Louisiana governor declares state emergency after local ransomware outbreak

ผู้ว่าการรัฐลุยเซียนาประกาศภาวะฉุกเฉินเพื่อรับมือมัลแวร์

เมื่อวันที่ 24 กรกฏาคม 2019 John Bel Edwards ผู้ว่าการรัฐลุยเซียนา สหรัฐอเมริกาได้ประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์จากมัลแวร์ หลังจากโรงเรียนรัฐบาลหลายแห่งในรัฐลุยเซียนาติดมัลแวร์จนระบบไอทีของโรงเรียนไม่สามารถใช้งานได้ โดยการประกาศภาวะฉุกเฉินในครั้งนี้เกิดขึ้นเพื่อให้รัฐจัดสรรหน่วยงานมาช่วยรับมือเหตุการณ์ดังกล่าว เช่น ตำรวจ National Guard ผู้เชี่ยวชาญด้านไซเบอร์ เป็นต้น โดยประกาศดังกล่าวจะมีผลจนถึง 21 สิงหาคม 2019

ในปัจจุบันยังไม่มีการประกาศจากทางการว่ามัลแวร์ดังกล่าวเป็นมัลแวร์ชนิดใด แต่ Eddie Jones ผู้อำนวยการโรงเรียน Florien ที่ได้รับผลกระทบให้สัมภาษณ์ว่าพบมัลแวร์เรียกค่าไถ่ในระบบของโรงเรียน

นี่เป็นครั้งที่สองที่รัฐในสหรัฐอเมริกามีการประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยครั้งแรกเกิดขึ้นที่รัฐโคโลราโดในเดือนกุมภาพันธ์ปี 2018 เนื่องจากเกิดติดเชื้อมัลแวร์เรียกค่าไถ่ SamSam จนทำให้กรมขนส่งทางบกของรัฐโคโลราโดไม่สามารถปฏิบัติงานได้ จึงต้องมีการประกาศภาวะฉุกเฉินเพื่อจัดการจราจร

ที่มา:
1. zdnet
2. louisiana
3. wafb

SAP Patch Day – July 2019 addresses a critical flaw in Diagnostics Agent

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.

Microsoft July 2019 Patch Tuesday fixes zero-day exploited by Russian hackers

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ช่องโหว่ zero-day ที่กำลังถูกใช้โจมตี

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 เพื่อแก้ไขช่องโหว่ทั้งหมด 77 ช่องโหว่ โดยมีช่องโหว่ร้ายแรงมาก (critical) จำนวน 15 ช่องโหว่ ซึ่งมีช่องโหว่ zero-day จำนวนสองช่องโหว่ คือ CVE-2019-0880 และ CVE-2019-1132 ซึ่งทั้งสองช่องโหว่เป็นช่องโหว่ใช้ยกระดับสิทธิ์ได้

ช่องโหว่ CVE-2019-1132 เกิดจากส่วนประกอบของ Win32k ถูกค้นพบโดย ESET ซึ่งพบการใช้โจมตีโดยกลุ่มจากรัสเซียแล้ว

ช่องโหว่ CVE-2019-0880 เกิดจาก splwow64.exe ค้นพบโดย Resecurity ยังไม่พบการโจมตี

โดยสามารถอ่านรายละเอียดทั้งหมดเกี่ยวกับช่องโหว่ที่ถูกแก้ในแพตช์ประจำเดือนกรกฏาคม 2019 ได้จาก https://www.

Ransomware halts production for days at major airplane parts manufacturer

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

Your Linux Can Get Hacked Just by Opening a File in Vim or Neovim Editor

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

Hacker Discloses Second Zero-Day to Bypass Patch for Windows EoP Flaw

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

Microsoft warns about email spam campaign abusing Office vulnerability

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

New RCE vulnerability impacts nearly half of the internet’s email servers

แจ้งเตือนช่องโหว่ RCE ในซอฟต์แวร์ Exim คาดกระทบอีเมลเซิร์ฟเวอร์กว่าครึ่งหนึ่งของโลก

ซอฟต์แวร์ Exim ซึ่งเป็นซอฟต์แวร์ประเภท mail transfer agent (MTA) ถูกระบุว่ามีช่องโหว่ประเภท Remote Code Execution โดย Qualys วันนี้

ช่องโหว่ที่รหัส CVE-2019-10149 หรือในอีกชื่อซึ่งถูกเรียกว่า "Return off the WIZard" โดย Qualys นั้นเป็นช่องโหว่ประเภท Remote Code Execution ที่มีลักษณะที่คล้ายกับช่องโหว่เก่าแก่อย่าง WIZ และ DEBUG ในซอฟต์แวร์ sendmail ในอดีต การโจมตีช่องโหว่นี้สามารถทำได้สองรูปแบบคือแบบ local attack ซึ่งผู้ใช้งานที่มีอีเมลอยู่บนเซิร์ฟเวอร์อยู่แล้วทำการโจมตี และแบบ remote attack ซึ่งถูกระบุว่ามีความซับซ้อนสูง เนื่องจากผู้โจมตีจะต้องมีการรักษา connection ที่เชื่อมต่อกับเซิร์ฟเวอร์ที่มีช่องโหว่เอาไว้กว่า 7 วัน และยังไม่มีการโจมตีช่องโหว่จากระยะไกลที่ง่ายไปกว่านี้

ช่องโหว่กระทบ Exim ตั้งแต่เวอร์ชัน 4.87 ถึง 4.91 โดยผู้ใช้งานสามารถทำการอัปเกรดซอฟต์แวร์เพื่อรับแพตช์จากโครงการต้นน้ำได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : zdnet

Google’s Android June Security Patch

แพตช์ช่องโหว่ Android ประจำเดือนมิถุนายน 2562 มาแล้ว ทั้งหมด 22 ช่องโหว่ถูกแพตช์

Google ประกาศแพตช์ด้านความปลอดภัยสำหรับ Android ประจำเดือนมิถุนยายน 2562 วันนี้โดยมีช่องโหว่ระดับวิกฤติ (critical) จำนวน 8 ช่องโหว่จากทั้งหมด 22 ช่องโหว่ที่ถูกแพตช์ในรอบนี้

สำหรับช่องโหว่ร้ายแรงระดับวิกฤติ คอมโพเนนต์ของระบบที่ยังคงปรากฎช่องโหว่เหล่านี้เป็นจำนวนมากยังได้แก่ส่วนที่เป็น Media Framework ซึ่งผู้โจมตีสามารถสร้างไฟล์ซึ่งเมื่อถูกประมวลผลด้วย Media Framework จะทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้ อีกหนึ่งช่องโหว่มาจากส่วน System ในโมดูลที่เกี่ยวข้องกับไฟล์ PAC และส่วนที่เหลือเป็นช่องโหว่ระดับวิกฤติจากคอมโพเนนต์ของ Qualcomm

ผู้ใช้งานสามารถรับแพตช์ได้ทันทีตั้งแต่วันนี้เป็นต้นไป โดยความช้า-เร็วในการรับแพตช์จะขึ้นอยู่กับผู้ผลิตในแต่ละราย ข้อมูลเกี่ยวกับช่องโหว่แบบมีรายละเอียดครบถ้วนสามารถตรวจสอบได้ที่ https://source.

phpMyAdmin CSRF and SQL Injection Vulnerabilities

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4