Backdoor in Baidu Android SDK Puts 100 Million Devices at Risk

Trend Micro ได้ออกมาประกาศค้นพบช่องโหว่บน SDK ของ Baidu ที่ชื่อว่า “Moplus” ซึ่งช่องโหว่นี้ทำหน้าที่คล้าย Backdoor ที่ช่วยให้แฮกเกอร์เข้ามาควบคุมอุปกรณ์ Android ได้ เรียกช่องโหว่นี้ว่า “Wormhole” โดยคาดว่าส่งผลกระทบกับแอพพลิเคชั่นมากกว่า 14,000 แอพ ซึ่งประมาณ 4,000 แอพพลิเคชั่นในนั้นเป็นแอพที่พัฒนาจาก Baidu โดยตรง และจากการตรวจสอบพบว่ามีผู้ใช้มากกว่า 100 ล้านคนที่ดาวน์โหลดแอพพลิเคชั่นเหล่านี้ไปใช้งานบนเครื่องของตน
ช่องโหว่ Wormhole ช่วยให้แฮกเกอร์สามารถเปิดการใช้งาน HTTP Server บนอุปกรณ์ของผู้ใช้ โดยรันเป็น Background เพื่อไม่ให้เจ้าของเครื่องรู้ตัว ซึ่ง HTTP Server นี้จะคอยรับคำสั่งจากแฮกเกอร์ผ่านอินเตอร์เน็ต หมายเลขพอร์ท 6529 และ 40310 โดยคำสั่งที่ส่งมา เช่น การส่ง SMS, โทรศัพท์ไปหาผู้อื่น, สร้าง Contact ใหม่, แอบดูรายละเอียดของโทรศัพท์, ดาวน์โหลดและอัพโหลดไฟล์จากอุปกรณ์, แอบติดตั้งแอพพลิเคชั่น, ตรวจสอบตำแหน่งของอุปกรณ์ และอื่นๆ
Trend Micro ได้แจ้งช่องโหว่ Wormhole ไปยัง Baidu และ Google เป็นที่เรียบร้อยแล้ว และทาง Baidu ก็ได้ดำเนินการแก้ไขปัญหา นั่นคือได้มีการออก Moplus SDK เวอร์ชั่นใหม่ที่ปิดช่องโหว่ดังกล่าว จึงแนะนำให้ผู้ใช้งานรีบอัพเดทแอพพลิเคชั่นบนเครื่องโดยเร็วเพื่อป้องกันการโจมตีจากแฮกเกอร์ อย่างไรก็ตาม ยังพบว่ามี HTTP Server ที่ยังออนไลน์และถูกใช้งานอยู่

ที่มา : thehackernews

The official website of the popular vBulletin forum has been hacked

เมื่อวันอาทิตย์ที่ผ่านมา (01/11/2015) เว็บไซต์ vBulletin.com ถูกแฮกเกอร์ใช้นามแฝง Coldzer0 โจมตีด้วย 0day และเปลี่ยนหน้าเว็บไซต์เป็นคำว่า Hacked by Coldzer0

หลังจากนั้นไม่นานทางเว็บไซต์ vBulletin.

Anti-hacking tool got hacked, KeeFarce can break your KeePass password safe

Denis Andzakovic นักวิจัยด้านความปลอดภัยจากบริษัท Security-Assessment ได้ปล่อยเครื่องมือ KeeFarce ที่พัฒนาด้วยภาษา C# ใช้สำหรับดึงข้อมูลต่างๆ ออกจากโปรแกรมเก็บรหัสผ่าน KeePass

โปรแกรม KeeFarce สามารถดึงข้อมูลรหัสผ่านออกจากหน่วยความจำหรือ Memory ออกมาเป็น cleartext ได้โดยข้อมูลนั้นประกอบไปด้วย username, password, note รวมไปถึง URL ที่เก็บไว้ในโปรแกรม KeePass ออกมาใส่ในไฟล์ CSV ได้โดยจะเก็บไว้ในโฟลเดอร์ %AppData%

ซึ่งโปรแกรม KeeFarce ใช้เทคนิคที่เรียกว่า DLL Injection สั่งรันโค้ดเข้าไปในโปรเซสของ KeePass ที่กำลังทำงานอยู่, อย่างไรก็ตาม Denis Andzakovic ได้ทดสอบ KeeFarce กับ KeePass เวอร์ชั่น 2.28, 2.29 และ 2.30 ที่ทำงานอยู่บน Windows 8.1 แบบ 32bit และ 64bit

ที่มา : blackmoreops

XSS Flaw in YouTube Gaming Earns Researcher $3,000

Ashar Javed นักทดสอบเจาะระบบจาก Hyundai AutoEver พบช่องโหว่ Cross-site Scripting (XSS) บนเว็บไซต์ YouTube Gaming (https://gaming.youtube.com/)

โดยกล่าวเพิ่มเติมว่า เว็บไซต์ดังกล่าวไม่ได้มีการตรวจสอบข้อมูล Input เพื่อป้องกันการใส่สคริปที่อันตรายจากผู้ใช้ หรือไม่ได้เข้ารหัสตัวอักษร </ ส่งผลให้สามารถใส่สคริปอันตราย </script><script>confirm(document.

