มีรายงานช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ Device Manager ของ Kyocera ซึ่งอาจถูกนำมาใช้โดยผู้ไม่หวังดีเพื่อดำเนินกิจกรรมที่เป็นอันตรายบนระบบที่มีช่องโหว่

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถใช้งาน SMB share เพื่อส่งข้อมูล hashed credentials ของ Active Directory หากไม่ได้มีการเปิดใช้งาน Policy "Restrict NTLM: Outgoing NTLM traffic to remote servers"

ช่องโหว่มีหมายเลข CVE-2023-50916 โดยคำแนะนำจาก Kyocera ที่เผยแพร่เมื่อปลายเดือนที่แล้วระบุว่า เป็นช่องโหว่ path traversal ที่ช่วยให้ผู้โจมตีสามารถดักจับ และเปลี่ยนแปลงเส้นทางในเครื่องที่ชี้ไปยังตำแหน่งสำรองของฐานข้อมูล ตามรูปแบบ universal naming convention (UNC) ซึ่งจะทำให้เว็บแอปพลิเคชันพยายาม authenticate กับ UNC path ปลอม ส่งผลให้เกิดการเข้าถึงบัญชีของลูกค้า และการโจรกรรมข้อมูลโดยไม่ได้รับอนุญาต ขึ้นอยู่กับการกำหนดค่าที่อาจถูกนำไปใช้ในการโจมตีแบบ NTLM relay attacks

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วใน Kyocera Device Manager เวอร์ชัน 3.1.1213.0

QNAP เผยแพร่การแก้ไขช่องโหว่หลายรายการ

รายงานดังกล่าวเกิดขึ้นหลังจากที่ QNAP เปิดตัวแพตซ์แก้ไขช่องโหว่หลายรายการ รวมถึงช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ QTS และ QuTS hero, QuMagie, Netatalk และ Video Station

ช่องโหว่หมายเลข CVE-2023-39296 ซึ่งเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอก override แอตทริบิวต์ที่มีอยู่ด้วย incompatible แอตทริบิวต์ ซึ่งอาจทำให้ระบบล่มได้

ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วในเวอร์ชัน QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110

คำอธิบายของช่องโหว่อื่น ๆ ที่มีดังนี้

CVE-2023-47559 - ช่องโหว่ cross-site scripting (XSS) ใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-47560 - ช่องโหว่การแทรกคำสั่งของระบบปฏิบัติการใน QuMagie ที่อาจทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ QuMagie 2.2.1 และเวอร์ชันใหม่กว่า)
CVE-2023-41287 - ช่องโหว่ SQL injection ใน Video Station ที่อาจทำให้ผู้ใช้สามารถแทรกคำสั่งที่เป็นอันตรายผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2023-41288 - ช่องโหว่ command injection ของระบบปฏิบัติการใน Video Station ที่อาจทำให้ผู้ใช้สามารถรันคำสั่งผ่านเครือข่ายได้ (สำหรับ Video Station 5.7.2 และเวอร์ชันใหม่กว่า)
CVE-2022-43634 - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนใน Netatalk ที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยที่ไม่ได้รับอนุญาต (สำหรับ QTS 5.1.3.2578 build 20231110 และ QuTS hero h5.1.3.2578 build 20231110)
แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตี แต่แนะนำให้ผู้ใช้งานดำเนินการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น

ที่มา : thehackernews

เมื่อวันที่ 29 มิถุนายน 2565 ที่ผ่านมา ทาง Apache Shiro ได้ออกมาประกาศเกี่ยวกับช่องโหว่ Bypass การตรวจสิทธิ์ ระดับความรุนแรงสูง โดยมีหมายเลข CVE-2022-32532 โดยช่องโหว่ Apache Shiro เกิดจากแอปพลิเคชั่นที่ใช้ RegExPatternMatcher ด้วย “.” ใน Regular expression ซึ่งทำให้ผู้โจมตีสามารถส่งคำสั่ง HTTP ที่ออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงกระบวนการตรวจสอบสิทธิ์ และสามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาตได้

Apache Shiro เป็น Java security framework ที่มีประสิทธิภาพ และใช้งานง่าย ซึ่งใช้งานสำหรับ Authentication, Authorization, Cryptograph และ Session Management และด้วย API ที่ใช้งานได้ง่ายของ Shiro จึงสามารถนำมาใช้กับแอปพลิเคชั่นใด ๆ ได้อย่างรวดเร็ว และง่ายดาย ทั้งจากแอปพลิเคชั่นบนมือถือ ไปจนถึงเว็บ และแอปพลิเคชั่นในระดับองค์กร

