Tavis Ormandy นักวิจัยด้านความปลอดภัยจาก Google Project Zero พบว่า Comodo Internet Security มีการติดตั้งโปรแกรม GeekBuddy เพื่อให้ฝ่ายซัพพอร์ตของทาง Comodo ได้ติดต่อเข้ามาแก้ปัญหาต่างๆของเครื่องผู้ใช้งานได้ โดยมีการติดตั้ง VNC server และเปิดใช้งานเป็นค่า default ซึ่งมีสิทธิ์เป็น Admin อาจส่งผลกระทบให้ผู้ไม่ประสงค์ดี
สามารถรีโมทเข้ามาควบคุมเครื่องที่ติดตั้ง Comodo ได้
Tavis Ormandy ได้ระบุอีกว่ารหัสผ่านที่ใช้รีโมทเข้าใช้งาน VNC นั้นมี 8 ตัวอักษรซึ่งเป็น 8 ตัวอักษรแรกของ SHA1 (Disk.
นักวิจัยด้านความปลอดภัยจาก Google และ Red Hat ได้ตรวจพบบั๊ก Stack Buffer Overflow ใน GNU C Library (glibc) ที่ใช้ใน DNS Resolver บน Linux ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ในส่วนนี้เพื่อเข้าควบคุมระบบ Linux ของผู้ใช้งานได้
การโจมตีนี้เริ่มต้นจากการที่ผู้โจมตีสร้าง Domain หนึ่งขึ้นมา และพยายามให้ผู้ใช้งาน Linux ทำการ Resolve Domain นั้นๆ ให้ได้ จากนั้นผู้โจมตีก็จะทำการตอบ DNS ผ่าน DNS Server ที่มีการตั้งค่าให้ส่งข้อความเพื่อโจมตีช่องโหว่นี้บน Linux โดยเฉพาะ ซึ่งการโจมตีนี้ส่งผลกระทบกับทั้ง Linux ที่เป็น Server และ Desktop แนะนำให้ผู้ใช้ Linux อัพเดต Patch glibc โดยด่วน
ที่มา : thehackernews
VMware ได้ออก Patch ซ้ำสำหรับ vCenter เพื่อแก้ปัญหาที่เคยแก้ไปแล้วในเดือนตุลาคม 2015 ที่ผ่านมาอีกครั้ง หลังพบว่าการแก้ไขปัญหาครั้งนั้นยังคงมีช่องโหว่อยู่
ช่องโหว่เดิมนั้นมีรหัส CVE-2015-2342 ซึ่งเกิดจากบริการ JMX RMI ที่ตั้งค่าเอาไว้ไม่ปลอดภัยจนทำให้เกิด Remote Code Execution (RCE) ได้บนรุ่น 5.5, 5.1 และ 5.0 ซึ่งล่าสุดนี้ VMware ก็ได้ออก Patch เสริมมาอีกในช่วงสุดสัปดาห์ที่ผ่านมาอุดช่องโหว่เดิมเพิ่มเติมอีกดังนี้ https://kb.
