OnePlus left a backdoor in its devices capable of root access

เมื่อเดือนที่ผ่านมา OnePlus ถูกพบว่ามีการเก็บข้อมูลส่วนตัวของผู้ใช้งานมือถือเพื่อส่งกลับไปวิเคราะห์ โดย Developer รายหนึ่งได้ทำการวิเคราะห์เพื่อตรวจสอบวิธีการเก็บข้อมูล ทำให้พบว่ามีแอพพลิเคชั่นที่ถูกพัฒนาโดย Qualcomm ใช้ชื่อว่า "EngineerMode" ซึ่งถูกลงมาในเครื่องเพื่อใช้ตรวจสอบว่าตัวเครื่องมือถือทำงานปกติหรือไม่ จากการ reverse engineer ทำให้พบว่าสามารถได้สิทธิ์เป็น root ของเครื่องได้ โดยพบว่าแอพพลิเคชันดังกล่าวถูกลงไว้ใน OnePlus 3,3T และ 5 รวมไปถึงมีการลงบน OxygenOS บน OnePlus One
ความสามารถของแอพพลิเคชั่นตัวนี้คือ การวิเคราะห์ข้อมูล GPS, ตรวจสอบสถานะของ Root, การทำ automated tests เป็นต้น จากการ decompile แอพพลิเคชั่น ทำให้พบว่าหากมีการเรียก DiagEnabled พร้อมกับส่งรหัสที่ถูกต้องเข้าไป จะทำให้ได้สิทธิ์ Root ของเครื่องได้โดยที่ไม่ต้องปลดล็อคเครื่อง โดยข้อผิดพลาดนี้อาจถูกนำไปใช้กับช่องโหว่อื่นๆ เพื่อใช้ในการโจมตีได้

ที่มา: ANDROIDPOLICE

Critical Vulnerabilities Patched in Apache CouchDB

CouchDB เป็นตัวจัดการฐานข้อมูลที่มีลักษณะเป็น document-oriented ซึ่งถูกใช้ในฐานข้อมูลแบบ NoSQL และปัจจุบันเป็นที่นิยมมากจากการจัดลำดับโดย DB-Engines
นักวิจัย Max Justicz ค้นพบช่องโหว่ CouchDB ในระหว่างที่พยายามหา Bug บนเซิร์ฟเวอร์ที่มีหน้าที่ในการแจกจ่าย npm packages(registry.

Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts

นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์ใหม่ที่มีความซับซ้อนโดยอิงจาก Zeus banking Trojan ที่มีชื่อเสียงในการขโมยข้อมูลธุรกรรมทางธนาคารจำนวนมาก

Banking Trojan Terdot ถูกค้นพบตั้งแต่กลางปี 2016 ซึ่งถูกออกแบบมาให้ทำงานเป็น Proxy เพื่อใช้ในการโจมตีแบบ man-in-the-middle (MitM) ขโมยการเข้าถึงเว็บไซต์ เช่นข้อมูลบัตรเครดิต , UserName Password สำหรับ Login เข้าสู่ระบบ รวมถึงการฝั่งโค้ด HTML ลงในหน้าเว็บที่เข้าชม นอกจากนี้รูปแบบใหม่ของ Terdot ยังเพิ่มความสามารถในการอัปเดตอัตโนมัติ ซึ่งอนุญาตให้มัลแวร์สามารถดาวน์โหลดและรันไฟล์ตามที่ผู้ดำเนินการร้องขอได้

นักวิจัยด้านความปลอดภัยจาก Bitdefender พบว่า Banking Trojan ถูกพัฒนาให้มีความสามารถเพื่อมากขึ้น เช่น ใช้ประโยชน์จากเครื่องมือโอเพนซอร์สสำหรับปลอมแปลงใบรับรอง SSL
เพื่อเข้าถึง social media และบัญชีอีเมล รวมถึงสามารถโพสต์ข้อความในนามผู้ติดไวรัส

เป้าหมายหลักของ Terdot คือเว็บไซต์ของธนาคารในหลาย ๆ สถาบันในแคนาดาเช่น Royal Bank, Banque Nationale, PCFinancial, Desjardins, BMO (Bank of Montreal) และ Scotiabank เป็นต้น นอกจากนี้ยังพบว่า Terdot สามารถกำหนดเป้าหมายในการโจมตีไปยัง social media ได้แก่ Facebook, Twitter, Google Plus และ YouTube รวมถึงผู้ให้บริการอีเมล ได้แก่ Gmail ของ Google, Microsoft's live.

