News

McAfee ประกาศบรรลุข้อตกลงในการขายส่วนกิจการฝั่ง Enterprise ให้กับบริษัท Symphony Technology Group ด้วยมูลค่า 4 พันล้านเหรียญ

McAfee กล่าวว่าปัจจุบันธุรกิจส่วน Enterprise มีพาร์ตเนอร์ถึง 86% ที่เป็นบริษัทและองค์กรระดับ Fortune 100 และมีรายได้ในปี 2020 ที่ผ่านมามากกว่า 1,300 ล้านดอลลาร์ ข้อตกลงดังกล่าวจะทำให้ McAfee มีเงินทุนที่จะทำการมุ่งเน้นไปที่ธุรกิจการรักษาความปลอดภัยสำหรับผู้บริโภคและจะเร่งกลยุทธ์ในการเป็นผู้นำทางด้านความปลอดภัยส่วนบุคคลสำหรับผู้บริโภคและเพื่อคว้าตลาดทางด้านรักษาความปลอดภัยทางไซเบอร์ที่กำลังเติบโตมากขึ้น ซึ่งกระบวนการซื้อขายกิจการคาดว่าจะเสร็จสมบูรณ์ภายในปี 2021 หลังได้รับการอนุมัติจากหน่วยงานกำกับดูแลทางด้านกฎข้อบังคับและเงื่อนไขการปิดบัญชี

ทั้งนี้ McAfee เคยถูกซื้อกิจการโดยอินเทลในปี 2010 สำหรับ 7.68 พันล้านเหรียญสหรัฐ และในปี 2014 อินเทลประกาศว่า McAfee กลายเป็น Intel Security อย่างไรก็ตามในปี 2016 อินเทลตัดสินใจเเปลื่ยนชื่อบริษัท McAfee อีกครั้งหลังจากที่ TPG Capital เข้าซื้อจำนวนหุ้น 51% ซึ่งในปัจจุบัน McAfee มีผลิตภัณฑ์สำหรับปกป้องอุปกรณ์มากกว่า 600 ล้านเครื่องทั่วโลก

ที่มา: securityweek, helpnetsecurity, theregister

ในช่วงสัปดาห์ที่ผ่านมา สภาผู้แทนราษฎรสหรัฐฯ ได้มีการรับพิจารณาร่างกฎหมายใหม่ Homeland and Cyber Threat Act หรือ HACT Act ซึ่งจะอนุญาตให้ผู้เป็นพลเมืองของสหรัฐฯ สามารถเรียกร้องค่าเสียหายได้ในกรณีที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์ เมื่อผู้โจมตีหรือผู้ก่อการอยู่ต่างประเทศ

HACT Act เป็นร่างฉบับปรับปรุงของร่างเดิมซึ่งเคยถูกเสนอครั้งแรกในเดือนสิงหาคม 2019 เป้าหมายสำคัญของ HACT Act คือการลดการคุ้มครองที่รัฐบาลหรือหน่วยงานของต่างประเทศจะได้รับในกระบวนการพิจารณาคดีหากรัฐบาลหรือหน่วยงานของต่างประเทศดังกล่าวถูกตัดสินว่ามีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์ HACT Act มีการระบุไว้อย่างชัดเจนถึงการครอบคลุมกับผลกระทบส่วนบุคคล การสูญเสียชื่อเสียงรวมไปถึงความเสียหายหรือการสูญหายของทรัพย์สินด้วย

นอกเหนือจากประเด็นในเรื่องของการเรียกค่าเสียหายแล้ว HACT Act ยังมีเป้าหมายที่จะครอบคลุมในกรณีที่มีการใช้หรือละเมิดข้อมูลที่ได้มาจากการโจมตีทางไซเบอร์อีกด้วย

