News

Shopify เปิดเผยว่าพนักงานของบริษัทเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต

Shopify ได้เปิดเผยถึงเหตุการณ์ที่เจ้าหน้าที่สองคนของบริษัทได้ทำการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต ซึ่งจากการตรวจสอบทั้งคู่ได้ทำการละเมิดสิทธิ์ในการเข้าถึงข้อมูลที่เกี่ยวข้องกับธุรกรรมของลูกค้าจำนวนหนึ่งซึ่งคาดว่าน่าจะมีน้อยกว่า 200 ราย

เมื่อทำการตรวจพบ Shopify ได้ตัดการเข้าถึงเครือข่าย Shopify ของบุคคลทั้งสองโดยทันที โดยข้อมูลที่คาดว่าพนักงานเข้าถึงได้โดยไม่ได้รับอนุญาตนั้นประกอบไปด้วย ชื่อ, อีเมล, ที่อยู่และรายละเอียดการสั่งซื้อของบริษัท ซึ่งบริษัทได้ทำการยืนยันว่าข้อมูลทางการเงินนั้นจะไม่ได้รับผลกระทบ

หลังจากการสอบสวนเหตุการณ์ Shopify ได้ดำเนินการแจ้งผู้ที่ได้รับผลกระทบทั้งหมดแล้วและได้ไล่พนักงานทั้งสองคนออกทันที ทั้งนี้ผู้ใช้ที่ได้รับอีเมลเเจ้งเตือนถึงการละเมิดข้อมูลควรทำการเปลื่ยนรหัสผ่านเพื่อป้องกันการเข้าถึงบัญชีของผู้ใช้และควรระมัดระวังการ Phishing ข้อมูลของผู้ใช้ในอนาคต

ที่มา : bleepingcomputer

ร้านค้าออนไลน์ที่ใช้ Magento ถูกแฮกกว่า 2000 ร้าน

Willem de Groot นักวิจัยที่เชี่ยวชาญในการติดตามการโจมตีในลักษณะ Magecart จาก Sanguine Security (SanSec) พบการโจมตี Magento ที่ใหญ่ที่สุดเท่าที่เคยตรวจจับได้ โดยมีร้านกระทบกว่า 2000 ร้าน

Magecart เป็นเรียกสำหรับการโจมตีที่แฮกร้านค้าที่ใช้ Magento แล้วแทรกโค้ดอันตรายเข้าไปเพื่อขโมยบัตรเครดิตของผู้ใช้งานร้านค้า

SanSec ระบุว่าร้านค้าที่ถูกโจมตีส่วนใหญ่ใช้ Magento รุ่น 1.x ซึ่งหมดระยะซัพพอร์ตตั้งแต่ 30 มิถุนายน 2020 ซึ่งผู้โจมตีรอให้หมดระยะซัพพอร์ตดังกล่าวถึงโจมตีช่องโหว่ โดยพบหลักฐานว่ามีการค้าขายช่องโหว่ remote code execution (RCE) ของ Magento รุ่น 1.x ในช่วงเวลาไล่เลี่ยกัน

ทั้งนี้ Adobe พยายามให้ผู้ใช้งาน Magento รุ่น 1.x อัปเดตเป็นรุ่นใหม่ 2.x แต่ยังพบว่าเว็บไซต์หลายแห่งยังคงไม่ยอมอัปเดต และใช้ web application firewalls (WAFs) ป้องกันช่องโหว่แทน

ผู้ใช้ Magento รุ่น 1.x ควรพิจารณาอัปเดตเพื่อความปลอดภัยในระยะยาว

ที่มา : ZDnet | Sansec

เทคนิค “BlindSide” รูปแบบใหม่ใช้ความสามารถที่ช่วยเพิ่มประสิทธิภาพ CPU หลบหลีกการป้องกันของ OS

นักวิจัยจาก Stevens Institute of Technology ในรัฐนิวเจอร์ซีย์, ETH Zurich และมหาวิทยาลัย Vrije ในอัมสเตอร์ดัม ได้เผยเเพร่การพัฒนาเทคนิคใหม่สำหรับการโจมตีระบบคอมพิวเตอร์โดยใช้ Speculative execution ที่จะใช้สำหรับการเพิ่มประสิทธิภาพของ CPU เพื่อทำการสร้างช่องโหว่การ Bypass ASLR (Address Space Layout Randomization) โดยเทคนิคที่ถูกเเผยเเพร่นี้ถูกเรียกว่า “BlindSide”

