Script engine ของ Internet Explorer เป็นเป้าหมายที่ได้รับความสนใจจากกลุ่มผู้โจมตีทางไซเบอร์ของเกาหลีเหนือในปีนี้ หลังจากที่แฮกเกอร์ได้ใช้ช่องโหว่ zero-day ทั้งใหม่และเก่าเพื่อเป็นเครื่องมือในการโจมตี

DarkHotel กลุ่มผู้โจมตีทางไซเบอร์ที่ McAfee และผู้เชี่ยวชาญจากหลายๆ องค์กรเชื่อว่าน่าจะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเคยถูกระบุในรายงานของ Kaspersky เมื่อปี 2014 ว่าเป็นกลุ่มที่ทำการโจมตีระบบ WiFi ของโรงแรมมากกว่า 100 แห่งเพื่อทำการแพร่กระจายมัลแแวร์ ล่าสุดกลุ่มดังกล่าวก็ได้ลงมืออีกครั้งในปีนี้ผ่านการใช้ช่องโหว่ของ VBScript engine ของ Internet Explorer 2 ตัว ได้แก่ CVE-2018-8174 ในเดือนเมษายน และ CVE-2018-8373 ในเดือนสิงหาคม ซึ่งทั้งสองช่องโหว่ได้รับการแพทช์โดย Microsoft ไปเรียบร้อยแล้ว และที่เพิ่งถูกรายงานออกมาล่าสุดจาก Qihoo 360 Core ได้ระบุว่ากลุ่มนี้มีการใช้วิธีการโจมตีใหม่ผ่านช่องโหว่ของ IE Script เก่า 2 ตัว คือ CVE-2017-11869 และ CVE-2016-0189

ทั้งนี้ Internet Explorer เป็นจุดที่ค่อนข้างน่ากังวลมากด้านความปลอดภัย เนื่องจากถูกพัฒนามานานมากแล้ว ทำให้ Code บางส่วนอาจจะไม่ปลอดภัยในปัจจุบัน Microsoft เองก็ได้เล็งเห็นถึงจุดนี้ ในเดือนกรกฎาคมปี 2017 จึงได้ปิดความสามารถการรัน VBScript อัตโนมัติบน IE เวอร์ชั่นใหม่ๆ การปรับปรุงในครั้งนั้นอาจจะช่วยป้องกันให้ผู้โจมตีไม่สามารถรัน VBScript ที่เป็นอันตรายบนเครื่อง Windows 10 ผ่าน IE ได้ แต่ก็ไม่สามารถหยุดการโจมตีจากกลุ่ม DarkHotel ซึ่งได้เปลี่ยนวิธีการใหม่เป็นการแนบ Code ไปในเอกสาร Word เพื่อทำการเรียกหน้าเว็บผ่าน IE Frame แทน

ที่มา : zdnet

Microsoft Office ได้รับผลกระทบจากช่องโหว่ของ feature “online video” ใน Word ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้

นักวิจัยด้านความปลอดภัย Cymulate กล่าวว่า ปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้งาน Microsoft Office 2016 และก่อนหน้า เป็นปัญหาเมื่อมีการแนบ online video บนเอกสาร ปัญหาเกี่ยวข้องกับไฟล์ document.

หลังจากปล่อย iOS 12.1 ออกมาได้ไม่นาน ก็มีผู้ค้นพบช่องโหว่ที่สามารถผ่าน Passcode ของเครื่อง และสามารถเข้าถึงข้อมูลรายชื่อผู้ติดต่อที่อยู่บนเครื่องที่ถูกล๊อคอยู่ได้

Jose Rodriguez นักวิจัยด้านการรักษาความปลอดภัยของสเปนได้ให้ข้อมูล และยืนยันว่าค้นพบปัญหาที่ช่วยให้สามารถเข้าถึงข้อมูลของผู้ใช้งาน iPhone ในระบบปฏิบัติการ iOS 12.1 เวอร์ชันล่าสุด โดยปัญหานี้อาศัยช่องโหว่จากปัญหาของ Group FaceTime ซึ่งถูกเพิ่มขึ้นมาใหม่ใน iOS 12.1 ช่วยให้ผู้ใช้สามารถแชทวิดีโอกับคนอื่นได้มากกว่า 2 คน และมากสุดถึง 32 คน โดยสามารถผ่าน Passcode ได้แม้ไม่มีการเปิดใช้งาน Siri หรือ VoiceOver screen reader ไว้ ซึ่งแตกต่างและง่ายกว่าการค้นพบก่อนหน้านี้

