News

รายละเอียดภัยคุกคามและปฏิบัติการของ Maze Ransomware

ทำความรู้จักปฏิบัติการของมัลแวร์เรียกค่าไถ่ Maze
มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้วย

ไมโครซอฟต์มีการบัญญัติคำเพื่อเรียกมัลแวร์เรียกค่าไถ่และปฏิบัติการของมัลแวร์เรียกค่าไถ่ในกลุ่มนี้ว่า Human-operated Ransomware ซึ่งส่วนหนึ่งในปฏิบัติการของมัลแวร์เรียกค่าไถ่ที่สำคัญคือการที่ผู้ไม่ประสงค์ดีคอยควบคุมและจัดการเพื่อให้สามารถสร้างผลกระทบต่อเหยื่อและผลประโยชน์ต่อผู้ไม่ประสงค์ดีให้ได้มากที่สุด

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware มีตามประเด็นดังนี้

เวลาที่ใช้ในปฏิบัติการ (Operation time):

Classic ransomware campaign: จุดอ่อนสำคัญของมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์อยู่ในจุดที่กระบวนการเข้ารหัสไฟล์ของมัลแวร์เรียกค่าไถ่ถูกตรวจพบหรือถูกขัดขวางก่อนที่จะดำเนินการเสร็จสิ้น ดังนั้นมัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะดำเนินการเสร็จให้เร็วและหลีกเลี่ยงการที่จะถูกตรวจจับให้ได้มากที่สุด ทำให้การตรวจจับนั้นจะสามารถทำได้เฉพาะในช่วงเวลาที่มีการทำงานของมัลแวร์เรียกค่าไถ่เท่านั้น
Human-operated ransomware: มัลแวร์เรียกค่าไถ่และปฏิบัติการในกลุ่มนี้มีการแสดงพฤติกรรมของการเข้าถึงระบบ เคลื่อนย้ายตัวเองไปยังระบบอื่น พยายามยกระดับสิทธิ์และเข้าถึงข้อมูลคล้ายกับพฤติกรรมของกลุ่ม Advanced Persistent Threat (APT) ที่มีเป้าหมายในการจารกรรมข้อมูล ส่งผลให้กรอบและระยะเวลาในการปฏิบัติการนั้นยาวและอาจเพิ่มโอกาสในการตรวจจับความผิดปกติจากพฤติกรรมได้ด้วย

หลักฐานหลังจากการโจมตี (Post-incident artifacts):

Classic ransomware campaign: มัลแวร์เรียกค่าไถ่จะแสดงตัวก็ต่อเมื่อกระบวนการเข้ารหัสไฟล์เสร็จสิ้นแล้วผ่านทาง Ransom note หรือข้อความซึ่งอธิบายเหตุการณ์และขั้นตอนของ ด้วยข้อมูลใน Ransom note ดังกล่าว การระบุหาประเภทของมัลแวร์เรียกค่าไถ่และผลกระทบอื่นๆ ที่อาจเกิดขึ้นจึงสามารถทำได้โดยง่าย
Human-operated ransomware: เนื่องจากระยะเวลาของปฏิบัติการที่ยาวและโอกาสที่ปฏิบัติการของมัลแวร์เรียกค่าไถ่จะถูกตรวจพบระหว่างดำเนินการโดยที่ยังไม่มีหลักฐานอย่างเช่น Ransom note อย่างชัดเจนจึงมีโอกาสที่สูงซึ่งส่งผลให้การระบุประเภทของภัยคุกคามและผลกระทบของเหตุการณ์นั้นทำได้ยาก การรับมือและตอบสนองเหตุการณ์ในลักษณะนี้จำเป็นต้องประเมินถึงความเป็นไปได้ว่าเหตุการณ์ดังกล่าวอาจจบที่มีการใช้ Ransomware ในที่สุดด้วย

พฤติกรรมของ Maze Ransomware
ไมโครซอฟต์ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ซึ่งสามารถสรุปโดยสังเขปได้ดังนี้

