News

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Microsoft ปล่อยเครื่องมือ Sysmon เวอร์ชั่น 13 เพิ่มความสามารถในการตรวจจับการโจมตีที่พยายามแทรกคำสั่งอันตรายลงไปในโปรเซสปกติที่มีการทำงานอยู่บนเครื่อง (Tampering) ไม่ว่าจะเป็นการโจมตีด้วยเทคนิค Process Hollowing หรือ Process Herpaderping

การแทรกคำสั่งอันตรายลงไปในโปรเซสบนเครื่อง จะช่วยให้สามารถหลบหลีกการตรวจจับจากอุปกรณ์ความปลอดภัยบนเครื่องได้ เนื่องจากหากไม่มีการตรวจสอบเชิงลึก จะเสมือนว่าเป็นการทำงานตามปกติของโปรเซสนั้นๆ แต่ใน Sysmon ที่ปล่อยออกมาใหม่นี้จะเพิ่มการตรวจจับการโจมตีในลักษณะนี้เพิ่มขึ้นมา โดยผู้ดูแลระบบจะต้องทำการเพิ่ม “ProcessTampering” ลงไปในไฟล์ configuration ของ Sysmon หากตรวจพบจะมีการเขียน event log ที่ Applications and Services Logs/Microsoft/Windows/Sysmon/Operational โดยใช้ “Event 25 - Process Tampering”

อย่างไรก็ตามจากแหล่งข่าวได้ระบุว่า จากการทดสอบพบว่าจะมีการตรวจจับที่ผิดพลาด โดยจับการทำงานตามปกติของโปรแกรม Web Browser ไม่ว่าจะเป็น Chrome, Opera, Firefox, Fiddler, Microsoft Edge รวมทั้งโปรแกรมสำหรับติดตั้งอื่นๆ อีกหลายตัว ซึ่งไม่ใช่การโจมตี นอกจากนั้นยังได้มีการทดสอบกับมัลแวร์ TrickBot และ BazarLoader ตัวล่าสุด แต่กลับไม่พบข้อมูลการตรวจจับ

ที่มา: bleepingcomputer

Adobe ออกแพตช์แก้ไขช่องโหว่ที่สำคัญและมีความรุนแรงระดับ Critical จำนวน 7 รายการในผลิตภัณฑ์ Adobe Photoshop, Illustrator, Animate, Bridge, InCopy, Captivate และ Campaign Classic

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Photoshop คือ CVE-2021-21006 เป็นช่องโหว่ Heap-based buffer overflow ที่จะทำให้ผู้ประสงค์ร้ายสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต โดยช่องโหว่จะส่งผลกระทบกับ Adobe Photoshop สำหรับ Windows และ macOS

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Illustrator คือ CVE-2021-21007 เป็นช่องโหว่ที่เกิดจากข้อผิดพลาดขององค์ประกอบเส้นทางการค้นหาที่ไม่มีการควบคุม (Uncontrolled search path element) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตได้ ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Illustrator สำหรับ Windows

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Bridge คือ CVE-2021-21012 และ CVE-2021-21013 เป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Bridge สำหรับ Windows เวอร์ชัน 11 และก่อนหน้า

นอกจากนี้ Adobe ยังแก้ไขช่องโหว่ที่สำคัญใน Adobe Animate (CVE-2021-21008), Adobe InCopy (CVE-2021-21010) และ Adobe Captivate (CVE-2021-21011)

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตและติดตั้งแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet | threatpost

Bitdefender ปล่อยเครื่องมือถอดรหัสให้ใช้ฟรีสำหรับมัลแวร์เรียกค่าไถ่ที่ชื่อว่า “DarkSide”

มัลแวร์เรียกค่าไถ่ตัวนี้ถูกจัดว่าเป็นมัลแวร์เรียกค่าไถ่ประเภท Human-Operated Ransomware ซึ่งเป็นประเภทเดียวกับมัลแวร์เรียกค่าไถ่ที่เป็นที่รู้จักอย่างเช่น Maze, REvil และ Ryuk เป็นต้น พบว่าถูกใช้ในการโจมตีครั้งแรกในช่วงเดือนสิงหาคมปีที่แล้ว แม้ว่าจะสามารถถอดรหัสไฟล์ได้ แต่มีความเป็นไปได้สูงว่าไฟล์เหล่านั้นจะถูกลักลอบส่งออกไปภายนอกก่อนที่จะเริ่มกระบวนการเข้ารหัส ทำให้ผู้ไม่หวังดียังคงมีไฟล์เหล่านั้นอยู่

ผู้สนใจสามารถดาวน์โหลดได้จาก > bitdefender.