โดยมีขั้นตอนทดสอบง่ายๆ ดังต่อไปนี้
1. โทรไปยังเครื่องเป้าหมาย หรือถ้าไม่รู้จริงๆ ก็ต้องถามผ่าน Siri หรือคุยผ่าน Siri ให้โทรไปหาเบอร์ของเรา
2. เมื่อโทรติดแล้ว ให้เลือกใช้งาน "Facetime"
3. กดเลือกไปที่ "Add Person"
4. กดเครื่องหมาย + เพื่อเข้าถึงรายชื่อผู้ติดต่อบนเครื่องเป้าหมาย และใช้ 3D Touch เพื่อเลือกดูข้อมูลของรายชื่อผู้ติดต่อแต่ละคน

หรือสามารถดูวิดีโอสาธิตได้จากลิงค์ที่มาด้านล่าง และในส่วนของปัญหานี้ยังไม่ได้รับการแก้ไขจาก Apple แต่อย่างไร

ที่มา : thehackernews

Ron Bowes และ Jeff McJunkin จาก Counter Hack ที่เป็นองค์กรที่จัดการแข่งขันแฮ็ก ได้ค้นพบช่องโหว่ใหม่ใน Cisco's WebEx ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่าน WebEx client แม้ว่า WebEx ไม่ได้เปิดการเชื่อมต่อก็ตาม

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเป็นข้อผิดพลาดที่อนุญาตให้ผู้ใช้งานสามารถเชื่อมต่อและรันคำสั่งต่างๆกับแอพพลิเคชั่นที่มีช่องโหว่จากระยะไกลได้ นอกจากนี้ยังสามารถยกระดับสิทธิ์ในการรันคำสั่งได้อีกด้วย ช่องโหว่ดังกล่าวถูกค้นพบในขณะที่นักวิจัยด้านความปลอดภัยทั้งสองกำลังทำ pentest เพื่อหาทางยกสิทธิ์ของ local user โดยได้สังเกตเห็นว่า Cisco WebEx ใช้บริการที่เรียกว่า "WebexService" ที่สามารถถูก start และ stop ได้โดยใครก็ได้ และทำงานภายใต้สิทธิ์ system ทั้งสองได้ตั้งชื่อให้ช่องโหว่นี้ว่า "WebExec"

ทาง Cisco ได้ทำการแก้ไขช่องโหว่ดังกล่าวบน Cisco Webex Productivity Tools ในเวอร์ชัน 33.0.5 และใหม่กว่า และได้ให้รายละเอียดเพิ่มเติมว่า "Cisco Webex Productivity Tools จะได้รับการแทนที่ด้วย Cisco Webex Meetings Desktop App เมื่อมีการปล่อยเวอร์ชัน 33.2.0 ออกมา ผู้ใช้งานสามารถอัปเดตด้วยการเปิดแอปพลิเคชัน Cisco Webex Meetings และเลือกไปที่ "Settings" แล้วเลือก "Check for Updates" จาก drop-down list ซึ่งสามารถดูรายละเอียดเพิ่มเติมได้จากลิงก์ด้านล่าง

ลิงก์ --> [https://collaborationhelp.

Google ได้เปิดตัวเทคโนโลยี reCAPTCHA v3 เป็นเวอร์ชันที่มีการปรับปรุงใหม่ของเทคโนโลยี reCAPTCHA

ข่าวดีก็คือเวอร์ชั่นใหม่นี้ไม่จำเป็นต้องรอให้ผู้ใช้เลือกหรือพิมพ์อะไรเลย ต่างจากใน reCAPTCHA v1 ที่ผู้ใช้ต้องพยายามอ่านข้อความที่ถูกบิดเบือนจากภาพ และใน v2 ที่อาจรู้สึกรำคาญเมื่อต้องคลิกภาพที่ไม่มีที่สิ้นสุดของ "store fronts" "roads" และ "cars" แต่ reCAPTCHA v3 จะใช้เทคโนโลยีที่คิดค้นโดย Google ที่จะเรียนรู้ว่าอะไรคือการเข้าใช้งานเว็บไซต์ตามปกติ และอะไรเป็นพฤติกรรมปกติของผู้ใช้งาน จากการสังเกตว่าผู้ใช้ทั่วไปมีปฏิสัมพันธ์กับเว็บไซต์และส่วนต่างๆของเว็บไซต์อย่างไร Google จะสามารถตรวจพบความผิดปกติ และสามารถระบุได้ว่าเป็นบอทหรือการกระทำที่ผิดปกติหรือไม่