หมายเหตุ: ข้อมูลพฤติกรรมของภัยคุกคามสามารถเปลี่ยนแปลงได้ตลอดเวลา เราแนะนำให้มีการนำข้อมูลเหล่านี้มีจัดลำดับความสำคัญ ประเมินความพร้อมในการตรวจจับและตอบสนอง และดำเนินการตามที่วางแผนเอาไว้เพื่อให้เกิดประโยชน์สูงสุด

Maze มักปรากฎการเข้าถึงระบบที่มีความเสี่ยงด้วยการโจมตีผ่านเซอร์วิส Remote Desktop ซึ่งตั้งค่าไว้อย่างไม่ปลอดภัย ในขณะที่มัลแวร์กลุ่มอื่นมีการโจมตีช่องโหว่ซึ่งเป็นที่มีการเปิดเผยมาก่อนแล้ว อาทิ ช่องโหว่ใน Citrix Application Delivery Controller (CVE-2019-19781) หรือช่องโหว่ใน Pulse Secure VPN (CVE-2019-11510) ไมโครซอฟต์ยังมีการระบุว่าเป้าหมายหลักของ Maze คือการโจมตีกลุ่มผู้ให้บริการ (Managed Service Provider) เพื่อใช้เป็นช่องทางในการเข้าถึงผู้ใช้บริการในกลุ่มธุรกิจนี้ด้วย
Maze ใช้โปรแกรม Mimikatz ในการระบุหาข้อมูลสำหรับยืนยันตัวตนในระบบ ข้อมูลสำหรับยืนยันตัวตนนี้จะถูกใช้เพื่อเข้าถึงระบบอื่นๆ
กระบวนการเคลื่อนย้ายตัวเองในระบบภายในขององค์กรมักเกิดขึ้นผ่านการใช้โปรแกรม Cobalt Strike ทั้งนี้เทคนิคและวิธีการที่ Cobalt Strike รองรับนั้นโดยส่วนใหญ่เป็นเทคนิคซึ่งเป็นที่รู้จักกันอยู่แล้ว อาทิ การโจมตีแบบ Pass-the-Hash, WinRM หรือการใช้เซอร์วิส PsExec ในการเข้าถึงด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้มา
กระบวนการฝังตัวของ Maze มีการปรากฎการใช้ฟีเจอร์ Scheduled Tasks ร่วมกับการใช้คำสั่ง PowerShell ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกโจมตีไปแล้วได้ Maze ยังมีการใช้ฟีเจอร์ WinRM ในการควบคุมระบบเมื่อได้บัญชีซึ่งมีสิทธิ์ของ Domain admin ด้วย
Maze มีการแก้ไขการตั้งค่าใน Group Policy หลายรายการเพื่อช่วยอำนวยความสะดวกในการโจมตี

นอกเหนือจากข้อมูลการวิจัยจากไมโครซอฟต์ FireEye ยังได้มีการระบุข้อมูลพฤติกรรมเพิ่มเติมของปฏิบัติการของ Maze ซึ่งพบกลุ่มของพฤติกรรมที่แตกต่างกันในการแพร่กระจายและสามารถใช้บ่งชี้ให้เห็นว่าผู้อยู่เบื้องหลังในการปฏิบัติการของ Maze อาจมีมากกว่าหนึ่งกลุ่ม (อ้างอิง)
คำแนะนำในการตรวจจับและป้องกันภัยคุกคาม

ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการกำหนด Policy ของ Windows Firewall หรือด้วยอุปกรณ์อื่นๆ เพื่อจำกัดการติดต่อระหว่างโฮสต์หากมีการพยายามติดต่อรับส่งข้อมูลผ่านทางโปรโตคอล
ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการจำกัดหรือปิดการใช้งานฟีเจอร์ Administrative shares ได้แก่ ADMIN$ (ใช้โดย PsExec), C$, D$ และ IPC$ ทั้งนี้องค์กรควรมีการประเมินความเสี่ยงก่อนดำเนินการเนื่องจากการจำกัดหรือปิดการใช้งานฟีเจอร์ดังกล่าวอาจส่งผลต่อการทำงานของระบบภายในองค์กร
จำกัดการใช้งานบัญชีผู้ใช้งานในระบบในกรณีที่มีการใช้งานเพื่อแพร่กระจายมัลแวร์
ตั้งค่าหากมีการใช้ Remote Desktop Protocol (RDP) โดยให้พิจารณาประเด็นดังต่อไปนี้

