Demo Exploit Code Published for Remote Code Execution via Microsoft Edge

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

Demo Exploit Code Published for Remote Code Execution via Microsoft Edge

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา: bleepingcomputer.

Fake Amazon Order Confirmations Push Banking Trojans on Holiday Shoppers

EdgeWave บริษัทรักษาความปลอดภัยเกี่ยวกับอีเมล ค้นพบแคมเปญ Phishing และ Malspam โดยผู้โจมตีจะส่งอีเมลที่ปลอมเป็นหน้ายืนยันการสั่งซื้อของ Amazon ที่ดูน่าเชื่อถือ และมีหัวข้อ (Subject) ของอีเมลว่า "Your Amazon.

Huawei Router Flaw Leaks Default Credential Status

พบช่องโหว่ในเราเตอร์ Huawei (CVE-2018-7900) ส่งผลให้ผู้ไม่หวังดีสามารถรู้ได้ว่าเราเตอร์ใช้ default password อยู่หรือไม่

ช่องโหว่ดังกล่าวส่งผลให้เว็บไซต์อย่าง ZoomEye หรือ Shodan ที่ใช้สำหรับค้นหารายการอุปกรณ์ที่มีช่องโหว่ทั่วโลก สามารถทราบได้ว่ามีเราเตอร์ตัวไหนบ้างที่มีการใช้ default password อยู่ โดยเป็นปัญหาที่มาจากตัวแปรบางตัวของ html source code ในหน้า Login ที่มีการเก็บค่าเฉพาะบางอย่างที่สามารถบ่งบอกได้ว่าอุปกรณ์มีการใช้ default password อยู่หรือไม่

Huawei ได้แก้ไขปัญหาดังกล่าวแล้ว โดยไม่มีการเปิดเผยรายละเอียดของช่องโหว่หรือจำนวนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost

File Inclusion Bug in Kibana Console for Elasticsearch Gets Exploit Code

พบช่องโหว่ Local File Inclusion (LFI) ในปลั๊กอิน Kibana data visualization tool ใช้สำหรับแสดงผลข้อมูลจาก Elasticsearch

Kibana เป็นเครื่องมือที่ถูกใช้อย่างแพร่หลายเพื่อแสดงผลข้อมูลจาก Elasticsearch ให้อยู่ในรูปแบบต่างๆ มีประโยชน์สำหรับการวิเคราะห์ข้อมูลและการสร้างภาพข้อมูลในรูปแบบต่างๆ จาก PoC code ที่ได้มีการเผยแพร่ออกมาเป็นเพียง code 1 บรรทัดที่มีตัวอักษรประมาณ 110 ตัว ซึ่งใน code จะมีการระบุถึงพาธของ Directory ที่ใช้เก็บ Password (/etc/passwd) รวมอยู่ด้วย เมื่อมีการรัน credential ที่อยู่ในพาธดังกล่าวจะถูกบันทึกไปยัง Kibana Log ด้วย

ช่องโหว่ดังกล่าวส่งผลให้ผู้โจมตีสามารถอัปโหลดสคริปต์ที่เป็นอันตรายและสามารถเข้าถึงระบบจากระยะ มีผลกระทบต่อ Kibana เวอร์ชั่นก่อน 6.4.3 และ 5.6.13 ซึ่งทีม Slow Mist Technology เป็นผู้เปิดเผยรายละเอียดของช่องโหว่ CVE-2018-17246

แนะนำให้ผู้ใช้งานอัพเกรด Elastic Stack เป็นเวอร์ชันใหม่กว่า 6.4.3 หรือ 5.6.13 หรือปิดการใช้ปลั๊กอิน Kibana ซึ่งสามารถทำได้จากการกำหนดค่า ('kibana.

