Microsoft’s April 2019 Patch Tuesday Fixes 74 Vulnerabilities

Microsoft ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ประจำเดือนเมษายน 2019 โดยแก้ไขช่องโหว่ทั้งหมด 74 ช่องโหว่ โดย 15 ช่องโหว่จัดอยู่ในระดับ Critical และได้มีการแก้ไขช่องโหว่ Win32k จำนวน 2 ช่องโหว่ที่กำลังถูกใช้โจมตีอยู่ด้วย

ช่องโหว่ Win32k ที่กำลังถูกใช้โจมตีอยู่นี้เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ยกระดับสิทธิ์ได้ ประกอบด้วย CVE-2019-0803 ถูกค้นพบโดย Alibaba Cloud Intelligence Security Team และช่องโหว่ที่ 2 ถูกค้นพบโดย Kaspersky ได้รับ CVE-2019-0859 ซึ่งทั้งสองช่องโหว่นี้เกิดจากการที่ Win32k จัดการหน่วยความจำได้ไม่ดี ทำให้หากถูกโจมตีจะทำให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์สูงสุดในการใช้งาน

นอกจากนี้นักวิจัยผู้ค้นพบช่องโหว่ CVE-2019-0841 ซึ่งมีการอัปเดตในแพตช์นี้เช่นกันได้เผยแพร่ Proof-of-concept สำหรับใช้โจมตีออกมาแล้ว ช่องโหว่ CVE-2019-0841 นี้เป็นช่องโหว่ใน AppX Deployment Service (AppXSVC) ที่สามารถใช้เพื่อยกระดับสิทธิ์ได้ใน Windows 10 และ Windows Server 2019

ผู้ใช้งานหรือผู้ดูแลระบบควรทำการอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่เหล่านี้

ที่มา : bleepingcomputer , bleepingcomputer

Cyber Attack Shuts Down Hoya Corp’s Thailand Plant for Three Days

Hoya บริษัทผู้ผลิตอุปกรณ์เกี่ยวกับการมองห็นและเลนส์สายตาของญี่ปุ่น ได้รับผลกระทบจากการโจมตีทางไซเบอร์เมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา ทำให้ต้องหยุดการผลิตบางส่วนในประเทศไทยเป็นเวลาสามวัน

ทางบริษัทเปิดเผยว่าเครื่องคอมพิวเตอร์ประมาณ 100 เครื่องของบริษัทติดมัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้จากเครื่องที่มีช่องโหว่และทำการฝังมัลแวร์ขุดสกุลเงินดิจิตอล จากรายงานระบุว่าทางบริษัทสามารถหยุดยั้งกระบวนการทำงานของมัลแวร์ขุดสกุลเงินดิจิตอลได้ หลังจากสังเกตพบพฤติกรรมการพยายามขโมยข้อมูลสำคัญ (credential) ของมัลแวร์ในระบบเครือข่าย

ไม่ใช่เพียงแค่ระบบคอมพิวเตอร์ของโรงงานในประเทศไทยที่ตกเป็นเหยื่อเท่านั้น แต่มีการตรวจพบว่าระบบคอมพิวเตอร์ในสำนักงานใหญ่ของญี่ปุ่นก็ได้รับผลกระทบเช่นกัน ซึ่งถือว่าการโจมตีในครั้งนี้มีผลกระทบต่อการดำเนินธุรกิจเป็นอย่างมาก ส่งผลให้เกิดความล่าช้าในการผลิต แต่ไม่พบการรั่วไหลของข้อมูลของบริษัท

ที่มา : bleepingcomputer

Apache Bug Lets Normal Users Gain Root Access Via Scripts

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา : bleepingcomputer

Commando VM: The First of Its Kind Windows Offensive Distribution

FireEye เปิดตัวชุดสคริปต์ปรับแต่ง Windows สำหรับงาน Offensive Security "Commando VM" โหลดฟรี!