Chris Vickery นักวิจัยทางด้านความปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนเว็บไซต์ Microsoft Career ในส่วนที่เป็น Mobile Site ว่ามีการตั้งค่าของ MongoDB ที่ไม่ปลอดภัยเพียงพอ ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลที่บันทึกอยู่ภายใน MongoDB ได้โดยไม่ต้องมีการยืนยันตัวตนแต่อย่างใด อีกทั้งยังสามารถเขียนข้อมูลลงไปเพื่อทำการแก้ไขได้อีกด้วย ส่งผลให้การส่งข้อมูล HTML ที่สร้างขึ้นมาเพื่อทำการโจมตีโดยเฉพาะ ประสบความสำเร็จได้ และนำไปสู่การโจมตีแบบ Watering Hole ต่อไป
ทาง Chris Vickery ได้ทำการแจ้งไปยังทีมงาน Punchkick ผู้รับผิดชอบงานดูแลระบบนี้ให้กับ Microsoft เพื่อทำการแก้ไขช่องโหว่ไปเรียบร้อยแล้ว และ Punchkick เองก็ไม่ได้ดูแลเพียงเว็บนี้เว็บเดียวเท่านั้น แต่มีเว็บอื่นๆ อีกจำนวนมากด้วย ในขณะเดียวกันงานวิจัยอื่นๆ ก็ชี้ว่าไม่ได้มีแต่ MongoDB เท่านั้นที่มีปัญหาเรื่องการตั้งค่าใช้งานอย่างไม่ปลอดภัย แต่ Redis, CouchDB, Cassandra และ Riak เองก็เช่นกัน
ที่มา : NetworkWorld
สัปดาห์ที่ผ่านมาได้เกิดกรณี Ransomware โจมตีโรงพยาบาล เข้ารหัสอีเมล์และข้อมูลผู้ป่วย พร้อมเรียกค่าไถ่สูงถึง 3.6 ล้านเหรียญ หรือประมาณ 126 ล้านบาท
โรงพยาบาลที่ถูกโจมตีนี้คือโรงพยาบาลแห่งหนึ่งใน Hollywood เมือง California ทำให้ระบบเครือข่ายล่มไปเป็นเวลานานกว่า 1 สัปดาห์ และสูญเสียข้อมูล Email และข้อมูลผู้ป่วยไปจากการถูกเข้ารหัสด้วย Ransomware
ส่วนสาเหตุที่ทำให้การโจมตีครั้งนี้ประสบความสำเร็จก็คือ การที่ระบบเครือข่ายที่จัดเก็บข้อมูล Sensitive Data กับระบบเครือข่ายสำหรับใช้งานทั่วไปนั้นเชื่อมต่อเป็นระบบเดียวกัน รวมถึงไม่มีนโยบายการรักษาความปลอดภัยที่เพียงพอ อีกทั้งอุปกรณ์การแพทย์และอุปกรณ์อื่นๆ ในระบบนั้นก็ไม่มีการอัพเดตหรืออุดช่องโหว่แต่อย่างใด ทำให้ผู้โจมตีมีช่องทางที่หลากหลายมาก ในขณะที่ข้อมูลทั้งหมดของโรงพยาบาลนั้นล้วนเป็นข้อมูลสำคัญที่ส่งผลกระทบต่อการรักษาพยาบาลโดยตรงทั้งสิ้น ดังนั้นไม่ว่าข้อมูลส่วนใดจะสูญหายไป ความเสียหายก็จะเกิดขึ้นกับโรงพยาบาลอยู่ดี
ทาง McAfee ก็ได้แนะนำแนวทางป้องกันคือ การทำ Backup ให้กับข้อมูล Sensitive Data ทั้งหมดอยู่เสมอ เพื่อที่ถ้าหากถูกโจมตีขึ้นมาจริงๆ ยังกู้ข้อมูลกลับขึ้นมาเพื่อทำงานต่อได้ในเวลาไม่นานนัก
ที่มา : M Blog Central
Cisco ประกาศออก Patch อุดช่องโหว่ร้ายแรงสำหรับ Adaptive Security Appliance (ASA) ที่ผู้โจมตีสามารถทำ Remote Code Execution (RCE) จากการอาศัยช่องโหว่บน Internet Key Exchange (IKE) จนทำให้อุปกรณ์เกิด Heap Buffer Overflow ได้ทั้งบนการใช้งานแบบ IPv4 และ IPv6
สำหรับอุปกรณ์ที่ได้รับผลกระทบนั้นได้แก่
Cisco ASA 5500
ASA 5500-X
ASA Services Module for Catalyst 6500 switches and 7600 Series routers
ASA 1000V Cloud Firewall
Adaptive Security Virtual Appliance
Firepower 9300 ASA module
ISA (Industrial Security Appliance) 3000
หากมีการใช้งาน Cisco ASA ตามที่ระบุไว้ควรทำการ Update Patch ได้ที่ https://tools.