Latin America suffers 1 billion malware attacks in 2018

ในละตินอเมริกาพบการโจมตีของมัลแวร์เฉลี่ย 3.7 ล้านรายต่อวัน รวมแล้วประมาณ 1 พันล้านครั้งต่อปีตามรายงานของ Kaspersky Lab ตัวเลขดังกล่าวบ่งชี้ว่ามีการโจมตีของมัลแวร์เพิ่มขึ้นร้อยละ 14.5 ในภูมิภาคตั้งแต่เดือนพฤศจิกายน 2017จนถึงเดือนพฤศจิกายน 2018

ประเทศแถบละตินที่เป็นเป้าหมายของการโจมตีมากที่สุดคืออาร์เจนตินาซึ่งมีการโจมตีของมัลแวร์เพิ่มขึ้นราว 62% ตามด้วยเปรู 39% และเม็กซิโก 35% ซึ่งเพิ่มจำนวนการโจมตีมากขึ้น บริษัทรักษาความปลอดภัยทางไซเบอร์ตรวจสอบพบการโจมตี 192,000 ครั้งต่อวันมีจำนวนเพิ่มขึ้นประมาณ 115% เมื่อเทียบกับช่วงเดือนพฤศจิกายนในปี 2016 กับพฤศจิกายนในปี 2017

ประเทศในแถบละตินอเมริกาที่พบการโจมตีแบบฟิชชิ่ง (Phishing) มากที่สุดคือประเทศเม็กซิโกครองอันดับหนึ่ง ซึ่งพบการโจมตีฟิชชิ่งเพิ่มขึ้นประมาณ 120% ตามมาด้วยโคลัมเบียประมาณ 118% และบราซิล 110 %

สัปดาห์ที่ผ่านมาปรากฏว่ามีผู้ใช้บริการธนาคารผ่านระบบมือถือกว่า 2,000 รายในบราซิลที่ดาวน์โหลดมัลแวร์ผ่านทางระบบแอนดรอยด์โดยไม่รู้ตัว ซึ่งทำให้อุปกรณ์ถูกควบคุมรวมถึงขโมยข้อมูลส่วนบุคคลอีกด้วย เช่นเดียวกับธนาคาร Bradesco สถาบันทางการเงินที่ใหญ่เป็นอันดับสองของประเทศบราซิลพบว่าถูกโจมตีด้วยการทำฟิชชิ่งผ่านการใช้มัลแวร์บนระบบปฏิบัติการแอนดรอยด์ นอกจากนี้มัลแวร์ยังมีการหลอกขโมยข้อมูลจากแอพพลิเคชั่นอื่นๆ เพิ่มเติมด้วย เช่น Uber, Netflix และ Twitter

ที่มา : zdnet

US ballistic missile defense systems (BMDS) open to cyber attacks

ผู้ตรวจการทั่วไปของกระทรวงกลาโหมประเทศสหรัฐอเมริกาออกรายงานเรื่องความไม่ปลอดภัยของระบบการป้องกันขีปนาวุธ (BMDS) ว่ายังไม่เพียงพอต่อการป้องกันการเข้าถึงทางไซเบอร์ในขณะนี้ เนื่องจากระบบต่างๆได้รับการควบคุมโดยคอมพิวเตอร์และซอฟต์แวร์จึงเสี่ยงต่อการถูกโจมตีทางไซเบอร์โดยผู้ก่อการร้ายระดับชาติที่อาจพยายามเข้าควบคุมระบบ สร้างความเสียหาย ขโมยข้อมูลและรหัสแหล่งข้อมูล หรืแม้แต่สั่งยิงขีปนาวุธ

ทั้งนี้เมื่อวันที่ 14 มีนาคม 2014 หัวหน้าข้อมูลสารสนเทศของกระทรวงกลาโหมประกา่ศแผนที่จะใช้มาตราฐานการควบคุมด้านความปลอดภัยทางไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยี (NIST) เพื่อปกป้องระบบซึ่งรวมถึง BMDS แต่เมื่อผ่านไปสี่ปี ผู้ตรวจสอบกลับพบว่า BMDS ล้มเหลวในการใช้การควบคุมด้านความปลอดภัยที่จำเป็น เช่น ไม่มีการใช้ระบบยืนยันตัวตนหลายปัจจัย (Multifactor Authentication), ไม่มีการประเมินความเสี่ยงระบบสารสนเทศโดยการตรวจสอบหาช่องโหว่ (Vulnerability Assessment), ไม่มีการควบคุมความปลอดภัยของเซิร์ฟเวอร์, ไม่มีการป้องกันข้อมูลที่จัดเก็บไว้บนอุปกรณ์จัดเก็บข้อมูลที่สามารถถอดเคืร่องย้ายได้, ไม่มีการเข้ารหัสข้อมูลทางเทคนิค รวมไปถึงไม่มีกล้องและเซนเซอร์สำหรับป้องกันการบุกเข้ามายังสถานที่โดยตรง นอกจากนี้ในรายงานยังกล่าวว่าไม่มีการอัปเดตแพตช์ความปลอดภัยให้กับระบบ BMDS โดยพบว่าในบางฐานไม่มีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ที่พบตั้งแต่ปี 1990 ซึ่งในรายงานระบุให้แก้ไขปัญหาเหล่านี้และทำตามข้อกำหนดของหน่วยงานรัฐ

ทั้งนี้ยังไม่มีความเห็นจากเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ BMDS ซึ่งสำนักงานผู้ตรวจการได้ขอให้ผู้อำนวยการ นายพล และเจ้าหน้าที่ระดับสูงอื่นๆ ในกระทรวงกลาโหมประเทศสหรัฐอเมริกาชี้แจงเกี่ยวกับรายงานนี้ภายใน 8 มกรา 2019

ที่มา: bleepingcomputer

Malware ‘Operation Sharpshooter’ hits government and defense firms: McAfee

ทีมงานวิจัยของ McAfee ได้พบกับแคมเปญมัลแวร์ใหม่ๆ ซึ่งมีเป้าหมายโจมตีไปยังองค์กรภาคเอกชนและภาครัฐหลายสิบองค์กรทั่วโลก

แคมเปญมัลแวร์ ที่ได้รับการขนานนามว่า “Operation Sharpshooter” ซึ่งมีเป้าหมายมากกว่า 100 องค์กรใน 24 ประเทศภายในเวลาเพียงไม่กี่สัปดาห์ องค์กรที่ได้รับผลกระทบจากมัลแวร์ดังกล่าว ได้แก่ องค์กรเกี่ยวกับพลังงาน นิวเคลียร์ ความปลอดภัย และบริษัทเกี่ยวกับการเงิน โดยพบว่ามีองค์กรที่ได้รับผลกระทบอย่างน้อย 87 หน่วยงานทั่วโลก ในระยะเวลาเพียงสองเดือนเท่านั้น

สคริปต์อันตรายในไฟล์เอกสารลวงที่จะซ่อนเนื้อหาสคริปต์ที่เป็นอันตราย ซึ่งจะโจมตีอัตโนมัติหลังจากโหลดข้อมูลจากอีเมล์หลอกลวง (phishing email) หรือมีการเชื่อมโยงไปยังเอกสาร Microsoft Word ในบัญชี Dropbox ที่จะทำให้ติดตั้งและฝังสคริปต์ Rising Sun ภายในเครื่อง และยังทำหน้าที่เป็น backdoor ที่ทำการสอดแนมบนเครือข่ายของเหยื่ออีกด้วย

ภัยคุกคามระดับสูงแบบใหม่นี้อาศัยการทำงานกับ Fileless Malware (หรือเรียกว่ามัลแวร์ที่ไม่มีไฟล์ มีลักษณะการทำงานโดยอาศัยการส่ง Payload เข้าไปทำงานใน Ram ผ่านสคริปต์ PowerShell และรันคำสั่งโดยไม่มีไฟล์หรือสร้างโฟลเดอร์บนฮาร์ดดิสก์ ทำให้ไม่สามารถตรวจจับได้) และเครื่องมือสำหรับเจาะช่องโหว่หรือโจมตีที่มีการใช้โค๊ดจากโทรจันที่ถูกสร้างโดยกลุ่มแฮ็กเกอร์ Lazarus ที่เป็นกลุ่มอาชญากรรมทางไซเบอร์ที่อยู่ในเกาหลีเหนือ ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่แพร่ WannaCry Ransomware และอาชญากรรมไซเบอร์อื่นๆ ทั่วโลก เป็นต้น

ที่มา : E Hacking News

Google admits Google Plus hit by *another* privacy flaw, speeds up site’s closure

