News

นักวิจัยด้านความปลอดภัยชาวสหรัฐอเมริกาได้เผยแพร่โค้ด proof-of-concept บน GitHub สำหรับ CVE-2019-2215

ในช่วงต้นเดือนตุลาคม 2019 ที่ผ่านมามีการเปิดเผยช่องโหว่ CVE-2019-2215 โดยนักวิจัยจาก Google Project Zero ซึ่งช่องโหว่นี้กำลังถูกใช้โจมตีอยู่ ซึ่งนักวิจัยได้เปิดเผยโค้ด proof-of-concept (PoC) ด้วย แต่มีข้อจำกัดคือสามารถอ่านหรือเขียนบน kernel เท่านั้น

ซึ่งข้อจำกัดดังกล่าวทำให้ผู้ที่สนใจจะทดลองใช้โค้ดดังกล่าวเพื่อโจมตีต้องหาวิธีเพิ่มเติมในการหลบหลีกการป้องกัน Android kernel เอาเอง

แต่ล่าสุด Grant Hernandez นักศึกษาระดับปริญญาเอกของ Florida Institute of Cyber Security ได้ออกมาเผยแพร่โค้ดที่รวมเอาความสามารถในการหลบหลีกมาแล้ว ชื่อ Qu1ckR00t

Qu1ckR00t สามารถข้าม DAC (Discretionary Access Control) และ Linux Capabilities (CAP) นอกจากนี้ยังสามารถปิดใช้งาน SELinux (Linux-Enhanced Security), SECCOMP (Secure Computing Mode) และ MAC (Mandatory Access Control)

ผลลัพธ์ที่ได้คือ Qu1ckR00t จะทำให้ได้สิทธิ root บนอุปกรณ์แอนดรอยด์ ซึ่งโค้ดที่เผยแพร่ใน GitHub ของ Grant Hernandez เป็น source code ที่ต้อง compile เป็น APK เอง ซึ่งเมื่อลง APK บนเครื่องแล้วจะสามารถ root เครื่องได้เพียงแค่การกดในครั้งเดียว

Hernandez กล่าวว่าเขาได้ทดสอบ Qu1ckR00t ด้วยโทรศัพท์มือถือ Pixel 2 เท่านั้นและเตือนผู้ใช้ที่ไม่มีประสบการณ์ว่าอาจทำให้เครื่องพังแบบซ่อมไม่ได้ (brick) และข้อมูลหาย

ข้อเสียของการเผยแพร่เครื่องมือ Qu1ckR00t ในครั้งนี้ทำให้ผู้เขียนมัลแวร์สามารถนำโค้ดไปประยุกต์ใช้กับมัลแวร์เพื่อให้ได้สิทธิ์ root ได้

เพื่อลดความเสี่ยง ผู้ใช้งานควรอัปเดตแพตช์ ซึ่ง CVE-2019-2215 ถูกแก้ไขแล้วในแพตช์ประจำเดือนตุลาคม 2019 ของ Android และไม่ติดตั้งแอป APK ที่ไม่แน่ใจว่าปลอดภัยหรือไม่

ที่มา zdnet

VMware ออกแพตช์ให้กับช่องโหว่ระดับ Critical (CVE-2019-16919) ซึ่งมีผลกระทบต่อผลิตภัณฑ์ VMware Cloud Foundation และ VMware Harbor Container Registry สำหรับ PCF

มีการเปิดเผยถึงช่องโหว่ access control ใน Harbor ซึ่งเป็นโครงการ Open Source ในชื่อ Cloud Native Computing Foundation (CNCF)

ช่องโหว่ access control ดังกล่าวอยู่ใน API ของ Harbor ยอมให้ผู้ที่เข้าถึงโดยไม่ได้รับอนุญาตสามารถ push pull หรือแก้ไข image ในโปรเจกต์ได้ โดยจากการคำนวณ CVSSv3 มีความร้ายแรงอยู่ที่ 9.1

การแก้ไขปัญหานี้ ถูกแนะนำให้ทำการอัปเดตแพตช์ตามข้อมูลต่อไปนี้

VMware Cloud Foundation กำลังอยู่ระหว่างการออกแพตช์

VMware Harbor Container Registry for PCF รุ่น 1.8.x ควรอัปเดตเป็นรุ่น 1.8.4

สำหรับ VMware Harbor Container Registry for PCF 1.7.x ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

ที่มา : vmware

Mozilla เปิดตัวมาตรการป้องกันเพื่อป้องกันการโจมตีด้วย Code Injection ด้วยการลด attack surface ด้วยการนำฟังก์ชัน eval() และฟังก์ชั่นที่คล้ายๆ กันออกไป รวมถึงนำ inline script ออกไปจากหน้า about:pages ของ Firefox