จำกัดการเข้าถึงจากอินเตอร์เน็ต หรือในกรณีที่จำเป็นต้องมีการเข้าถึง ให้ทำการกำหนดหมายเลขไอพีแอดเดรสที่สามารถเข้าถึงได้ผ่าน Windows Firewall
พิจารณาใช้งาน Multi-factor authentication ทั้งในรูปแบบของการใช้งาน Remote Desktop Gateway หรือเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง
จำกัดสิทธิ์และการจำกัดบัญชีผู้ใช้งานที่สามารถเข้าถึงระบบจากระยะไกลผ่านโปรโตคอล
ในกรณีที่จำเป็นต้องมีการเข้าถึงและใช้งาน Remote Desktop Protocol (RDP) จากอินเตอร์เน็ต ให้พิจารณาใช้งาน Network Leveal Authentication (NLA) เพื่อป้องกันการโจมตีในรูปแบบของการเดาสุ่มรหัสผ่าน ทั้งนี้หากมีการใช้งาน NLA ควรตรวจสอบให้แน่ใจว่าระบบที่มีการเชื่อมต่อนั้นรองรับการใช้งาน และไม่ควรใช้ฟีเจอร์ CredSSP เพื่อป้องกันการบันทึกข้อมูลสำหรับยืนยันตัวตนไว้ในหน่วยความจำของระบบ

ทำการตั้งค่า Group Policy เพื่อควบคุมสิทธิ์ในการใช้ตามความเหมาะสม อาทิ ทำการตั้งค่าเพื่อป้องกันการเข้าถึงข้อมูลสำหรับยืนยันตัวตนที่ไม่ได้ถูกปกป้องในหน่วยความจำผ่านทาง Group Policy หรือการตั้งค่ารีจิสทรี รวมไปถึงดำเนินการตั้งค่าที่เกี่ยวข้องกับความแข็งแกร่งของรหัสผ่านของบัญชีผู้ใช้งานใน Group Policy
ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์บนเครื่องในองค์กรทุกเครื่อง และอัปเดตข้อมูลและเวอร์ชั่นของซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
พิจารณาการใช้งานข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise — IOC) ในการช่วยเฝ้าระวังและตรวจจับการมีอยู่ของภัยคุกคาม แหล่งข้อมูลซึ่งสามารถค้นหาข้อมูลตัวบ่งชี้ภัยคุกคามของ Maze มีตามรายการดังต่อไปนี้

ค้นหาข่าวและ IOC ทั้งหมดของ Maze ด้วย APT & Malware CSE
(แนะนำ) รายงานการวิเคราะห์พฤติกรรมของ Maze จาก FireEye
(แนะนำ) รายงานการวิเคราะห์การทำงานของไฟล์มัลแวร์ในปฏิบัติการ Maze โดย McAfee

Intel ทำการเเพตซ์ช่องโหว่จำนวน 25 รายการในการอัพเดตแพลตฟอร์มประจำเดือนมิถุนายน

Intel ได้เปิดตัวแพตซ์การเเก้ไขช่องโหว่และการอัพเดตแพลตฟอร์มประจำเดือนมิถุนายน ซึ่งเดือนมิถุนายนนี้ทาง Intel ได้ทำการเเก้ไขช่องโหว่ 25 รายการและมีช่องโหว่ที่มีความรุนเเรงระดับ “Critical” จำนวน 2 รายการ โดยช่องโหว่ 2 รายการนี้ส่งผลกระทบต่อ Active Management Technology (AMT) ของ Intel และมีคะเเนน CVSS อยู่ที่ 9.8

ช่องโหว่ที่ความรุนเเรงระดับ “Critical” นั้นถูกติดตามด้วยรหัส CVE-2020-0594 (CVSS 9.8), CVE-2020-0595 (CVSS 9.8) โดยช่องโหว่ทั้ง 2 อยู่ใน Intel Active Management Technology (AMT) ซึ่งช่องโหว่นี้เกิดจากค่าคอนฟิกใน Internet Protocol version 6 (IPv6) ทำให้ผู้โจมตีที่ไม่ได้ทำการยืนยันสิทธิ์สามารถยกระดับสิทธิ์เพื่อเข้าเครือข่ายได้