ที่มา: securityweek

นักพัฒนาซอฟต์แวร์ Johannes Schindelin และ Matheus Tavares ได้มีการเปิดเผยและออกแพตช์ความปลอดภัยให้กับซอฟต์แวร์ Git หลังจากตรวจพบช่องโหว่ CVE-2021-21300 ซึ่งทำให้ผู้โจมตีสามารถลักลอบรันคำสั่งที่เป็นอันตรายได้โดยอาศัยการสร้าง Repo ที่มีลักษณะพิเศษบางอย่าง โดยคำสั่งอันตรายดังกล่าวจะทำงานเมื่อเหยื่อเรียกใช้คำสั่ง git clone กับ Repo ดังกล่าว

ช่องโหว่นี้อยู่ในส่วนการทำงานของ Git ที่มีต่อไฟล์ในลักษณะของ symbolic link ในระบบไฟล์แบบ Case-insensitive เช่น NTFS, HFS+ หรือ APFS ภายใต้เงื่อนไขว่าจะต้องมีการตั้งค่าเพื่อใช้งานฟิลเตอร์อย่าง clean หรือ smudge ก่อน เงื่อนไขดังกล่าวนี้ถูกกำหนดไว้ในไคลเอนต์อย่าง Git for Windows ที่มีการใช้ Git LFS อยู่แล้ว ส่งผลซอฟต์แวร์อย่าง Git for Windows ได้รับผลกระทบโดยอัตโนมัติ

อ้างอิงจากคำแนะนำของ GitHub แนวทางในการลดความเสี่ยงที่ดีที่สุดจากช่องโหว่นี้คือการอัปเดต Git ให้เป็นรุ่นล่าสุด ในกรณีที่ไม่สามารถอัปเดตได้ แนวทางในการลดผลกระทบอีกลักษณะหนึ่งคือการปิดการรองรับ symbolic link, ปิดการใช้งานฟิลเตอร์ รวมไปถึงการหลีกเลี่ยงการ Clone โครงการที่ไม่น่าเชื่อถือ

ที่มา: github-blog, github, openwall

ทีมนักวิจัยจาก University of Illinois เปิดเผยการค้นพบช่องโหว่ใหม่ในลักษณะ Side-channel attack ของซีพียู Intel ซึ่งทำให้ผู้โจมตีสามารถสกัดและได้มาซึ่งข้อมูลที่ซีพียูกำลังประมวลผลอยู่ได้ ผลลัพธ์ของการโจมตีนี้อาจสามารถยกตัวอย่างได้ว่า ในเซิร์ฟเวอร์ของบริการคลาวด์ที่มีระบบหลายระบบทำงานอยู่ หากผู้ไม่ประสงค์ดีทำการเช่าระบบเพียงหนึ่งระบบมาใช้เพื่อโจมตีช่องโหว่นี้ ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลจากระบบใด ๆ ก็ตามที่กำลังถูกประมวลผลอยู่ในซีพียูเดียวกัน

แนวคิดหลักของการโจมตีนี้อยู่ที่การโจมตีกระบวนการทำงานในซีพียูโดยไม่พึ่งองค์ประกอบของระบบอื่น ๆ และสามารถดึงข้อมูลข้ามหน่วยประมวลผล (core) ได้ นักวิจัยผู้อยู่เบื้องหลังโครงการเชื่อว่าการโจมตี Side-channel attack นี้เป็นการโจมตีแรกที่เกิดขึ้นภายใต้เงื่อนไขดังกล่าว

การโจมตีในลักษณะของ Side-channel attack นั้นเป็นลักษณะการโจมตีที่ผู้โจมตีเก็บและใช้ข้อมูลจากการทำงานของระบบเพื่อทำการโจมตี ซึ่งแตกต่างกับการโจมตีแบบทั่วไปที่ผู้โจมตีจำเป็นจะต้องพบจุดอ่อนหรือช่องโหว่ก่อน จากนั้นจึงทำการโจมตีช่องโหว่ดังกล่าวเพื่อให้บรรลุวัตถุประสงค์ ตัวอย่างของการโจมตีแบบ Side-channel attack เช่น การประเมินเวลาในการประมวลผลหรือกำลังไฟฟ้าที่ใช้ในการประมวลผล ในกระบวนการทำงานของระบบที่มีความอ่อนไหวสูง การใช้เวลาในการประมวลผลที่แตกต่างกันสามารถถือเป็นข้อมูลที่นำมาใช้เพื่อทำนายได้ว่าระบบกำลังประมวลผลค่า 0 หรือค่า 1 อยู่