ผู้เข้าชมเว็บไซต์จะได้รับ "risk scores" ตามแหล่งที่มาหรือการกระทำที่พวกเขาทำบนเว็บไซต์ โดยมีคะแนนจาก 0.1 (แย่) ถึง 1 (ดี) ซึ่งผู้ดูแลระบบสามารถตัดสินใจว่าเว็บไซต์ของตนจะตอบสนองตาม risk scores อย่างไร โดยสิ่งที่ผู้ดูแลระบบต้องทำคือเพิ่มแท็ก "action" ใหม่ลงในหน้าเว็บที่ต้องการป้องกัน และจาก risk scores ที่กำหนดไว้จะช่วยให้ผู้ดูแลระบบสามารถตัดสินใจได้ว่าจะให้ทำอย่างไรเมื่อพบการใช้งานที่ต้องสงสัย เช่น ให้พิสูจน์ตัวตน (verification) ผ่านโทรศัพท์ก่อนที่จะอนุญาตให้ดำเนินการต่อไปได้ และ Google ยังได้ระบุว่าเวอร์ชั่นใหม่นี้สามารถถูกนำมาใช้เป็นทางเลือกสำหรับตรวจสอบการใช้งานของเว็บไซต์ที่เป็น local site ได้ด้วย

ทั้งนี้ระบบใหม่นี้จะมีความซับซ้อนมากขึ้นเมื่อเทียบกับ reCAPTCHA v2 แต่เจ้าของเว็บไซต์สามารถทดสอบการใช้งานตั้งแต่เดือนพฤษภาคมที่ผ่านมาแล้ว และประโยชน์ที่เห็นได้ชัดของ reCAPTCHA v3 คือเจ้าของเว็บไซต์สามารถควบคุมและตัดสินใจว่าเว็บไซต์ของตนจะตอบสนองยังไงต่อพฤติกรรมของบอทและการเข้าชมที่ไม่เหมาะสม โดยไม่ต้องให้ Google เป็นคนตัดสินใจให้

reCAPTCHA v3 จะปล่อยให้ใช้งานจริงในปลายสัปดาห์นี้ ผู้สนใจสามารถติดตามข้อมูลได้จากเว็บไซต์ของ Google ตามลิงค์ด้านล่าง

ลิงค์ --> https://webmasters.

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ค้นพบบอทเน็ตตัวใหม่ที่ถูกเรียกว่า "DemonBot" บน Apache Hadoop เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อเตรียมไว้ใช้โจมตีด้วย DDoS ในอนาคต บอทเน็ตดังกล่าวมีความสามารถของ C&C ด้วย ซึ่งขณะนี้พบว่ามีการติดตั้งบนเซิร์ฟเวอร์มากกว่า 70 ตัว

ผู้โจมตีจะทำการสแกนเพื่อค้นหาเซิร์ฟเวอร์ที่มีการติดตั้ง Hadoop ที่มีการใช้งานโมดูลที่ชื่อว่า "YARN" ที่มีการตั้งค่าที่ไม่ถูกต้อง (misconfiguration) YARN ซึ่งย่อมาจาก Yet Another Resource Negotiator เป็นองค์ประกอบหลักของ Apache Hadoop ซึ่งมักถูกใช้ในเครือข่ายองค์กรขนาดใหญ่หรือระบบคลาวด์ เมื่อพบเครื่องเป้าหมายบอตเน็ทจะพยายามใช้ประโยชน์ของ YARN ในการติดตั้ง "บอทเน็ต" ลงในระบบ Hadoop ที่มีช่องโหว่

ทั้งนี้จากรายงานของ Radware ที่เป็นบริษัทด้านความปลอดภัยพบว่า DemonBot กำลังเติบโตขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา และพบความพยายามเพื่อค้นหา Apache Hadoop ที่มาช่องโหว่ของ YARN มากกว่า 1 ล้านครั้งต่อวัน

ที่มา : zdnet

พบช่องโหว่ใหม่ใน iPhone ส่งผลให้สามารถเข้าถึงรูปภาพส่วนตัวบนเครื่องได้

Jose Rodriguez นักวิจัยด้านความปลอดภัยมือสมัครเล่นชาวสเปนได้ออกมาเปิดเผยถึงช่องโหว่บนระบบปฏิบัติ iOS 12 ใหม่ล่าสุดของ Apple ซึ่งช่วยให้แฮกเกอร์สามารถบายพาส Passcode ของ iPhone และเข้าถึงข้อมูลสำคัญภายใน ไม่ว่าจะเป็น รูปภาพ หมายเลขโทรศัพท์ หรืออีเมลได้ แม้แต่ iPhone XS ก็ได้รับผลกระทบ