ปกติเราสามารถเข้าถึงหน้า about:pages ของ Firefox ได้ โดยหน้าดังกล่าวมาพร้อมกับเบราว์เซอร์เขียนด้วย HTML และ JavaScript เหมือนกับหน้าเว็บไซต์ทั่วไป ทำให้หน้า about:pages ของ Firefox ตกเป็นเหยื่อการโจมตีแบบ Code Injection ได้

ดังนั้น Mozilla จึงเขียน inline event handler ใหม่ให้มีความปลอดภัยขึ้น รวมถึงนำ inline JavaScript ที่เคยอยู่ในหน้า about:pages ทั้งหมดออกไป รวมถึงใช้ Content Security Policy (CSP) ที่หนาแน่นกว่าเดิม เพื่อให้เมื่อมีความพยายามทำ Code Injection ตัวโค้ดที่ถูกแทรกมาจะไม่ทำงาน

นอกจากนี้ Mozilla ได้ลดความเสี่ยงของ eval() รวมถึงฟังก์ชั่นที่คล้ายๆ กันอย่าง ‘new Function’ และ ‘setTimeout()/setInterval()’ ซึ่งมีโอกาสใช้เพื่อการโจมตีด้วย Code Injection ด้วยการเขียนโค้ดใหม่เช่นกัน

ที่มา bleepingcomputer และ mozilla

Adobe ออกแพตช์รักษาความปลอดภัยนอกรอบ โดยผลิตภัณฑ์ที่ได้รับผลกระทบที่ได้รับแพตช์รักษาความปลอดภัยในปัจจุบัน ได้แก่ Adobe Acrobat, Adobe Reader, Adobe Experience Manager, Adobe Experience Manager Forms และ Adobe Download Manager

ช่องโหว่ทั้ง 82 ช่องโหว่มีช่องโหว่ความรุนแรงระดับ critical 45 ช่องโหว่ พบใน Adobe Acrobat และ Adobe Reader ทั้งหมด

นอกจากช่องโหว่ความรุนแรงระดับ critical ยังมีการแก้ไขช่องโหว่ระดับ important อีก 23 ช่องโหว่ใน Adobe Acrobat และ Adobe

ส่วน Adobe Experience Manager Forms ได้รับการแก้ไขโหว่ทั้งหมด 12 ช่องโหว่ Adobe Experience Manager Forms 2 ช่องโหว่ และ Adobe Download Manager 1 ช่องโหว่

ไม่มีการอัปเดต Adobe Flash Player ในแพตช์ครั้งนี้ แต่ควรตระหนักว่า Adobe จะหยุดให้บริการอัปเดตสำหรับ Flash Player ในสิ้นปี 2020

ขอแนะนำให้คุณดาวน์โหลดเวอร์ชันล่าสุดของซอฟต์แวร์ที่ได้รับผลกระทบและปรับใช้โปรแกรมแก้ไขโดยเร็วที่สุด

ที่มา thehackernews

กลุ่มภัยคุกคาม Winnti ที่ได้รับการสนับสนุนจากรัฐบาลจีน (Blackfly และ Suckfly โดย Symantec, Wicked Panda โดย CrowdStrike, BARIUM โดย Microsoft, APT41 โดย FireEye) มีการเคลื่อนไหวมาตั้งแต่ปี 2011 โดยในปี 2011 นั้น Kaspersky พบโทรจันของกลุ่ม Winnti บนระบบเกมส์ เป็นการโจมตีโดยแพร่กระจายมัลแวร์เข้าสู้เซิร์ฟเวอร์เกมส์

นักวิจัยของ ESET พบความเคลื่อนไหวล่าสุดของกลุ่ม Winnti โดยการใช้มัลแวร์ตัวใหม่ที่เรียกว่า PortReuse ซึ่งเมื่อติดเชื้อ PortReuse จะดัก network traffic จนกว่าจะได้รับ packet ที่ทำเป็นพิเศษถึงจะเริ่มทำงาน นักวิจัยพบว่าสายพันธุ์ของ PortReuse มีความหลากหลาย แต่ละสายพันธุ์จะใช้งาน port ที่ต่างกัน เช่น DNS ผ่าน TCP (53), HTTP (80), HTTPS (443), Remote Desktop Protocol (3389) และ Remote Windows (5985) หลังจากนั้น ESET ได้ทำการสแกนระบบผ่านอินเทอร์เน็ต พบเครื่องที่ติดเชื้อ PortReuse 8 เครื่องเป็นของบริษัทเดียวกันคือบริษัทผู้ผลิตฮาร์ดแวร์และซอร์ฟแวร์รายใหญ่ของเอเชีย

เป็นไปได้ว่ากลุ่ม Winnti จะโจมตีกลุ่มผู้ผลิตซอร์ฟแวร์และฮาร์ดแวร์เพื่อแพร่กระจายมัลแวร์ได้เป็นวงกว้างที่สุด

รายละเอียดเพิ่มเติมเกี่ยวกับมัลแวร์ Winnti อยู่ในบล็อคโพสต์ของ ESET และเอกสารทางเทคนิค https://www.

