News

รัฐบาลสหรัฐแบ่งปันเคล็ดลับในการรักษาความปลอดภัย VPN สำหรับทำงานจากระยะไกล

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (CISA) ได้แบ่งปันเคล็ดลับเกี่ยวกับวิธีการรักษาความปลอดภัยเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรอย่างถูกต้อง หลังจากที่เห็นว่าองค์กรจำนวนมากกำลังเปลี่ยนไปเป็นการทำงานจากที่บ้าน เพื่อตอบสนองต่อการระบาดของ COVID-19

คาดว่าผู้โจมตีจะให้ความสำคัญกับการโจมตีการทำงานจากระยะไกล เนื่องจากพนักงานจำนวนมากได้เปลี่ยนไปใช้ VPN ขององค์กรเพื่อการทำงานทางไกล ผู้โจมตีเองก็จะเน้นการโจมตีข้อบกพร่องด้านความปลอดภัย VPN มากขึ้น ซึ่งมีโอกาสน้อยมากที่ VPN จะถูกแพตช์ทันเวลาโดยเฉพาะองค์กรที่มีการทำงานทั้งกลางวันและเเละกลางคืน

CISA ยังเน้นถึงความจริงที่ว่าผู้โจมตีอาจเพิ่มการโจมตีแบบ Phishing เพื่อขโมยข้อมูลประจำตัวของพนักงานที่ทำงานจากที่บ้าน ซึ่งองค์กรที่ยังไม่ได้ใช้การพิสูจน์ตัวตนด้วยหลายปัจจัย (MFA) สำหรับการเข้าถึงระยะไกลจะมีความเสี่ยงมากที่สุด

เมื่อถูกโจมตี องค์กรอาจมีการเชื่อมต่อ VPN จำนวนจำกัด หลังจากนั้นจะไม่มีพนักงานคนใดสามารถทำงาน จากระยะไกลได้อีก CISA กล่าว เมื่อความพร้อมใช้งาน VPN ลดลง การดำเนินธุรกิจที่สำคัญอาจประสบปัญหา เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีอาจปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ได้จำกัด

CISA เสนอให้ดำเนินการต่อไปนี้เพื่อเพิ่มความปลอดภัยให้ VPN ขององค์กร

– ดูเเลรักษา VPN อุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ที่ใช้สำหรับการทำงานระยะไกลให้เป็นปัจจุบัน (ใช้เเพตช์แก้ไขล่าสุด และตั้งค่าให้ปลอดภัย)
– แจ้งให้พนักงานทราบถึงความพยายาม Phishing ที่เพิ่มขึ้น
– ตรวจสอบให้แน่ใจว่าพนักงานรักษาความปลอดภัยไอทีมีความพร้อมสำหรับการตรวจสอบ Log การรีโมทระยะไกล การตรวจจับการโจมตี และการตอบสนองและกู้คืนเหตุการณ์
– นำ MFA ไปใช้กับการเชื่อมต่อ VPN ทั้งหมด หรือต้องการให้พนักงานใช้รหัสผ่านที่คาดเดายากเพื่อป้องกันการโจมตีในอนาคต
– ทดสอบข้อจำกัดโครงสร้างพื้นฐาน VPN ในการเตรียมพร้อมสำหรับการใช้งานจำนวนมาก และใช้มาตรการต่างๆ เช่น Rate-limiting เพื่อจัดลำดับความสำคัญของผู้ใช้ที่ต้องการแบนด์วิดท์ที่สูงขึ้น

ที่มา: bleepingcomputer

แฮกเกอร์ที่รัฐสนับสนุนกำลังใช้ coronavirus เพื่อหลอกลวงให้เป้าหมายของพวกเขาติดเชื้อมัลแวร์

แฮกเกอร์ที่รัฐสนับสนุน (APT) ของรัฐบาลจีน เกาหลีเหนือ และรัสเซียถูกจับได้โดยใช้อีเมลที่มีธีม COVID-19 เพื่อทำให้เหยื่อติดมัลแวร์

รัสเซีย
กลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐกลุ่มแรกที่ใช้การหลอกลวงโดย coronavirus คือกลุ่ม Hades ที่เชื่อว่ามีการปฏิบัติการนอกรัสเซีย และมีส่วนเกี่ยวข้องกับ APT28 (Fancy Bear) iและเป็นหนึ่งในกลุ่มที่แฮก DNC ในปี 2016

QiAnXin บริษัทรักษาความปลอดภัยไซเบอร์พบว่าแฮกเกอร์ Hades ดำเนินการเเคมเปญในกลางเดือนกุมภาพันธ์ เมื่อพวกเขาซ่อน C# backdoor trojan ในเอกสารที่มีข่าวล่าสุดเกี่ยวกับ COVID-19 เอกสารถูกส่งไปยังเป้าหมายในยูเครน ซึ่งปลอมเป็นอีเมลที่มาจากศูนย์สาธารณสุขของกระทรวงสาธารณสุขของประเทศยูเครน

