Check Point Software แก้ช่องโหว่ยกระดับสิทธิ์ใน Endpoint Client

Check Point Software แก้ช่องโหว่ที่พบในซอฟต์แวร์ Check Point Endpoint Security Initial Client สำหรับวินโดว์ที่ยอมให้ผู้โจมตียกระดับสิทธิ์และรันโค้ดโดยใช้สิทธิ์ SYSTEM

ช่องโหว่ดังกล่าวได้รับ CVE-2019-8461 ทำให้ผู้โจมตีสามารถรันเพย์โหลดที่เป็นอันตรายโดยใช้สิทธิ์ system-level เช่นเดียวรวมทั้งหลีกเลี่ยงการตรวจจับมัลแวร์โดยเลี่ยง application whitelisting ซึ่งเป็นเทคนิคที่ใช้กันโดยไปทั่วไปเพื่อป้องกันการเรียกใช้แอปที่ไม่รู้จักหรืออาจเป็นอันตราย

Peleg Hadar นักวิจัยผู้ค้นพบช่องโหว่ดังกล่าวระบุว่าช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์และคงอยู่บนเครื่องถาวรโดยการเรียกใช้ DLL เป็นอันตรายด้วย Windows services ที่ถูกใช้โดย Check Point Endpoint Security

ที่มา : bleepingcomputer

FireEye บริษัทความมั่งคงทางไซเบอร์ในสหรัฐฯ พบการแฮกบนเว็บไซต์ด้านสุขภาพจากประเทศอินเดีย โดยทำการขโมยข้อมูลไปมากกว่า 6.8 ล้านข้อมูลของทั้งแพทย์และคนไข้
FireEye ไม่ได้ระบุชื่อเว็บไซต์ แต่ได้กล่าวว่านี่เป็นอาชญากรไซเบอร์ที่ส่วนใหญ่มาจากจีน โดยจะขายข้อมูลที่ขโมยมาจากเว็บไซต์ทั่วโลก

“ในเดือนกุมภาพันธ์ ผู้ไม่หวังดีนามแฝงว่า “fallensky519” ได้ขโมย 6.8 ล้านข้อมูลที่เกี่ยวกับข้อมูลด้านสุขภาพชาวอินเดียบนเว็บไซต์ ที่มีข้อมูลทั้งคนไข้และแพทย์ที่สามารถระบุตัวตนได้ รวมถึงรหัสผ่าน” FireEye แถลงรายงานร่วมกับ IANS
ตามที่ FireEye กล่าวในระหว่างวันที่ 1 ตุลาคม 2018 ถึง 31 มีนาคม 2019 ทีมข่าวกรองพบข้อมูลหลายตัวที่มีประวัติสุขภาพได้ถูกขายในราคา $2,000 ซึ่งข้อมูลที่ขายเกี่ยวข้องกับงานวิจัยเกี่ยวกับมะเร็ง ซึ่งสะท้อนให้เห็นถึงความกังวลของจีนต่อการเพิ่มอัตราการเกิดโรคมะเร็งและการเสียชีวิต รวมถึงค่าใช้จ่ายด้านการดูแลสุขภาพระดับชาติ