แฮกเกอร์รายหนึ่งใช้ชื่อบน Twitter ว่า @DotGovs ได้ออกมาเปิดเผยข้อมูลพนักงานภาครัฐ ได้แก่ พนักงานจากกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security: DHS) ประมาณ 9,000 รายในวันอาทิตย์ที่ผ่านมา ตามด้วยข้อมูลพนักงาน FBI อีกเกือบ 20,000 รายเมื่อวันจันทร์ ผ่านทางเว็บไซต์สำหรับแชร์ข้อความที่มีการเข้ารหัส โดยข้อมูลพนักงานที่หลุดออกมาประกอบด้วย ชื่อ, ตำแหน่ง, หมายเลขโทรศัพท์ และอีเมล อย่างไรก็ตาม ยังไม่ได้รับการยืนยันว่าข้อมูลดังกล่าวเป็นของจริงหรือไม่ แต่มีหลายฝ่ายออกมาระบุว่าส่วนหนึ่งของข้อมูลนี้เป็นข้อมูลที่ถูกต้อง ซึ่งเบื้องต้นคาดการณ์ว่าแฮกเกอร์ดังกล่าวต้องการสนับสนุนกลุ่มปาเลสไตน์ ฝ่ายตรงข้ามอิสราเอลที่มีสหรัฐฯ หนุนหลังอยู่
บนเว็บไซต์ที่ใช้เปิดเผยข้อมูลมีการระบุข้อความด้านบนเป็น Hashtag #FreePalestine และคำว่า “Long Live Palestine, Long Live Gaza: This is for Palestine, Ramallah, West Bank, Gaza, This is for the child that is searching for an answer.
นักวิจัยด้านความปลอดภัยจาก Palo Alto ได้พบมัลแวร์สายพันธุ์ใหม่ชื่อ “T9000” ต่อยอดมาจาก T5000 ที่มุ่งเน้นการโจมตีองค์กรต่างๆ ในสหรัฐอเมริกาเป็นหลัก แต่ความสามารถของมัลแวร์นั้นกลับถูกออกแบบมาให้ใช้โจมตีผู้ใช้งานทั่วไปเป็นวงกว้างได้ด้วยเช่นกัน เพราะ T9000 นี้สามารถขโมยข้อมูลการสื่อสารทุกรูปแบบจาก Skype ได้อย่างครบถ้วน
สำหรับการแพร่ระบาดนี้เริ่มต้นขึ้นจากไฟล์ RTF เพียงไฟล์เดียวเท่านั้น และใช้เทคนิค Multi-stage Installation Process เพื่อหลีกเลี่ยงการตรวจจับได้อย่างแยบยล โดยไฟล์ RTF นี้จะอาศัยช่องโหว่ของ Microsoft Office 2003/2007/2010/2013, Word for Mac 2011, Microsoft SQL Server 2005/2008, Microsoft SharePoint 2010/2013 และผลิตภัณฑ์อื่นๆ อีกจำนวนหนึ่ง เพื่อเริ่มรันคำสั่งและสร้างไฟล์ขึ้นมาใน %TEMP% Folder จากนั้นก็ทำการถอดรหัสและสร้างออกมาเป็น .exe แล้วสั่งเรียกใช้งานทันที
จากนั้น T9000 จะทำการสร้าง Mutex ขึ้นมาเพื่อให้มั่นใจว่ามัลแวร์จะทำงานแค่ Instance เดียวเท่านั้น แล้วจึงทำการตรวจสอบหาผลิตภัณฑ์รักษาความปลอดภัยที่ติดตั้งอยู่ในเครื่องด้วยการตรวจสอบ Registry ที่ HKLM\Software\registry เช่น Sophos, Baidu, McAfee, Trend Micro, Kaspersky เป็นต้น
T9000 จะทำการสร้างไฟล์ avinfo ขึ้นมาที่ %APPDATA%\Intel เพื่อบันทึกเอาไว้ว่าตรวจพบผลิตภัณฑ์รักษาความปลอดภัยจากผู้ผลิตรายใดบ้าง เพื่อเลือกใช้วิธีการโจมตีที่แตกต่างกันไปในการติดตั้งเครื่องมือสำหรับโจมตีจำนวนมากที่จะอยู่ภายใต้ Folder เดียวกันนี้ต่อไป รวมถึงทำการติดตั้ง Plugins สำหรับใช้ในการโจมตีเพิ่มเติมอีก 3 ตัว ได้แก่ tyeu.
Johannes Ullrich ผู้เชี่ยวชาญด้านความปลอดภัยจาก SANS Technology Institute ได้ตรวจพบ Scareware บน Mac OS X ที่หลอกผู้ใช้งานว่าเป็น Adobe Flash Player Installer เพื่อให้ผู้ใช้งานทำการกดติดตั้ง และถูกโจมตีทันทีโดยไม่ต้องอาศัยช่องโหว่ใดๆ บน Mac OS X
การโจมตีนี้จะเริ่มต้นจากการที่ผู้โจมตีใช้โฆษณาในการส่ง Popup Message มาหลอกผู้ใช้งานว่า Flash Player ของผู้ใช้งานเป็นรุ่นเก่า ให้ทำการอัพเดตใหม่ทันที และถ้าผู้ใช้งานกดตกลงก็จะพบกับหน้า Download Adobe Flash Player ปลอมให้ทำการติดตั้ง ซึ่ง Software ที่ทำการติดตั้งนี้ก็จะสามารถหลบการตรวจจับของ Apple Gatekeeper ได้แม้จะเป็นบน Mac OS X 10.11 เนื่องจากการใช้ Ceretificate ที่ถูกต้องของ Apple Developer
หลังจากนั้นตัวติดตั้งนี้ก็จะทำการติดตั้ง Adobe Flash Player ของจริงให้ พร้อมกับส่งหน้าจอแจ้งเตือนว่าเครื่องของเรามีปัญหา พร้อมกับส่งลิงค์มาให้คลิ๊กเพื่อตรวจสอบเครื่องของเรา และถ้าหากคลิ๊กเข้าไปนั้นก็จะพบกับหน้าจอตรวจสอบประสิทธิภาพและปัญหาต่างๆ แบบหลอกลวง และขู่เรียกขอเงินหลังให้บริการเสร็จเรียบร้อย
ที่มา : security affairs
เว็บไซต์ของธนาคาร HSBC ได้ตกเป็นเป้าการโจมตีแบบ Denial-of-Service (DoS) ซึ่งทางธนาคารก็ได้พยายามป้องกันระบบของตัวเองจนเป็นผลสำเร็จ โดยไม่มี Transaction ใดๆ ที่ได้รับผลกระทบจากการโจมตีครั้งนี้ แต่ก็ต้องแลกมากับระบบ Online Banking ที่ยังคงไม่สามารถให้บริการผู้ใช้งานในวันเดียวกันนี้ ซึ่งเป็นวันจ่ายภาษีวันสุดท้ายของอังกฤษได้ และยังเป็นวันเงินเดือนออกอีกด้วย
ถึงแม้ HSBC จะออกมาโพสต์ข้อความแสดงความยินดีว่าสามารถป้องกัน DoS ได้สำเร็จบน Twitter แต่ลูกค้าที่มองว่าการที่ระบบ Online Banking ใช้งานไม่ได้กลับไม่คิดอย่างนั้น และกระหน่ำรุมต่อว่าทางธนาคาร HSBC บน Twitter กันไป ซึ่งคำแนะนำที่ลูกค้าได้กลับมาก็คือ ให้ใช้โทรศัพท์โทรเข้ามาหาฝ่ายสนับสนุนแทน หรือไม่ก็ใช้ Mobile Banking App แทนไปก่อน
HSBC ไม่ได้ออกมาเปิดเผยถึงข้อความขู่เรียกค่าไถ่ หรือวัตถุประสงค์ของผู้ร้ายแต่อย่างใด แต่ก็ได้ทำการเริ่มดำเนินคดีทางกฎหมายไปแล้ว
ที่มา : NETWORKWORLD