การโจมตีแบบ Side-channel attack ล่าสุดกับซีพียู Intel นั้นอาศัยการประเมินและสังเกตลักษณะและพฤติกรรมขององค์ประกอบหนึ่งในซีพียูซึ่งถูกเรียกว่า Ring interconnect องค์ประกอบนี้มีหน้าที่เป็นช่องทางหรือตัวกลางซึ่งองค์ประกอบต่าง ๆ ในซีพียูอย่างตัวหน่วยประมวลผลเอง, cache หรือ GPU ใช้ในการติดต่อสื่อสารกัน นักวิจัยค้นพบรูปแบบในการทำงานของ Ring interconnect ทั้งทางด้านเวลาที่ใช้ซึ่งเกี่ยวข้องกับการควบคุมปัจจัยความคับคั่งของข้อมูลที่อยู่ใน Ring interconnect รูปแบบดังกล่าวทำให้นักพัฒนาสามารถระบุหาและทำนายได้ว่าข้อมูลที่ซีพียูกำลังประมวลผลนั้นมีค่าเป็นอย่างไร

นักวิจัยได้สาธิตการใช้ช่องโหว่นี้ในการดึงข้อมูลของกุญแจเข้ารหัสในอัลกอริธึม EdDSA และ RSA ที่มีปัญหาที่ระบบกำลังประมวลผลอยู่ได้ รวมไปถึงสามารถดึงข้อมูลเกี่ยวกับรหัสผ่านที่ระบบกำลังประมวลผลอยู่ได้โดยอ้างอิงข้อมูลเกี่ยวกับเวลาในการพิมพ์ของผู้ใช้งาน แม้ว่าจะสามารถนำมาใช้ในการโจมตีจริงได้ นักวิจัยก็มีการระบุไว้ในงานวิจัยอย่างชัดเจนว่าการโจมตีนี้ยังคงมีเงื่อนและปัจจัยซึ่งทำให้ยากต่อการนำมาใช้ในการโจมตีจริงอยู่

Intel ได้รับแจ้งถึงการมีอยู่ของช่องโหว่แล้วรวมไปถึงมีการกล่าวถึงแนวทางในการลดผลกระทบที่สำคัญซึ่งรวมไปถึงการพัฒนาซอฟต์แวร์ โดยเฉพาะซอฟต์แวร์ที่มีการใช้อัลกอริธึมการเข้ารหัสซึ่งควรจะใช้เวลาในการประเมินผลที่ใกล้เคียงกันซึ่งทำให้ยากต่อการประเมินและทำนาย ผู้ที่สนใจสามารถดู Best practice ในประเด็นนี้ได้ที่ intel

สำหรับผู้ที่สนใจงานวิจัย งานวิจัยฉบับเต็มสามารถเข้าถึงได้ที่ arxiv

ที่มา: therecord, theregister, securityweek

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

SITA บริษัทผู้ให้บริการไอทีสายการบินและสนามบินได้ออกเเถลงถึงการโจมตีทางไซเบอร์ โดยการโจมตีดังกล่าวส่งผลกระทบถึงระบบ SITA Passenger Service System (SITA PSS) ซึ่งเป็นระบบสำหรับการให้บริการผู้โดยสารสำหรับสายการบิน

ตามรายงานของ SITA ระบุว่าเหตุการณ์การบุกรุกที่เกิดขึ้นในวันที่ 24 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งการสืบสวนเบื้องต้นคาดว่ามีข้อมูลของกลุ่ม Star Alliance ที่มีทั้งหมด 26 สายการบินที่อยู่บนเซิร์ฟเวอร์ถูกรั่วไหลออกไป โดยสายการบินหลายแห่งที่เป็นสมาชิกของ Star Alliance ได้รับการยืนยันว่าได้รับผลกระทบจากการละเมิดดังกล่าวรวมถึงสิงคโปร์แอร์ไลน์, มาเลเซียแอร์ไลน์, ฟินแอร์ของฟินแลนด์, เจจูแอร์ในเกาหลีใต้และแอร์นิวซีแลนด์

