Permalink พบช่องโหว่ 0-Day ใหม่บน Windows ที่กำลังถูกใช้โจมตี ผู้ใช้งานควรรีบอัปเดตโดยด่วน

เมื่อวันอังคารที่ผ่านมา Microsoft ได้ออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ทั้งหมด 71 รายการใน Microsoft Windows และซอฟต์แวร์อื่นๆ รวมถึงการแก้ไขช่องโหว่การยกระดับสิทธิ์ ที่ใช้ประโยชน์จากช่องโหว่ที่สามารถใช้ร่วมกันกับช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเพื่อเข้าควบคุมระบบที่มีช่องโหว่

2 ช่องโหว่ระดับ Critical, 68 ช่องโหว่ระดับ Important และอีก 1 ช่องโหว่ระดับต่ำ โดย 3 ช่องโหว่ในนี้ถูกระบุว่าเป็นช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะเรียบร้อยแล้ว

ส่วน 4 ช่องโหว่ zero-days มีดังนี้

CVE-2021-40449 (CVSS score: 7.8) - Win32k Elevation of Privilege Vulnerability
CVE-2021-41335 (CVSS score: 7.8) - Windows Kernel Elevation of Privilege Vulnerability
CVE-2021-40469 (CVSS score: 7.2) - Windows DNS Server Remote Code Execution Vulnerability
CVE-2021-41338 (CVSS score: 5.5) - Windows AppContainer Firewall Rules Security Feature Bypass Vulnerability

ที่ด้านบนสุดของรายการคือ CVE-2021-40449 ช่องโหว่ use-after-free ในไดรเวอร์เคอร์เนล Win32k ที่ Kaspersky ตรวจพบว่ามีการใช้ในการโจมตีเป็นวงกว้างในช่วงปลายเดือนสิงหาคม และต้นเดือนกันยายน 2564 โดยมุ่งเป้าไปที่บริษัทไอที บริษัทผู้ค้าอาวุธ และหน่วยงานทางการทูต โดย Kaspersky ตั้งชื่อกลุ่มผู้โจมตีว่า "MysterySnail"

"ความคล้ายคลึงกันของโค้ด และการนำ C2 [command-and-control] กลับมาใช้ใหม่ที่เราค้นพบ ทำให้เราสามารถเชื่อมโยงการโจมตีเหล่านี้กับผู้โจมตีที่รู้จักกันในชื่อ IronHusky และ Chinese-speaking APT กิจกรรมดังกล่าวย้อนหลังไปถึงปี 2012" นักวิจัยของ Kaspersky Boris Larin และ Costin Raiu กล่าว

การโจมตีนี้จะนำไปสู่การใช้โทรจันเพื่อการเข้าถึงระยะไกลที่สามารถรวบรวม และขโมยข้อมูลระบบจากเครื่องที่ถูกโจมตีก่อนที่จะพยายามติดต่อไปยังเซิร์ฟเวอร์ C2

ช่องโหว่อื่น ๆ ได้แก่ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 และ CVE-2021-40461), SharePoint Server (CVE-2021-40487 และ CVE- 2021-41344) และ Microsoft Word (CVE-2021-40486) รวมถึงช่องโหว่ที่อาจนำไปสู่การเปิดเผยข้อมูลใน Rich Text Edit Control (CVE-2021-40454)

CVE-2021-26427 ซึ่งมีคะแนน CVSS 9.0 และถูกพบโดย US National Security Agency "เซิร์ฟเวอร์ Exchange เป็นเป้าหมายที่มีมูลค่าสูงสำหรับแฮกเกอร์ที่ต้องการเจาะเครือข่ายธุรกิจ" Bharat Jogi จาก Qualys กล่าว

October Patch Tuesday แก้ไขอีกช่องโหว่สองจุดที่พึ่งถูกค้นพบใน Print Spooler CVE-2021-41332 และ CVE-2021-36970 ด้วย

ซอฟต์แวร์แพตช์จากผู้ให้บริการรายอื่น

นอกจากไมโครซอฟต์แล้ว ผู้ให้บริการรายอื่นๆยังได้ออกแพตซ์เพื่อแก้ไขช่องโหว่หลายรายการ ได้แก่

Adobe
Android
Apple
Cisco
Citrix
Intel
Linux distributions Oracle Linux, Red Hat, and SUSE
SAP
Schneider Electric
Siemens, and
VMware

ที่มา: thehackernews.