ToastAmigo malware uses new twist to attack Toast overlay vulnerability

พบมัลแวร์ตัวใหม่ที่ใช้ช่องโหว่ของการทับซ้อนหน้าจอบน Android ที่ติดตั้งไว้ก่อนหน้านี้ ทำให้สามารถติดตั้งมัลแวร์เพิ่มเติมและใช้สิทธิ์ต่างๆ ในการเข้าถึงโทรศัพท์ได้

มัลแวร์นี้มีชื่อว่า ToastAmigo ถูกตรวจพบโดย Trend Micro ว่าเป็น ANDROIDOS_TOASTAMIGO และใช้ประโยชน์จากช่องโหว่ชื่อ Toast รหัส CVE-2017-0752

ToastAmigo ถูกซ่อนอยู่ภายในแอปสองแอปที่มีอยู่ใน Google Play Store ภายใต้ชื่อ Smart AppLocker โดยแอปทั้งสองจะให้ผู้ใช้ตั้งค่า PIN เพื่อเปิดแอปพลิเคชัน ซึ่งแตกต่างจากระบบล็อคแบบเดิมของอุปกรณ์ แอปพลิเคชันตัวหนึ่งได้รับการดาวโหลดมากกว่า 500,000 ครั้ง ในวันที่ 6 พฤศจิกายน 2017

เมื่อผู้ใช้เปิดแอป ToastAmigo จะเปิดการโจมตี Toast Overlay โดยแสดงการแจ้งเตือนของ Toast ที่ครอบคลุมทั้งหน้าจอและแสดงหน้าตาของแอปปลอม ในความเป็นจริงด้านหลังของการแจ้งเตือน Toast จะอาศัยการควบคุม User Interface ของแอปจริง ซึ่งจะหลอกลวงให้ผู้ใช้เข้าถึงแอปพลิเคชันที่เป็นอันตรายในบริการ Android Accessibility ซึ่งเป็นฟีเจอร์ที่ทำให้แอปสามารถดำเนินการได้ในนามของผู้ใช้ ผู้ใช้งานที่ไม่สงสัยอาจคิดว่ากำลังโต้ตอบกับแอปจริงเอง

หลังจากที่ใช้การโจมตี Toast Overlay เพื่อเข้าถึงบริการ Android Accessibility ToastAmigo จะดำเนินการต่างๆ ตามลำดับอย่างรวดเร็วและติดตั้งแอปที่มีมัลแวร์ชื่อ AmigoClicker มัลแวร์ตัวที่สองนี้เป็น Adware ที่ติดตั้ง Proxy บนอุปกรณ์และโหลดโฆษณาเพื่อรับผลประโยชน์ทางการเงิน

ปัจจุบัน Google ได้ลบแอปพลิเคชันทั้งสองตัวออกจาก Play Store เรียบร้อยแล้ว วิธีการป้องกันตัวเองจาก ToastAmigo คือการตรวจสอบให้แน่ใจว่ามีการดาวโหลดแพชต์เดือนกันยายน ผู้ใช้ควรดาวโหลดแอปจาก Google Play เป็นหลัก

ที่มา : scmagazine

Google presents changes to Google Chrome that aim to prevent users from being redirected to unexpected websites and unwanted content

Google มีการปล่อยฟีเจอร์ใหม่สำหรับ Chrome ซึ่งสามารถป้องกันผู้ใช้งานจากการโจมตีแบบ phishing ที่ใช้วิธีการเปลี่ยนหน้าเว็บไซต์ไปยังเว็บไซต์อันตรายได้

การโจมตีแบบ phishing ในลักษณะหนึ่งนั้น ผู้โจมตีมักจะใช้การฝังโค้ดที่เป็นอันตรายลงไปในหน้าเว็บเพจ โดยเมื่อผู้ใช้งานเข้าถึงเว็บไซต์ดังกล่าว โค้ดที่เป็นอันตรายจะถูกรันและบังคับให้ผู้ใช้งานเปลี่ยนหน้าไปยังอีกเว็บไซต์ซึ่งมีโปรแกรมที่เป็นอันตรายฝังอยู่หรือเป็นหน้าสำหรับหลอกข้อมูลได้

ใน Chrome เวอร์ชัน 64 นั้น การเปลี่ยนหน้าเว็บเพจโดยที่ผู้ใช้งานไม่อนุญาตทั้งหมดจะถูกแจ้งต่อผู้ใช้งานก่อน ในขณะเดียวกัน Chrome ในเวอร์ชัน 65 ก็จะมีการเพิ่มวิธีการที่หลายเว็บไซต์ใช้ในการข้ามผ่านฟีเจอร์สำหรับบล็อค Pop-up เมื่อผู้ใช้งานคลิกลิงค์ต่างๆ ด้วย