เทคนิค “BlindSide” นั้นเกิดจากคุณลักษณะของ Speculative execution ที่ช่วยเพิ่มประสิทธิภาพของการโปรเซสเซอร์ใน CPU ซึ่งจะดำเนินการคำนวนล่วงหน้าและควบคู่ไปกับเธรดการคำนวณหลักเมื่อเธรดของ CPU หลักถึงจุดที่กำหนด Speculative execution จะนำค่าที่คำนวณแล้วและไปยัง task ถัดไปซึ่งเป็นกระบวนการที่ส่งผลให้การดำเนินการคำนวณเร็วขึ้น ค่าทั้งหมดที่คำนวณระหว่างการดำเนินการแบบ Speculative execution จะถูกละทิ้งโดยไม่ส่งผลกระทบต่อระบบปฏิบัติการ ซึ่งถ้าหากผู้โจมตีรู้ว่าแอปเรียกใช้โค้ดภายในหน่วยความจำที่ใดผู้โจมตีสามารถปรับแต่งช่องโหว่ที่ใช้โจมตีแอปพลิเคชันโดยเฉพาะและจะสามารถทำการขโมยข้อมูลที่ละเอียดอ่อนได้

นักวิจัยกล่าวว่าการโจมตีด้วยเทคนิค "BlindSide" นั้นสามารถทำงานได้โดยไม่คำนึงถึงสถาปัตยกรรม ซึ่งนักวิจัยได้ทำการทดสอบแล้วบน CPU ทั้ง Intel และ AMD นอกจากนี้การโจมตีแบบ BlindSide ยังทำงานได้แม้จะมีจะมีผู้ผลิตพยายามเพิ่มการป้องกันเทคนิค speculative execution attack เช่นเดียวกับ Spectre และ Meltdown ไปแล้ว

ทั้งนี้ผู้ที่สนใจรายละเอียดของเทคนิคสามารถอ่านรายละเอียดเพิ่มเติมได้ที่: vusec

ที่มา: ZDnet

แจ้งเตือนช่องโหว่ระดับวิกฤติ Zerologon (CVE-2020-1472) ยึด Domain controller ได้ มีโค้ดโจมตีแล้ว

เมื่อวันที่ 11 กันยายน 2020 ที่ผ่านมา Tom Tervoort จากบริษัท Secura ได้เผยแพร่ Whitepaper Zerologon: Unauthenticated domain controller compromise by subverting Netlogon cryptography (CVE-2020-1472) ซึ่งเปิดเผยรายละเอียดทางเทคนิค รวมถึงความร้ายแรงของช่องโหว่ดังกล่าวโดยละเอียด หลังจากที่ช่องโหว่ดังกล่าวถูกแพตช์ไปแล้วในแพตช์ประจำเดือนสิงหาคม 2020 โดยจาก Whitepaper นี้ ทำให้เห็นรายละเอียดความร้ายแรงของช่องโหว่มากขึ้น รวมไปถึงทำให้นักวิจัยสามารถจัดทำโค้ดสำหรับโจมตีช่องโหว่นี้เผยแพร่สู่สาธารณะได้

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอแจ้งเตือนและให้รายละเอียดโดยคร่าวเกี่ยวกับช่องโหว่ CVE-2020-1472 ตามหัวข้อต่อไปนี้

รายละเอียดช่องโหว่โดยย่อ
การโจมตีช่องโหว่
ระบบที่ได้รับผลกระทบ
การตรวจจับและป้องกันการโจมตี
อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE 2020-1472 (Zerologon) เป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) ซึ่งทำให้เมื่อผู้โจมตีเข้าถึง network ภายในองค์กรได้ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain รวมถึง Domain Controller ได้ และส่งคำขอเพื่อเปลี่ยนรหัสผ่านของ Domain Controller เป็นค่าว่างได้ ซึ่งนำไปสู่การยึดครองเครื่อง Domain Controller หรือทำ DCSync เพื่อ Dump Password Hash ออกมาได้ โดยช่องโหว่นี้ได้คะแนน CVSSv3 แบบ Base Score อยู่ที่ 10 เต็ม 10 มีความรุนแรงระดับวิกฤติ

ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว โดยการที่เปลี่ยนรหัสผ่านของ Domain Controller จากการโจมตีนี้ทำให้รหัสผ่านค่าว่างที่จะถูกบันทึกใน Active Directory นั้นแตกต่างจากรหัสผ่านที่บันทึกไว้ใน registry ทำให้ Domain Controller ทำงานผิดปกติอย่างคาดเดาไม่ได้

โดยการแพตช์ของไมโครซอฟต์เกี่ยวข้องกับช่องโหว่นี้จะแบ่งเป็นสองแพตช์ คือ

แพตช์ประจำเดือนสิงหาคม 2020 (Initial Deployment Phase)
แพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase)

โดยในแพตช์ประจำเดือนสิงหาคม 2020 เป็นอัปเดตเพื่อบังคับใช้ Secure NRPC สำหรับ Windows server และ Client ใน domain ทั้งหมด รวมถึงเพิ่ม Systems Event ID 5827 ถึง 5831 เพื่อช่วยในการตรวจจับช่องโหว่ดังกล่าว แต่ยังยินยอมให้มีการใช้ Netlogon เดิมที่ยังมีช่องโหว่ได้

แต่ในแพตช์ประจำเดือนกุมภาพันธ์ 2021 จะเป็นการบังคับใช้ Secure NRPC เท่านั้น ส่งผลให้อุปกรณ์ที่ไม่รองรับ Secure NRPC จะไม่สามารถใช้งานได้ โดยสามารถอ่านรายละเอียดได้จาก How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 ซึ่งผู้ที่อัปเดทแพตช์ประจำเดือนสิงหาคม 2020 แล้วต้องการบังคับใช้ Secure NRPC สามารถอ่านวิธีตั้งค่าได้ในบทความเดียวกันนี้

ข้อเสียของการไม่บังคับใช้ Secure NRPC กับอุปกรณ์อื่นๆ แม้อัปเดตแพตช์แพตช์ประจำเดือนสิงหาคม 2020 คือ ผู้โจมตีจะสามารถปลอมเป็นเครื่องใดๆ ใน domain แล้วเปลี่ยนรหัสผ่านของอุปกรณ์นั้นๆ เป็นค่าว่าง ส่งผลให้อุปกรณ์นั้นๆ ไม่สามารถทำงานได้ (deny of service)

นอกจากระบบปฏิบัติการ windows แล้ว ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8 หรือ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC จะมีความเสี่ยงต่อช่องโหว่นี้เช่นกัน

ทั้งนี้หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐอเมริกาออกประกาศ Emergency Directive 20-04 ให้หน่วยงานของรัฐทำการอัปเดตแพตช์ของช่องโหว่นี้ภายในวันที่ 21 กันยายน 2020 หรือถ้าอัปเดตไม่ได้ ให้นำเครื่องออกจาก network โดยระบุว่าช่องโหว่นี้เป็นความเสี่ยงที่ไม่สามารถยอมรับได้ (unacceptable risk) เพราะ

มีโค้ดสำหรับโจมตีแล้ว
มีการใช้งาน Domain Controller ในหน่วยงานรัฐจำนวนมาก
โอกาสถูกโจมตีสูง
ผลกระทบจากการโจมตีร้ายแรงมาก
พบว่ามีเครื่องที่มีช่องโหว่อยู่มากแม้มีแพตช์ออกมาแล้วนานกว่า 30 วัน

การโจมตีช่องโหว่
ในปัจจุบันมีการปล่อยโค้ด Proof of concept ของช่องโหว่ดังกล่าวออกมาแล้ว ซึ่ง mimikatz เองก็มีการอัปเดทเพื่อรองรับการโจมตี Zerologon อีกด้วย

 

นักวิจัยมองว่ามีโอกาสสูงที่ APT และผู้โจมตีที่ใช้ ransomware จะใช้ช่องโหว่นี้เป็นขั้นตอนต่อมาหลังจากการเข้าถึง network ภายในองค์กร
ระบบที่ได้รับผลกระทบ

Windows server ทั้งหมดที่ยังได้รับการ support ได้แก่

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่นต่ำกว่า 4.8
ระบบปฏิบัติการ Linux เป็น Domain Controller ที่มีการใช้ Samba รุ่น 4.8 เป็นต้นไปที่มีการเปลี่ยนการตั้งค่าไม่ใช้ Secure NRPC