การบายพาส Passcode ของ iPhone นี้ช่วยให้แฮกเกอร์สามารถเข้าถึงรายชื่อผู้ติดต่อที่เก็บอยู่บนเครื่อง ไม่ว่าจะเป็นหมายเลขโทรศัพท์หรืออีเมล รวมไปถึงสามารถเข้าถึง Camera Roll และโฟลเดอร์รูปถ่ายอื่นๆ ได้อีกด้วย โดยมีเงื่อนไขคือแฮ็กเกอร์ต้องเข้าถึงตัวเครื่อง iPhone ได้ จากนั้นจะใช้ประโยชน์จาก Siri และ VoiceOver เพื่อช่วยในการบายพาสการป้องกันของเครื่อง โดยหากต้องการทดสอบสามารถลองทำตามขั้นตอนต่างๆ ได้ตามลิงก์ที่มา

วิธีบายพาสรหัสผ่านนี้สามารถทำงานได้กับ iPhone ทั้งหมดในปัจจุบันรวมถึงอุปกรณ์ iPhone X และ XS ที่ใช้ระบบปฏิบัติการรุ่นล่าสุดเช่น iOS 12 ถึง 12.0.1 ทั้งนี้ผู้ใช้งานสามารถป้องกันเครื่องตนเองได้โดย "ปิดใช้งาน Siri" ไปก่อนจนกว่าจะมีแพทช์ใหม่จาก Apple ออกมา เพื่อแก้ไขปัญหานี้

ที่มา : thehackernews

Facebook 30 ล้านบัญชีถูกแฮ็ก ตรวจสอบหากคุณเป็นหนึ่งในนั้น

ปลายเดือนที่แล้ว Facebook ประกาศว่ามีการละเมิดความปลอดภัยที่แย่ที่สุดเท่าที่เคยมีมาซึ่งทำให้แฮกเกอร์สามารถขโมยโทเค็นการเข้าถึงข้อมูลของบัญชีผู้ใช้งานนับล้านโดยการใช้ประโยชน์จากความสามารถ 'View As' ในขณะที่การเปิดเผยครั้งแรก Facebook คาดว่าจำนวนผู้ใช้ที่ได้รับผลกระทบจากการละเมิดอาจอยู่ที่ประมาณ 50 ล้านบัญชี แม้ว่าการเปิดเผยล่าสุดจะลดจำนวนลงเหลือ 30 ล้านบัญชี

แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลจากผู้ใช้ Facebook ได้ถึง 29 ล้านรายแม้ว่าบุคคลเหล่านี้จะไม่มีการเข้าถึงข้อมูลจากแอพฯอื่น (third-party app) รองประธาน Facebook Guy Rosen ได้โพสต์บล็อกเมื่อเช้าวันศุกร์ที่ผ่านมา เพื่อให้รายละเอียดเพิ่มเติมเกี่ยวกับการละเมิดความปลอดภัยจำนวนมากในครั้งนี้ โดยแจ้งว่าแฮกเกอร์ขโมยข้อมูลจากบัญชีที่ได้รับผลกระทบดังต่อไปนี้
1. เหยื่อ 15 ล้านคน : ข้อมูลที่รั่วไหลประกอบด้วยชื่อผู้ใช้งาน และข้อมูลติดต่อ (เบอร์โทร, อีเมล, หรือทั้งคู่)
2. เหยื่อ 14 ล้านคน : ข้อมูลที่รั่วไหลจะเท่ากลุ่มที่ 1 แต่มีข้อมูลอื่นเพิ่มเติม ได้แก่ เพศ, สถานะความสัมพันธ์, ศาสนา, เมืองเกิด, เมืองที่อยู่, วันเกิด, ภาษา, อุปกรณ์ที่ใช้อยู่, การศึกษา, ที่ทำงาน, ตำแหน่งที่เช็คอินหรือถูก tag 10 ตำแหน่งล่าสุด, และข้อความค้นหาล่าสุด 15 ข้อความ
3. เหยื่อ 1 ล้านคน : ไม่มีข้อมูลใดๆ รั่วไหล

ไม่พบว่าข้อมูล Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, Pages, ข้อมูลการชำระเงิน, third-party แอพพลิเคชั่น, ข้อมูลการโฆษณาหรือบัญชีที่ใช้พัฒนาซอฟต์แวร์ มีการรั่วไหลแต่อย่างใด

Facebook ได้เปิดช่องทางผ่าน Help Center ให้ผู้ใช้งานสามารถตรวจสอบได้ว่าพวกเขาได้รับผลกระทบจากเหตุการณ์ในครั้งนี้หรือไม่ นอกจากนี้ Facebook จะแจ้งผู้ใช้ 30 ล้านคนที่ได้รับผลกระทบ เพื่อแจ้งว่าข้อมูลใดที่ผู้โจมตีสามารถเข้าถึงได้พร้อมกับขั้นตอนที่ควรทำเพื่อช่วยป้องกันตัวเองจากอีเมลที่น่าสงสัย ข้อความหรือสายโทรศัพท์

จนถึงปัจจุบันเป้าหมายของแฮกเกอร์ยังคงไม่ชัดเจน แต่ Rosen กล่าวว่า Facebook กำลังทำงานร่วมกับ FBI, คณะกรรมาธิการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกา, สำนักงานคณะกรรมการป้องกันข้อมูลไอริชและหน่วยงานอื่น ๆ เพื่อตรวจสอบว่าใครจะอยู่เบื้องหลัง และมีการกำหนดเป้าหมายใดเฉพาะหรือไม่

Help Center : [https://www.

Google จะเปลี่ยนนโยบายของ Play Strore หลังจากที่มีการรั่วไหลข้อมูลของ Google+

Google ได้เปิดตัวนโยบาย Play Strore ใหม่ เพื่อป้องกันแอพพลิเคชั่นบนมือถือไม่ให้รวบรวมบันทึกการโทรและข้อความของผู้ใช้
การตัดสินใจเปลี่ยนแปลงนโยบายนี้เกิดขึ้นหลังจากการรั่วไหลของข้อมูล Google+ ซึ่งได้เปิดเผยข้อมูลที่สำคัญของผู้คนนับล้านทั่วโลก การเปลี่ยนแปลงนโยบายในครั้งนี้ส่งผลให้นักพัฒนาที่ก่อนหน้านี้ได้รับอิสระในการจัดการแพลตฟอร์มถูกจำกัดสิทธิ์เพิ่มมากขึ้น

Google กล่าวว่าเฉพาะแอพพลิเคชั่นที่ผู้ใช้เลือกเป็น "แอพพลิเคชั่นเริ่มต้น (default apps)" และมีความสามารถในการเข้าถึงบันทึกการโทรและข้อความเท่านั้นที่จะสามารถขอการเข้าถึงข้อมูลดังกล่าวได้ นโยบายใหม่นี้มีผลบังคับใช้ตั้งแต่เมื่อวันที่ 9 ตุลาคมที่ผ่านมา อย่างไรก็ตาม Google ได้ให้เวลา 90 วันแก่นักพัฒนาเพื่ออัพเดทแอพพลิเคชั่นของตนเองให้เป็นไปตามข้อกำหนดตามนโยบายใหม่แอพพลิเคชั่นใดๆ ก็ตามที่จำเป็นต้องเข้าถึงข้อมูลดังกล่าวโดยตรงจำเป็นที่จะต้องถูกเปลี่ยนไปใช้ API ที่เป็นทางเลือกอื่นๆ เช่น SMS Retriever API, SMS Intent API, Share Intent API หรือ Dial Intent API แทน

นโยบายใหม่ที่ Google ออกมานี้เป็นนโยบายที่พยายามคำนึงถึงผู้ใช้งานเป็นหลักและช่วยปกป้องความเป็นส่วนตัวของพวกเขาขณะที่เพิ่มข้อจำกัด สำหรับนักพัฒนาแอพพลิเคชั่น
ประกาศจาก Google : [https://play.

พบช่องโหว่ความปลอดภัยในระบบอาวุธของกระทรวงกลาโหม สหรัฐอเมริกา

อ้างอิงจากรายงานของ General Accounting Office (GAO) ระบุว่าระบบอาวุธของสหรัฐอเมริกามีความเป็นไปได้ที่จะถูกโจมตีผ่านช่องโหว่ทางไซเบอร์สูงขึ้น จากการที่ระบบดังกล่าวต้องมีการอาศัยซอฟต์แวร์และระบบเครือข่าย

GAO อ้างว่าได้ทดสอบทำการโจมตีระบบอาวุธโดยใช้ผู้ทดสอบ 2 คน ทีมนักทดสอบดังกล่าวสามารถเข้าควบคุมระบบอาวุธได้ภายใน 1 ชั่วโมง และยังมีการทดสอบใช้เครื่องมือพื้นฐานเพื่อแฮ็กระบบ การจัดการรหัสผ่านที่ไม่รัดกุมและไม่ทำการเข้ารหัสข้อมูลระหว่างส่งก็เป็น 2 ปัจจัยที่ทำให้สามารถยึดระบบดังกล่าวได้โดยไม่ถูกตรวจเจอ โดย GAO กล่าวว่าในอนาคตจะทำการทดสอบระบบอาวุธที่สำคัญอื่นๆ ต่อไปในอนาคต

ที่มา : darkreading