Microsoft ค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้

Microsoft มีการค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้อยู่ในปัจจุบันโดยเกิดจากข้อผิดพลาดที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบน Product สำหรับการจัดการการถ่ายโอนไฟล์ (Managed File Transfer) ที่ชื่อว่า Serv-U ได้ โดย Microsoft ได้รายงานช่องโหว่ดังกล่าวไปยังบริษัท SolarWinds โดยตรงแล้ว โดยเมื่อวันศุกร์ที่ผ่านมา (9 July 2021) SolarWinds ได้ออกมากล่าวถึงช่องโหว่ Zero-Day ใหม่นี้ไม่มีความเกี่ยวข้องกับเหตุการณ์โจมตี Supply Chain Attack ที่เกิดขึ้นในเดือนธันวาคมที่ผ่านมา และจากหลักฐานที่ทาง Microsoft ให้มา SolarWinds ยังไม่ได้มีการประเมินว่ามีลูกค้าจำนวนกี่รายที่อาจได้รับผลกระทบจากช่องโหว่ตัวใหม่นี้

SolarWinds Serv-U Managed File Transfer, Serv-U Secure FTP และ Serv-U Gateway ที่เป็นส่วนขยายของผลิตภัณฑ์ทั้งสองได้รับผลกระทบจากช่องโหว่ใหม่นี้ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ ทำให้ผู้โจมตีสามารถยกระดับสิทธิและเข้าถึงเครื่องที่ติดตั้งผลิตภัณฑ์ Serv-U ได้ โดยผู้โจมตีสามารถติดตั้งโปรแกรม, ดู แก้ไข และลบข้อมูล หรือเรียกใช้โปรแกรมบนระบบได้ โดยช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ Serv-U เวอร์ชันล่าสุด 15.2.3 HF1 ที่มีการเผยแพร่เมื่อวันที่ 5 พฤษภาคม ที่ผ่านมา และในเวอร์ชันก่อนหน้าทั้งหมด
โดยทาง SolarWinds ได้ปล่อย Hotfix สำหรับแก้ไขช่องโหว่ออกมาแล้วในขณะที่กำลังดำเนินการแก้ไขปัญหาอย่างถาวรต่อไป โดยผู้ใช้งานผลิตภัณฑ์ Serv-U เวอร์ชัน 15.2.3 HF1 ให้ทำติดตั้ง hotfix (HF2) โดยด่วนเพื่อปิดช่องโหว่และสำหรับผู้ใช้งาน Serv-U ที่เวอร์ชันเก่ากว่าควรทำการอัพเดทเป็นเวอร์ชั่นปัจจุบันและทำติดตั้ง hotfix (HF2) และการปิด SSH สามารถช่วยป้องกันการถูกโจมตีได้

SolarWinds คือ บริษัทที่เป็นศูนย์กลางของการโจมตี Supply Chain Attack ที่ได้มีการโจมตีหน่วยงานของสหรัฐฯ 9 แห่งและบริษัทเอกชน 100 แห่ง โดยเกิดจากการผู้โจมตีได้เข้าถึง และมีการปล่อยอัปเดตซอฟแวร์ที่เป็นอันตรายที่เป็นผลิตภัณฑ์ SolarWinds ให้ลูกค้าประมาณ 18,000 รายของบริษัท SolarWinds ในบรรดาลูกค้าเหล่านั้นมีประมาณ 110 รายถูกโจมตีหลังจากนั้นด้วยการติดตั้ง Payload ซึ่งใช้ในการขโมยข้อมูลที่มีความสำคัญออกไป โดยมัลแวร์ที่ถูกใช้ในแคมเปญมีชื่อว่า Sunburst

ในช่วงปลายปี 2020 ช่องโหว่ Zero-Day ของผลิตภัณฑ์ Orion ของ Solarwinds ได้ถูกโจมตีโดยผู้โจมตีกลุ่มอื่นที่นักวิจัยพบความเชื่อมโยงกับรัฐบาลจีน โดยผู้โจมตีเหล่านี้จะมีการติดตั้งมัลแวร์ที่ชื่อว่า SuperNova และมีการกำหนดเป้าหมายไปที่ SolarWinds และมีหน่วยงานของรัฐบาลสหรัฐฯ อย่างน้อยหนึ่งหน่วยงานตกเป็นเป้าหมายของการดำเนินการครั้งนี้