เกาหลีเหนือ
กลุ่มแฮกเกอร์เกาหลีเหนือซ่อนมัลแวร์ไว้ในเอกสารที่ระบุรายละเอียดการตอบสนองของเกาหลีใต้ต่อการแพร่ระบาดของ COVID-19 เชื่อว่าเอกสารดังกล่าวมีเป้าหมายเป็นเจ้าหน้าที่ของเกาหลีใต้ โดยเอกสารนั้นเต็มไปด้วย BabyShark ซึ่งเป็นสายพันธุ์มัลแวร์ที่เคยใช้โดยกลุ่มแฮกเกอร์เกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky

จีน
แคมเปญมัลแวร์ส่วนใหญ่ที่ใช้ธีม coronavirus มาจากประเทศจีน พบการโจมตีครั้งเเรกที่เกิดขึ้นโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์เวียดนาม VinCSS ตรวจพบกลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐของจีน (ชื่อ Mustang Panda) แพร่กระจายอีเมลด้วยไฟล์แนบ RAR ที่อ้างว่าส่งข้อความเกี่ยวกับการระบาดของโรค coronavirus จากนายกรัฐมนตรีเวียดนาม เมื่อเหยื่อหลงเชื่อโหลดและแตกไฟล์ก็จะติดโทรจัน

ที่มา : Zdnet

Patch Tuesday เดือนมีนาคม 2020 ของ Microsoft แก้ไข 115 ช่องโหว่

ด้วยการเปิดตัวการอัพเดทความปลอดภัยมีนาคม 2020 Microsoft ได้เปิดตัวแก้ไขสำหรับ 115 ช่องโหว่ในผลิตภัณฑ์ Microsoft จากช่องโหว่ 115 ช่องโหว่เหล่านี้ 24 ช่องโหว่ถูกจัดให้อยู่ในประเภท Critical, 88 ช่องโหว่ถูกจัดให้อยู่ในประเภท Important, และ 3 ช่องโหว่ถูกจัดให้อยู่ในประเภท Moderate ผู้ใช้ควรติดตั้งการอัพเดทความปลอดภัยเหล่านี้โดยเร็วที่สุด เพื่อป้องกัน Windows จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
การขโมยซอร์สโค้ดด้วยช่องโหว่รหัส CVE-2020-0872 มีชื่อว่า "Remote Code Execution Vulnerability in Application Inspector" สามารถใช้งานโดยผู้โจมตี เพื่อขโมยซอร์สโค้ดของไฟล์ที่เปิดใน Application Inspector
มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Application Inspector เวอร์ชัน v1.0.23, หรือก่อนหน้านี้ เมื่อเครื่องมือแสดง Snippet โค้ดจากซอร์สไฟล์ของบุคคลที่สามไปยังเอาต์พุต HTML ผู้โจมตีสามารถส่งส่วนของรายงานที่มี Snippet โค้ดไปยังเซิร์ฟเวอร์ภายนอก ในการโจมตีช่องโหว่นี้ ผู้โจมตีต้องโน้มน้าวให้ผู้ใช้เรียกใช้ Application Inspector ในซอร์สโค้ดที่มีส่วนประกอบของบุคคลที่สามที่เป็นอันตราย
Weaponized ไฟล์ LNK และเอกสาร Word
สองช่องโหว่ใหม่ได้รับการแก้ไขในครั้งนี้ที่อาจทำให้ผู้โจมตีสามารถสร้างไฟล์. LNK หรือเอกสาร Word ที่สร้างขึ้นเป็นพิเศษ ซึ่งสามารถทำการประมวลผลโค้ดได้เมื่อถูกเปิด
ช่องโหว่แรกคือ CVE-2020-0684 และมีชื่อว่า "LNK Remote Code Execution Vulnerability" และช่วยให้ให้ผู้โจมตีสร้างไฟล์ LNK ที่เป็นอันตรายซึ่งสามารถเรียกใช้โค้ดได้
ช่องโหว่ที่สองคือ CVE-2020-0852 และมีชื่อว่า "Microsoft Word Remote Code Execution Vulnerability" ช่องโหว่นี้จะทำให้ผู้โจมตีสามารถสร้างเอกสาร Word ที่เป็นอันตรายซึ่งดำเนินการเรียกใช้โค้ดได้ง่ายเพียงเปิดเอกสารเหล่านั้น ช่องโหว่นี้ใช้งานได้ใน preview pane ของ Outlook