นอกจากช่องโหว่แล้ว Intel ยังได้กล่าวถึงเทคนิคการโจมตีรูปแบบใหม่ 2 เทคนิคคือ “SGAxe” และ “CrossTalk” สำหรับเทคนิคการโจมตี “SGAxe” นั้นเป็นวิวัฒนาการของการโจมตี CacheOut ซึ่งจะทำให้ผู้โจมตีสามารถกู้คืนเนื้อหาบน CPU L1 Cache ได้แม้ว่าจะมีการใช้งานฟีเจอร์ SGX ส่วนเทคนิคการโจมตี “CrossTalk” ถูกค้นพบโดยนักวิจัย VU จากมหาวิทยาลัยอัมสเตอร์ดัมโดยเทคนิคนี้จะช่วยให้ผู้โจมตีสามารถรันโค้ดบน CPU core เพื่อทำอ่านข้อมูลใน CPU โดยใช้ประโยชน์จาก Staging Buffer

Intel ได้แนะนำให้ผู้ใช้ Intel® CSME, Intel® SPS, Intel® TXE, Intel® AMT, Intel® ISM และ Intel® DAL ทำการอัพเดตอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่

ที่มา:

bleepingcomputer 
thehackernews
intel

ช่องโหว่บนระบบเอกสารออนไลน์ของรัฐบาลอินเดีย “DigiLocker” ส่งผลให้เกิดการเข้าถึงข้อมูลผู้อื่นได้

รัฐบาลอินเดียได้ออกมาเเจ้งเตือนถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ในบริการรักษาความปลอดภัยทางดิจิตอล DigiLocker ซึ่งเป็นบริการออนไลน์ที่ให้บริการโดยกระทรวงอิเล็กทรอนิกส์และไอที (Meity) ภายใต้รัฐบาลของอินเดีย โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลหลีกเลี่ยงการใช้รหัสผ่านครั้งเดียว (OTP) และสามารถลงชื่อเข้าใช้ในฐานะผู้ใช้รายอื่น

ช่องโหว่ถูกค้นพบโดย Mohesh Mohan และ Ashish Gahlot ซึ่งได้อธิบายว่าผู้ไม่หวังดีสามารถใช้ช่องโหว่เพื่อเข้าถึงเอกสารที่สำคัญโดยไม่ได้รับอนุญาตบนแพลตฟอร์ม DigiLocker ซึ่งช่องโหว่อยู่บนฟังก์ชั่น OTP ที่ไม่ได้ทำการตรวจสอบรายละเอียดของผู้ใช้งาน ทำให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้ของผู้อื่นได้

ปัจจุบันมีผู้ลงทะเบียนใช้งาน DigiLocker 38 ล้านคนทั่วประเทศอินเดียโดย DigiLocker นั้นเป็นแพลตฟอร์มที่รัฐบาลใช้เพื่อให้อำนวยความสะดวกด้านเอกสารแก่ประชาชนในอินเดีย โดยแพลตฟอร์มจะเชื่อมโยงกับหมายเลขโทรศัพท์มือถือของผู้ใช้และ Aadhar ID (Aadhar ID คือหมายเลขประจำตัวซึ่งออกโดยรัฐบาลอินเดีย)

หลังจากทำการค้นพบ Mohan ได้รายงานช่องโหว่เเก่ CERT-In เมื่อวันที่ 10 พฤษภาคม และวันที่ 28 พฤษภาคม Ashish หน่วยงานทางด้านไซเบอร์ของอินเดียได้ออกมาเเถลงว่าได้เเก้ไขช่องโหว่นี้แล้ว

ที่มา: thehackernews

แรนซัมแวร์ปลอมตัวเป็นเครื่องมือถอดแรนซัมแวร์เพื่อหลอกผู้ที่ต้องการถอดรหัสแรนซัมแวร์

 

 