Microsoft ประกาศว่าความสนับสนุน Office 2010 จะสิ้นสุดในวันที่ 13 ตุลาคม 2020 และได้มีการแนะนำให้เปลี่ยนไปใช้ Office 365 ProPlus หรือ Office 2019 แทน

อีกหนึ่งข่าวคือ Microsoft ได้ประกาศว่า Windows 10 เวอร์ชัน 1703 หรือที่รู้จักในชื่อ Creators Update จะสิ้นสุดในการให้บริการและจะไม่ได้รับฟีเจอร์หรืออัปเดทด้านความปลอดภัย ซึ่งได้ถูกแนะนำให้ใช้เวอร์ชัน 1903 ที่ปล่อยออกมาล่าสุด

Microsoft ได้ให้รายการทั้งหมดที่จะสิ้นสุดการสนับสนุนในปี 2020 นี้ https://support.

Google ได้เปิดตัวการแก้ไขสำหรับช่องโหว่ที่มีความรุนแรงระดับ critical สามจุดใน Media framework ของระบบปฏิบัติการ Android ซึ่งถูกใช้โจมตีด้วยการรันคำสั่งจากระยะไกลได้

ช่องโหว่ remote code execution (RCE) เป็นส่วนหนึ่งของแพตช์อัปเดตความปลอดภัยระบบปฏิบัติการ Android ประจำเดือนตุลาคม 2019 ของ Google ซึ่งการแก้ไขช่องโหว่ระดับ critical และ high เชื่อมโยงกับ CVE ทั้งหมด 9 หมายเลข นอกจากนี้ Qualcomm เป็นผู้ผลิตชิปที่ใช้ในอุปกรณ์ Android ได้ทำการแก้ไขช่องโหว่ที่มีความรุนแรงระดับ critical และ high 18 จุด

จุดบกพร่องระดับ critical สามข้อที่ Google ออกแพตช์ (CVE-2019-2184, CVE-2019-2185, CVE-2019-2186) มีอยู่ใน Media framework Android ซึ่งใช้ในการรองรับการเล่นสื่อประเภทต่าง ๆ ในระบบปฏิบัติการ Android 7.1.1, 7.1.2, 8.0, 8.1 และ 9 จะได้รับผลกระทบโดยเฉพาะจากข้อบกพร่องเหล่านี้

Google กล่าวว่าช่องโหว่เหล่านี้สามารถใช้โจมตีจากระยะไกลได้ โดยผู้โจมตีจะใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อเมื่อเหยื่อเปิดไฟล์ ขณะนี้ยังไม่พบการโจมตี

สามารถศึกษารายละเอียดช่องโหว่ทั้งหมดที่ได้รับการอัปเดตได้จาก android และ qualcomm

ที่มา threatpost

คู่รักในสหราชอาณาจักรพบข้อผิดพลาดของ Samsung Galaxy S10 สามารถปลดล็อคโทรศัพท์ได้โดยไม่ใช้ลายนิ้วมือที่ทำการตั้งค่าไว้ เพียงเพราะว่าใช้เคสซิลิโคนป้องกันตัวเครื่องแบบที่ครอบหน้าจอเพื่อกันรอย ทำให้ลายนิ้วมือติดอยู่ที่หน้าจอ เมื่อคนอื่นทำการปลดล็อคหน้าจอ ระบบสแกนลายนิ้วมือเลยจำค่าลายนิ้วมือที่ติดอยู่ที่หน้าจอซิลิโคนตอนตั้งค่าเครื่อง ระบบจึงสับสนทำให้การปลดล็อดผิดพลาด ซึ่งหลังจากที่ได้มีการแจ้งไปยังทาง Samsung มีการแนะนำว่าให้ใช้อุปกรณ์ที่ผ่านการรับรองแล้วของ Samsung เท่านั้น

ซึ่งข้อผิดพลาดนี้เป็นปัญหาเกี่ยวกับการใช้อุปกรณ์ป้องกันหน้าจอที่ไม่ได้มาตรฐานความปลอดภัย ทำให้เซนเซอร์สแกนลายนิ้วมือไม่สามารถสแกนผ่านซิลิโคนไปยังลายนิ้วมือจริงได้