Microsoft ประกาศออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2021 หรือ Microsoft Patch Tuesday January 2021 โดยในเดือนมกราคม 2021นี้ Microsoft ได้ทำการแก้ไขช่องโหว่จำนวน 83 รายการ ซึ่งมีช่องโหว่จำนวน 10 รายการที่จัดว่าเป็นช่องโหว่ระดับ Critical และช่องโหว่จำนวน 73 รายการเป็นช่องโหว่ระดับ Important

สำหรับช่องโหว่ที่มีความสำคัญและได้รับแก้ไขในเดือนนี้คือ CVE-2021-1647 เป็นช่องโหว่ Zero-day ใน Microsoft Defender โดยช่องโหว่จะทำให้ผู้โจตีสามารถเรียกใช้โค้ดได้จากระยะไกล ซึ่งช่องโหว่ Zero-day นี้ได้รับการแก้ไขแล้วใน Microsoft Malware Protection Engine เวอร์ชัน 1.1.17700.4

ช่องโหว่ที่น่าสนใจอีกช่องโหว่คือ CVE-2021-1648 เป็นช่องโหว่การยกระดับสิทธ์ใน (Elevation of Privilege) ใน splwow64 ซึ่งได้เผยแพร่ต่อสาธารณะแล้วเมื่อวันที่ 15 ธันวาคมที่ผ่านมา โดยโปรเจกต์ Zero-Day Initiative ของ Trend Micro

ทั้งนี้ผู้ใช้ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของผุ้ประสงค์ร้าย สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่ที่ได้รับการแก้ไขสามารถดูรายละเอียดได้จากแหล่งที่มา

ที่มา: zdnet | bleepingcomputer

CISA ออก Alert ใหม่ในกรณี SolarWinds รหัส AA21-008A โดยในรอบนี้นั้น รายละเอียดของการแจ้งเตือนพุ่งเป้าไปที่การอธิบาย TTP ใหม่ของผู้โจมตีในระบบคลาวด์ของ Microsoft ที่ถูกระบุและให้รายละเอียดไปแล้วจากทาง Microsoft เอง และแนวทางในการตรวจจับ ป้องกันและตอบสนอง

ในส่วนของข้อมูลใหม่เกี่ยวกับ TTP ทีม Intelligent Response ขอสรุปประเด็นที่น่าสนใจเพิ่มเติมตามรายการดังนี้

TTP ที่น่าสนใจหลังที่ผู้โจมตีประสบความสำเร็จในการเข้าถึงระบบได้แล้ว (Post-compromise) ประกอบด้วย 3 องค์ประกอบหลักด้วยกัน คือการโจมตีระบบสำหรับยืนยันตัวตนแบบ Federation service, การสร้างข้อมูลสำหรับยืนยันตัวตนใหม่เพื่อใช้ในการทำ Lateral movement และการฝังตัวในระบบคลาวด์ผ่านการเข้าถึง API ด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้จากขั้นตอนก่อนหน้า

กระบวนการ Privilege escalation ของผู้โจมตีจะมีการใช้ฟีเจอร์ WMI กับเซอร์วิส Microsoft Active Directory Federated Services เพื่อสร้างโทเคนสำหรับการยืนยันตัวตนและทำการรับรอง โทเคนสำหรับการยืนยันตัวตนดังกล่าวจะถูกใช้เพื่อเข้าถึงระบบบนคลาวด์ของไมโครซอฟต์ที่เป้าหมายใช้งาน

CISA ยังพบพฤติกรรมของผู้โจมตีที่ไม่ได้ทำการเข้าถึงระบบเป้าหมายผ่านทาง SUNBURST แต่มีการใช้เทคนิคในการคาดเดารหัสทั้งแบบ Bruteforcing, แบบ Spraying และการโจมตีระบบสำหรับจัดการระบบที่ไม่ปลอดภัยด้วย

ในส่วนของคำแนะนำเพื่อตรวจจับและระบุหาพฤติกรรมตามที่ CISA ได้แจ้งเตือนนั้น เราขอสรุปประเด็นสำคัญตามคำแนะนำให้ดังนี้

การระบุหาความผิดปกติในระบบ Microsoft 365 สามารถใช้เครื่องมือซึ่ง Sparrow (https://github.