รัฐบาลกลางของสหรัฐฯ ได้ระบุว่าการโจมตีรูปแบบ Supply Chain Attack ในปีที่ผ่านมาเกิดจากแฮกเกอร์ที่ทำงานให้กับ Russia’s Foreign Intelligence Service (SVR) ได้ใช้แคมเปญมัลแวร์ที่มุ่งเป้าไปที่รัฐบาล, หน่วยงานทางการเมือง และองค์กรอื่นๆ ในประเทศต่างๆ รวมถึงเยอรมนี อุซเบกิสถาน, เกาหลีใต้ และสหรัฐอเมริกา รวมถึงการโจมตีกระทรวงการต่างประเทศสหรัฐฯ และทำเนียบขาวในปี 2014

ผลกระทบ

Serv-U เวอร์ชัน 15.2.3 HF1 และ Serv-U ที่เวอร์ชันต่ำกว่านั้น

การแก้ไข

ทำการดาวน์โหลดและติดตั้ง Hotfix ที่ทาง SolarWinds ปล่อยออกมาเพื่อปิดช่องโหว่

ที่มา : arstechnica

คำแนะนำสำหรับช่องโหว่ CVE-2021-34527 Windows Print Spooler

ในวันอังคารที่ 6 ถึง พุธที่ 7 กรกฎาคม 2021 Microsoft ได้ออกแพตซ์ของช่องโหว่ CVE-2021-34527 ซึ่งเป็นช่องโหว่ของ Windows Print Spooler โดยแก้ไขช่องโหว่สำหรับ Windows ทุกเวอร์ชันที่ยังอยู่ในการ Supported ทั้งหมด โดยเป็นการออกแพตซ์นอกช่วงเวลาปกติ Out-of-band (OOB) (ปกติ Microsoft จะออกแพตซ์ทุกวันอังคารที่ 2 ของเดือน หรือที่เรียกกันว่า Tuesday Patch)

จาก Out-of-band (OOB) แพตซ์ที่ถูกปล่อยออกมา มีการตั้งคำถามถึงเรื่องการป้องกันที่ดูแล้วอาจจะยังเป็นแพตซ์ที่ไม่สามารถป้องกันการโจมตีนี้ได้อย่างเต็มประสิทธิภาพ

จากการตรวจสอบของทาง Microsoft พบว่า OOB แพตซ์สามารถทำงานได้ถูกต้องตามที่ออกแบบไว้ และสามารถป้องกันช่องโหว่ Printer Spooling Exploits หรือที่รู้จักกันในชื่อ PrintNightmare ที่ถูกปล่อยออกมาให้ใช้งานในปัจจุบันได้ ซึ่งจากรายงานทั้งหมดที่พบในปัจจุบันการโจมตีที่ยังอาจจะสามารถทำได้อยู่ จะเกี่ยวข้องกับการเปลี่ยนค่า Registry ตั้งต้น ในส่วนที่ชื่อว่า "Point and Print" ให้ไปเป็นค่าที่ไม่ปลอดภัย

โดยทาง Microsoft แนะนำให้ลูกค้าทำตามขั้นตอนเหล่านี้

อัปเดตแพตซ์ CVE-2021-34527 ในทุกกรณี การอัปเดตจะไม่เปลี่ยนการตั้งค่า registry ที่มีอยู่
หลังจากอัปเดตแพตซ์ ควรตรวจสอบคำแนะนำการตั้งค่า registry ที่ระบุไว้ในช่องโหว่ CVE-2021-34527
หากไม่พบ registry keys นี้ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) ไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม
หากพบ registry keys นี้อยู่ (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint) เพื่อความปลอดภัย ต้องตั้งค่า registry keys ต่อไปนี้ให้เป็นค่า 0 (ศูนย์) ดังนี้
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
- NoWarningNoElevationOnInstall = 0 (DWORD) หรือ not defined (default setting)
- UpdatePromptSettings = 0 (DWORD) หรือ not defined (default setting)

สำหรับรายละเอียดคำแนะนำเพิ่มเติม สามารถดูได้จาก KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates และ CVE-2021-34527.

ที่มา : Microsoft

ช่องโหว่ Print Spooler (CVE-2021-1675) และ ช่องโหว่ PrintNightmare (CVE-2021-34527)

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

Google Patches Critical .PNG Image Bug

Google ออกแพทช์เพื่ออุดช่องโหว่งร้ายแรงสำหรับระบบปฎิบัติการแอนดรอยด์ โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถอาศัยไฟล์ภาพที่ (PNG) โดยทำการสร้างไฟล์ภาพอันตรายที่มีการแฝง code และส่งไปยังเครื่องเหยื่อ

