VMware ได้อัปเดตเพื่อแก้ไขความปลอดภัยบน AirWatch console ที่มีความรุนแรงอยู่ในระดับ Critical โดยเป็นช่องโหว่ของการ Bypass SAML authentication โดยช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีควบคุมระบบที่ได้รับผลกระทบ
ผู้ดูแลระบบหรือผู้ใช้งานสามารถศึกษารายละเอียดได้จาก VMware Security Advisory (VMSA-2018-0024) และควรทำการอัปเดตให้เป็นเวอร์ชั่นปัจจุบัน
ที่มา: us-cert
Adobe ได้ปล่อยอัพเดทเพื่อแก้ไขช่องโหว่ใน Adobe Acrobat and Reader บน Windows และ MacOS ซึ่งผู้โจมตีสามารถทำการเข้าถึงและควบคุมระบบที่มีช่องโหว่เพื่อรัน code ที่เป็นอันตรายได้ สามารถตรวจสอบผลิตภัณฑ์ และเวอร์ชั่นที่ได้รับผลกระทบได้จากลิ้งค์ด้านล่าง และแนะนำให้ผู้ดูแลระบบหรือผู้ใช้งานทำการอัปเดตแพทช์ให้เป็นเวอร์ชั่นล่าสุด
Link
ที่มา : US-CERT
Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"
SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM
ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่
ที่มา : ZDNet
ถ้าหากพบว่า Account facebook ของคุณถูก logout โดยที่ไม่ทราบสาเหตุในช่วงนี้ ไม่ต้องกังวลไป เป็นฝีมือของ facebook เอง ผู้ใช้งานมากกว่า 90 ล้านคนจะถูกบังคับให้ออกจากระบบ เพื่อป้องกันการรั่วไฟลของข้อมูลผู้ใช้งานที่มาจากช่องโหว่ล่าสุด
โดยเมื่อวันศุกร์ที่ผ่านมา แฮกเกอร์ ใช้ประโยชน์จากช่องโหว่บนเว็บไซต์ 3 ช่องโหว่ในการเข้าถึงข้อมูล facebook account ของผู้ใช้งานกว่า 50 ล้านราย Guy Rosen ได้ทำการเผยแพร่ข้อมูลเหตุการณ์ในครั้งนี้ ซึ่งประกอบด้วย 10 ข้อมสำคัญ ดังต่อไปนี้
1. Facebook ตรวจพบการรั่วไหลของข้อมูลหลังจากพบการเข้าถึงที่เพิ่มขึ้นมากผิดปกติ
2. แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ทั้งหมด 3 ช่องโหว่ด้วยกัน ได้แก่ ในส่วนของการอัปโหลดไฟล์วีดีโอ happy birthday ในส่วนของ view as , การสร้าง token ที่ไม่ถูกต้องเมื่อทำการอัปโหลดวีดีโอผ่าน facebook แอพพลิเคชั่นบน mobile และการสร้าง token ที่มีสิทธิ์เป็นเจ้าของบัญชีให้กับ viewer ที่ดูผ่าน view as
3. แฮกเกอร์ ได้ token ที่สามารถใช้เข้าดูข้อมูลของผู้ใช้งาน facebook ไปกว่า 50 ล้านราย
4. แฮกเกอร์ ไม่ได้รหัสผ่านของผู้ใช้งานที่ข้อมูลรั่วไหลแต่อย่างใด หากแต่สามารถเข้าถึงข้อมูลต่างๆ ได้จาก access token ที่ได้ ผ่านทาง api ที่ app ต่างๆมีการใช้งานอยู่
5. แฮกเกอร์สามารถดาวโหลดข้อมูลของผู้ใช้งานได้ผ่าน API facebook
6. Application อื่นๆ ที่สามารถทำการ login ด้วย facebook มีความเสี่ยงที่จะถูกเข้าถึงได้ เช่นเดียวกับ facebook
7. Facebook ทำการ reset access token ของผู้ใช้งานจำนวนกว่า 90 ล้านบัญชี
8. ผู้ใช้งานควรตรวจสอบการเข้าใช้งาน facebook จากอุปกรณ์ต่างๆ ว่ามีการเข้าถึงบัญชีบนอุปกรณ์ต่างๆ จากตำแหน่งที่ผิดปกติหรือไม่
9. จากเหตุการณ์นี้ อาจจะไม่เกี่ยวข้องกับแฮกเกอร์ชาวไต้หวัน Chang Chi-Yuang ที่เคยแจ้งว่าพบช่องโหว่ zero-day บน facebook ก่อนหน้านี้
10. Facebook กำลังถูกดำเนินคดี กับเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่นี้
เหตุการณ์ในครั้งนี้ทาง facebook ได้ทำการ reset การ login ให้กับผู้ใช้งานหลายสิบล้านบัญชี และให้คำแนะนำแก่ผู้ใช้งานที่ได้รับผลกระทบ ให้ยกเลิกการเชื่อมต่อไปยัง application ที่สามารถทำการ login จาก facebook ได้ ในขณะนี้ช่องโหว่ที่พบได้รับการแก้ไขแล้ว และ facebook กำลังร่วมมือกับ FBI ตรวจสอบสิ่งที่เกิดขึ้นโดยเร็วที่สุด
ที่มา : The Hacker News
เว็บ Fiverr และ Freelancer ที่เป็นเว็บเสนองานให้กับผู้รับทำงานฟรีแลนซ์ทั่วโลกถูกผู้โจมตีใช้แพร่ malware โดยเว็บสองเว็บดังกล่าวถูกใส่ malware ไปในข้อเสนอการทำงาน เมื่อเหยื่อเปิดไฟล์แนบที่ปลอมเป็นรายละเอียดงาน malware จะทำงานและแอบติดตั้ง Keylogger โดยเหยื่อไม่รู้ตัว AgentTesla และ Remote Access Trojans (RATs) เป็นตัวอย่างของ Keylogger ที่เป็นไปได้ว่าจะถูกติดตั้งให้กับเหยื่อโดยอ้างอิงจากรายงานของทีม MalwareHunterTeam โดยสามารถโจมตีได้หลายรูปแบบ เช่น โจมตีคอมพิวเตอร์ของเหยื่อเมื่อเหยื่อเปิดไฟล์ดังกล่าว หรือ ถ้าผู้โจมตีต้องการยึดครองโทรศัพท์ของเหยื่อ ไฟล์แนบปลอมจะแจ้งเหยื่อว่าไฟล์นั้นเปิดได้แค่ผ่านทางโทรศัพท์ ทำให้เหยื่อหลงเชื่อแล้วเปิดไฟล์ดังกล่าวในโทรศัพท์แทน
เพื่อป้องกันการโจมตีลักษณะนี้ ผู้ใช้งานควรอัพเดทแอนติไวรัสและ OS patch เสมอและถ้าหากเจอไฟล์ที่ไม่ไว้วางใจอาจนำไปแสกนใน Virustotal เพื่อตรวจสอบก่อน
ที่มา : E Hacking News
Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่
แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ
มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework
Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ
35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components
ที่มา : securityweek
Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน
Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้
เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว
ที่มา : bleepingcomputer
ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018
ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่
ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457
ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.
Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน
Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้
อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0
นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7
ที่มา : The Hacker News
แฮกเกอร์ที่โจมตีบัญชีของลูกค้า Vodafone ไปนอนในคุกเรียบร้อยแล้ว
จากรายงานข่าวของสาธารณรัฐเช็ก ระบุว่าแฮกเกอร์ 2 รายที่ได้เข้าถึงบัญชีลูกค้า Vodafone และได้ทำการชำระเงินผ่านมือถือ โดยแฮกเกอร์ได้สิทธิ์ในการเข้าถึงบัญชีเพียงใช้การเดารหัสผ่านแบบง่ายๆ ทำให้สามารถเปิดใช้งานซิมการ์ดได้ง่ายๆ และใช้ส่ง SMS ไปยังเว็บไซต์การพนันเพื่อจ่ายตังค์ ส่งผลให้ได้รับความเสียหายโดยรวมประมาณ 30,000 ดอลลาร์
Vodafone เชื่อว่าลูกค้าที่ใช้รหัสผ่านที่คาดเดาง่าย เช่น 1234 หรือ QWERTY ควรได้รับการชดเชยในความเสียหายที่เกิดขึ้น เนื่องจากผู้ที่ตกเป็นเหยื่ออ้างว่าพวกเขาไม่ทราบอะไรเกี่ยวกับรหัสผ่านและบริการออนไลน์ของ Vodafone และพนักงานของ Vodafone จะเป็นคนตั้งรหัสผ่านเริ่มต้นให้ลูกค้าเอง
ในอีกแง่มุมหนึ่งของ Oleg Galushkin ผู้อำนวยการการรักษาความปลอดภัยข้อมูลที่ SEC Consult Services กล่าวว่า "ถ้าผู้ใช้เองไม่ต้องการที่จะรักษาความปลอดภัยของพวกเขาแม้ในระดับพื้นฐานแล้ว พวกเขาก็ต้องยอมรับกับผลที่เกิดขึ้น" แต่ทั้งนี้ก็เป็นความผิดพลาดของบริษัทเองด้วยที่หละหลวมในการป้องกันด้านความปลอดภัย และแฮกเกอร์ทั้ง 2 รายต้องโทษจำคุกเป็นเวลา 2 ปี และ 3 ปี
ที่มา : E Hacking News