Worst Passwords of 2017 Show Bad Habits Are Hard To Break

SplashData ผู้พัฒนา SplashID password manager ได้ทำการรวบรวมข้อมูลของชุดรหัสผ่านที่นับว่าแย่มากในปี 2017 มากว่า 100 ชุด และรหัสผ่าน 5 ชุดที่พบบ่อยมากที่สุดในปีนี้คือ 1232456, password, 12345678, qwerty และ 12345 แม้ว่าจะมีผู้ใช้บางรายบอกว่ามีการตั้งแบบกลับหลังเพื่อให้เดาได้ยากขึ้น แต่ในความเป็นจริงก็คือรหัสที่เรียงกันชุดเดิมอยู่ดี

การตั้งรหัสด้วยตัวที่ใกล้ๆกัน หรือคำศัพท์เป็นการตั้งรหัสผ่านที่เดาได้ง่ายมาก เพราะทุกวันนี้เครื่องมือสำหรับการเดารหัสผ่านนั้น สามารถเดารูปแบบการตั้งรหัสแบบนี้ได้หมดเลย ยังมีผู้ใช้งานบางรายออกมาบอกว่าตัวเองได้มีการเปลี่ยนรหัสบางตัวเพื่อให้ดูซับซ้อนมากขึ้น เช่น การเอาตัว o ออกแล้วใส่ 0 เช่น password จะกลายเป็น passw0rd แต่วิธีนี้ก็ยังป้องกันไม่ได้ แม้กระทั่งกับแฮ็คเกอร์ที่ความรู้น้อย

ทั้งนี้ SplashData ได้มีการเปิดเผยรายการรหัสผ่านที่ไม่ควรตั้ง และได้แนะนำว่าหากมีใครกำลังใช้รหัสชุดไหนชุดหนึ่งที่เข้าข่ายอยู่นี้ ควรรีบเปลี่ยนโดยเร็ว เพราะถึงแม้จะเป็นบัญชีที่ไม่มีความสำคัญต่อผู้ใช้เลย แต่แฮ็คเกอร์อาจนำไปใช้เป็นเครื่องมือเพื่อโจมตีเครื่องอื่นๆ ต่อได้ อย่างไรก็ตามปัจจุบันมีเครื่องมือในการช่วยจัดการรหัสผ่านที่มีประสิทธิภาพอยู่มากมาย เช่น SplashID, LastPass, 1Password ,และ Dashlane รวมไปถึง KeePass ซึ่งมีการเปิดให้ใช้งานฟรีอยู่ แนะนำให้ลองดาวน์โหลดเพื่อนำมาใช้งานกันดู
ที่มา : Forbes

Huawei Routers Exploited to Create New Botnet

พบช่องโหว่ Zero-Day ใน Home router ของ Huawei HG532 โดย Payload ที่ถูกส่งไปนั้นถูกระบุว่าเป็นของ Botnet ตัวใหม่ที่ถูกเรียกว่า OKIRU หรือ SATORI นั่นเอง ซึ่งตรงกับข้อสันนิษฐานจาก Check Point ที่ได้ออกมาให้รายละเอียดไปก่อนหน้านี้เมื่อช่วงต้นเดือนที่ผ่านมา และเชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้คือผู้ที่ใช้นามแฝงว่า 'Nexus Zeta'

เมื่อวันที่ 23 พฤศจิกายน Check Point ได้รับการแจ้งเตือนจาก Honey-pots ว่ามีการพบพฤติกรรมที่ผิดปกติ
จึงได้ทำการตรวจสอบเพิ่มเติม และได้พบว่ามีการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จัก(zero-day) ในอุปกรณ์ Huawei HG532 จุดมุ่งหมายคือการปล่อย Botnet รูปแบบใหม่ ซึ่งเชื่อว่าน่าจะเป็น Mirai botnet ชนิดใหม่ เนื่องจาก Huawei เลือกที่จะใช้งานบน Universal Plug and Play (UPnP) โปรโตคอล ที่อ้างอิงจากรายงานมาตรฐาน TR-064 โดยจุดประสงค์เพื่อต้องการให้อุปกรณ์ของตนเองสามารถใช้งานได้ง่ายขึ้น แต่นักวิจัยจาก Check Point พบว่าการใช้งานบนมาตรฐาน TR-064 ในอุปกรณ์ Huawei นั้น ส่งผลทำให้ผู้บุกรุกสามารถส่งคำสั่งใด ๆ มารันบนอุปกรณ์ได้ ซึ่งในกรณีนี้คือมัลแวร์ OKIRU หรือ SATORI นั่นเอง

หลังจากการโจมตีนี้ได้รับการยืนยันไม่นาน ก็ได้มีการแจ้งไปยัง Huawei เพื่อจัดการกับการแพร่กระจายที่เกิดขึ้นนี้ และทีมด้านความปลอดภัยของ Huawei ซึ่งทำงานได้อย่างรวดเร็วมาก ก็ได้ออก Patch สำหรับอุดช่องโหว่ดังกล่าวออกมาไม่นานนักหลังจากนั้น ในเวลาเดียวกันทีมพัฒนาผลิตภัณฑ์ของ Check Point เองก็ได้พัฒนาและออกการป้องกันบน IPS ให้กับลูกค้าของตนเองโดยทันที

ที่มา : checkpoint

Digmine Malware Spreading via Facebook Messenger

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.