นักวิจัยจาก NinjaLab ได้เปิดเผยถึงเทคนิคการ Bypass อุปกรณ์ฮาร์ดแวร์ยืนยันความปลอดภัยแบบ 2FA จาก Google Titan

Victor Lomne และ Thomas Roche นักวิจัยของ NinjaLab ได้เปิดเผยรายงานการทดสอบเทคนิคการ Bypass คีย์จากอุปกรณ์ฮาร์ดแวร์ที่จะช่วยยืนยันความปลอดภัยแบบ Two-factor authentication (2FA) จาก Google Titan และ Yubico ด้วยการโคลนคีย์ความปลอดภัยโดยใช้ช่องสัญญาณแม่เหล็กไฟฟ้าที่ฝังอยู่ภายในชิป

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-3011โดยช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถดึงคีย์การเข้ารหัสหรือคีย์ส่วนตัวในรูปแบบ Elliptic Curve Digital Signature Algorithm (ECDSA) ที่เชื่อมโยงกับบัญชีของเหยื่อจากอุปกรณ์ FIDO Universal 2nd Factor (U2F) เช่น Google Titan Key หรือ YubiKey ได้

สำหรับรายการผลิตภัณฑ์ที่ได้รับผลกระทบได้แก่คีย์ความปลอดภัย Google Titan ทุกเวอร์ชัน (ทุกเวอร์ชัน), Yubico Yubikey Neo, Feitian FIDO NFC USB-A/K9, Feitian MultiPass FIDO/ K13, Feitian ePass FIDO USB-C/K21, และ Feitian FIDO NFC USB-C/K40 นอกจากคีย์ความปลอดภัยแล้วการเทคนิคดังกล่าวยังสามารถทำได้บนชิป NXP JavaCard ซึ่งรวมถึง NXP J3D081_M59_DF, NXP J3A081, NXP J2E081_M64, NXP J3D145_M59, NXP J3D081_M59, NXP J3E145_M64 และ NXP J3D145_M59 ตามลำดับ

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่: https://ninjalab.

JetBrains แถลงปฏิเสธการมีส่วนเกี่ยวกับเหตุการณ์ Supply-chain attack ของ SolarWinds

บริษัทด้านการพัฒนาซอฟต์แวร์ชื่อดัง JetBrains ได้มีการแถลงออกมาวันนี้เพื่อปฏิเสธรายงานและข้อมูลจาก New York Times และ Wall Street Journal ซึ่งอ้างว่า JetBrains กำลังถูกสอบสวนภายใต้ข้อกล่าวหาว่า JetBrains อาจมีส่วนเกี่ยวข้องกับกรณีการโจมตีระบบของ SolarWinds

รายงานของสองสำนักข่าวอ้างว่าข้อมูลดังกล่าวมีที่มาจากบุคคลภายในของรัฐบาลสหรัฐฯ ซึ่งระบุว่าทางการสหรัฐฯ กำลังตรวจสอบความเป็นไปได้ว่าแฮกเกอร์ซึ่งโจมตีระบบ SolarWinds อาจทำการโจมตีระบบของ JetBrains ในลักษณะเดียวกัน โดยผลิตภัณฑ์ของ JetBrains ซึ่งอ้างว่าได้รับผลกระทบนั้นคือ TeamCity ซึ่งเป็นผลิตภัณฑ์กลุ่มแพลตฟอร์มสำหรับ CI/CD

อ้างอิงจากแถลงการณ์ของ JetBrains "Maxi Shafirov" CEO ของ JetBrains ระบุว่าทางบริษัทไม่ทราบเรื่องของการตรวจสอบดังกล่าวมาก่อน และยังไม่ได้รับการติดต่อใดๆ และมีการระบุอย่างชัดเจนว่า JetBrians ไม่ได้มีส่วนเกี่ยวข้องในลักษณะใดๆ กับการโจมตีในครั้งนี้

ที่มา: blog.