News

CISA อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ได้อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ที่ถูกใช้โจมตีอย่างต่อเนื่อง รวมถึงรายงานการวิเคราะห์มัลแวร์ (Malware Analysis Reports - MAR) ที่อาศัยช่องโหว่ในการโจมตี

CISA ยังได้ทำการอัปเดตรายงานการวิเคราะห์มัลแวร์ที่มีอยู่ 7 รายการ พร้อมทั้งเพิ่ม YARA rules เพื่อช่วยตรวจจับมัลแวร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านรายงานและคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ได้ที่: https://us-cert.

ทีมนักวิจัยจาก WordFence พบช่องโหว่ของ plugin ที่รู้จักกันในชื่อว่า "Official Facebook Pixel" ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงค่า salts และ keys โดยไม่ต้องพิสูจน์ตัวตน (unauthenticate) เพื่อนำไปใช้รันคำสั่งอันตราย (RCE) ร่วมกับเทคนิค deserialization ช่องโหว่ยังสามารถถูกใช้เพื่อ inject JavaScript เข้าไปใน setting ของ plugin หากสามารถหลอกให้เหยื่อคลิกลิงก์ได้ และได้มีการแจ้งให้ Facebook ทราบตั้งแต่ธันวาคมปีที่แล้ว และได้มีการปล่อยแพทช์แก้ไขเมื่อเดือนมกราคมที่ผ่านมา ช่องโหว่ได้รับความรุนแรงในระดับ critical และมีคะแนน 9 จาก 10 (CVE-2021-24217)

หลังจากนั้นได้มีการค้นพบช่องโหว่ที่ 2 และแจ้งไปยัง Facebook ตั้งแต่ปลายเดือนมกราคมที่ผ่านมา และได้มีการออกแพทช์เพื่อแก้ไขปัญหาไปในช่วงกลางเดือนกุมภาพันธ์ที่ผ่านมา เป็นช่องโหว่ Cross-Site Request Forgery มีความรุนแรงในระดับ high มีคะแนน 8.8 จาก 10 (CVE-2021-24218) หากโจมตีสำเร็จจะทำให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสำคัญบนเว็บไซต์ จากการ inject JavaScript เข้าไปในส่วน setting ของ plugin ได้

ผู้ที่มีการใช้งาน plugin ดังกล่าวควรทำการอัพเดตเป็นเวอร์ชั่น 3.0.5 เพื่อแพตช์ช่องโหว่ดังกล่าว

ที่มา: securityaffairs, wordfence

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยได้ค้นพบฐานข้อมูลเว็บไซต์ Forex trading ของโบรกเกอร์ FBS ที่มีขนาดข้อมูลเกือบ 20 TB ที่อยู่บนเซิร์ฟเวอร์ ElasticSearch ซึ่งมีข้อมูลมากกว่า 16,000 ล้านรายการ

FBS เป็นโบรกเกอร์ออนไลน์ Forex trading ที่มีผู้ใช้มากกว่า 16 ล้านคนบนแพลตฟอร์มซึ่งครอบคลุม 190 ประเทศ โดยนักวิจัยด้านความปลอดภัยได้พบเซิร์ฟเวอร์ ElasticSearch ที่เปิดทิ้งไว้โดยไม่มีการป้องกันด้วยรหัสผ่านหรือการเข้ารหัสใด ๆ ซึ่งทำให้ทุกคนสามารถเข้าถึงข้อมูล FBS ได้

โดยข้อมูลที่ถูกค้นพบประกอบไปด้วย ชื่อ, รหัสผ่าน, อีเมล, หมายเลขหนังสือเดินทาง, บัตรประจำตัวประชาชน, บัตรเครดิต, ธุรกรรมทางการเงินและอื่น ๆ นอกจากนี้ยังมีไฟล์ที่ถูกอัปโหลดโดยผู้ใช้เพื่อยืนยันการตรวจสอบบัญชี ซึ่งมีเอกสารเช่น รูปถ่ายส่วนตัว, บัตรประจำตัวประชาชน, ใบขับขี่, สูติบัตร, ใบแจ้งยอดบัญชีธนาคาร, ค่าสาธารณูปโภคและรูปภาพบัตรเครดิตของธนาคารในฝรั่งเศสและสวีเดน และรายละเอียด Transaction รวม 500,000 ดอลลาร์

ผู้ใช้ที่เป็นสมาชิกโบรกเกอร์ FBS ควรทำการตรวจสอบบัญชีและควรทำการเปลื่ยนรหัสผ่านและเปิดการใช้งาน Two-factor authentication (2FA) บนแพลตฟอร์มและเฝ้าระวังกิจกรรมที่ผิดปกติที่อาจส่งผลกระทบกับการเงิน ทั้งนี้ผู้ใช้ควรระมัดระวังการถูกใช้ข้อมูลที่ถูกรั่วไหลเพื่อทำการหลอกลวงด้วยเทคนิคฟิชชิง รวมทั้งไม่ควรเปิดเผยข้อมูลที่เป็นความลับส่วนบุคคลใด ๆ ที่ร้องขอทางอีเมลหรือทางโทรศัพท์