แนะนำให้ผู้ใช้งานติดตามข่าวสารด้านความปลอดภัยอย่างสม่ำเสมอ และอัพเดตซอฟต์แวร์ให้มีความทันสมัยเพื่อให้ได้รับฟีเจอร์ที่ช่วยในการป้องกันและเพิ่มความปลอดภัยที่เหมาะสม

ที่มา : securityaffairs

Microsoft November Patch Tuesday Fixes 53 Security Issues

Microsoft ได้ออก Tuesday Patch ประจำเดือนพฤศจิกายน ออกมาเมื่อวานนี้ การ Patch ในรอบนี้ครอบคลุม
CVE ทั้งหมด 53 รายการ ซึ่งรวมถึงการแก้ไขในส่วนของ Adobe Flash และ Microsoft Office ด้วย โดยมี 19 รายการที่ถูกจัดอยู่ในระดับ "Critical", 31 รายการถูกจัดอยู่ในระดับ "Important" และ 3 รายการที่ถูกจัดอยู่ในระดับ "Moderate"
ทั้งนี้รายการแก้ปัญหาส่วนใหญ่ที่เป็นระดับ "Critical" ในรอบนี้จะเป็นปัญหาในส่วนของ Microsoft Scripting Engine นอกเหนือจากนี้ก็จะเป็นการแก้ปัญหาใน Internet Explorer และ Edge, ส่วนที่เป็นการแก้ปัญหาใน Microsoft Office จะอยู่ในระดับ "Important" ซึ่งเป็นการแก้ปัญหาที่เกี่ยวกับการสั่งรัน Code ที่ไม่ปลอดภัย(arbitrary code execution) และการเพิ่มสิทธิ์อย่างไม่ถูกต้อง(privilege escalation)
ถึงแม้จะมีการออก Patch เพื่อแก้ปัญหาช่องโหว่ต่างๆ ออกมาเป็นระยะก็ตาม แต่ผู้ใช้งานก็ยังคงต้องหลีกเลี่ยงการเข้าสู่เวปไซต์ใดๆ ก็ตามที่มีความเสี่ยง หรือเปิดเอกสารใดๆ ก็ตามที่อาจไม่ปลอดภัย จะเป็นวิธีการที่ดีที่สุดที่ช่วยหลีกเลี่ยงการเกิดปัญหาที่ไม่พึงประสงค์ได้

ที่มา : BLEEPINGCOMPUTER

MMO Disables In-Game Chat After Discovering It Can Be Used To Send Malware

Chats ในเกมส์ MMORPGs อาจมีความเสี่ยงที่ทำให้ผู้ใช้งานติดมัลแวร์

อ้างอิงจากโพสต์ใน Reddit ที่มีการพูดถึงเกมส์ MMORPG Tera ของเกาหลีว่ามีการใช้ประโยชน์จากการแชทในเกมส์เพื่อส่งมัลแวร์ไปยังผู้เล่นคนอื่นๆ โดยจากการตรวจสอบพบว่า Interface ในช่องแชทในเกมส์ของ Tera ใช้ HTML ทำให้เป็นไปได้ที่จะมีการส่งข้อมูลที่อาจจะฝัง Code เอาไว้ โดยอาจจะเป็นภาพธรรมดาไปจนถึงบางอย่างที่อันตรายกว่าอย่างพวกมัลแวร์

หลังจากทีมผู้ผลิตทราบถึงปัญหาดังกล่าว พวกเขาได้ประกาศปิดการแชทในเกมส์และการใช้งานออนไลน์จนกว่าจะสามารถแก้ปัญหาดังกล่าวได้สำเร็จ

ที่มา : ubergizmo

New exploit uses antivirus software to help spread malware

สิ่งหนึ่งที่ช่วยให้เราท่องเว็บไซต์อย่างปลอดภัยคือการใช้ซอฟแวร์ป้องกันไวรัสหรือ Antivirus Software แต่การค้นพบเมื่อไม่นานมานี้พิสูจน์ให้เห็นว่าแม้แต่ซอฟต์แวร์ป้องกันไวรัสที่ดีที่สุดก็ไม่ใช่ตัวช่วยที่ดีนัก

ที่ปรึกษาด้านความปลอดภัย Florian Bogner พบการใช้ประโยชน์จากฟังก์ชัน "restore from quarantine" ในโปรแกรมป้องกันไวรัสจำนวนมาก ที่ทำให้ผู้ใช้งานสามารถย้ายมัลแวร์จากโฟลเดอร์กักกันไปยังที่อื่นในคอมพิวเตอร์ของเหยื่อเพื่อเรียกใช้งานมัลแวร์ได้