Twitter Expands 2FA Options to Third-Party Authenticator Apps

Twitter ได้ปรับปรุงระบบความปลอดภัยโดยเพิ่มการตรวจสอบสิทธิ์แบบ Two-Factor Authentication(2FA) ทำให้ผู้ใช้ทวิตเตอร์สามารถใช้ตัวเลือกการรักษาความปลอดภัยนี้ซึ่งรองรับ third-party security อย่างเช่น Google Authenticator, Duo Mobile, Authy และ 1Password แทนแบบเดิมที่เป็น SMS

สำหรับการตั้งค่าการใช้งานนั้น สามารถไปที่ Settings and privacy และในส่วนของ Security จะมี Login verification หากยังไม่เคยเปิดใช้งานจะมี "Set up login verification" ให้เลือก จากนั้นทำการตั้งค่าให้เรียบร้อย แต่หากเปิดการ verify ผ่าน SMS ไว้แล้ว จะมี "Review your login verification methods" ขึ้นมาให้เลือกแทน จากนั้นให้เลือกไปที่ "Set up" ในส่วนของ "Mobile security app" ทำการ start แล้วจะมี "QR Code" ขึ้นมาให้ Scan ให้ใช้ third-party security แอพพลิเคชั่นของคุณ Scan QR Code ดังกล่าว แล้วนำเลขที่ได้มากรอกในขั้นตอนต่อไป

เมื่อตั้งค่าสำเร็จแล้ว นับจากนี้ไปเมื่อใดก็ตามที่พยายามเข้าสู่ระบบ จะได้รับแจ้งให้ป้อนรหัสการยืนยันการเข้าสู่ระบบที่เป็นเลขหกหลักจากแอพพลิเคชั่นระบุตัวตนที่ใช้งานหลังจากที่ป้อนชื่อผู้ใช้และรหัสผ่านแล้ว แม้ว่าชื่อผู้ใช้งานและรหัสผ่านจะหลุดออกไป การจะเข้าถึงบัญชี Twitter ก็จะเป็นไปได้ยากมากขึ้น

ที่มา : infosecurity-magazine

USN-3382-2: PHP vulnerabilities

Ubuntu ปล่อยอัพเดทเพื่ออุดช่องโหว่ใน PHP โดยมีรายละเอียดของช่องโหว่ดังนี้

CVE-2016-10397: ช่องโหว่ที่พบว่า PHP URL parser มีการทำงานที่ผิดปกติกับตัว URI ทำให้ผู้ที่โจมตีสามารถใช้ช่องโหว่นี้เพื่อหลบหลีกการตรวจสอบ hostname-specific URL ได้

CVE-2017-11143: ช่องโหว่ที่พบว่ามีการทำงานที่ผิดปกติของ PHP กับ Boolean Parameter บางตัว เมื่อเป็น unserialized data ทำให้ผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP เกิด crash และใช้การไม่ได้(Denial of Service)

CVE-2017-11144: ช่องโหว่นี้ถูกพบโดย Sebastian Li, Wei Lei, Xie Xiaofei, and Liu Yang พบว่า PHP มีการทำงานที่ผิดปกติในการจัดการ OpenSSL sealing function ซึ่งผู้ที่โจมตีสามารถใช้เพื่อทำให้ PHP ใช้การไม่ได้เช่นกัน (Dos)

CVE-2017-11145: Wei Lei และ Liu Yang พบอีกช่องโหว่ใน extension ที่เกี่ยวกับตัววันที่ของ PHP ในการจัดการหย่วยความจำ(Memory) ซึ่งส่งผลให้ผู้ที่โจมตีสามารถเข้าถึงข้อมูลสำคัญของเซิร์ฟเวอร์ได้

CVE-2017-11147: พบช่องโหว่ของการจัดเก็บไฟล์แบบ PHAR ใน PHP ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ หรือเข้าถึงข้อมูลสำคัญจากตัวเซิร์ฟเวอร์ได้ โดยช่องโหว่ตัวนี้จะมีผลกระทบกับแค่ Ubuntu 14.04 LTS

CVE-2017-11628: Wei Lei และ Liu Yang พบช่องโหว่ที่การทำ parsing ไฟล์สกุล .ini ซึ่งผู้โจมตีสามารถใช้เพื่อทำให้ PHP ใช้งานไม่ได้ (Dos)

และช่องโหว่สุดท้ายคือตัว PHP mbstring ในการทำงานกับ Regular Expressions บางตัว ซึ่งทำให้ผู้โจมตีสามารถทำให้ PHP เกิดการ crash และใช้งานไม่ได้ หรือทำการรัน arbitrary code (CVE-2017-9224, CVE-2017-9226, CVE-2017-9227, CVE-2017-9228, CVE-2017-9229)

ข้อแนะนำคือให้ทำการอัพเดทเวอร์ชัน โดยขั้นตอนในการอัพเดทสามารถดูได้จากลิงค์ด้านล่างนี้ (https://wiki.

Cron-Linked Malware Impersonates 2,200 Banking Apps

นักวิจัยด้านความปลอดภัยได้แจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ ถูกออกแบบมาเพื่อรวบรวมข้อมูลเกี่ยวกับบัญชีธนาคารและบัตรเครดิต ซึ่งอาจเชื่อมโยงกับอาชญากรรมไซเบอร์กลุ่มที่มีชื่อว่า "Cron"

Catelites Bot มีลักษณะคล้ายคลึงกับ CronBot banking Trojan ซึ่งพบว่าเคยถูกใช้ในการโจรกรรมเงินไป 900,000 เหรียญ แม้ในท้ายที่สุดกลุ่มของผู้ที่อยู่เบื้องหลังมัลแวร์นี้ จะถูกจับกุมในช่วงต้นปีที่ผ่านมาโดยทางการรัสเซีย ส่วนใหญ่มัลแวร์ตัวนี้จะถูกแพร่กระจายอยู่ในระบบ Android ผ่านทางแอพพลิเคชั่นปลอมที่อยู่บน third-party stores, โฆษณา และหน้า phishing เมื่อเหยื่อหลงเชื่อ จะมีการร้องขอสิทธิ์ Admin ของเครื่อง หากอนุญาตมัลแวร์ดังกล่าวจะทำการลบไอคอนเดิม และแทนที่ด้วยไอคอนปลอมที่ดูคล้ายคลึงกับแอพพลิเคชั่นที่มีความน่าเชื่อถืออื่นๆ เพื่อหลอกให้เหยื่อป้อนรายละเอียดบัตรเครดิตลงไป

จากข่าวรายงานอีกว่า มัลแวร์ตัวนี้ยังมีฟังก์ชันการทำงานที่ทำให้มันสามารถปลอมแปลงตนเองให้มีหน้าตาคล้ายกับแอพพลิเคชันด้านการเงินที่ถูกต้องกว่า 2,200 แห่ง และซ้อนทับตัวเองแทนแอพพลิเคชั่นตัวจริงที่มีการเรียกใช้งาน เพื่อใช้ข้อมูลที่ได้นั้นเข้าถึงบัญชีธนาคาร และบัตรเครดิตของผู้ใช้งาน

ที่มา : infosecurity-magazine

Singapore Ministry of Defence Announces Bug Bounty Program

กระทรวงกลาโหมสิงคโปร์ (MINDEF) ได้มีการประกาศเชิญชวนเหล่าแฮกเกอร์ทั่วโลกให้มาทำการเจาะระบบในโครงการ bug bounty ซึ่งจะกินเวลา 2 อาทิตย์ โดยจำกัดจำนวนผู้เข้าร่วมถึง 300 คน

ภายใต้โครงการดังกล่าว MINDEF ได้มีการประกาศผ่านทางแพลตฟอร์ม bug bounty ชื่อดัง HackerOne โดยระบุรายละเอียดไว้ว่า โครงการ bug bounty นี้นั้นจะมุ่งไปที่เป้าหมายที่เป็นระบบของทางภาครัฐและระบบด้านความมั่นคงที่สามารถเข้าถึงได้จากอินเตอร์เน็ต โดยมีมูลค่ารางวัลตั้งแต่ 110-15,000 ดอลลาร์สหรัฐฯ ตามความร้ายแรงและคุณภาพของช่องโหว่ที่เจอ

การแข่งขันจะเริ่มตั้งแต่วันที่ 15 มกราคมจนถึง 4 กุมภาพันธ์ 2018 และสามารถตรวจสอบรายละเอียดการแข่งขันเพิ่มเติมได้ที่ https://www.