FireEye ซึ่งเคยฝากผลงานไว้กับ Flare VM ซึ่งเป็นชุดสคริปต์สำหรับปรับแต่ง VM ให้เหมาะสมกับการตรวจสอบและวิเคราะห์ได้ทำการเปิดตัวชุดสคริปต์ที่สองภายใต้ชื่อ Commando VM โดยเป็นชุดสคริปต์ PowerShell ที่สามารถใช้เพื่อปรับแต่งระบบปฏิบัติการ Windows ให้เหมาะสมกับการทดสอบเจาะระบบหรืองานทางด้าน Offensive Security ได้

เมื่อติดตั้งสคริปต์ของ Commando VM ตัวสคริปต์จะทำการดาวโหลดและติดตั้งโปรแกรมกว่า 150 โปรแกรม ซึ่งรวมไปถึงชุดโปรแกรมทดสอบเจาะระบบที่มีเฉพาะระบบปฏิบัติการ Windows เช่น ชุดโปรแกรมที่เกี่ยวข้องกับการทำ Post Exploitation ในสภาพแวดล้อม Active Directory หรือชุด PowerShell สคริปต์รูปแบบต่างๆ

สคริปต์ Commando VM สามารถดาวโหลดได้ฟรีวันนี้ที่ https://github.

Top dark web marketplace will shut down next month

Dream Market เว็บไซต์ตลาดใต้ดิน ประกาศปิดตัวเดือนหน้า

Dream Market คือ dark web ที่ได้รับความนิยนเป็นอันดับต้นๆ ได้ออกมาประกาศว่าจะปิดตัวลงภายในวันที่ 30 เมษายน โดยการประกาศนั้นก็ได้เกิดขึ้นวันเดียวกับที่ทาง Europol, FBI และเจ้าหน้าที่ DEA ประกาศว่ามีการจับกุมและปิดเว็บไซต์ผิดกฎหมายใต้ดินที่เกี่ยวข้องกับยาเสพติดหลายรายการ

จากรายงานกล่าวว่าหน้าเว็บเพจของ Dream Market และหน้าการลงทะเบียน มีการแสดงข้อความว่า การดำเนินการทั้งหมดของเว็บไซต์จะถูกโอนไปยัง partner company ที่เป็น URL ใหม่ เหตุผลการปิดตัวครั้งนี้อาจจะสืบเนื่องจากก่อนหน้านี้มีรายงานว่าแฮกเกอร์ได้นำข้อมูลผู้ใช้งานหลายล้านรายการออกมาขาย และเว็บไซต์ดังกล่าวถูกโจมตีด้วย DDos มาแล้วหลายครั้ง

ทั้งนี้จากรายงานล่าสุดพบว่า ทีมที่เป็นผู้ดูแลเว็บไซต์ Dream Market ได้มีการโพสต์บน social network ของกลุ่ม dark web ว่า สาเหตุที่ทำการปิดตัวเป็นเพราะว่าเว็บไซต์ถูกเรียกค่าไถ่เป็นเงิน $400,000 เพื่อแลกกับการหยุดโจมตีด้วย DDoS

ที่มา : zdnet

New Settings Let Hackers Easily Pentest Facebook, Instagram Mobile Apps

Fecebook เปิดตัวการตั้งค่าใหม่ "Whitehat Settings" ช่วยชีวิต Penetester ง่ายขึ้นเยอะ!

Facebook เปิดตัวการตั้งค่าใหม่ภายใต้ชื่อ Whitehat Settings ซึ่งการตั้งค่านี้มีส่วนช่วยให้การทดสอบความปลอดภัยเป็นไปได้ง่ายโดยอนุญาตให้ผู้ทดสอบสามารถข้ามผ่านกระบวนการรักษาความปลอดภัยในบางกรณีได้เมื่อทดสอบกับแอปภายใต้บริการของ Facebook (รวมไปถึง Instagram และ Messenger)

การตั้งค่า Whitehat Settings นี้อนุญาตให้ผู้ทดสอบปิดการใช้งานโปรโตคอล TLS 1.3, ตั้งค่า Proxy สำหรับรีเควสต์ที่เกี่ยวข้องกับ Platform API รวมไปถึงติดตั้งใบรับรอง (certificate) เองได้