หมายเหตุ

Windows server ที่หมดระยะ support อาจได้รับผลกระทบจากช่องโหว่ แต่เนื่องจากหมดระยะ support แล้วจึงไม่มีการวิเคราะห์จากไมโครซอฟต์ว่ามีช่องโหว่หรือไม่ รวมถึงไม่มีแพตช์จากไมโครซอฟต์ 
ระบบปฏิบัติการ Linux ที่มีการใช้ Samba เป็น File servers ไม่ใช่ Domain Controller อาจไม่ได้รับผลกระทบโดยตรงจากช่องโหว่ แต่ควรตรวจสอบว่าใช้ Secure NRPC หรือไม่ เพื่อให้สามารถสื่อสารกับ Windows server ที่จะมีการแพตช์ประจำเดือนกุมภาพันธ์ 2021 (Enforcement Phase) ในอนาคตได้

การตรวจจับและป้องกันการโจมตี
Windows
ปัจจุบันไมโครซอฟต์ไม่มีการแนะนำวิธีป้องกันและลดความเสี่ยงนอกจากการแพตช์ แต่เนื่องจากช่องโหว่นี้มีเงื่่อนไขว่าผู้โจมตีต้องเข้าถึง network ภายในองค์กรได้ก่อน ทำให้ป้องกันได้ทางอ้อมโดยการไม่ให้ผู้โจมตีสามารถเข้าถึง network ภายในองค์กรได้ รวมถึงสามารถตรวจจับการโจมตีได้จากการที่แบ่งโซน network และมีผลิตภัณฑ์ตรวจจับระหว่างโซนภายในกับ Domain Controller โดยผู้ผลิตหลายแห่งได้จัดทำการตรวจจับแล้ว เช่น

Trend Micro Deep Security: Rule 1010519 - Microsoft Windows Netlogon Elevation of Privilege Vulnerability (CVE-2020-1472)
Trend Micro TippingPoint: Filter 38166: MS-NRPC: Microsoft Windows Netlogon Zerologon Authentication Bypass Attempt
Palo Alto Networks Next-Generation Firewalls Threat ID 59336 detecting on the vulnerable Windows API (NetrServerAuthenticate3) with spoofed credentials
FortiGuard ID 49499 MS.Windows.

Maze ransomware now encrypts via virtual machines to evade detection

Maze Ransomware ใช้เทคนิคการซ่อนตัวใหม่โดยใช้ VM

Peter Mackenzie นักวิจัยจาก SophosLabs ได้เปิดเผยถึงผู้ปฏิบัติการ Maze ransomware ใช้ในการหลบหลีกการตรวจจับโดยการเข้ารหัสไฟล์จาก VM ที่แชร์ไฟล์กับโฮสต์ โดยเทคนิคนี้เคยถูกใช้โดย Ragnar Locker ransomware มาก่อน
เมื่อเดือนพฤษภาคม 2020 ที่ผ่านมาพบ Ragnar Locker ransomware ทำการติดตั้ง VM ของ Windows XP จากนั้นใช้ประโยชน์จากคุณสมบัติของ VirtualBox ที่ทำให้ VM สามารถ mount เพื่อแชร์โฟลเดอร์และไดรฟ์ในเครือข่ายกับโฮสต์ได้ ซึ่งเมื่อรัน ransomware ใน VM ก็จะ
สามารถเเพร่กระจายเข้าไปยังโฮสต์ได้

ในปัจจุบัน นักวิจัยจาก SophosLabs ออกมาเปิดเผยว่าพบการใช้เทคนิคแบบเดียวกันโดยผู้ปฏิบัติการ Maze ransomware ซึ่งได้ทำการติดตั้งซอฟต์แวร์ VirtualBox ที่มาพร้อมกับ VM Windows 7 บนเซิร์ฟเวอร์ของเหยื่อ และเมื่อเครื่อง VM ทำงานจะทำการเรียกไฟล์ batch ที่ชื่อ startup_vrun.

First death reported following a ransomware attack on a German hospital

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

Alert (AA20-259A) Iran-Based Threat Actor Exploits VPN Vulnerabilities

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

VMSA-2020-0020 VMware Workstation, Fusion and Horizon Client updates address multiple security vulnerabilities

VMware ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon

วันที่ 14 กันยายน 2020 ที่ผ่านมา VMware ได้ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon โดยช่องโหว่ที่ทำการเเก้ไขนั้นมีระดับความรุนเเรง CVSS อยู่ที่ 3.8-6.7 ซึ่งรายละเอียดช่องโหว่ที่น่าสนใจมีดังนี้