Hackers using Google Adwords & Google Sites to spread malware

HackRead ประกาศแจ้งเตือนผู้ใช้งานหลังจากตรวจพบการหลอกลวงในลักษณะใหม่ซึ่งอาศัยการโจมตีพฤติกรรมของผู้ใช้งานร่วมกับการใช้ Google AdWords

Google AdWords คือบริการโฆษณาออนไลน์ที่ช่วยโปรโมทโฆษณาให้ผู้ใช้หากมีการจ่ายเงินให้ Google เพื่อแสดงโฆษณาในช่องโฆษณาที่โดดเด่นในระหว่างผลลัพธ์ของเครื่องมือค้นหา ตัวอย่างเช่นหากผู้ใช้ค้นหาด้วย Google โดยใช้คำว่า "ดาวน์โหลด Antivirus" ช่องด้านบนจะแสดงโฆษณา ในบางกรณีผลการค้นหาสี่อันดับแรกจะแสดงโฆษณาที่จ่ายโดยคนหรือ บริษัท เพื่อให้ได้ยอดขายหรือการเข้าชมอย่างรวดเร็ว

เมื่อคลิกที่ "ดาวน์โหลด Chrome" ผู้ใช้จะถูกนำไปที่ลิงก์ Google โหลดไฟล์มีชื่อว่า ChromeSetup.

New VMware Security Advisory VMSA-2017-0021

VMware ESXi, vCenter Server Appliance, Workstation and Fusion ปรับปรุงช่องโหว่ความปลอดภัยหลายรายการ(VMSA-2017-0021)

ช่องโหว่ที่ได้รับการแก้ไขรอบนี้ครอบคลุมทั้งหมด 4 ช่องโหว่ (CVE-2017-4933, CVE-2017-4940, CVE-2017-4941 และ CVE-2017-4943) มีผลต่อ VMware ESXi, VMware Workstation, VMware Fusion และ VMware vCenter Server Appliance, Workstation and Fusion

CVE-2017-4941 และ CVE-2017-4933 เป็นช่องโหว่เกี่ยวกับ stack overflow และ heap overflow หากโจมตีได้สำเร็จ สามารถทำการ remote code execution ผ่าน VNC ที่ได้รับการ Authenticate แล้ว
CVE-2017-4940 เป็นช่องโหว่ cross-site script มีผลต่อ ESXi Host Client ผู้บุกรุกสามารถใช้ช่องโหว่นี้ได้โดยการฝัง JavaScript ซึ่งสามารถทำงานได้เมื่อผู้ใช้รายอื่นเข้าถึง Host Client
CVE-2017-4943 เป็นช่องโหว่การเพิ่มสิทธิ์ผ่านปลั๊กอิน 'showlog' ใน vCenter Server Appliance (vCSA) หากโจมตีสำเร็จจะทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำ สามารถเพิ่มสิทธิ์ของตนเองให้สูงขึ้นได้ ปัญหานี้มีผลกับ vCSA 6.5 เท่านั้น

ช่องโหว่เหล่านี่ถูกค้นพบ และรายงานโดย Alain Homewood จาก Insomnia Security, Lukasz Plonka, Lilith Wyatt และสมาชิกคนอื่นๆจาก Cisco Talos

ที่มา : vmware

Secure Apps Exposed to Hacking via Flaws in Underlying Programming Languages

Fernando Arnaboldi จาก IOActive ได้มีการเปิดเผยการค้นหาช่องโหว่ในอินเตอร์พรีเตอร์ที่ถูกใช้ในภาษาโปรแกรมมิ่งหลายภาษาที่งาน Black Hat Europe 2017 ที่ผ่านมาโดยใช้วิธีการ fuzzing ด้วย fuzzer ที่พัฒนาขึ้นเอง โดยได้ผลลัพธ์เป็นช่องโหว่ร้ายแรงในอินเตอร์พรีเตอร์หลายรายการ

สำหรับรายการของอินเตอร์พรีเตอร์ที่ถูกทดสอบนั้น ได้แก่

ตัวแทนจาก JavaScript ได้แก่ v8, ChakraCore, SpiderMonkey, NodeJS (v8), Node (ChakraCore)

ตัวแทนจาก PHP ได้แก่ PHP, HHVM

ตัวแทนจาก Ruby ได้แก่ Ruby, JRuby

ตัวแทนจาก Perl ได้แก่ Perl, ActivePerl

ตัวแทนจาก Python ได้แก่ CPython, PyPy, Jython

ด้วย fuzzer ที่พัฒนาขึ้นเองภายใต้ชื่อ XDiFF (Extended Differential Fuzzing Framework) Arnaboldi ค้นพบช่องโหว่หลายรายการที่อาจทำให้แอปพลิเคชันซึ่งถึงแม้ได้รับการพัฒนามาอย่างปลอดภัยแล้วก็อาจถูกโจมตีได้

สำหรับนักพัฒนาที่มีการใช้งานอินเตอร์พรีเตอร์อยู่ แนะนำให้ติดตามข่าวสารจากผู้พัฒนาเป็นระยะเพื่อตรวจสอบและติดตั้งแพตช์ด้านความปลอดภัยที่อาจมาถึงในเร็วๆ นี้

ที่มา : bleepingcomputer