ที่มา : ehackingnews

Apple พลาดยกเลิกการแก้ช่องโหว่ที่เคยแก้ไปแล้วใน iOS 12.3 ทำให้ jailbreak ได้บน iOS 12.4
Apple พลาดยกเลิกการแก้ช่องโหว่ที่เคยแก้ไปแล้วใน iOS 12.3 ทำให้ jailbreak ได้บน iOS 12.4 รายงานโดย Motherboard
แฮกเกอร์พบช่องโหว่ในสุดสัปดาห์ที่แล้ว และ Pwn20wnd ได้ปล่อยฟรีโค้ด jailbreak ที่ใช้งานบนอุปกรณ์ iOS เวอร์ชันล่าสุดหรือเวอร์ชั่นที่ต่ำกว่า 12.3 สู่สาธารณะ
Jailbreak code ส่วนใหญ่จะเก็บไว้เป็นความลับเพื่อไม่ให้ Apple แก้ไขมัน นี่จึงเป็นครั้งแรกที่มันปล่อยออกสู่สาธารณะ
นักวิจัยบอกแก่ Motherboard ว่า อาจมีบางคนที่สร้าง spyware จากข้อผิดพลาดของ Apple โดยสร้างแอปที่สามารถหลบหลีก iOS sandbox ที่ป้องกันแอปจากการเข้าถึงข้อมูลของแอปอื่นหรือระบบ ซึ่งเมื่อหลบหลีก sandbox ได้ก็จะขโมยข้อมูลของผู้ใช้ได้
Stefan Esser นักวิจัยความปลอดภัยอีกคนกล่าวว่า ผู้ใช้ควรจะระวังแอปที่ดาวน์โหลดจาก App Store ในช่วงนี้ แอปดังกล่าวอาจมีโค้ด jailbreak แฝงอยู่
Apple ยังไม่ออกแถลงเกี่ยวกับความผิดพลาดในครั้งนี้ แต่คาดว่าจะแก้ปัญหาดังกล่าวเร็วๆ นี้

ที่มา macrumors

ผู้ว่าการรัฐลุยเซียนาประกาศภาวะฉุกเฉินเพื่อรับมือมัลแวร์

เมื่อวันที่ 24 กรกฏาคม 2019 John Bel Edwards ผู้ว่าการรัฐลุยเซียนา สหรัฐอเมริกาได้ประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์จากมัลแวร์ หลังจากโรงเรียนรัฐบาลหลายแห่งในรัฐลุยเซียนาติดมัลแวร์จนระบบไอทีของโรงเรียนไม่สามารถใช้งานได้ โดยการประกาศภาวะฉุกเฉินในครั้งนี้เกิดขึ้นเพื่อให้รัฐจัดสรรหน่วยงานมาช่วยรับมือเหตุการณ์ดังกล่าว เช่น ตำรวจ National Guard ผู้เชี่ยวชาญด้านไซเบอร์ เป็นต้น โดยประกาศดังกล่าวจะมีผลจนถึง 21 สิงหาคม 2019

ในปัจจุบันยังไม่มีการประกาศจากทางการว่ามัลแวร์ดังกล่าวเป็นมัลแวร์ชนิดใด แต่ Eddie Jones ผู้อำนวยการโรงเรียน Florien ที่ได้รับผลกระทบให้สัมภาษณ์ว่าพบมัลแวร์เรียกค่าไถ่ในระบบของโรงเรียน

นี่เป็นครั้งที่สองที่รัฐในสหรัฐอเมริกามีการประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยครั้งแรกเกิดขึ้นที่รัฐโคโลราโดในเดือนกุมภาพันธ์ปี 2018 เนื่องจากเกิดติดเชื้อมัลแวร์เรียกค่าไถ่ SamSam จนทำให้กรมขนส่งทางบกของรัฐโคโลราโดไม่สามารถปฏิบัติงานได้ จึงต้องมีการประกาศภาวะฉุกเฉินเพื่อจัดการจราจร

ที่มา:
1. zdnet
2. louisiana
3. wafb

SAP ออกแพตช์เดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่

SAP ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ไข 11 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2019-0330 เป็นช่องโหว่ร้ายแรงมากใน SolMan Diagnostic Agent (SMDAgent)

CVE-2019-0330 เป็นช่องโหว่ประเภท OS command injection ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อยึดระบบ SAP ทั้งระบบได้ มีคะแนน CVSS 9.1 (critical) โดยใน SMDAgent จะมีการตรวจสอบเมื่อผู้ดูแลระบบรันคำสั่งไปยังระบบปฏิบัติการผ่าน GAP_ADMIN transaction ให้รันได้เฉพาะคำสั่งใน white list เท่านั้น ซึ่งช่องโหว่ CVE-2019-0330 ทำให้ผู้โจมตีสามารถหลบเลี่ยงการตรวจสอบดังกล่าวได้โดยการใช้ payload ที่สร้างเป็นพิเศษ ซึ่งเมื่อผู้โจมตีสามารถหลบหลีกได้จะทำให้สามารถควบคุมระบบ SAP ได้ เข้าถึงข้อมูลสำคัญได้ แก้ไขการตั้งค่าได้และหยุดการทำงานของ SAP service ได้