ที่มา : bleepingcomputer

แคมเปญมัลแวร์ปลอมใบรับรองความปลอดภัยให้ผู้ใช้ปรับปรุง

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Kaspersky Lab ได้ค้นพบเทคนิคการโจมตีแบบใหม่ที่แฮกเกอร์ใช้ เพื่อโจมตีโดยการแจกจ่ายมัลแวร์หลอกล่อให้ผู้ใช้ติดตั้ง “การปรับปรุงใบรับรองความปลอดภัย” ที่เป็นอันตรายเมื่อเยี่ยมชมเว็บไซต์ที่ถูกบุกรุก โดยแคมเปญนี้พบผู้ใช้งานเริ่มติดมัลแวร์ตั้งแต่ 16 มกราคม 2563 ที่ผ่านมา

เว็บไซต์ที่ถูกโจมตีจะแสดงข้อความที่อ้างว่า ใบรับรองความปลอดภัยของเว็บไซต์นั้นหมดอายุ และจะให้ผู้เยี่ยมชมติดตั้ง “การปรับปรุงใบรับรองความปลอดภัย” เพื่อดูเนื้อหาของเว็บไซต์ โดยใบรับรองความปลอดภัยที่ไม่ถูกต้อง จะฝังข้อความลงใน iframe และดาวโหลดโค้ดอันตรายผ่าน ldfidfa[.]PW/jQuery.

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

ข้อบกพร่อง Intel CSME ทำให้การ Patch ถึงขั้นต้องเปลื่ยน Hardware

นักวิจัยด้านความปลอดภัย Mark Ermolov จาก Positive Technologies ได้ออกมาให้ข้อมูลเกี่ยวกับช่องโหว่ ซึ่งทางบริษัทได้ค้นพบและเปิดเผยล่าสุดคือ CVE-2019-0090 ซึ่งจะทำให้ผู้โจมตีที่มีสิทธิ์เข้าถึง CPU ถึงขั้น Physical Access สามารถใช้ช่องโหว่เพื่อเพิ่มสิทธิ์ และเรียกใช้งานโค้ดจากภายใน CSME และเทคโนโลยีอื่นๆที่เกี่ยวข้องของ Intel เช่น Intel TXE (Trusted Execution Engine) และ SPS (Server Platform Services)

นอกจากนี้ยังมีช่องโหว่ที่ทำให้มัลแวร์สามารถใช้ประโยชน์จาก Local Access โดยไม่จำเป็นต้องมีการเข้าถึง Physical Access ของระบบ และมัลแวร์จะสามารถยกระดับสิทธิ์ OS (Root Privileges) เพื่อการเข้าถึงและเรียกใช้โค้ดระดับ BIOS ได้

Mark ยังกล่าวว่าจุดบกพร่องใน CPU ของ Intel ที่ได้รับการ Patch เมื่อปีที่แล้วนั้นแย่กว่าที่คิดไว้มาก การตรวจจับการถูกโจมตีจะยากมากและการ Patch Firmware เพื่อแก้ไขปัญหาจะทำได้เพียงบางส่วนเท่านั้น ความเป็นไปได้ในการช่วยลดผลกระทบเพียงกรณีเดียวในตอนนี้คือ เปลี่ยนฮาร์ดแวร์ไปใช้ CPU Intel Gen 10th ขึ้นไป ที่ไม่ได้รับผลกระทบจากช่องโหว่

ที่มา : zdnet

ข้อบกพร่องบน PPP Daemon เปิดให้โจมตีอุปกรณ์ Network เพื่อเข้ายึดครองระบบ

Ilja Van Sprundel ผู้อำนวยการการทดสอบการเจาะระบบจากบริษัท IOActive เปิดเผยว่า PPPD (Point-to-Point Protocol Daemon) เวอร์ชัน 2.4.2 ถึง 2.4.8 มีความเสี่ยงที่จะเกิด Buffer Overflow จากช่องโหว่ในการประมวลผลแพ็กเก็ต Extensible Authentication Protocol (EAP) ในชุดคำสั่งย่อย eap_request และ eap_response โดยการส่งแพ็คเก็ต EAP ที่ไม่พึงประสงค์ไปยังไคลเอนต์ PPP หรือเซิร์ฟเวอร์ที่มีช่องโหว่ ทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับอนุญาตอาจทำให้หน่วยความจำเสียหายในกระบวนการ PPPD และสามารถรันโค้ดเพื่อเข้ายึดครองระบบได้