Google Patches Chrome Browser Zero-Day Bug, Under Attack

Chrome ออกแพตช์อุตช่องโหว่ 0 Day

หลังจากออก Chrome รุ่น 80 ไม่นาน ก็มีการออกรุ่น 80.0.3987.122 ตามมาทันที โดยเป็นการแก้ไขช่องโหว่ทั้งหมด 3 ช่องโหว่ เป็นความรุนแรง High ทั้งหมด โดยช่องโหว่ที่สำคัญคือ CVE-2020-6418 เป็นช่องโหว่ type of confusion bug กระทบทุกรุ่นจนกระทั่งรุ่น 80.0.3987.122 เป็นช่องโหว่ใน JavaScript และ Web Assembly engine ที่ชื่อว่า V8

ในปัจจุบันมีการโจมตีช่องโหว่นี้เกิดขึ้นแล้ว ผู้ใช้งานควรทำการ Update Chrome เป็นรุ่น 80.0.3987.122

ที่มา : threatpost

PoC for Windows VCF zero-day published online

นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดและรหัสการทดสอบการใช้โปรแกรม (PoC) สำหรับช่องโหว่ของ Windows ที่ยังไม่ได้แก้ไข ซึ่งทำให้ส่งผลกระทบต่อ Windows handles vCard files (VCFs) โดยช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีแล้วโดย John Page (@hyp3rlinx) นักวิจัยด้านความปลอดภัยรายงานไปยัง Microsoft ผ่านทางโปรแกรมการเปิดเผยช่องโหว่ Zero Day Initiative (ZDI) ของ Trend Micro

บริษัทไมโครซอฟท์เปิดเผยว่าเดือนตุลาคมมีการแก้ไขช่องโหว่ VCF และอัพเดท patch การรักษาความปลอดภัยในเร็วๆนี้ ทางผู้ผลิตระบบปฏิบัติวินโด้จะเปลี่ยนชื่อวินโด้เวอร์ชั่นใหม่เป็น Windows v.Next (ชื่อเวอร์ชันหลักถัดไปของระบบปฏิบัติการ Windows ปัจจุบันรู้จักกันในนาม 19H1 ซึ่งจะเปิดตัวในเดือนเมษายน 2019)

นักวิจัยด้านภัยคุกคามทางไซเบอร์สามารถสร้างไฟล์อันตราย VCF ที่จะแสดงการเชื่อมโยงที่เป็นอันตราย เมื่อผู้ใช้คลิกลิ้งจะทำให้เปิดใช้งานและเรียกใช้โค้ดที่เป็นอันตราย ซึ่งข่าวดีก็คือช่องโหว่นี้สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้ แต่ไม่สามารถใช้ประโยชน์จากการเรียกใช้โค้ดระยะไกลเนื่องจากต้องมีการตอบกลับจากผู้ใช้ก่อนเพื่อให้เป้าหมายเข้าไปที่หน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย แม้ว่าการโจมตีจะต้องอาศัยการโต้ตอบจากผู้ใช้

ที่มา: Zdnet

Hackers Exploit ‘Telegram Messenger’ Zero-Day Flaw to Spread Malware

นักวิจัยด้านความปลอดภัย Alexy Firsh จาก Kaspersky Lab ออกมาเปิดเผยถึงรายละเอียดช่องโหว่บนแอปแช็ต Telegram ในเวอร์ชันเดสทอปก์เฉพาะของวินโดวส์ซึ่งค้นพบตั้งแต่เดือนตุลาคม 2017 หลังจากตรวจพบการนำมาใช้ในการโจมตีเพื่อแพร่กระจายมัลแวร์สำหรับขุดในสกุลเงิน Monero และ Zcash
ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากวิธีการที่ Telegram แสดงผลตัวอักษรยูนิโค้ด U+202E โดยเป็นตัวอักษรที่ส่งผลให้เกิดการกลับของข้อความต่อจากนั้นแบบสลับขวาซ้ายซึ่งใช้กันมากในภาษาอารบิกและฮีบรู แฮกเกอร์ใช้ประโยชน์ของช่องโหว่นี้ในการ "ซ่อนนามสกุลของไฟล์อันตราย" เพื่อทำให้ไฟล์อันตรายนั้นเมื่อถูกแสดงผ่าน Telegram ในรุ่นที่มีช่องโหว่จะแสดงเป็นนามสกุลไฟล์ที่แฮกเกอร์ต้องการได้
ตัวอย่างการโจมตี เช่น หากตั้งชื่อไฟล์เป็น photo_high_re*U+202E*gnp.

Researcher releases FireEye local file disclosure zero-day

นักวิจัยด้านความปลอดภัย Kristian Erik Hermansen ค้นพบช่องโหว่ 0-day ในอุปกรณ์ Fireeye ช่องโหว่นี้อยู่บนสคริป PHP ซึ่งอนุญาตให้ผู้โจมตีสามารถเข้าถึงไฟล์ต่างๆ บนเว็บเซิฟเวอร์ได้ (Local File Disclosure)

นักวิจัยด้านความปลอดภัยยังได้ค้นพบอีกด้วยว่า Web Server รันอยู่บนสิทธิ์ของ root ที่เป็นผู้ใช้งานที่มีสิทธิ์สูงที่สุดบน Linux โค้ดที่ใช้สำหรับโจมตีช่องโหว่ 0-day ดังกล่าวถูกเผยแพร่ลงบนเว็บไซต์ exploit-db.