Apache Shiro เวอร์ชันที่มีช่องโหว่คือเวอร์ชันตั้งแต่ 1.9.0 ลงไป ซึ่งปัจจุบัน Apache Shiro ออกเวอร์ชัน 1.9.1 เพื่อแก้ไขช่องโหว่ดังกล่าวแล้วดังนี้

[SHIRO-871] – ActiveDirectoryRealm – append suffix only if missing from username
[SHIRO-872] – fix Reproducible Builds issues
[SHIRO-883] – Add support for case insensitive regex path matching Dependency upgrade
[SHIRO-878] – Update Spring Dependencies to 5.2.20
[SHIRO-882] – Upgrade to apache pom parent 26
[SHIRO-881] – pom.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

ในวันที่ 3 ของงาน Pwn2Own งานแข่งขันของแฮ็กเกอร์ซึ่งปีนี้ถูกจัดขึ้นที่แวนคูเวอร์ประเทศแคนาดา นักวิจัยด้านความปลอดภัยได้ใช้ช่องโหว่ Zero-day 3 รายการแฮ็กระบบปฏิบัติการ Windows 11 ของ Microsoft ได้สำเร็จ

ในความพยายามครั้งแรกของทีม DoubleDragon ในการพยายามแฮ็กผ่าน Microsoft Teams ไม่สำเร็จ เนื่องจากไม่สามารถโจมตีได้สำเร็จภายในระยะเวลาที่ Microsoft กำหนด แต่ก็ยังมีผู้เข้าแข่งขันรายอื่นๆที่สามารถแฮ็ก Windows 11 ได้สำเร็จถึงสามครั้ง รวมไปถึงการแฮ็ก Ubuntu Desktop ด้วยอีกหนึ่งครั้ง ซึ่งทำให้ผู้เข้าแข่งขันได้รับเงินไปทั้งหมด $160,000

(more…)

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai

 

Google ได้ออกการอัปเดตแพตซ์ด้านความปลอดภัยเร่งด่วนสำหรับผู้ใช้งาน Google Chrome ทุกคน เนื่องจากสามารถยืนยันได้แล้วว่ามีผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-Day นี้ในการโจมตีอยู่ในปัจจุบัน

การอัพเดตล่าสุดเวอร์ชัน 99.0.4844.84 ของ Chrome นั้นเป็นการอัปเดตเพื่อจัดการกับช่องโหว่ด้านความปลอดภัยเพียงช่องโหว่เดียวเท่านั้น แสดงให้เห็นว่าการอัปเดตครั้งนี้เร่งด่วน และสำคัญมาก

Chrome ประกาศอัปเดตเมื่อวันที่ 25 มีนาคม ซึ่ง Google ยืนยันว่า "เรารับทราบถึงการพบการโจมตีโดยใช้ช่องโหว่ CVE-2022-1096 แล้วในปัจจุบัน" ดังนั้นขอแนะนำให้ผู้ใช้ Chrome ทุกคนรีบตรวจสอบให้แน่ใจว่าได้อัปเดต browsers ของคุณให้เป็นเวอร์ชันล่าสุดเรียบร้อยแล้ว

CVE-2022-1096 คืออะไร ?

ในช่วงแรกๆช่องโหว่ CVE-2022-1096 ยังไม่ค่อยเป็นที่รู้จักในวงกว้างมากนัก โดยเป็นช่องโหว่ใน "Type Confusion in V8" ซึ่ง V8 เป็น JavaScript engine ของ Chrome แต่เพราะ Google มักจะยังไม่เปิดเผยรายละเอียดการโจมตี เทคนิค หรือ ช่องโหว่จนกว่าจะมีการอัปเดตแพตซ์ออกมาเพื่อปกป้องผู้ใช้งาน

วิธีการอัปเดต Google Chrome

ไปที่ตัวเลือก Help | About ในเมนู Google Chrome หากต้องมีการอัปเดต ระบบจะเริ่มดาวน์โหลดโดยอัตโนมัติ นอกจากนี้แนะนำให้รีสตาร์ทเบราว์เซอร์หลังจากติดตั้งการอัปเดตเรียบร้อยแล้ว

ที่มา : www.

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

มีรายงานพบว่าแฮกเกอร์ได้เริ่มเริ่มทำการสแกนหาเซิร์ฟเวอร์ VMware vCenter ที่ไม่ได้รับการแพตช์ช่องโหว่การอัปโหลดไฟล์ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2021-22005 เป็นช่องโหว่บน vCenter Server 6.7 และ 7.0 ที่ถูกติดตั้งด้วยค่า Configuration เริ่มต้น

ช่องโหว่ดังกล่าวได้รับการรายงานโดย George Noseevich และ Sergey Gerasimov จาก SolidLab LLC โดยทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลได้ โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้งาน และ Interaction ใดๆจากฝั่งผู้ถูกโจมตีอีกด้วย

พบการสแกนหาช่องโหว่ เพียง 1 ชั่วโมงหลังจากที่มีการปล่อยแพตช์อัปเดต

แม้ว่าจะยังไม่มีโค้ดที่ใช้ในการโจมตีถูกปล่อยออกสู่สาธารณะ แต่บริษัท Bad Packets ได้รายงานการพบการสแกนหาช่องโหว่นี้จาก VMware Honeypots ที่บริษัทสร้างขึ้น เพียงแค่ 1 ชั่วโมงหลังจากการออกแพตช์อัปเดตจาก VMware

Bad Packets แจ้งผ่านทาง Twitter เมื่อไม่กี่วันก่อนว่าพวกเค้า พบการสแกนหาช่องโหว่ CVE-2021-22005 จาก IP ต้นทาง 116[.]48.233.234 โดยการสแกนนั้นหาช่องโหว่นั้นใช้ข้อมูลจาก Workaround ที่ทาง VMware แจ้งกับลูกค้าที่ยังไม่สามารถทำการอัปเดตแพตช์ได้ในปัจจุบัน

ตอนนี้มากกว่า 1 พัน vCenter servers ที่มีช่องโหว่ ถูกรายงานไว้อยู่บนเว็บไซต์ Shodan เรียบร้อยแล้ว และนี่ไม่ใช่ครั้งแรกที่ผู้โจมตีมีการรวบรวมข้อมูลของ VMware vCenter servers ที่มีช่องโหว่

ในเดือนกุมภาพันธ์ พบผู้โจมตีมีการสแกนหา vCenter ที่ยังไม่ได้รับการแพตช์เป็นจำนวนมาก หลังจากที่นักวิจัยด้านความปลอดภัยได้เผยแพร่โค้ดที่ใช้สำหรับทดสอบการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) สำหรับช่องโหว่ที่สำคัญอีกรายการหนึ่ง

ในเดือนมิถุนายนก็พบการสแกนเซิร์ฟเวอร์ VMware vCenters servers ที่ยังไม่ได้รับการแพตช์จาก CVE-2021-21985 หลังจากมีการเผยแพร่โค้ดที่ใช้สำหรับโจมตีช่องโหว่เช่นเดียวกัน

VMware ออกมาเตือนผู้ใช้งานถึงความพยายามในการโจมตี

การสแกนอย่างต่อเนื่องเหล่านี้เป็นไปตามคำเตือนที่ออกโดย VMware เมื่อวานนี้ เพื่อเน้นย้ำถึงความสำคัญของการอัปเดตแพตช์เซิร์ฟเวอร์ CVE-2021-22005 โดยเร็วที่สุด

"ช่องโหว่นี้สามารถถูกใช้โดยใครก็ได้ที่สามารถเข้าถึง vCenter servers โดยที่ไม่ต้องสนใจการตั้งค่าการเข้าใช้งานบน vCenter Server เลย" Bob Plankers จาก VMware กล่าว

อย่างไรก็ดีทีมงาน VMware ได้แสดงความกังวลถึงการใช้งานจากกลุ่มแรนซัมแวร์ที่อาจฝังตัวอยู่แล้ว และบังเอิญมีช่องโหว่นี้เผยขึ้นมา ซึ่งคาดว่าอาจมีโค้ดการทดสอบการโจมตีเกิดขึ้นตามมา และนำไปสู่การประยุกต์ใช้โจมตีอย่างรวดเร็ว เพราะด้วยความสำคัญของตัว vCenter เอง

สำหรับใครที่ไม่สามารถแพตช์ได้จริงๆ VMware ได้ออก Workaround และสคริปต์แก้ไขไว้แล้ว และในช่วงนี้ VMware ยังมีแพตช์อื่นอีก 10 กว่ารายการที่แก้ไขช่องโหว่ให้ vCenter อีกด้วย