ช่องโหว่ CVE-2020-3980 ใน VMware Fusion เป็นช่องโหว่การเพิ่มระดับสิทธ์ ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ใช้ปกติใช้ประโยชน์จากช่องโหว่นี้เพื่อหลอกให้ผู้ดูแลระบบเรียกใช้โค้ดที่เป็นอันตรายในระบบที่ติดตั้ง Fusion ช่องโหว่จะมีผลกระทบกับ VMware Fusion เวอร์ชัน 11.X สำหรับ OS X
ช่องโหว่ CVE-2020-3986, CVE-2020-3987 และ CVE-2020-3988 ใน VMware Horizon Client สำหรับ Windows และ CVE-2020-3986, CVE-2020-3987, CVE-2020-3988 ใน VMware Workstation ช่องโหว่จะทำให้ผู้ประสงค์ร้ายที่สามารถเข้าถึงเครื่อง Workstation ได้สามารถทำให้เกิดสภาวะ Denial-of-Service (DoS) หรือทำ leak memory จากกระบวนการ TPView ที่ทำงานบนระบบที่ติดตั้ง Workstation หรือ Horizon Client สำหรับ Windows โดยช่องโหว่จะกระทบกับ Horizon Client สำหรับ Windows เวอร์ชัน 5.x และก่อนหน้านี้ และ VMware Workstation เวอร์ชัน 15.x

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตเเพตช์เพื่อเเก้ไขปัญหาจากช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่สามารถอ่านรายละเอียดเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: vmware.

Adobe releases out-of-band security update for Adobe Media Encoder

Adobe ออกเเพตช์อัปเดตฉุกเฉินสำหรับเเก้ไขช่องโหว่ใน Adobe Media Encoder

Adobe ได้ออกเเพตช์อัปเดตการรักษาความปลอดภัยฉุกเฉินสำหรับ Adobe Media Encoder ซึ่งแก้ไขช่องโหว่ระดับความรุนเเรง “Important” สามรายการคือ CVE-2020-9739, CVE-2020-9744 และ CVE-2020-9745

ช่องโหว่ทั้งสามถูกจัดอยู่ในประเภท “Information Disclosure” ซึ่งอาจทำให้ผู้โจมตีสามารถรับข้อมูลที่สำคัญของผู้ใช้ที่ใช้งานอยู่ ซึ่งช่องโหว่จะมีผลกระทบกับ Adobe Media Encoder เวอร์ชัน 14.4 สำหรับ Windows และ macOS

สำหรับผู้ใช้งานควรทำการอัปเดตเเพตช์และติดตั้งเป็น Adobe Media Encoder 14.4 เพื่อแก้ไขช่องโหว่เพื่อป้องกันผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

เหมือนจริงกว่าทำ Pentest!? MITRE ปล่อยแผนการจำลองพฤติกรรมกลุ่ม APT “FIN6” เพื่อให้องค์กรได้ทดสอบความปลอดภัยต่อภัยคุกคามจริง

MITRE เปิดตัวโครงการใหม่ Adversary Emulation Library พร้อมแผนสำหรับการจำลองพฤติกรรมกลุ่ม APT "FIN6" ซึ่งทำให้ผู้ที่สนใจสามารถจำลองพฤติกรรมของกลุ่ม APT ในแต่ละขั้นตอนเพื่อประเมินความปลอดภัยระบบได้จริง

FIN6 เป็นกลุ่ม APT ที่พุ่งเป้าโจมตีกลุ่มธุรกิจเพื่อการขโมยเงิน โดยมีพฤติกรรมสำคัญคือการโจมตีระบบ Point of Sale (PoS) ด้วยมัลแวร์ที่ออกแบบมาพิเศษเพื่อขโมยเลขบัตรเครดิต และยังเกี่ยวข้องกับปฏิบัติการของ Ransomware "Ryuk" ด้วย

แผนจำลองการโจมตีนี้เริ่มต้นตั้งแต่วิธีการที่กลุ่ม FIN6 หาข้อมูลของระบบที่จะโจมตี ทำการโจมตีเข้าไปจนถึงการกระจายในระบบภายใน (lateral movement) เพื่อหาระบบเป้าหมายที่จะขโมยข้อมูล คู่มือยังบอกวิธีการจำลองถึงระดับของคำสั่งที่ผู้โจมตีจะใช้จริงด้วย

ผู้ที่สนใจสามารถดู Adversary Emulation Library ได้ที่ https://github.