ช่องโหว่ (CVE-2020-8597) เป็นช่องโหว่ Buffer Overflow บน pppd (Point-to-Point Protocol Daemon) เนื่องจากข้อบกพร่องด้านลอจิกในการประมวลผลแพ็คเก็ตของ Extensible Authentication Protocol (EAP) ผู้โจมตีจะ Remote การโจมตีและส่งแพ็กเก็ต EAP ที่ออกแบบมาเป็นพิเศษ ไปยังไคลเอนต์หรือเซิร์ฟเวอร์ PPP ที่มีช่องโหว่ อาจทำให้เกิดการ Stack Buffer Overflow เพื่อรันคำสั่งพิเศษช่องโหว่นี้ เกิดจากข้อผิดพลาดในการตรวจสอบขนาดของอินพุตก่อนที่จะคัดลอกข้อมูลที่ไปยังหน่วยความจำ เนื่องจากการตรวจสอบขนาดข้อมูลไม่ถูกต้อง จึงสามารถคัดลอกข้อมูลไปยังหน่วยความจำ และอาจทำให้หน่วยความจำเสียหายซึ่งอาจนำไปสู่การรันโค้ดคำสั่งพิเศษ เนื่องจาก PPPD ทำงานร่วมกับ kernel drivers และมักจะรันด้วยสิทธิพิเศษระดับสูงของระบบ หรือแม้กระทั่งระดับสิทธิ Root การรันโค้ดใดๆก็สามารถรันด้วยสิทธิพิเศษเดียวกันนี้ได้

เมื่อวันที่ 2 กุมภาพันธ์มีการเผยแพร่การอัพเดท Patch บน Linux หลายรุ่นแล้วในไฟล์ Patch ที่ชี่อว่า eap.

CVE-2020-2555: RCE ข้อผิดพลาดกระบวนการ Deserialization ใน Oracle WebLogic Server (09/03/2020)

นักวิจัยด้านความปลอดภัย Jang จาก VNPT ISC ได้ประกาศการค้นพบช่องโหว่ใหม่ผ่านโครงการ Zero Day Initiative (ZDI) กับไลบรารี Oracle Coherence ซึ่งใช้ใน Oracle WebLogic Server

ช่องโหว่ใหม่ล่าสุดรหัสผ่าน CVE-2020-2555 นี้เป็นช่องโหว่ Deserialization ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution - RCE) และมีความง่ายในการโจมตี ด้วยคุณลักษณะของช่องโหว่นี้ การประเมินความรุนแรงของช่องโหว่ด้วยเกณฑ์ CVSS จึงทำให้ช่องโหว่นี้ได้รับคะแนนสูงถึง 9.8 หรืออยู่ในระดับวิกฤติสูงสุด

ในขณะนี้ทาง Oracle ได้เผยแพร่ Patch เพื่อแก้ไขช่องโหว่แก่ Oracle Coherence ในรุ่น 3.7.1.17, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.40 เราขอแนะนำผู้ใช้ทำการอัพเกรด Oracle Coherence โดยเร็วที่สุด และขอแนะนำให้ผู้ใช้ที่ใช้ Oracle WebLogic Server ปิดการใช้งานโปรโตคอล T3 เพื่อหลีกเลี่ยงการโจมตีที่เป็นอันตรายด้วย

ที่มา : zerodayinitiative

Windows 10 Y3K Bug: ไม่สามารถติดตั้ง Windows หากตั้งเวลาไปหลัง 18 มกราคม 3001

พบข้อผิดพลาดที่ผลกระทบต่อผู้ใช้ Windows 10 version 1909 บน เมนบอร์ด Gigabyte H370 HD3 (Intel CPUs) และ Gigabyte x570 Aorus Elite (AMD CPUs) ส่งผลให้ผู้ใช้สามารถตั้งค่าวันที่ BIOS บนเมนบอร์ด ไปหลังวันที่ 19-01-3001 หรือมากกว่านั้น มีผลทำให้ไม่สามารถติดตั้ง Windows ได้จนเสร็จสิ้นกระบวนการ โดยเมื่อผู้ใช้งานพยายามเข้าสู่ระบบหลังจากมีการตั้งค่านี้แล้ว ระบบจะไม่ยินยอมให้เข้าถึงและค้างไปหลังจากมีการ reboot ครั้งที่ 2 การตั้งค่าวันที่ที่ไม่ถูกต้องใน BIOS จะยังคงมีผลกับอุปกรณ์เมนบอร์ดใหม่ซึ่งนำมาใช้งานด้วย

การแก้ไขปัญหาสามารถทำได้ตามขั้นตอนดังต่อไปนี้

แก้ไขวันที่ใน BIOS ไปก่อนวันที่ 19-01-3001
Restart เครื่องจาก แผ่นการติดตั้ง (USB flash drive หรือ DVD)
ลบข้อมูลบน SSD/HDD ที่ต้องการติดตั้ง Windows แล้วทำการติดตั้งอีกครั้ง

ที่มา : bleepingcomputer

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer