นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบมัลแวร์เรียกค่าไถ่หรือ Ransomware ที่มีเป้าหมายเป็น OSX ในชื่อ KeRanger โดยนักวิจัยระบุว่าพบ KeRanger Ransomware ถูกฝังมากับ Tranmission เวอร์ชั่น 2.90, 2.91 หรือโปรแกรมสำหรับโหลด BitTorrent ใน Mac ที่มีผู้ใช้จำนวนหลายล้านคนทั่วโลก, เมื่อติดตั้ง Tranmission ที่มี KeRanger ฝังอยู่ไปแล้วประมาณ 3 วัน ไฟล์ใน Harddisk ของเครื่องผู้ใช้อาทิเช่น เอกสารที่สำคัญ, รูปภาพ, ไฟล์วีดีโอ, email archives file และฐานข้อมูลต่างๆ จะถูกเข้ารหัส, KeRanger จะเรียกค่าไถ่เป็นราคา 1 Bitcoin หรือประมาณ $410 อย่างไรก็ตามทางนักวิจัยเชื่อว่าที่ Tranmission ถูก KeRanger ฝังมานั้นอาจเกิดจากเว็บไซต์ Tranmission ถูกแฮกไปแก้ไขไฟล์ dmg ที่ใช้ติดตั้ง Tranmission, สำหรับผู้ใช้ที่มีการติดตั้ง Tranmission ไว้ควรอัพเกรดไปเป็นเวอร์ชั่น 2.92 โดยเร็วที่สุด

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยจาก Kaspersky Lab พบมัลแวร์สายพันธ์ใหม่ที่กระจายตัวด้วยไฟล์ JAR หรือ Java executables ทำให้มีคุณสมบัติ cross-platform คือสามารถรันได้บนระบบปฏิบัติการ Mac, Linux และ Windows แม้กระทั้งใน Android ก็มีโอกาสด้วยเช่นกัน ซึ่งเงื่อนไขที่จำเป็นสำหรับมัลแวร์นี้คือเครื่องเป้าหมายต้องมีการติดตั้ง Java Runtime Environment (JRE) เพื่อทำให้ไฟล์ JAR สามารถทำงานได้ โดยรายงานระบุว่า Java JRE ถูกติดตั้งโดยทั่วไปอยู่แล้วประมาณ 70-80%, นักวิจัยระบุอีกว่าผู้ริเริ่มพัฒนา cross-platform malware นั้นเป็นคนในบราซิล และพบว่ามีการโจมตีธนาคารต่างๆ แล้วโดยแนบไฟล์ผ่านอีเมลล์ ซึ่งมีชื่อของมัลแวร์ดังต่อไปนี้ Trojan-Banker.

Yann Cam นักวิจัยด้านความปลอดภัยประเทศฝรั่งเศส พบช่องโหว่ Reflected XSS ในหน้าเข้าสู่ระบบของ Fortinet (login.fortinet.

Google ได้ออกแพทซ์ล่าสุดมาด้วยกันถึง 16 ชุด โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ที่เปิดให้ผู้โจมตีทำการเข้าควบคุม Android ของผู้ใช้งานได้ผ่านระบบ mediaserver บน Android
ผู้ใช้งาน Google Nexus จะได้รับอัพเดตก่อน ในขณะที่ผู้ผลิตรายอื่นๆ จะได้รับ Source Code ผ่าน Android Open Source Project (AOSP) ภายใน 48 ชั่วโมง และปัจจุบันยังไม่มีรายงานถึงการใช้ช่องโหว่เหล่านี้โจมตีแต่อย่างใด

ที่มา : NETWORKWORLD

Anand Prakash นักวิจัยด้านความปลอดภัยจากประเทศอินเดียพบช่องโหว่ Brute-force PIN Code ในขั้นตอนการ reset password ของ Facebook ส่งผลให้สามารถ takeover account หรือยึดบัญชีผู้ใช้ Facebook ของคนอื่นได้,
โดย Prakash ให้รายละเอียดว่าเมื่อผู้ใช้ลืมรหัสผ่านของ Facebook จะมีออฟชั่นให้เพื่อ reset password โดยใส่เบอร์โทรศัพท์และอีเมลเพื่อยืนยันการเป็นเจ้าของ Account จากนั้น Facebook จะส่ง code จำนวน 6 หลักมาให้กรอกเพื่อยืนยันและทำการตั้งรหัสผ่านใหม่ในขั้นตอนต่อไป, Prakash ได้ทำการทดลอง brute-force ตัวเลข 6 หลักไปที่ www.

เว็บไซต์ NakedSecurity ของ Sophos ได้ออกมาเล่าถึงเรื่องราวของมัลแวร์ตระกูล Troj/PHPRansm-B ที่โจมตีเว็บไซต์ต่างๆ ที่ใช้ PHP โดยเฉพาะ CMS ชื่อดังอย่าง WordPress, Drupal และ Joomla โดยการโจมตีผ่านการฝังไฟล์ index.

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้มีแม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

แฮกเกอร์ต้องดักฟังการเชื่อมต่อ TLS ที่จะโจมตีไว้ล่วงหน้า ประมาณ 1,000 การเชื่อมต่อ (ไม่นับการใช้การเชื่อมต่อ TLS ซ้ำ)
เซิร์ฟเวอร์ต้องรองรับ SSLv2 โดยใช้ใบรับรองใบเดียวกับที่ใช้ TLS
แฮกเกอร์ต้องสามารถเชื่อมต่อ SSLv2 ได้จำนวนมากๆ ประมาณ 40,000 ครั้ง
เซิร์ฟเวอร์ SSLv2 จะต้องรองรับการเชื่อมต่อที่อ่อนแอ (export grade)

แฮกเกอร์มีพลังประมวลผลเหลือเฟือ สามารถคำนวณหากุญแจความซับซ้อนระดับ 2^50 ได้ ค่าใช้จ่ายใน EC2 ประมาณ 440 ดอลลาร์

ทีมวิจัยอาศัยช่องโหว่ padding oracle ของ SSLv2 เพื่อคำนวณหาค่าที่จำเป็นจากการเชื่อมต่อ SSLv2 จำนวนมาก แล้วใช้ค่าเหล่านั้นมาถอดรหัสการเชื่อมต่อ TLS อันใดอันหนึ่งจากที่ดักฟังมา 1,000 การเชื่อมต่อได้ หากเป็นการเชื่อมต่อเว็บ แฮกเกอร์ต้องการถอดรหัสเพียงการเชื่อมต่อเดียวเพื่อจะโมย cookie ไปสวมรอยบัญชี

SSLv2 ไม่ได้รับความนิยมนัก โดยเฉพาะเว็บเซิร์ฟเวอร์ แต่เซิร์ฟเวอร์จำนวนมากก็ใช้ใบรับรองเดียวกันระหว่างเว็บเซิร์ฟเวอร์กับบริการอื่นๆ ที่อาจจะคอนฟิกไว้หละหลวมกว่าเช่นเมลเซิร์ฟเวอร์ ทีมงานพบว่ามีเว็บเซิร์ฟเวอร์ที่ยังรองรับ SSLv2 อยู่ 16% แต่มีการใช้ใบรับรองซ้ำในบริการอื่นที่รองรับ SSLv2 อยู่อีก 17% ทำให้เซิร์ฟเวอร์ที่มีความเสี่ยงรวมเป็น 33%

ทางแก้ที่ตรงไปตรงมาคือการปิดการรองรับ SSLv2 ทุกบริการเสีย ทางด้าน OpenSSL ออกแพตช์มาแล้วในรุ่น 1.0.2g และ 1.0.1s โดยปิดการทำงานการเข้ารหัสในกลุ่ม EXPORT และ LOW ออกทั้งหมดเป็นค่าเริ่มต้น

ช่องโหว่นี้มีคะแนน CVSS ระดับ 5.8 จัดอยู่ในช่องโหว่ระดับสำคัญ ทาง Red Hat นั้นกระทบตั้งแต่ RHEL 5/6/7 ส่วน IIS ของไมโครซอฟท์ระบุว่าเวอร์ชั่นที่ซัพพอร์ตอยู่ตอนนี้ปิด SSLv2 ไปทั้งหมดแล้ว

ที่มา : blognone

Palo Alto Networks ได้ออกมาเปิดเผยถึงช่องโหว่ 4 รายการ ซึ่งรวมถึงช่องโหว่ Remote Code Execution และ DDOS ในนั้นด้วย โดยระบบของ Palo Alto Networks ที่ถูกพบช่องโหว่พร้อมออก Patch มาให้อัพเดตกันอย่างเร่งด่วนมีดังนี้

GlobalProtect/SSL VPN Web Interface พบช่องโหว่ร้ายแรงและช่องโหว่ระดับปานกลางในการทำ Buffer Overflow ที่เปิดให้ผู้โจมตีทำ DoS ได้
Management Web Interface พบช่องโหว่ระดับสูงที่ทำ Remote Code Execution ได้
Command Line Interface พบช่องโหว่ระดับต่ำที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้

สำหรับช่องโหว่เหล่านี้ PAN-OS ที่ได้รับผลกระทบนั้นได้แก่รุ่น 5.0.17, 5.1.10, 6.0.12, 6.1.9, 7.0.5 และก่อนหน้าทั้งหมด ดังนั้นผู้ใช้งาน Palo Alto Networks ควรรีบ Patch ทันที

ที่มา : theregister

เมื่อวันที่ 21 กุมภาพันธ์ที่ผ่านมา เว็บไซต์ Linux Mint หนึ่งใน Linux Distro ยอดนิยมได้ออกมาประกาศว่าเว็บไซต์ linuxmint.

Moritz Jodeit นักวิจัยด้านความปลอดภัยจาก Blue Frost Security พบช่องโหว่ใน FireEye Virtual Execution Engine (VXE) ทำให้สามารถ bypass การวิเคราะห์มัลแวร์ได้เพียงแค่เปลี่ยนชื่อไฟล์ของมัลแวร์บน Windows ไปเป็นชื่ออื่นซึ่งไม่ได้อยู่ใน whitelist ของชื่อมัลแวร์ที่ทาง FireEye มีอยู่ ซึ่งการทำงานของ VXE คือจะมีการ copy ไฟล์มาไว้ใน Virtual Machine ก่อนที่จะทำการวิเคราะห์ ซึ่งทำให้ bypass โดยการเปลี่ยนชื่อไฟล์ของมัลแวร์ได้โดยใช้คำสั่ง copy ยกตัวอย่าง copy malware.