การอัพเดทด้านความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ (February Android Security) Google ได้เปิดเผยว่ามีช่องโหว่ร้ายแรง 3 ตัว (CVE-2019-1986, CVE-2019-1987, CVE2019-1988) โดยหนึ่่งในนั้นเป็นช่องโหว่ .PNG โดยส่งผลกระทบกับระบบปฎิบัติการแอนดรอยด์ ตั้งแต่ Nougat(7.0) จนถึงปัจจุบัน(9.0) รวมแล้วการประกาศประจำเดือนนี้เป็นช่องโหว่ที่มีระดับความร้ายแรง (Critical) ทั้งหมด 11 รายการ และมี 3 รายการที่เป็นช่องโหว่เกี่ยวกับ Framework และจากช่องโหว่ที่ถูกแก้ไขแล้ว 42 รายการ มี 30 รายการที่ถูกจัดความรุนแรงอยู่ในระดับสูง (high) ทั้งนี้คำอธิบายรายละเอียดของช่องโหว่ คาดว่าจะถูกเปิด เผยในภายหลัง

ที่มา: threatpost.

Microsoft Releases Patch Updates for 53 Vulnerabilities In Its Software

ไมโครซอฟท์ออก Patch Tuesday ประจำเดือน กรกฏาคม 2561 เพื่ออุดช่องโหว่กว่า 53 รายการ

ไมโครซอฟท์ออก Patch Tuesday ประจำเดือน กรกฏาคม 2561 เพื่ออุดช่องโหว่กว่า 53 รายการ โดยเป็นช่องโหว่ระดับร้ายแรงสูง (critical) จำนวน 17 รายการ และกระทบกว่า 15 โปรแกรม เช่น Internet Explorer Microsoft Edge Microsoft Windows Adobe Flash Player เป็นต้น

ไมโครซอฟท์ออก Patch Tuesday ประจำเดือน กรกฏาคม 2561 เพื่ออุดช่องโหว่กว่า 53 รายการ แบ่งออกเป็น

- ช่องโหว่ระดับร้ายแรงสูง (critical) 17 รายการ
- ระดับ important 34รายการ
- ระดับ moderate 1 รายการ
- ระดับ low 1 รายการ

ช่องโหว่ต่างๆครอบคลุมผลิตภัณฑ์ของไมโครซอฟท์ดังนี้

- Microsoft Windows 7, 8.1, RT 8.1, and 10
- Microsoft Windows Server 2008, 2008 R2, 2012, 2012 R2, 2016
- Microsoft Windows Server Core Installation 2008, 2008 R2, 2012, 2012 R2, 2016
- Microsoft Office 2010, 2013, 2013 RT, 2016, 2016 Click-to-Run
- Microsoft Access 2013, 2016
- Microsoft Internet Explorer 9, 10, 11
- Microsoft Edge
- Microsoft SharePoint Enterprise Server 2013, 2016
- Microsoft Visual Studio 2010, 2012, 2013, 2015, 2017
- Powershell
- Microsoft .NET Framework
- ChakraCore
- Skype for Business 2016
- Expression Blend 4
- ASP.NET Core
- ASP.NET Web Pages
- ASP.NET MVC

และครอบคลุมไปถึงแก้ไขช่องโหว่ของ Adobe Flash Player ด้วย

ช่องโหว่กว่าครึ่งหนึ่งของการอัพเดตครั้งนี้เป็นช่องโหว่ที่เกี่ยวข้องกับ Remote Code Execution (RCE) ถึงแม้ว่ายังไม่มีการรายงานว่าช่องโหว่เหล่านี้ถูกใช้ในการโจมตี แต่ผู้ใช้งานควรอัพเดทแพตช์ให้เป็นเวอร์ชั่นล่าสุดเพื่อความปลอดภัย

ที่มา:thehackernews

The OpenVPN post-audit bug bonanza

OpenVPN เป็น Application ชื่อดังในเรื่องการใช้งานและจัดทำ VPN Server ซึ่งแน่นอนว่าเมื่อมีคนใช้เยอะก็ยิ่งมีคนสนใจในความปลอดภัยของ OpenVPN ด้วยเช่นกัน เมื่อมีการตรวจสอบพบบว่ามีช่องโหว่สำคัญ 4 ช่องโหว่ด้วยกัน
OpenVPN ได้ถูกนำไปตรวจ source code และ fuzzing (การส่งข้อมูลแปลกๆเข้าไป) ในส่วนต่างๆ พบว่ามีช่องโหว่สำคัญที่เป็นการโจมตีจากระยะไกล 4 ช่องโหว่ด้วยกัน ดังนี้

- Remote server crashes/double-free/memory leaks in certificate processing
- Remote (including MITM) client crash, data leak
- Remote (including MITM) client stack buffer corruption
- Remote server crash (forced assertion failure)

จากที่เห็นจะพบว่าช่องโหว่ส่วนใหญ่จะทำให้ระบบไม่สามารถให้บริการได้ (Denial of Service) อีกทั้งมีช่องโหว่ที่ทำให้เกิด Information Leakage ได้ด้วยเช่นกัน ไม่เพียงเท่านี้ ยังพบช่องโหว่อีกมากมายที่เป็นการทำ Local Exploitation อีกด้วย แต่ทั้งนี้ช่องโหว่ทั้งหมดพบใน version 32bit เท่านั้น ดังนั้นหากใครให้บริการหรือใช้งาน OpenVPN Client ที่เป็น 32bit อยู่ แนะนำให้ update

ที่มา: guidovranken.

Juniper ออกแพทช์อุดช่องโหว่ความรุนแรงสูงบน Junos OS

Juniper Networks บริษัทชั้นนำทางด้านนวัตกรรมระบบเครือข่าย ประกาศออกแพทช์อุดช่องโหว่ความรุนแรงสูงหลายรายการบนอุปกรณ์ด้าน Network และ Security ที่ใช้ระบบปฏิบัติการ Junos OS ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ในระดับ Admin รวมไปถึงช่องโหว่ Denial-of-Service
ช่องโหว่ที่รุนแรงที่สุด คือ CVE-2016-1279 ได้รับคะแนน CVSS 9.8/10 เป็นช่องโหว่บนอินเตอร์เฟส J-Web ซึ่งช่วยให้ผู้ดูแลระบบสามารถมอนิเตอร์ ตั้งค่า แก้ไขปัญหา และบริหารจัดการเราท์เตอร์ที่ใช้งาน Junos OS ได้ ช่องโหว่นี้เกิดจากปัญหา Information Leak ซึ่งช่วยให้แฮ็คเกอร์ได้สิทธิ์ระดับ Admin และสามารถเข้าควบคุมอุปกรณ์ได้ทันที

Juniper แนะนำให้อัพเดท Junos OS เป็นเวอร์ชัน 12.1X46-D45, 12.1X46-D46, 12.1X46-D51, 12.1X47-D35, 12.3R12, 12.3X48-D25, 13.3R10, 13.3R9-S1, 14.1R7, 14.1X53-D35, 14.2R6, 15.1A2, 15.1F4, 15.1X49-D30 หรือ 15.1R3 ขึ้นอยู่กับระบบปฏิบัติการที่ใช้

นอกจากนี้ Juniper ยังได้ออกแพทช์สำหรับอุดช่องโหว่ อื่นๆ อีกหลายรายการ ได้แก่

• Crafted UDP packet can lead to kernel crash on 64-bit platforms (CVE-2016-1263)
• Kernel crash with crafted ICMP packet (CVE-2016-1277)
• On High-End SRX-Series, ALG’s applied to in-transit traffic may trigger high CP (central point) utilization leading to denial of services.

สหภาพยุโรปเตรียมจัดตรวจสอบความปลอดภัย KeePass และ Apache HTTP Server

การตรวจสอบโค้ดเพื่อหาช่องโหว่ความปลอดภัยเป็นระยะเพื่อป้องกันแฮกเกอร์พบช่องโหว่เหล่านี้ก่อนเป็นแนวทางที่เอกชนเริ่มให้ความใส่ใจมากขึ้นในช่วงหลัง เช่น Core Infrastructure Initiative หรือ Secure Open Source ตอนนี้ภาครัฐอย่างสหภาพยุโรปก็เริ่มเข้ามามีบทบาทโดยจัดสรรงบประมาณมาตรวจสอบโค้ดโครงการโอเพนซอร์ส

ทางสหภาพยุโรปได้ทำแบบสำรวจเป็นเวลาประมาณสามสัปดาห์เพื่อหาว่าซอฟต์แวร์ใดควรได้รับการตรวจสอบโค้ด ได้รับคำตอบกว่า 3,200 ชุด สองอันดับแรก คือ KeePass (23.1%) และ Apache HTTP Server (18.7%) ได้รับเลือกให้เข้าโครงการ อันดับถัดๆ ไปที่ไม่ได้รับเลือก เช่น VLC (8.8%), MySQL (4.3%), 7-zip (4.2%), Git (4.1%)

กระบวนการตรวจสอบโค้ดจะเริ่มในอีกไม่กี่สัปดาห์ข้างหน้า ถ้าไม่มีอะไรผิดพลาดเราน่าจะได้อ่านรายงานกันฟรีๆ อีกครั้ง

ที่มา: blognone, joinup