นักวิจัยจาก Onapsis ระบุว่าระบบ SAP ทุกระบบจะต้องมีการติดตั้ง SMDAgent ดังนั้นจะมีระบบที่ได้รับความเสี่ยงจากการโจมตีด้วยช่องโหว่นี้เป็นจำนวนมาก

ผู้ดูแลระบบ SAP ควรศึกษาและอัปเดตแพตช์ดังกล่าว โดยสามารถอ่านรายละเอียดได้จาก https://wiki.

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 แก้ช่องโหว่ zero-day ที่กำลังถูกใช้โจมตี

Microsoft ออกแพตช์ประจำเดือนกรกฏาคม 2019 เพื่อแก้ไขช่องโหว่ทั้งหมด 77 ช่องโหว่ โดยมีช่องโหว่ร้ายแรงมาก (critical) จำนวน 15 ช่องโหว่ ซึ่งมีช่องโหว่ zero-day จำนวนสองช่องโหว่ คือ CVE-2019-0880 และ CVE-2019-1132 ซึ่งทั้งสองช่องโหว่เป็นช่องโหว่ใช้ยกระดับสิทธิ์ได้

ช่องโหว่ CVE-2019-1132 เกิดจากส่วนประกอบของ Win32k ถูกค้นพบโดย ESET ซึ่งพบการใช้โจมตีโดยกลุ่มจากรัสเซียแล้ว

ช่องโหว่ CVE-2019-0880 เกิดจาก splwow64.exe ค้นพบโดย Resecurity ยังไม่พบการโจมตี

โดยสามารถอ่านรายละเอียดทั้งหมดเกี่ยวกับช่องโหว่ที่ถูกแก้ในแพตช์ประจำเดือนกรกฏาคม 2019 ได้จาก https://www.

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

ช่องโหว่ใหม่ เครื่อง Linux สามารถถูกแฮกได้เพียงแค่เปิดไฟล์ด้วย Vim หรือ Neovim

Armin Razmjou นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ที่สามารถรันคำสั่งในระดับระบบปฏิบัติการได้ (CVE-2019-12735) ในโปรแกรม Vim editor และ Neovim บนระบบปฏิบัติการ Linux
ช่องโหว่ดังกล่าวเกิดขึ้นที่ความสามารถ Modelines ในโปรแกรม Vim และ Neovim โดย Modelines ถูกตั้งค่าให้ใช้งานเป็นค่าเริ่มต้นเสมอ เพื่อค้นหาลักษณะการตั้งค่าที่ผู้สร้างไฟล์ใส่มาในไฟล์ ซึ่งตามปกติแล้ว Vim หรือ Neovim จะอนุญาตให้ตั้งค่าบางอย่างด้วย Modelines เท่านั้น และมีการใช้ sandbox เพื่อป้องกันกรณีมีการตั้งค่าที่ไม่ปลอดภัย

แต่ Razmjou พบว่าสามารถหลบหลีก sandbox ได้ด้วยการใช้คำสั่ง ":source!" ดังนั้นผู้โจมตีจึงสามารถสร้างไฟล์อันตรายที่หลบหลีก sanbox ขึ้นมาได้ ซึ่งสามารถแอบรันคำสั่งบนระบบปฏิบัติการ Linux ได้เมื่อมีผู้หลงเปิดไฟล์อันตรายด้วย Vim หรือ Neovim

ผู้ใช้งานควรอัพเดท Vim (patch 8.1.1365) และ Neovim (released in v0.3.6) ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าว
และ Razmjou ผู้ค้นพบช่องโหว่ดังกล่าวยังแนะนำเพิ่มเติมให้ผู้ใช้งาน

- ปิดการใช้งาน Modelines
- ปิดการใช้งาน modelineexpr และ
- ใช้ Securemodelines plugin แทน modelines

ที่มา : thehackernews

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet