข้าถึงเซิร์ฟเวอร์ vCenter ที่ไม่ใช่ผู้ดูแลระบบอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ได้

ช่องโหว่นี้ส่งผลกระทบต่อ vCenter 6.7 และ 7.0 เช่นเดียวกับ Cloud Foundation 3.x และ 4.x และยังไม่มีแพตช์อัปเดตในขณะนี้

วิธีแก้ปัญหาเบื้องต้นสำหรับช่องโหว่ CVE-2021-22048 คือการเปลี่ยนไปใช้ AD over LDAPS/Identity Provider Federation for AD FS (vSphere 7.0 เท่านั้น) จาก Integrated Windows Authentication (IWA) โดยสามารถดูรายละเอียดคำแนะนำสำหรับช่องโหว่ VMware vCenter แต่ละ Version ได้ที่ vmware.

จับได้แล้ว มือแฮกเว็บไซต์ “ศาลรัฐธรรมนูญ”

วันที่ 11 พฤศจิกายนที่ผ่านมา มีรายงานจากสำนักข่าวในประเทศไทยระบุว่า เว็บไซต์ศาลรัฐธรรมนูญ ถูกแฮกโดยเปลี่ยนชื่อไซต์เป็น Kangaroo Court และเปลี่ยนแปลงการแสดงผลหน้าเว็บไซต์เป็นมิวสิกวิดีโอเพลง Guillotine (It Goes Yah) ของวงดนตรีแนวฮิปฮอปจากสหรัฐชื่อ Death Grips และทำให้ไม่สามารถเข้าได้นั้น ซึ่งต่อมาทางกระทรวงดิจิทัลฯ ประกาศว่ากำลังเร่งหาตัวผู้กระทำผิด

ล่าสุดวันที่ 13 พฤศจิกายน มีรายข่าวจากสำนักข่าวว่าเจ้าหน้าที่ตำรวจสามารถจับกุมมือแฮกได้แล้ว หลังจากแกะรอยจากไอพีจนสามารถจับกุมได้ที่ จ.อุบลราชธานี เป็นชายวัย 33 ปี จบปริญญาตรีด้านวิทยาศาสตร์การแพทย์ โดยผู้ที่ถูกจับกุมให้การรับสารภาพว่าเป็นผู้แฮกเว็บไซต์ศาลรัฐธรรมนูญจริง จึงมีการสอบปากคำพร้อมยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิดเพื่อส่งให้กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัลต่อไป

หากมีความคืบหน้าเพิ่มเติมทาง i-secure จะอัปเดตข้อมูลให้ทราบอีกครั้ง

กลุ่ม Conti ransomware ขอโทษราชวงศ์อาหรับจากกรณีเผยแพร่ข้อมูลที่ขโมยออกมา

เมื่อเดือนตุลาคม 2564 ที่ผ่านมา ทางกลุ่ม Conti ransomware ได้ทำการโจมตี และขโมยข้อมูลของร้านขายเครื่องประดับในประเทศอังกฤษที่ชื่อว่า Graff ซึ่งอ้างว่าได้ข้อมูลของลูกค้าออกมาประมาณ 11,000 ราย และได้ทำการปล่อยข้อมูลเอกสารต่างๆประมาณ 69,000 ฉบับออกสู่สาธารณะ ซึ่งข้อมูลลูกค้าที่ทางแฮ็กเกอร์ได้ขโมยออกมานั้นมีรายชื่อ และข้อมูลของบุคคลที่มีชื่อเสียงอยู่หลายคนด้วย แต่หลังจากนั้นก็เกิดเหตุการณ์ที่ไม่คาดฝันขึ้นมาเมื่อพบว่าทางแฮ็กเกอร์ได้ออกมาโพสน์ขอโทษหลังจากที่ได้ทำการปล่อยข้อมูลออกมา

รายละเอียดของการแถลงโพสต์ขอโทษในวันพฤหัสที่ผ่านมาจากกลุ่ม Conti ต่อราชวงศ์อาหรับนั้นได้ระบุว่าพวกเขาไม่ได้ตั้งใจที่จะขาย หรือแลกเปลี่ยนข้อมูลดังกล่าว และจากนี้ไปพวกเขาจะใช้กระบวนการตรวจสอบข้อมูลอย่างเข้มงวดก่อนก่อนดำเนินการขั้นต่อไปในอนาคต และทางกลุ่มได้สัญญาที่จะลบข้อมูลใด ๆ ที่เกี่ยวราชวงศ์ซาอุดีอาระเบีย สหรัฐอาหรับเอมิเรตส์ และกาตาร์ โดยทันที

นอกจากนี้ในไฟล์ข้อมูลที่รั่วไหลยังมีข้อมูลที่สำคัญของบุคคลที่มีชื่อเสียง หรือคนดังอื่น ๆ อีก เช่น เดวิค เบ็คแฮม, โอปราห์ วินฟรีย์ และโดนัลด์ ทรัมป์ รวมถึงข้อมูลของมกุฎราชกุมาร Mohammad bin salman ของซาอุดิอาระเบียอีกด้วย

ที่มา: hackread

Patch Tuesday ประจำเดือนพฤศจิกายน 2021 ของ Microsoft แก้ไข 6 ช่องโหว่ Zero-days และช่องโหว่อื่นๆรวม 55 ช่องโหว่

แพทช์ Patch Tuesday ประจำเดือนพฤศจิกายน 2021 ของ Microsoft มีการแก้ไข 6 ช่องโหว่ zero-days และช่องโหว่อื่นๆรวม 55 รายการ โดยช่องโหว่ที่ถูกพบว่ามีการใช้ในการโจมตีอยู่ในปัจจุบันคือช่องโหว่ของ Microsoft Exchange และ Excel โดยที่ช่องโหว่ Zero-day ของ Exchange คือช่องโหว่ที่มีแฮ็กเกอร์ใช้ในงาน Tianfu hacking contest

Microsoft ได้แก้ไขช่องโหว่ทั้งหมด 55 รายการด้วยการอัปเดตในวันนี้ โดยมี 6 รายการจัดอยู่ในประเภท Critical และ 49 รายการเป็นระดับ Important จำนวนช่องโหว่แต่ละประเภทมีดังต่อไปนี้:

20 ช่องโหว่ Elevation of Privilege
2 ช่องโหว่ Security Feature Bypass
15 ช่องโหว่ Remote Code Execution
10 ช่องโหว่ Information Disclosure
3 ช่องโหว่ Denial of Service
4 ช่องโหว่ Spoofing

แก้ไข 6 ช่องโหว่ Zero-days โดยมี 2 ช่องโหว่ที่ถูกพบว่ามีการใช้ในการโจมตีอยู่ในปัจจุบัน

Patch Tuesday ของเดือนพฤศจิกายนมีการแก้ไขช่องโหว่ Zero-day 6 ช่องโหว่ โดยมี 2 ช่องโหว่สำคัญใน Microsoft Exchange และ Microsoft Excel

ช่องโหว่ที่พบว่ามีการใช้ในการโจมตีที่ได้รับการแก้ไขในเดือนนี้ ได้แก่:

CVE-2021-42292 - Microsoft Excel Security Feature Bypass Vulnerability
CVE-2021-42321 - Microsoft Exchange Server Remote Code Execution Vulnerability

ช่องโหว่ของ Microsoft Exchange CVE-2021-42321 เป็นช่องโหว่ Remote code execution ซึ่งถูกใช้เป็นส่วนหนึ่งของการแฮ็กในงาน Tianfu Cup เมื่อเดือนที่แล้ว

ส่วนช่องโหว่ Microsoft Excel CVE-2021-42292 ถูกค้นพบโดย Microsoft Threat Intelligence Center และถูกใช้ในการโจมตีเพื่อติดตั้งมัลแวร์

ส่วนการอัปเดตความปลอดภัยของ Microsoft Office สำหรับ Mac ยังไม่ได้รับการอัพเดทในครั้งนี้ Microsoft ยังแก้ไขช่องโหว่อื่นๆ ที่มีการเปิดเผยต่อสาธารณะอีก 4 ช่องโหว่ แต่ยังไม่มีข้อมูลว่าถูกใช้ในการโจมตีแล้วหรือไม่

CVE-2021-38631 - ช่องโหว่ Windows Remote Desktop Protocol (RDP) Information Disclosure
CVE-2021-41371 - ช่องโหว่ Windows Remote Desktop Protocol (RDP) Information Disclosure
CVE-2021-43208 - ช่องโหว่ 3D Viewer Remote Code Execution
CVE-2021-43209 - ช่องโหว่ 3D Viewer Remote Code Execution

อัปเดตช่องโหว่ล่าสุดจากบริษัทอื่นๆ

Vendor รายอื่นที่เผยแพร่การอัปเดตในเดือนพฤศจิกายน ได้แก่:

การอัปเดตความปลอดภัยเดือนพฤศจิกายนของ Adobe สำหรับแอปพลิเคชันต่างๆ
การอัปเดตความปลอดภัยเดือนพฤศจิกายนของ Android เมื่อสัปดาห์ที่แล้ว
Cisco ออกอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์จำนวนมากในเดือนนี้ ซึ่งรวมถึงช่องโหว่ hard-coded password and SSH keys
SAP ออกอัปเดตความปลอดภัยในเดือนพฤศจิกายน
การอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนพฤศจิกายน 2564

หากต้องการคำอธิบายแบบเต็มของช่องโหว่ในแต่ละระบบ และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่ bleepingcomputer

ที่มา: bleepingcomputer