Singapore Airlines ได้ออกอีเมลแจ้งเตือนลูกค้าโดยมีรายละเอียดและอธิบายว่าข้อมูลของสมาชิกประมาณ 580,000 คนในโปรแกรมสะสมไมล์ KrisFlyer ถูกบุกรุก โดย Singapore Airlines ได้ระบุว่าทางสายการบินไม่ได้เป็นผู้ใช้ระบบ SITA PSS แต่การบุกรุกนั้นเกิดขึ้นกับสมาชิกของสายการบินแห่งหนึ่งในกลุ่มสมาชิก Star Alliance ที่มีทั้งหมด 26 สายการบินและเนื่องจากสายการบินต่าง ๆ ในกลุ่มต้องยืนยันสถานะสมาชิกระหว่างกันจึงมีการส่งข้อมูลสมาชิกบางส่วนไปมา ซึ่งทำให้ลูกค้าของ Singapore Airlines ได้รับผลกระทบไปด้วย

SITA ยังกล่าวอีกว่าการบุกรุกเซิร์ฟเวอร์ของ SITA PSS อยู่ในระหว่างการสืบสวนข้อมูล ซึ่งยังไม่มีข้อมูลยืนยันว่าสายการบินต้นทางที่ถูกแฮกเป็นสายการบินใดและข้อมูลของลูกค้าสายการบินนั้น ๆ จะรั่วไหลมากน้อยเพียงใด แต่สำหรับลูกค้าของกลุ่มสมาชิก Star Alliance ที่ได้รับแจ้งเตือนโดยสายการบินอาจมีข้อมูลที่ระบุว่าชื่อสมาชิก, หมายเลขสมาชิก, ระดับสมาชิก อาจถูกรั่วไหล อย่างไรก็ตามข้อมูลที่กล่าวมานั้นอาจถูกผู้ประสงค์ร้ายใช้ประโยชน์โดยการโจมตีแบบฟิชชิง

ทั้งนี้การสืบสวนข้อมูลในขณะนี้ยังไม่มีข้อบ่งชี้ว่ารหัสผ่าน, ข้อมูลการชำระเงิน, หมายเลขหนังสือเดินทาง, การจองหรือข้อมูลติดต่ออื่น ๆ ถูกบุกรุก

ที่มา: bleepingcomputer, securityweek

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco จากการถูกโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service - DoS) เนื่องจากมีช่องโหว่ในเครื่องมือ Snort Detection Engine

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1285 มีระดับความรุนแรง CVSS อยู่ที่ 7.4/10 ช่องโหว่ถูกพบใน Ethernet Frame Decoder ของ Snort Detection Engine โดยช่องโหว่เกิดจากการจัดการเงื่อนไขของ Error condition ที่ไม่เหมาะสมเมื่อทำการประมวลผล Ethernet frame ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งแพ็กเกต Ethernet frame ที่สร้างขึ้นเป็นพิเศษและเป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบเพื่อทำให้อุปกรณ์เข้าสู่เงื่อนไข DoS

ช่องโหว่จะส่งผลกระทบต่อ Integrated Service Router (ISR) ซอฟต์แวร์และแพลตฟอร์ม Catalyst Edge และผลิตภัณฑ์ Cloud Services Router ซีรี่ส์ 1000v หากอุปกรณ์ที่กล่าวมาใช้ซอฟต์แวร์ Cisco UTD Snort IPS Engine สำหรับ IOS XE หรือ Cisco UTD Engine สำหรับ IOS XE SD-WAN และได้รับการกำหนดค่าให้ส่ง Ethernet frameไปยัง Snort Detection Engine

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพช์ให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ที่เกิดขึ้นและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: securityweek, cisco