ซึ่งระบบสแกนลายนิ้วมือใต้จอของ Samsung S10 และ S10+ ใช้ระบบอัลตราซาวด์ โดยสร้างแผนที่สามมิติของลายนิ้วมือซึ่งใช้ในการปลดล็อคเครื่องของผู้ใช้

ที่มา : bleepingcomputer และ thesun

ประกาศสำหรับผู้ใช้ Linux พบช่องโหว่ใน Sudo ซึ่งเป็น Command หลักของระบบ Linux โดยช่องโหว่นี้ยอมให้รันคำสั่งในฐานะ root แม้ตั้งค่าใน sudoers configuration ไม่ให้รันได้ โชคดีที่ช่องโหว่นี้ทำงานได้ก็ต่อเมื่อมีการตั้งค่าแตกต่างจากการตั้งค่าปกติเท่านั้น ทำให้ผู้ใช้งาน Linux ทั่วไปจะไม่ได้รับผลกระทบ

การตั้งค่าไม่ปกติดังกล่าวคือ การตั้งค่าให้ผู้ใช้งานสามารถรันคำสั่งเป็นผู้ใช้งานอื่นได้ยกเว้น root เช่น ตั้งค่าใน sudoers configuration ว่า

bob myhost = (ALL, !root) /usr/bin/vi

แปลว่า bob สามารถรันคำสั่ง vi เป็นผู้ใช้งานใดก็ได้ยกเว้น root เช่น สามารถรันคำสั่ง sudo -u#[UID] vi ซึ่งจะทำให้ bob รันคำสั่งเป็นผู้ใช้งานเลข UID ใดๆ ก็ได้

แต่ช่องโหว่ดังกล่าวจะเกิดเมื่อ bob รันคำสั่ง sudo -u#-1 vi หรือ sudo -u#4294967295 vi ซึ่งเมื่อรันด้วยเลข UID -1 หรือ 4294967295 จะทำให้ bob ได้สิทธิ์ root ซึ่งขัดกับที่ตั้งคำสั่งห้ามไว้

ช่องโหว่นี้ได้รับ CVE-2019-14287 พบโดย Joe Vennix ของ Apple Information Security

ผู้ใช้งานควรตรวจสอบว่ามีการตั้งค่าที่เสี่ยงกับช่องโหว่ดังกล่าวหรือไม่และควรอัปเดต sudo ให้เป็น 1.8.28

ที่มา thehackernews redhat และ bleepingcomputer

Symantec ออกมายอมรับวันนี้ว่าอัปเดตล่าสุดของ Symantec Endpoint Protection เป็นสาเหตุทำให้เกิดเหตุการณ์จอฟ้า (Blue Screen of Death - BSOD) ซึ่งตรวจพบกับคอมพิวเตอร์เป็นจำนวนมากรวมไปถึงระบบในประเทศไทยด้วย

การสังเกตว่าเหตุการณ์การจอฟ้าที่เกิดขึ้นในช่วงนี้นั้นเป็นสาเหตุมาจากอัปเดตดังกล่าวสามารถทำได้ง่ายๆ โดยการตรวจสอบจากข้อความแจ้งเตือนข้อผิดพลาดเมื่อเกิดการจอฟ้าขึ้น โดยจะเป็นข้อความแสดงข้อผิดพลาดว่า BAD_POOL_CALLER (c2) หรือ KERNEL_MODE_HEAP_CORRUPTION (13A) โดยในกรณีที่สามารถตรวจสอบกับไฟล์ crash dump ได้ จะพบว่าไดร์เวอร์ซึ่งทำให้เกิดการจอฟ้านั้นคือไดร์เวอร์ชื่อ IDSvix86.sys/IDSvia64.sys

ในขณะนี้วิธีการแก้ไขซึ่งทาง Symantec ได้มีการแนะนำคือการพยายามอัปเดต signature ของฟีเจอร์ Intrusion Prevention จากรุ่น 2019/10/14 r61 ซึ่งทำให้เกิดปัญหาไปเป็นรุ่น r62 หรือรุ่นที่เก่ากว่าและใช้งานไปก่อนจนกว่าจะมีขั้นตอนเพิ่มเติม แม้จะไม่มีการระบุรุ่นของระบบปฏิบัติการที่ได้รับผลกระทบในตอนนี้ เราพบว่ารุ่นของระบบปฏิบัติการที่ได้รับผลกระทบโดยส่วนใหญ่คือ Windows 10 รุ่น 1803 และอาจรวมไปถึงรุ่นอื่นๆ ด้วยเช่นกัน

ที่มา : theregister