ความจำเป็นหนึ่งของการที่ต้องปิดการใช้งานโปรโตคอล TLS 1.3 และกลับมาไปใช้งาน TLS 1.2 ส่วนหนึ่งเนื่องจากโปรแกรมยอดนิยม อาทิ Burp Suite และ Carles นั้นยังไม่รองรับการใช้งานโปรโตคอล TLS 1.3

การตั้งค่า Whitehat Settings จะไม่ถูกเปิดเป็นค่าเริ่มต้น หากต้องการใช้งานการตั้งค่านี้ ผู้ใช้งานจะต้องเข้าไปเปิดการใช้งานฟีเจอร์นี้ในเว็บของ Facebook เองหลังจากนั้นจึงตัวเลือก Whitehat Settings จึงจะปรากฎในหน้าส่วน Setting ของแอป ทั้งนี้แอปจะมีการแสดงแบนเนอร์เพื่อแจ้งให้กับผู้ใช้งานเมื่อมีการใช้งานฟีเจอร์นี้อยู่ด้วย

ที่มา : thehackernews

iOS 12.2 Patches Over 50 Security Vulnerabilities

iOS 12.2 มาแล้วพร้อมแพตซ์ด้านความปลอดภัยให้กับช่องโหว่กว่า 50 รายการ

Apple ประกาศแพตช์ด้านความปลอดภัยให้กับหลายอุปกรณ์เมื่อคืนนี้ตามเวลาประเทศไทย สำหรับแพตช์ที่มาพร้อมกับ iOS 12.2 นั้นมีส่วนช่วยในการอุดช่องโหว่ด้านความปลอดภัยกว่า 50 รายการ โดยกว่า 15 รายการมาจากช่องโหว่ใน Safari ซึ่งเกี่ยวข้องกับคอมโพเนนต์ WebKit

นอกจาก iOS 12.2 แล้ว Apple ยังมีการปล่อยเวอร์ชันใหม่ ได้แก่ macOS 10.14.4, tvOS 12.2, Xcode 10.2, watchOS 5.1.3 รวมไปถึงไคลเอนต์ของ iTunes และ iCloud บน Windows ด้วย
ผู้ใช้งานสามารถทำการดาวโหลดเวอร์ชันใหม่พร้อมแพตช์ด้านความปลอดภัยได้จากช่องทางแบบ OTA ของอุปกรณ์ได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : bleepingcomputer

ASUS Live Update Infected with Backdoor in Supply Chain Attack

เซิร์ฟเวอร์ ASUS Software Updates ถูกแฮก ใช้แพร่กระจายมัลแวร์กระทบผู้ใช้งานกว่าครึ่งล้านราย
กลุ่มนักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้มีการเปิดเผยแคมเปญการโจมตีใหม่ภายใต้ชื่อ Operation ShadowHammer หลังจากตรวจพบการแพร่กระจายของมัลแวร์ผ่านทางบริการ ASUS Software Updates ซึ่งถูกใช้โดยอุปกรณ์จาก ASUS เพื่อรับอัปเดตของโปรแกรมใหม่ โดยจากการประเมินเบื้องต้นนั้นคาดว่ามีผู้ดาวโหลดมัลแวร์ไปแล้วกว่า 500,000 ราย
การโจมตีแบบ Supply-chain attack นี้ถูกเปิดเผยขึ้นเมื่อเดือนมกราคมที่ผ่านมาที่งานสัมมนา SAS 2019 อย่างไรก็ตามการโจมตีถูกประเมินว่าเกิดขึ้นในช่วงเดือนมิถุนายนถึงเดือนพฤศจิกายน 2018
Kaspersky Lab ระบุว่าแคมเปญการโจมตีใน Operation ShadowHammer นั้นมีความซับซ้อนสูงและเชื่อกันว่าผู้อยู่เบื้องหลังการโจมตีอาจเป็นกลุ่มผู้โจมตีที่มีศักยภาพสูงระดับ APT เนื่องจากมัลแวร์ที่ถูกแพร่กระจายผ่านทางช่องทางของ ASUS Software Updates ถูกรับรองด้วยใบอนุญาตที่ถูกต้องของ ASUS ซึ่งหมายความว่าผู้โจมตีสามารถเข้าถึงกระบวนการรับรองโปรแกรมของ ASUS ด้วย
มัลแวร์ที่ถูกแพร่กระจายนั้นมีลักษณะการทำงานแบบโทรจันโดยจะมีการตรวจสอบ MAC address ของระบบที่มีการติดเชื้อเปรียบเทียบกับรายการ MAC address ที่ฝังมากับโปรแกรมของมัลแวร์ซึ่งคาดว่าเป็นเป้าหมายที่แท้จริงของแคมเปญการโจมตี หาก MAC address ของระบบที่ติดเชื้อนั้นอยู่ในรายการดังกล่าว มัลแวร์จะทำการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) เพื่อดาวโหลดมัลแวร์อื่นมาติดตั้ง
Kaspersky Lab ยังเผยแพร่เครื่องมือสำหรับตรวจสอบว่าระบบที่ใช้งานอยู่นั้นมีโอกาสที่จะต้องเป็นเป้าหมายหรือไม่ด้วยการตรวจสอบจาก MAC address โดยในขณะนี้ทาง ASUS ได้ทำการตรวจสอบและเข้าขัดขวางแคมเปญการโจมตีดังกล่าวแล้ว