Encryption ransomware threatens Linux users

Doctor Web รายงานถึงมัลแวร์เข้ารหัสเรียกค่าไถ่ตัวใหม่ Linux.Encoder.1 ที่ออกแบบมาเพื่อมุ่งโจมตีเว็บเซิร์ฟเวอร์โดยเฉพาะ โดยทาง Doctor Web ยังไม่ได้รายงานว่ามันอาศัยช่องทางใดเข้าไปยังเซิร์ฟเวอร์

เมื่อมัลแวร์เข้าไปแล้วและรันด้วยสิทธิ์ root ได้สำเร็จ มันจะเข้ารหัสในโฟลเดอร์ /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2, และ /var/log จากนั้นมันจะสแกนทั้งระบบไฟล์เพื่อหาไฟล์ข้อมูลที่นามสกุลไฟล์ตรงกับเป้าหมายเพื่อเข้ารหัสต่อไป

กระบวนการที่เหลือจะเหมือนกับมัลแวร์เข้ารหัสเรียกค่าไถ่อื่นๆ จะทิ้งไฟล์เรียกค่าไถ่เอาไว้ และเรียกค่าไถ่เป็นเงินจำนวน 1BTC

ที่มา : blognone

Duuzer Trojan: A New Backdoor Targeting South Korean Organizations

นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันสรุปย่อ นักวิจัยด้านความปลอดภัยจาก Symantec ค้นพบ Trojan สายพันธุ์ใหม่ที่ทำให้แฮกเกอร์สามารถรีโมทควบคุมเครื่องที่ติด Trojan นี้ได้อย่างสมบูรณ์. นักวิจัยด้านความปลอดภัยตั้งชื่อ Trojan นี้ว่า Duuzer มีเป้าหมายเป็นองค์กรต่างๆ ในประเทศเกาหลีใต้
Duuzer ถูกออกแบบมาเพื่อระบบที่มีสถาปัตยกรรมแบบทั้ง 32bit และ 64bit ที่ทำงานอยู่บน Windows 7, Windows Vista และ Windows XP. ทั้งนี้เมื่อ Duuzer ติดที่เครื่องเหยื่อแล้วจะสามารถควบคุมเครื่องได้ รวมไปถึง สามารถเก็บข้อมูลของระบบและข้อมูลของไดร์ฟต่างๆ, สร้าง process และปิด process,
เข้าถึง แก้ไขและลบไฟล์ต่างๆ, อัพโหลดและดาวน์โหลดไฟล์ต่างๆ, เปลี่ยนเวลาในการแก้ไขไฟล์, สั่งรันคำสั่งที่เป็นอันตราย, ขโมยข้อมูลต่างๆ จากในเครื่อง รวมไปถึงเก็บข้อมูลต่างๆของระบบปฏิบัติการที่เหยื่อใช้ได้ด้วย

อย่างไรก็ตาม Duuzer มีการตรวจสอบก่อนจะทำงานว่า เครื่องที่รันอยู่นั้นอยู่บน Virtual Machine เช่น VMWare หรือ VirtualBox หรือไม่ ถ้ารันอยู่บนโปรแกรมประเภท VM จะไม่ทำงานใดๆ ทำให้การวิเคราะห์นั้นทำได้ยากยิ่งขึ้น

นอกจากนี้ Duuzer ยังถูกตั้งค่าให้ทำงานทุกครั้งที่เปิดเครื่อง และแพร่กระจายตัวเองไปยังเครื่องคอมพิวเตอร์อื่นๆได้อีกด้วย Symantec แนะนำอีกว่า วิธีที่ดีที่สุดในการป้องกันคอมพิวเตอร์จาก Trojan คือ เปลี่ยนชื่อผู้ใช้และรหัสผ่าน, อย่าให้รหัสผ่านที่ง่ายต่อการคาดเดา, อัพเดทระบบปฏิบัติการหรือซอฟต์แวร์ต่างๆ อย่างสม่ำเสมอให้เป็นเวอร์ชั่นล่าสุด รวมไปถึงการไม่เปิดไฟล์ที่ต้องสงสัยจากไฟล์แนบ หรือคลิกลิงค์ที่น่าสงสัยในอีเมล์

ที่มา : Symantec

Biggest Free Hosting Company Hacked; 13.5 Million Plaintext Passwords Leaked

นิตยสาร Forbes ได้รายงานว่า 000Webhost ผู้ให้บริการฟรีโฮสติ้งถูกแฮกตั้งแต่เดือนมีนาคม 2015 ที่ผ่านมา ส่งผลกระทบให้ข้อมูลต่างๆ เช่น ชื่อผู้ใช้, รหัสผ่านที่ไม่ได้เข้ารหัส, อีเมล์ และ IP Address จำนวนกว่า 13.5 ล้านบัญชีของลูกค้าหรือผู้ใช้บริการโฮสติ้งได้ถูกขโมยออกไป

