Kaspersky ยังคงทำ Project nomoreransom (https://www.nomoreransom.org) อย่างต่อเนื่อง ล่าสุดได้มีการพยายามหยุดยั้ง Ransomware เพิ่มเติมโดยการเผยแพร่เครื่องมือถอดรหัส Jaff Ransomware เหยื่อที่ติด Jaff Ransomware จะมีอาการคือไฟล์ถูกเข้ารหัสแล้วถูกเปลี่ยนนามสกุลไฟล์ (extension) เป็น .jaff, .wlu, .sVn) โดยเราสามารถ download ตัวถอดรหัสได้จาก http://media.

Mohamed A. Baset ชาวเม็กซิโกพบช่องโหว่ CSRF บน Metasploit Project ในส่วนของหน้าเว็บ ได้หมายเลข CVE-2017-5244 มีผลกระทบกับ Metasploit รุ่น Express, Community และ Professional ที่เป็นเวอร์ชั่นต่ำกว่า 4.14.0 หากเหยื่อคลิกลิงค์ที่มีโค้ดสำหรับโจมตี CSRF (สร้าง HTTP Request ไปยัง https://127.0.0.1:3790/tasks/stop_all) จะทำให้ Metasploit ที่กำลังสแกนอยู่ทั้งหมดนั้น หยุดสแกนทันที ผู้ใช้งาน Metasploit ควรอัพเดทเป็นเวอร์ชั่น 4.14.0 (Update 2017051801) เพื่อแก้ไขช่องโหว่

ที่มา : Seekurity Blog

ก่อนหน้านี้มีข่าวช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry
ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry ไปเลย แต่ที่ส่วนที่แตกต่างกันคือ SambaCry จะมีการโจมตีเพื่อฝังตัวขุด Crypto Currency แทน (พฤติกรรมจะคล้ายๆกับ adylkuzz) ซึ่งนั่นทำให้หาก User นั้นติดก็จะแทบไม่รู้เรื่องเลยว่าติด malware และหากทำการนำไฟล์ malware ดังกล่าวไปตรวจใน Virustotal.

พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที
ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494

หากใครงาน SAMBA อยู่แนะนำให้รีบ update ด่วนครับ
ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา: samba.

ค้นพบบั๊กร้ายแรงบน sudo ใน Linux ที่เปิดให้ผู้ที่มี Shell Account สามารถเข้ามายกระดับสิทธิ์ของตนเองเป็น Root ได้

ช่องโหว่ดังกล่าวเกิดจากปัญหาในการ Parse เนื้อหาในคำสั่ง sudo ที่ผิดพลาด ทำให้ผู้โจมตีในระบบ Linux ที่มีการตั้งค่าไว้ในบางรูปแบบสามารถใช้ปัญหานี้ในการ Overwrite ไฟล์ใดๆ บนระบบ, Bypass การจำกัดสิทธิ์ต่างๆ ไปจนถึงการยกระดับสิทธิ์ตัวเองเป็น Root ได้

โดยปัญหานี้เกิดขึ้นกับ Linux จำนวนมาก และส่งผลกระทบไปถึง Linux ที่ใช้ SELinux ด้วย ซึ่งรายการของ Linux ที่ได้รับผลกระทบมีดังนี้

Red Hat Enterprise Linux 6 (sudo)
Red Hat Enterprise Linux 7 (sudo)
Red Hat Enterprise Linux Server (v. 5 ELS) (sudo)
Debian wheezy
Debian jessie
Debian stretch
Debian sid
Ubuntu 17.04
Ubuntu 16.10
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS
SUSE Linux Enterprise Software Development Kit 12-SP2
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2
SUSE Linux Enterprise Server 12-SP2
SUSE Linux Enterprise Desktop 12-SP2
OpenSuse

สำหรับคำแนะนำเพื่อแก้ปัญหานี้คือการอัปเดต Patch ดังนี้

Debian/Ubuntu ใช้ sudo apt update และ sudo apt upgrade
CentOS/RHEL ใช้ sudo yum update
Fedora ใช้ sudo dnf update
SUSE ใช้ sudo zypper update
Arch Linux ใช้ sudo pacman -Syu
Alpine ใช้ apk update && apk upgrade

ที่มา : TECHTALKTHAI , cyberciti

Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.

Zomato เว็บไซต์สำหรับการแนะนำร้านอาหารชื่อดังในอินเดีย ถูกแฮกข้อมูลของผู้ใช้งาน เช่น ชื่อผู้ใช้, อีเมล์ รหัสผ่านของลูกค้ากว่า 17 ล้านบัญชีนั้น ถูกขโมยออกไป Deepinder Goyal, CEO ของ Zomato
ได้ออกมาอธิบายว่าเกิดอะไรขึ้นว่า
- เริ่มต้นจากเหตุการณ์ที่ 000webhost ซึ่งเป็นเว็บโฮสติ้งฟรี ถูกแฮกเมื่อเดือนพฤศจิกายนปี 2015 ทำให้ข้อมูลผู้ใช้ และรหัสผ่านรั่วไหลออกมา โดยมีรหัสผ่านเป็น plaintext (ไม่มีการเข้ารหัส)
- หนึ่งในนักพัฒนาของ Zomato มีการใช้งาน 000webhost เช่นกันทำให้ข้อมูลของเขารั่วไหลออกไป
- นักพัฒนารายนั้นใช้อีเมล์ และรหัสผ่านเดียวกันกับบัญชีของ Github ที่ใช้เก็บโค้ดของ Zomato และไม่ได้เปิดใช้งาน 2 factor authentication
- ทำให้แฮกเกอร์สามารถ Login เข้าสู่ระบบ Github ของนักพัฒนานั้นได้และทำการรีวิวซอสโค้ดบางส่วนของ Zomato ได้
- จากจุดนี้แฮกเกอร์ยังไม่สามารถเข้าถึงฐานข้อมูลของ Zomato เนื่องจากระบบได้ทำการจำกัดไอพีที่สามารถเข้าถึงระบบต่างๆ ไว้
- แฮกเกอร์จึงทำการสแกนหาช่องโหว่จากโค้ดที่สามารถเข้าถึงได้ และพบกับช่องโหว่ Remote Code Execution ที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ในภายหลัง
จากเหตุการณ์ข้างต้นเป็นตัวอย่างที่ผู้ใช้งานอินเตอร์เน็ต ไม่ควรที่จะใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์หรือบริการอื่นๆ
และควรใช้โปรแกรมจำพวก Password Manager ในการจดจำรหัสผ่านเพื่อเพิ่มความปลอดภัย