ที่มา : motherboard

Microsoft February 2019 Patch Tuesday Includes Fixes for 70 Vulnerabilities

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2019 แก้ไขช่องโหว่ 70 รายการ โดยที่ 18 รายการถูกจัดอยู่ในระดับ Critical การอัพเดตครั้งนี้รวมถึงการแก้ไขช่องโหว่ zero-day ใน Adobe Flash Player และช่องโหว่ที่เป็นที่รู้จักอีกหลายรายการ อย่างเช่น

ช่องโหว่ 'PrivExchange' ของ Microsoft Exchange เป็นปัญหาใน Exchange Web Services (EWS) สำหรับการแจ้งเตือนแบบพุชเพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบในเซิร์ฟเวอร์ที่ถูกโจมตี

ช่องโหว่การเปิดเผยข้อมูลใน Internet Explorer (CVE-2019-0676) ช่องโหว่นี้ถูกค้นพบโดย Google Project Zero หากเหยื่อเข้าชมเว็บไซต์ที่เป็นเพจอันตราย ผู้โจมตีจะสามารถตรวจสอบการมีอยู่ของไฟล์บนฮาร์ดไดรฟ์ของเหยื่อได้

ช่องโหว่ SMBv2 Remote Code Execution (CVE-2019-0630) ช่องโหว่นี้อาจทำให้ถูกโจมตีด้วยการส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ SMBv2 ที่เป็นเป้าหมาย ทำให้สามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) ผ่านบัญชีผู้ใช้ที่ผ่านการ Authenticated แล้วได้

ช่องโหว่ DHCP (CVE-2019-0626) เป็นช่องโหว่ Memory Corruption ทำให้ผู้โจมตีส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ DHCP หากสำเร็จจะช่วยให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) บนเซิร์ฟเวอร์ที่ถูกโจมตี

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว โดยสามารถดูรายละเอียดเพิ่มเติมของช่องโหว่ต่างๆ ได้จากที่มา

ที่มา : bleepingcomputer

GandCrab ransomware campaign targets Italy using steganography

Matthew Rowan ผู้เชียวชาญด้านความปลอดภัยจาก Bromium พบการใช้ steganography ในการซ่อน GandCrab ransomware มาในรูปภาพมาริโอ้

การเข้ารหัสในไฟล์รูปภาพ (steganography) นี้ถูกใช้ในการซ่อนชุดคำสั่ง PowerShell ไว้ในโค้ดสีเขียวและสีน้ำเงิน ของรูปภาพมาริโอ้ โดยเทคนิคนี้ทำให้ยากต่อการตรวจจับโดยอุปกรณ์ความปลอดภัยอย่าง Firewall หรือ Anti-virus

โดยผู้เชียวชาญขี้ว่าการโจมตีพุ่งป้าไปยังผู้ใช้งานในประเทศอิตาลี แต่ดูเหมือนว่าแคมเปญนี้อาจกำลังขยายตัวไปสู่ส่วนอื่นของโลก

ที่มา : securityaffairs