MalwareHunterTeam ได้เปิดเผยถึงแรนซัมแวร์ชนิดใหม่ที่ชื่อ Zorab โดยแรนซัมแวร์ชนิดนี้มีจุดประสงค์เพื่อปลอมเป็นเครื่องมือถอดรหัสแรนซัมแวร์ที่ชื่อ STOP Djvu decryptor

STOP Djvu decryptor นั้นเป็นเครื่องมือถอดรหัสแรนซัมแวร์ตระกูล STOP Djvu ที่ถูกพัฒนาโดยบริษัท Emsisoft และ Michael Gillespie เพื่อใช้ในการถอดรหัสแรนซัมแวร์ STOP Djvu

เมื่อผู้ใช้ทำการใช้เครื่องมือถอดรหัสแรนซัมแวร์ STOP Djvu ปลอมแล้ว ตัวแรนซัมแวร์ที่แฝงอยู่ในเครื่องมือถอดรหัสจะทำการรัน Crab.

Adobe ออกแพตซ์เเก้ไขช่องโหว่ระดับ “Critical ” ใน Flash Player และ Framemaker

Adobe ได้ออกเเพตซ์เเก้ไขประจำเดือนโดยในเดือนมิถุนายนนี้ โดยมีเเพตซ์แก้ไขช่องโหว่ที่มีความรุนเเรงระดับ “Critical” 4 รายการใน Adobe Flash Player และ Adobe Framemaker

ช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ใน Adobe Flash Player นั้นมี 1 รายการถูกติดตามในรหัส CVE-2020-9633 โดยเป็นช่องโหว่จะสามารถทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตในฐานะผู้ใช้งานในระบบ โดยช่องโหว่นี้มีผลกระทบกับผู้ใช้งาน Adobe Flash Player เวอร์ชั่นก่อน 32.0.0.387 สำหรับ Windows, macOS, Linux และ Chrome OS

ช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ใน Adobe Framemaker มี 3 รายการโดยช่องโหว่ทั้ง 3 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ถูกติดตามด้วยรหัส CVE-2020-9636, CVE-2020-9634, CVE-2020-9635 มีผลกระทบกับ Adobe Framemaker เวอร์ชั่นก่อน 2019.0.6

ผู้ใช้งาน Adobe Flash Player และ Adobe Framemaker ควรทำการอัพเดตเเพตซ์และทำการติดตั้ง Adobe Flash Player และ Adobe Framemaker เป็นเวอร์ชั่นปัจจุนบันเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่

ที่มา:

threatpost
securityaffairs

Microsoft ออก Patch เเก้ไขช่องโหว่ 129 รายการใน Patch Tuesday ประจำเดือนมิถุนายน

Microsoft ออกเเพตซ์แก้ไขความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday โดยในเดือนมิถุนายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่เป็นจำนวน 129 ซึ่งมี 11 รายการเป็นช่องโหว่ระดับ “Critical” และ 118 รายการเป็นช่องโหว่ระดับ “High”

Microsoft กล่าวว่าการเเก้ไขเเพตซ์ประจำเดือนมิถุนายนนี้ถือว่ามากที่สุดในประวัติศาสตร์ของ Microsoft ซึ่งข่าวดีก็คือช่องโหว่ที่ทำการเเก้ไขนั้นยังไม่พบการใช้เพื่อบุกรุกและแสวงหาประโยชน์ โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

CVE-2020-1181 การเรียกใช้โค้ดจากระยะไกลใน Microsoft SharePoint
CVE-2020-1225 , CVE-2020-1226 การเรียกใช้โค้ดจากระยะไกลใน Microsoft Excel
CVE-2020-1223 การเรียกใช้โค้ดจากระยะไกลใน Word สำหรับ Android
CVE-2020-1248 การเรียกใช้โค้ดจากระยะไกลใน Windows Graphics Device Interface (GDI)
CVE-2020-1281 การเรียกใช้โค้ดจากระยะไกลใน Windows OLE
CVE-2020-1299 การเรียกใช้โค้ดจากระยะไกลในการประมวลผล Windows .LNK files.