ระหว่างปี 2015 และมีนาคม 2018 พบช่องโหว่ใน Google Plus เครือข่ายสังคมออนไลน์ของ Google ที่ส่งผลให้ข้อมูลส่วนตัว อาทิเช่น ชื่อผู้ใช้ ที่อยู่อีเมล วันเดือนปีเกิด เพศ รูปถ่าย ที่อยู่อาศัย สถานภาพความสัมพันธ์และอาชีพ ถูกเปิดเผยไปยังนักพัฒนาซอฟต์แวร์จากความผิดพลาดของ API

รายงานระบุว่าในเดือนมีนาคม 2018 Google เลือกที่จะไม่เปิดเผยต่อสาธารณชนว่า บริษัทไม่สามารถปกป้องข้อมูลส่วนบุคคลของผู้ใช้เป็นเวลาหลายปี เนื่องจากในช่วงเวลาดังกล่าว Facebook ที่เป็นคู่แข่งอยู่กำลังมีข่าวเกี่ยวกับการนำข้อมูลไปใช้โดยไม่ได้รับอนุญาตของ Cambridge Analytica อย่างไรก็ตามในที่สุดเมื่อเดือนตุลาคมที่ผ่านมา Google ก็ออกมายอมรับถึงปัญหาดังกล่าว พร้อมทั้งระบุว่ามีผู้ใช้งานประมาณ 5 แสนบัญชีที่ได้รับผลกระทบ และมีแอพพลิเคชั่น 438 รายการเข้าถึงข้อมูลดังกล่าวโดยไม่ได้รับอนุญาต โดย Google ได้ออกมาประกาศว่าจะทำการปิดตัว Google Plus ปลายเดือนสิงหาคม 2019

แค่นั้นยังไม่พอ ล่าสุด Google ออกมายอมรับว่าในขณะนี้ Google Plus ได้มีปัญหาด้านความปลอดภัยอื่นๆ ส่งผลให้ข้อมูลของผู้ใช้งาน 52 ล้านบัญชี สามารถถูกเข้าถึงโดยแอพพลิเคชั่นและนักพัฒนาซอฟต์แวร์ของบริษัทอื่นโดยไม่ได้รับอนุญาต

ดังนั้นถ้าหากคุณเป็นหนึ่งในผู้ใช้งานที่มีบัญชีของ Google Plus ข้อมูลของคุณ เช่น ชื่อ อีเมล อาชีพหรืออื่นๆ ซึ่งแม้จะตั้งไว้เป็น "not public" ข้อมูลเหล่านั้นก็จะสามารถเข้าถึงได้โดยบุคคลที่ไม่ได้รับอนุญาต และล่าสุด Google ได้ออกมาประกาศอีกครั้งว่าจะปิดตัว Google Plus แต่จะปิดในเดือนเมษายน 2019 แทนที่จะเป็นเดือนสิงหาคม 2019 ซึ่งเร็วกว่าประกาศเดิม 5 เดือน

ที่มา : GRAHAM CLULEY

Microsoft December 2018 Patch Tuesday Fixes Actively Used Zero-Day Vulnerability

ไมโครซอฟต์และ Adobe ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 แก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้โจมตี

เมื่อวันที่ 11 ธันวาคม 2018 ไมโครซอฟต์ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เพื่อแก้ไขช่องโหว่ใน Windows และผลิตภัณฑ์อื่นๆ ทั้งหมด 39 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) 9 ช่องโหว่ มีการแก้ไขช่องโหว่ที่สำคัญคือ ช่องโหว่ CVE-2018-8611 ซึ่งเป็น Zero-day ที่กำลังถูกใช้โจมตีด้วยมัลแวร์ ช่องโหว่นี้พบใน Windows Kernel ที่ทำให้ผู้โจมตีสามารถรันโปรแกรมเพื่อยกระดับสิทธิ์ได้ ถูกค้นพบโดย Kaspersky

นอกจากนี้ Adobe ยังได้ออกแพตช์เพื่อแก้ไขช่องโหว่ประจำเดือนธันวาคม 2018 เช่นกัน โดยแก้ไขช่องโหว่ใน Adobe Acrobat และ Adobe Reader กว่า 87 ช่องโหว่ เป็นช่องโหว่ร้ายแรงมาก (Critical) ถึง 39 ช่องโหว่

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : BLEEPINGCOMPUTER