โดยปกติการคืนค่าจากฟังก์ชันกักกัน "restore from quarantine" จะไม่อนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบเขียนไฟล์ลงในโฟลเดอร์ C: \ Program หรือ C: \ Windows ของคอมพิวเตอร์ แต่การโจมตีนี้จะใช้ฟังก์ชัน NTFS ของ Windows เพื่อได้สิทธิ์ในการเข้าถึงไปยังโฟลเดอร์เหล่านี้ แต่มีข้อจำกัดที่สำคัญคือแฮกเกอร์ต้องอยู่หน้าเครื่องเหยื่อ คอมพิวเตอร์ขององค์กรอาจเสี่ยงต่อการโจมตีประเภทนี้มากที่สุด แม้ว่าจะดูไม่เป็นปัญหามากนัก แต่ก็เป็นไปได้ที่พนักงานที่ไม่พึงพอใจต่อองค์กรอาจตัดสินใจทำ โดย Bogner เสนอวิธีง่ายๆ ในการแก้ไขปัญหานี้โดยการปิดใช้งานฟังก์ชัน "restore from quarantine" บนคอมพิวเตอร์ขององค์กร

ในส่วนของโปรแกรมป้องกันไวรัส Bogner ได้แจ้งผู้จำหน่ายซอฟต์แวร์ต่างๆ ที่มีช่องโหว่นี้และหลายที่ได้เปิดตัวแพทช์เพื่อแก้ไขปัญหานี้แล้ว

ที่มา : DIGITAL TRENDS

Built-in Keylogger Found in ManticTek GK2 Keyboards-Sends Data to China

Keyboard Mechanical Gaming แบบ 104 key ยี่ห้อ Mantistek รุ่น GK2 พบว่ามีการแอบเก็บบันทึกข้อมูลการพิมพ์ (Keylogger) และส่งไปยัง Server ของกลุ่ม Alibaba โดยมีผู้ใช้บางคนสังเกตเห็นและได้แชร์ปัญหานี้ยังไป online forum

ตามที่ Tom's Hardware ระบุว่า คีย์บอร์ดดังกล่าวใช้ซอฟต์แวร์ 'Cloud Driver' รวบรวมข้อมูลการใช้งานเพื่อนำไปวิเคราะห์ แต่ได้ส่งข้อมูลสำคัญไปยัง Server ของ Alibaba
หลังจากวิเคราะห์อย่างใกล้ชิดทีม Tom's Hardware พบว่า Keyboard Mantistek ยังไม่ได้เป็น keylogger เต็มรูปแบบ แต่จะบันทึกจำนวนครั้งที่มีการกดปุ่มและส่งข้อมูลนี้กลับไปยัง Server ออนไลน์

ผู้ใช้ที่ได้รับผลกระทบได้แสดงภาพหน้าจอที่แสดงให้เห็นว่ามีการเก็บการกดแป้นพิมพ์บนคีย์บอร์ดและจะถูกอัปโหลดไปยัง Server ในจีนที่อยู่ IP: 47.90.52.88
และมีการรายงานว่าซอฟต์แวร์ของ MantisTek keyboard' ถูกส่งข้อมูลที่เก็บรวบรวมไปยังจุดหมายปลายทางสองแห่งตามที่อยู่ IP คือ
/cms/json/putkeyusedata.

Joomla! Security & Bug Fix Release 3.8.2

Joomla! เปิดตัวเวอร์ชันใหม่ 3.8.2 พร้อมแพตช์ด้านความปลอดภัย

Joomla เวอร์ชั่น 3.8.2 ได้เปิดตัวอย่างเป็นทางการแล้ว โดยในรุ่นนี้นั้นนอกจากจะมีการอัพเดตฟีเจอร์ใหม่ ยังมีการปล่อยแพตช์ด้านความปลอดภัยที่มีการอุดช่องโหว่ด้านความปลอดภัย 3 ช่องโหว่หลักและแก้ไขบั๊กที่รายงานหลังจากออก Joomla รุ่นก่อน ๆ จำนวนกว่า 90 บั๊ก

3 ช่องโหว่หลักด้านความปลอดภัยที่ทำการแก้ไขดังนี้

- ช่องโหว่ที่มีความรุนแรงระดับกลาง : ข้อมูลรั่วไหลผ่านฟังก์ชันที่มีการอิมพลีเมนต์โปรโตคอล LDAP (กระทบ 1.5.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับกลาง : ข้ามผ่านระบบยืนยันตัวตนแบบสองขั้นตอน (Two-Factor Authentication) (กระทบ 3.2.0 ถึง 3.8.1)

- ช่องโหว่ที่มีความสำคัญระดับต่ำ : ข้อมูลเฉพาะของเว็บไซต์รั่วไหลไปยังผู้ใช้งานที่ไม่มีสิทธิ์เข้าถึง (กระทบ 3.7.0 ถึง 3.8.1)

แนะนำให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดโดยด่วน

ที่มา : joomla