แจ้งเตือนช่องโหว่ “CallStranger” ใช้ช่องโหว่ในโปรโตคอล UPnP ในการขโมยข้อมูลและทำ DDoS

นักวิจัยด้านความปลอดภัย Yunus Çadirci ได้เปิดเผยถึงช่องโหว่ใหม่ภายใต้ชื่อ CallStranger (CVE-2020-12695) ในโปรโตคอล Universal Plug and Play (UPnP) ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ UPnP หลายพันล้านรายการ

ช่องโหว่ CallStranger เกิดขึ้นในการอิมพลีเมนต์การทำงานของ UPnP ในฟังก์ชัน SUBSCRIBE ซึ่งส่งผลให้ผู้โจมตีสามารถโจมตีในลักษณะเดียวกับช่องโหว่ประเภท SSRF ที่ผู้โจมตีสามารถควบคุมค่าในตัวแปรหรือฟังก์ชันการทำงานได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการข้ามการตรวจสอบอุปกรณ์ป้องกันความปลอดภัยเครือข่ายหรือระบบ Data Loss Prevention (DLP) ซึ่งจะทำให้สามารถนำข้อมูลออกไปนอกเครือข่ายองค์กร นอกจากนี้ช่องโหว่ CallStranger ยังสามารถทำให้ผู้โจมตีทำการ Distributed Denial of Service (DDoS) บนอุปกรณ์ที่ใช้ UPnP และสามารถสแกนพอร์ตภายในจากอุปกรณ์ UPnP ที่เชื่อมต่ออินเทอร์เน็ตได้

Çadirci ได้ทำการรายงานช่องโหว่ให้เเก่สถาบัน Open Connectivity Foundation (OCF) ที่ทำการพัฒนาและดูแลโปรโตคอล UPnP และได้ช่องโหว่นี้ได้ทำการเเก้ไขแล้วในวันที่ 17 เมษายน 2020 ที่ผ่านมา ดังนั้นช่องโหว่ CallStranger นี้จะมีผลกระทบกับ UPnP เวอร์ชั่นก่อนหน้าวันที่ 17 เมษายน

นักวิจัยด้านความปลอดภัยทางอินเทอร์เน็ต Çadirci ได้ให้คำเเนะนำในการป้องกันจากช่องโหว่ที่เขาค้นพบดังนี้

ทำการปิดใช้งานบริการ UPnP ที่ไม่จำเป็นโดยเฉพาะอย่างยิ่งอุปกรณ์หรืออินเตอร์เฟสที่เชื่อมต่อกับอินเทอร์เน็ต
ทำการตรวจสอบอินทราเน็ตและเครือข่ายเซิร์ฟเวอร์เพื่อให้แน่ใจว่าอุปกรณ์ UPnP เช่น Router, IP Camera, Printers, หรืออุปกรณ์สื่ออื่นๆ ไม่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ต

ที่มา:

bleepingcomputer
zdnet
callstranger

แจ้งเตือน POC ช่องโหว่ SMBGhost บน Windows 10 ถูกปล่อยสู่สาธารณะแล้ว

นักวิจัยได้เปิดเผยว่า PoC ของช่องโหว่รหัส CVE-2020-0796 (CVSS 10) หรือที่เรารู้จักกันในชื่อ SMBGhost ซึ่งเป็นช่องโหว่การโจมตีจากระยะไกลที่ใช้ประโยชน์จากโปรโตคอล Microsoft Server Message Block (SMB 3.1.1) บน Windows 10 ซึ่งช่องโหว่นี้สามรถทำให้ผู้โจมตีใช้ประโยชน์จากโหว่โหว่ทำการเเพร่กระจายมัลแวร์ไปบนระบบที่มีช่องโหว่

ช่องโหว่ SMBGhost นั้นมีผลกับ Windows 10 เวอร์ชั่น 1909 และ 1903 รวมถึง Server Core ซึ่ง Microsoft ได้ออกเเพตซ์การป้องกันแล้วใน Microsoft Tuesday เเพตซ์ในเดือนมีนาคมที่ผ่านมา