ที่มา : Zomato,ZomatoHacked

Checkpoint พบช่องโหว่ใน Media Player ยอดนิยมต่างๆไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio ในการอ่าน subtitle ทำให้ตกเป็นเหยื่อของแฮ็คเกอร์ได้หากไปโหลด subtitle จากแหล่งที่ไม่น่าเชื่อถือมา
Subtitle ของหนังหรือรายการทีวีใดๆที่ถูกเขียนโดยใครก็ได้และปล่อยให้ download ในแหล่ง download subtitle ต่างๆ อาจกลายเป็นแหล่งการโจมตีของแฮ็คเกอร์ได้ เมื่อมีการพบว่า Application ที่เป็นตัวเล่นไฟล์ media ต่างๆ ไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio
โดยการทดสอบจะเริ่มจากการเปิด VDO ใดๆใน Media Player ต่างๆ จากนั้นก็ทำการ load subtitle ที่ฝัง code อันตรายไว้ จากนั้นก็รอให้ code อันตรายนั้นๆทำงาน
สิ่งที่เราทำได้มีเพียงการ patch media player ให้เป็น version ใหม่ล่าสุดอยู่เสมอก็พอจะช่วยป้องกันการโจมตีแบบนี้ได้ครับ โดยหลังจากที่ทั้ง 4 เจ้าได้รับการแจ้งเตือนช่องโหว่ดังกล่าว ตอนนี้ก็ได้มีการออก patch มาแก้กันทั้ง 4 เจ้าแล้ว

ที่มา : Helpnetsecurity

Ransomware WannaCry เป็นตัวที่ดัดแปลงมาจาก NSA Tool ที่ชื่อว่า Eternal Blue สำหรับการโจมตีช่องโหว่ใน service SMB (port 445) และฝัง Backdoor ที่ชื่อว่า DoublePulsar นั่นหมายความว่า WannaCry มีการดัดแปลงเครื่องมือจาก NSA จำนวน 2 ตัวจากที่มีการปล่อยออกมาทั้งหมด แต่ตัวใหม่ที่ชื่อว่า EternatRocks มีการนำเครื่องมือจาก NSA มาดัดแปลง 7 ตัวด้วยกัน
EternalRocks มีการใช้งานเครื่องมือ 2 ตัวจาก NSA ในการเก็บข้อมูลรายละเอียด SMB คือ SMBTOUCH และ ARCHITOUCH จากนั้นใช้เครื่องมือต่างๆของ NSA ไม่ว่าจะเป็น ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, และ ETERNALSYNERGY ทั้งหมด 4 ตัวในการโจมตี สุดท้ายจะทำการฝัง backdoor ที่ชื่อว่า DOUBLEPULSA ต่ออีกที ซึ่ง EternalRocks ไม่มีการฝัง malware content แต่อย่างใด นั่นหมายความว่า ณ ปัจจุบัน EternalRocks ผลกระทบยังไม่รุนแรงเท่า WannaCry และ EternalRocks ไม่มี kill switch domain feature แต่อย่างใด นั่นหมายความว่าจะไม่มีการตรวจสอบ domain ใดๆ ก่อนเริ่มการทำงาน ซึ่ง EternalRocks จะเริ่มจากการฝังตัวเข้าไปในเครื่อง จากนั้น download Tor Client และติดต่อไปยัง C&C Server (Command & Control Server) ต่ออีกที ซึ่งจะใช้เวลาประมาณ 24 ชม. กว่า C&C Server จะตอบกลับมา เพื่อทำการพยายาม bypass Sandbox และไม่ให้ตรวจจับจาก Security Researcher ได้ (โดยปกติ Sandbox ระดับ enterprise ต่างๆ มักจะเข้าไปแก้ไข code ของ malware ตอน Runtime ให้เปลี่ยน sleep ต่างๆกลายเป็น 0 เพื่อปิดการหน่วงเวลาของ Malware ต่างๆ ที่ทำงานตามเวลาที่กำหนดหรือ Logic Bomb)
หลังจาก stage แรกผ่านไป stage ที่ 2 จะเริ่มทำการติดตั้งโดยการ download shadowbrokers.

นักวิจัยจาก modzero พบว่าชุดโปรแกรมไดร์ฟเวอร์เสียง Conexant HD Audio Driver ของค่าย HP นั้นมีการแอบติดตั้งโปรแกรม Keylogger หรือโปรแกรมแอบดักการพิมพ์คีย์บอร์ดคอมพิวเตอร์ ไว้ในเครื่องผู้ใช้ด้วยในชื่อ MicTray.