ที่มา: itpro

Microsoft พบ web shell ที่เชื่อว่าถูกใช้โดยมัลแวร์เรียกค่าไถ่ที่ชื่อว่า "Black Kingdom" อาศัยช่องโหว่ของ Exchange Server ในการโจมตี มีเครื่อง Exchange Server ตกเป็นเหยื่อมากกว่า 1,500 ราย แต่ไม่ใช่ทุกรายที่จะโดนเข้ารหัสไฟล์ หรือโดนกระบวนการ human-operated นอกจากนี้พบว่ามีตัวอย่างไฟล์มัลแวร์มากกว่า 30 รายการที่ถูกส่งไปตรวจสอบกับเว็บไซต์ ID Ransomware ตั้งแต่วันที่ 18 มีนาคมที่ผ่านมา ระบุว่ามีการเรียกค่าไถ่เป็นจำนวนเงินมากกว่า 100,000 เหรียญ และมีการโจรกรรมข้อมูลออกไปด้วย

นอกเหนือจาก Black Kingdom แล้ว ก่อนหน้านี้ก็ยังพบว่ามีมัลแวร์อื่น ๆ อาทิเช่น DearCry Ransomware และ Cryptoming malware ที่อาศัยช่องโหว่ของ Exchange Server ในการโจมตีด้วยเช่นเดียวกัน ผู้ใช้งาน Exchange Server ที่เป็น On-premise หรือ Hybrid หากยังไม่ได้อัปแพตช์ควรดำเนินการโดยเร็วที่สุด

ที่มา: bleepingcomputer

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

ช่องโหว่ดังกล่าวประกอบด้วย CVE-2021-3449 และ CVE-2021-3450

CVE-2021-3449: ช่องโหว่ที่สามารถทำให้เกิด DoS บนเครื่องที่โดนโจมตีได้ด้วยการส่ง ClientHello ที่ได้รับการปรับแต่งจาก Client มายังเครื่อง Server ที่มีช่องโหว่ มีผลกระทบกับ Server ที่ใช้ OpenSSL 1.1.1 ร่วมกับ TLS 1.2
CVE-2021-3450: ช่องโหว่ในกระบวนการพิสูจน์ certificate chain เมื่อเป็นการใช้ X509_V_FLAG_X509_STRICT ส่งผลให้เกิด certificate bypassing ส่งผลให้ไม่มีการ reject TLS certificates ที่ไม่ได้ถูก sign ด้วย browser-trusted certificate authority (CA) ได้ มีผลกระทบตั้งแต่ OpenSSL 1.1.1h เป็นต้นไป

ผู้ใช้งานเวอร์ชันที่ได้รับผลกระทบ ควรดำเนินอัปแพตช์ให้เป็นเวอร์ชันล่าสุด

ที่มา: thehackernews

ข้อมูลนี้ถูกหยิบยกมาพูดคุยบนเว็บไซต์ใต้ดินที่เกี่ยวข้องกับอาชญากรรมทางไซเบอร์แห่งหนึ่ง เป็นปัญหาที่เกิดขึ้นกับเครื่องมือสำหรับถอดรหัสที่เป็นตัวทดสอบ (Trial Decryptor) สำหรับให้เหยื่อทดลองใช้ อย่างไรก็ตามเชื่อว่าปัจจุบันกลุ่มที่อยู่เบื้องหลัง LockBit ransomware น่าจะทราบปัญหาดังกล่าวและทำการแก้ไขปัญหาดังกล่าวแล้ว

ที่มา: therecord

Lukas Stefanko นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก ESET ได้เปิดเผยถึงการพบมัลแวร์ที่ถูกเรียกว่า “BlackRock” โดยมัลแวร์ดังกล่าวจะถูกเเฝงไปกับแอปพลิเคชันปลอมของแอปพลิเคชันยอดนิยมในขณะนี้อย่าง Clubhouse เวอร์ชัน Android ซึ่งในขณะนี้แอปพลิเคชันยังไม่มีเวอร์ชัน Android

นักวิจัยกล่าวต่อว่ามัลแวร์ถูกสร้างขึ้นเพื่อจุดประสงค์ในการขโมยข้อมูลการเข้าสู่ระบบของผู้ที่ตกเป็นเหยื่อ โดยมัลแวร์ได้กำหนดเป้าหมาย ซึ่งประกอบด้วยแอปทางการเงินและการช็อปปิ้งทุกประเภท รวมถึงแอปการแลกเปลี่ยนสกุลเงินดิจิทัลตลอดจนแอปโซเชียลมีเดีย เช่น Facebook, Twitter, Whatsapp, Amazon, Netflix และบริการออนไลน์อื่น ๆ อีก 458 รายการ