ผู้ให้บริการ 000Webhost ได้ออกมายอมรับผ่าน Facebook page แล้วว่า ถูกแฮกจริง โดยให้รายละเอียดว่าแฮกเกอร์ได้ใช้ช่องโหว่ของ PHP เวอร์ชั่นเก่าโจมตีเข้ามาสำเร็จ และทำการอัพโหลดไฟล์ที่อันตรายลงบนเซิร์ฟเวอร์ ทำให้แฮกเกอร์สามารถเข้าถึงระบบต่างๆ ได้ รวมไปถึงฐานข้อมูลทั้งหมดที่มีข้อมูลของลูกค้าอยู่

อย่างไรก็ตาม 000Webhost ได้ออกมาบอกว่า จะเอาไฟล์ที่อันตรายออกจากโฮสติ้งทันที และจะเปลี่ยนรหัสผ่านทั้งหมดของบัญชีลูกค้าที่ได้รับผลกระทบ รวมไปถึงเพิ่มความปลอดภัยของรหัสผ่านโดยการเข้ารหัส เพื่อป้องกันการถูกโจมตีในอนาคต

ที่มา : thehackernews

Tricky new malware replaces your entire browser with a dangerous Chrome lookalike

เมื่อวันที่ 19 ตุลาคม 2558 ทีมวิจัยด้านระบบรักษาความปลอดภัยของ pcworld.com ได้ค้นพบโปรแกรมเว็บเบราว์เซอร์มัลแวร์ที่เลียนแบบอินเทอร์เฟซของ Chrome โดยชื่อของมันก็คือ “eFast Browser” ซึ่งมันจะติดตั้งและทำงานแทนที่ Chrome อย่างแนบเนียน นอกจากนี้มันยังทำให้ตัวเองเป็นโปรแกรมหลักสำหรับเปิดไฟล์ต่างๆ เช่น HTML, JPG, PDF และ GIF รวมทั้งขโมยข้อมูลต่างๆ แม้ขณะเปิด URL ที่เป็น HTTP, HTTPS และ MAILTO
eFast Browser จะแอบติดตั้งในเครื่องคอมพิวเตอร์ด้วยการแฝงตัวมากับไฟล์ติดตั้งของโปรแกรมอื่นๆ ซึ่งผู้ใช้มักจะติดตั้งมันไปด้วยโดยไม่รู้ตัว สำหรับวิธีการเช็กว่าเว็บเบราว์เซอร์ที่ใช้งานอยู่เป็น Chrome หรือ eFast Browser นั้นสามารถเข้าไปเช็กได้ที่ Settings > About โดยจะมีชื่อโปรแกรมที่แท้จริงระบุเอาไว้ชัดเจน ส่วนวิธีการลบโปรแกรม eFast Browser นั้นสามารถถอนการติดตั้งได้เช่นเดียวกับโปรแกรมอื่นๆ ทั่วไป

ที่มา : PCWorld

เราท์เตอร์ Netgear มีช่องโหว่ ถูกเจาะแล้วกว่าหมื่นเครื่อง

Daniel Haake และ ShellShock Labs พบช่องโหว่ของเราท์เตอร์ Netgear ในเฟิร์มแวร์ N300_1.1.0.31_1.0.1.img และ N300-1.1.0.28_1.0.1 ทำให้แฮกเกอร์สามารถเข้าควบคุมเครื่องได้โดยไม่ต้องรู้รหัสผ่าน

ทาง Compass Security พบช่องโหว่นี้เมื่อเข้าตรวจสอบเราท์เตอร์ของเหยื่อรายหนึ่ง พบว่าเราท์เตอร์ไม่เสถียรและพบว่าตัวเราท์เตอร์ส่ง DNS Query ไปยังเซิร์ฟเวอร์แห่งหนึ่ง เมื่อทางทีมงานสำรวจเซิร์ฟเวอร์พบว่ามีเครื่องถูกโจมตีแบบเดียวกันกว่าหมื่นเครื่อง

ทาง Compass Security พยายามติดต่อทาง Netgear ตั้งแต่เดือนกรกฎาคมที่ผ่านมา และทาง Netgear ส่งเฟิร์มแวร์รุ่นใหม่มาให้ทดสอบเมื่อเดือนกันยายน แต่ยังไม่ปล่อยเฟิร์มแวร์นี้สู่สาธารณะ จนกระทั่งทาง ShellShock Labs เปิดเผยช่องโหว่นี้ออกมาก่อน

ที่มา : threatpost

Joomla SQL Injection Vulnerability Exploit Results in Full Administrative Access

Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ

ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.