นักวิจัยด้านความปลอดภัยชื่อ Chompie ได้ทำการแชร์ PoC สำหรับช่องโหว่ SMBGhost สู่สาธารณะและกล่าวว่า PoC นี้สามารถทำงานได้ดีบน Windows 10 เวอร์ชั่น 1903 และมีบุคคลจำนวนมากใช้ PoC จากช่องโหว่นี้ได้สำเร็จ นักวิจัยยังกล่าวว่าที่ผ่านมามีนักวิจัยด้านความปลอดภัยจำนวนมากทำการหาช่องทางการใช้ประโยชน์จากช่องโหว่นี้ แต่ผลลัพธ์นั้นถูกจำกัดอยู่ที่การยกระดับสิทธ์ผู้ใช้ (local privilege escalation) และการทำ denial of service เพื่อให้เกิด blue screen

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ได้ออกแจ้งเตือนให้ผู้ใช้งาน Microsoft Windows 10 ระมัดระวังผู้ไม่หวังดีที่ทำการใช้ PoC สำหรับช่องโหว่ CVE-2020-0796 ทำการหาประโยชน์จากผู้ใช้งานและได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการใช้ไฟร์วอลล์เพื่อบล็อกพอร์ต TCP 445 จากอินเทอร์เน็ตและทำการอัพเดตเเพตซ์คำความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันการถูกโจมตี

สำหรับผู้ที่สนใจ Poc สามารถดูรายละเอียดเพิ่มเติ่มได้ที่: www.

หมายเลขโทรศัพท์ที่ลงทะเบียนกับ WhatsApp โผล่ในผลการค้นหาจาก Google

นักวิจัยด้านความปลอดภัย Jayaram ได้เปิดเผยว่าหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชี WhatsApp นั้นได้รับการบันทึกใน Google Search โซึ่งอาจส่งผลให้เกิดปัญหาด้านความเป็นส่วนตัวของผู้ใช้งาน

WhatsApp นั้นมีฟีเจอร์ที่ชื่อว่า “Click to Chat” ซึ่งเป็นฟีเจอร์ที่ช่วยให้ผู้ใช้เริ่มต้นการแชทกับใครบางคนโดยไม่ต้องบันทึกหมายเลขโทรศัพท์ในรายชื่อผู้ติดต่อของโทรศัพท์ ฟีเจอร์นี้จะช่วยให้ผู้ใช้สร้าง URL ด้วยหมายเลขโทรศัพท์และสร้าง QR code ให้กับผู้ใช้งาน เพื่อให้ผู้ใช้งานมีความสะดวกในการเริ่มติดต่อสื่อการกับผู้อื่น

Jayaram กล่าวว่าปัญหานั้นเกิดจากการที่ Google Search ได้มีการรวมเอาผลการค้นหาหมายเลขโทรศัพท์ซึ่งจะเเสดงผลผ่าน URL (https://wa.

Honda investigates possible ransomware attack, networks impacted

ฮอนด้าทำการตรวจสอบผลกระทบจากการโจมตีเครือข่ายโดย SNAKE Ransomware

บริษัทผู้ผลิตรถยนต์ยักษ์ใหญ่ของโลกฮอนด้าได้เผยถึงการโจมตีเครือข่ายคอมพิวเตอร์ในยุโรปและญี่ปุ่น ทำให้บริษัทต้องหยุดการผลิตบางส่วน จากการตรวจสอบสาเหตุเบื้องต้นพบเครือข่ายถูกโจมตีจาก SNAKE Ransomware ในวันอาทิตย์ที่ 7 มิถุนายน ที่ผ่านมา

ฮอนด้ากล่าวว่าในขณะนี้ยังไม่มีความชัดเจนถึงผลกระทบจากการโจมตี ในขณะนี้ฮอนด้ากำลังตรวจสอบอยู่

นักวิจัยด้านความปลอดภัย Milkream ได้พบตัวอย่างของ SNAKE (EKANS) ransomware ในช่วงเวลาใกล้เคียงกับที่ฮอนด้าถูกโจมตี เมื่อตรวจสอบมัลแวร์ที่ VirusTotal พบว่ามัลแวร์พยายามจะเรียกหาโดเมน "mds.