“BlackRock” จะใช้การโจมตีแบบ Overlay Attack ที่ช่วยให้สามารถขโมยข้อมูล Credential ของผู้ที่ตกเป็นเหยื่อและเมื่อใดก็ตามที่แอปที่เป็นเป้าหมายเปิดตัวขึ้น ระบบจะขอให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบของตน ซึ่งจะทำให้ผู้โจมตีสามารถทราบและเข้าถึงข้อมูล Credential ผู้ที่ตกเหยื่อ นอกจากนี้มัลแวร์ยังสามารถดัก SMS ที่อาจใช้กับฟีเจอร์การยืนยันตัวตนหลายขั้นตอนของผู้ใช้อีกด้วย

นักวิจัยกล่าวอีกว่ามัลแวร์ถูกเเพร่กระจายโดยเว็บไซต์ของผู้ประสงค์ร้ายที่ได้ทำการสร้างเว็บไซต์ที่เหมือนกันเว็บไซต์ Clubhouse ที่ถูกต้องและเมื่อผู้ใช้ดาวน์โหลดแอปจากเว็บไซต์ตัวเว็บผู้ใช้จะได้รับ Android Package Kit (APK) ของ Clubhouse เวอร์ชันปลอม

ทั้งนี้เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมัลแวร์ “BlackRock” ผู้ใช้ควรทำการหลีกเลี่ยงการดาวน์โหลดแอปจากเว็บไซต์ที่ไม่รู้เเหล่งที่มา อย่างไรก็ตาม Clubhouse กำลังวางแผนที่จะเปิดตัวแอปเวอร์ชัน Android ซึ่งในขณะนี้มีเพียงแพลตฟอร์มสำหรับผู้ใช้ iOS เท่านั้น ผู้ใช้ Android ควรทำการติดตามข่าวสารของแอปพลิเคชันและควรทำการดาวน์โหลดแอปจาก Google Play เท่านั้น

ที่มา: hackread

นักวิจัยจากบริษัท SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์บนโปรเจกต์ Xcode ที่ถูกเรียกว่า “XcodeSpy” ซึ่งกำลังกำหนดเป้าหมายไปยังนักพัฒนาแอปพลิเคชัน iOS เพื่อทำการโจมตีในลักษณะ Supply-chain attack และเพื่อติดตั้งแบ็คดอร์บนระบบปฏิบัติการ macOS บนคอมพิวเตอร์ของผู้พัฒนา

Xcode เป็นเครื่องมือสำหรับการพัฒนาแอปพลิเคชัน (Integrated Development Environment - IDE) ที่สร้างโดย Apple ซึ่ง Xcode จะช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ทำงานบน macOS, iOS, tvOS และ watchOS

นักวิจัยจากบริษัท SentinelOne กล่าวว่าได้ค้นพบ iOS โปรเจกต์ที่มีชื่อว่า TabBarInteraction โดยโปรเจกต์ดังกล่าวเป็นโปรเจกต์ Xcode ที่ถูกต้องสำหรับผู้พัฒนาแอปพลิเคชัน จากการตรวจสอบโปรเจกต์โดยทีมนักวัยจัยพบว่าผู้ประสงค์ร้ายได้ทำการโคลนโปรเจกต์ TabBarInteraction ที่ถูกต้องและได้เพิ่มสคริปต์ 'Run Script' ที่เป็นอันตรายลงไปยังโปรเจกต์ เมื่อผู้พัฒนาแอปพลิเคชันสร้างโปรเจกต์ code จะเรียกใช้ Run Script โดยอัตโนมัติเพื่อทำการสร้างไฟล์ที่ชื่อว่าว่า .tag ใน /tmp และภายในไฟล์จะมีคำสั่ง mdbcmd เพื่อเปิด Reverse shell กลับไปที่เซิร์ฟเวอร์ของผู้ประสงค์ร้าย นอกจากนี้แบ็คดอร์ยังสามารถทำให้ผู้ประสงค์ร้ายเข้าถึงการอัปโหลดและดาวน์โหลดไฟล์, ดึงข้อมูลหรือดักฟังจากกล้อง, ไมโครโฟนและคีย์บอร์ดของผู้ที่ตกเหยื่อได้อีกด้วย

ทั้งนี้ผู้พัฒนาแอปพลิเคชันจากซอฟต์แวร์ Xcode ควรระมัดระวังในการใช้งานอย่างมาก และไม่ควรดึงโปรเจกต์จากผู้พัฒนาที่ไม่รู้จักหรือไม่รู้เเหล่งที่มา เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, hackread