คำแนะนำ
ควรอัปเดตแพตช์ VMware เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง และผลกระทบที่เกี่ยวข้องกับการโจมตีนี้

ที่มา : bleepingcomputer

เหตุการณ์ข้อมูลรั่วไหลของ T-Mobile เริ่มมีข้อมูลของผลกระทบออกมาเรื่อยๆ หลังจากผลการตรวจสอบล่าสุดพบว่าในขณะนี้มีการเปิดเผยข้อมูลของลูกค้าที่ใช้บริการ T-Mobile มากกว่า 54 ล้านคน

เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีเริ่มขายข้อมูลส่วนบุคคลของลูกค้า T-Mobile 100 ล้านคนบนฟอรัมใต้ดินด้วยราคา 6 bitcoin หรือประมาณ 9 ล้าน 3 แสนบาท

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ถูกขโมยมีข้อมูลลูกค้า T-Mobile ประมาณ 100 ล้านคน ข้อมูลที่เปิดเผยอาจรวมถึง IMSI, IMEI ของลูกค้า, หมายเลขโทรศัพท์, ชื่อลูกค้า, PIN ความปลอดภัย, หมายเลขประกันสังคม, หมายเลขใบขับขี่ และวันเกิด

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ขโมยมาเมื่อประมาณ 2 สัปดาห์ก่อน มีข้อมูลลูกค้าย้อนหลังไปถึงปี 2547 โดยทาง T-Mobile ก็มีการยืนยันในภายหลังว่าเซิร์ฟเวอร์บางส่วนถูกแฮ็กจริง และเริ่มตรวจสอบข้อมูลลูกค้าที่ถูกเปิดเผยออกมา

เมื่อวันที่ 17 สิงหาคม T-Mobile ได้เปิดเผยการตรวจสอบ เกี่ยวกับเซิร์ฟเวอร์ที่ถูกแฮ็กเป็นครั้งแรก และกล่าวว่าข้อมูลส่วนบุคคลของผู้ใช้งาน 48.6 ล้านคนถูกขโมยออกไประหว่างการโจมตี

โดยวันนี้ (21 สิงหาคม) T-Mobile ได้อัปเดตจำนวนข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม 6 ล้านคนที่คาดว่าที่ได้รับผลกระทบจากการโจมตี
ในครั้งนี้ ซึ่งรวมแล้วการโจมตีครั้งนี้ส่งผลกระทบต่อผู้ใช้งานประมาณ 54.6 ล้านคน ซึ่งจำแนกตามนี้

ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในปัจจุบันจำนวน 13.1 ล้านบัญชี
ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในอดีตจำนวน 40 ล้านบัญชี

ข้อมูล ลูกค้าเก่าของ T-Mobile ที่เปิดเผยชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่ และวันเกิดจำนวน 667,000 บัญชี

ข้อมูล ลูกค้าแบบเติมเงินของ T-Mobile ที่ใช้งานอยู่ หมายเลขโทรศัพท์ และ PIN ของบัญชีจำนวน 850,000 บัญชี

ข้อมูล ที่เกี่ยวข้องกับบัญชี Metro ของ T-Mobile ในปัจจุบันที่อาจรวมอยู่ด้วยจำนวน 52,000 บัญชี

ตามที่ผู้โจมตีระบุช่องโหว่ที่ผู้โจมตีใช้มาจาก Configuration บนอุปกรณ์ Access Point ที่ใช้สำหรับระบบทดสอบ โดยปัญหาจากการ Configuration นั้นทำให้ Access Point ตัวนี้ถูกเข้าถึงได้จากอินเทอร์เน็ต แสดงว่าการโจมตีนี้ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือเป็น Zero Day แต่เป็น T-Mobile เองที่พลาดเปิดประตูทิ้งไว้ และผู้โจมตีก็แค่หาประตูเจอเท่านั้นเอง

T-Mobile ได้บอกอีกว่าไม่พบการเข้าถึงข้อมูลการชำระเงิน หรือข้อมูลทางการเงิน แต่ก็แนะนำให้ลูกค้า T-Mobile ทุกคนระวังโดยให้ถือว่าข้อมูลของพวกเขารั่วไหลด้วยเช่นเดียวกัน รวมถึงให้ระวังข้อความ SMS หรือ อีเมลฟิชชิ่ง หากได้รับแล้ว อย่าคลิกลิงก์ใดๆ ที่อยู่ในข้อความเนื่องจากผู้โจมตีสามารถใช้ลิงก์เหล่านี้เพื่อรวบรวมข้อมูลจากลูกค้า T-Mobile ได้

ที่มา : Bleepingcomputer

ช่องโหว่ CVE-2021-34527 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution RpcAddPrinterDriverEx() ซึ่งเกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer หากผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบได้จากช่องโหว่แล้ว จะสามารถเรียกใช้งาน System privileges ซึ่งสิทธิ์ System privileges นี้สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบได้ ซึ่งในช่วงเวลานั้นยังไม่มี Patch เป็นทางการปล่อยออกมา ส่งผลกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 แต่เมื่อวันที่ 6 กรกฏาคมที่ผ่านมาทาง Microsoft ได้ออกแพตซ์ด่วน Out-of-band (OOB) ออกมาให้อัพเดท ซึ่งจากข้อมูลปัจจุบันพบว่าแพตช์ที่ทาง Microsoft ได้ออกมานั้นสามารถแก้ไขได้เพียง Remote Code Execution (RCE) เท่านั้นส่วนช่องโหว่การยกระดับสิทธิ์ยังคงมีอยู่

เมื่อไม่นานมานี้นักวิจัยด้านความปลอดภัย Benjamin Delpy ได้ค้นพบวิธีการละเมิดการติดตั้งแบบปกติของไดร์เวอร์ Printer ของ Windows เพื่อรับสิทธิ์ System privileges ผ่านไดรเวอร์ Printer โดยเทคนิคนี้สามารถใช้ได้แม้จะทำตามคำแนะนำการแก้ไขปัญหาจากทาง Microsoft เรื่องการจำกัดการติดตั้งไดรเวอร์ Printer สำหรับผู้ดูแลระบบ และการปิดใช้งาน Point and Print นอกจากนั้นผู้ไม่ประสงค์ดียังสามารถสร้าง Signing a driver ที่เป็นอันตราย และใช้สิทธิ์ System privileges บนระบบอื่นๆ ได้อีกด้วย

โดยวิธีการนั้นแตกต่างกันไปตามเทคนิคของแต่ละกลุ่ม เช่น วิธีการสร้าง Signing a Driver ที่เป็นอันตราย และยืนยันโดยใช้ใบรับรอง Authenticode หรือ "Rolls Royce" ในการ Signing a Driver ซึ่งก็คือการซื้อ หรือขโมยใบรับรอง EV แล้วส่งไปเพื่อทำการตรวจสอบกับ Microsoft WHQL เมื่อผู้ไม่ประสงค์ดีมี Signing a Driver ที่ยืนยันแล้ว สามารถติดตั้งไดรเวอร์บนอุปกรณ์เครือข่ายอื่นๆ ที่มีสิทธิ์เป็นผู้ดูแลระบบได้ หรือใช้การ "pivot" อุปกรณ์ เพื่อรับสิทธิ์เข้าใช้งานระบบบนอุปกรณ์อื่นที่ไม่มีสิทธิ์ได้ โดยการติดตั้งไดร์เวอร์ที่เป็นอันตราย ซึ่งเทคนิคนี้สามารถใช้เพื่อช่วยให้ผู้ไม่ประสงค์ดีแพร่กระจายภายในระบบเครือข่ายได้

ข้อเสนอแนะ

เพื่อป้องกันการโจมตีนี้สามารถปิดใช้งานตัวจัดคิวงานพิมพ์ (Print Spooler) หรือเปิดใช้งานนโยบาย Point and Print เพื่อจำกัดเซิร์ฟเวอร์ที่อุปกรณ์สามารถดาวน์โหลดไดรเวอร์ Printer ได้

อย่างไรก็ตามการเปิดใช้งาน Point and Print จะทำให้ช่องโหว่ของ PrintNightmare สามารถข้ามแพตช์ปัจจุบันจาก Microsoft ได้ เนื่องจาก Windows ได้รับการออกแบบมาเพื่อให้ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์เครื่องพิมพ์ได้ แม้แต่โปรแกรมที่อาจเป็นอันตรายโดยไม่ทราบสาเหตุ นอกจากนี้ Windows ยังได้รับการออกแบบมาเพื่อให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์ที่ยืนยันแล้วบนอุปกรณ์ของตนได้เพื่อความสะดวกในการใช้งาน

ที่มา: bleepingcomputer