0patch ได้เผยแพร่ micropatch เพื่อแก้ไขช่องโหว่ zero-day ใน Adobe Reader ที่ส่งผลให้ผู้ไม่หวังดีสามารถสร้างไฟล์ PDF ที่เป็นอันตราย เพื่อส่งข้อมูลชื่อผู้ใช้งาน และค่า hash ของรหัสผ่านสำหรับเข้าสู่ระบบจาก NTLM กลับมาผ่าน SMB ได้

ช่องโหว่นี้ถูกค้นพบและได้รับการเปืดเผยโดย Alex Inführ ช่องโหว่นี้คล้ายกับช่องโหว่ Bad-PDF (CVE-2018-4993) ที่รายงานโดย CheckPoint ในเดือนเมษายนปีที่ผ่านมา มีผลกับ Adobe Acrobat Reader DC เวอร์ชันล่าสุด (19.010.20069) และคาดว่าจะมีผลกับเวอร์ชั่นก่อนหน้าด้วย

ล่าสุด 0patch ได้ออก micropatch เพื่อแก้ไขช่องโหว่ดังกล่าว โดยผู้ที่ต้องการดาวน์โหลดจะต้องเข้าไปยัง 0patch.

Apple ได้ออกแพทช์ iOS 12.1.4 เพื่อแก้ไขข้อผิดพลาดของ Group FaceTime ที่ส่งผลให้ผู้ใช้ Apple สามารถได้ยินหรือมองเห็นอีกฝ่ายก่อนที่จะรับสายผ่านเมื่อมีการโทรแบบกลุ่มบน FaceTime

ปัญหาของ Facetime (CVE-2019-6223) ดังกล่าว ถูกค้นพบโดย Grant Thompson อายุ 14 ปี จากโรงเรียนมัธยม Catalina Foothills ในขณะที่เขาพยายามที่จะติดต่อกับเพื่อนของเขาผ่าน FaceTime ข้อผิดพลาดดังกล่าวได้ถูกรายงานไปยัง Apple หนึ่งสัปดาห์ก่อนที่จะมีรายงานข่าวออกมา ส่งผลให้ Apple จำเป็นที่จะต้องปิดการใช้งานโทรกลุ่มของ FaceTime ชั่วคราว

การอัปเดต iOS 12.1.4 นี้ ยังแก้ไขช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ โดย 2 จาก 3 รายการถูกค้นพบและรายงานโดยนักวิจัยของ Google Project Zero และอีกรายการเกี่ยวข้องกับ FaceTime ด้วย

CVE-2019-7286: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตราย ยกระดับสิทธิ์สูงขึ้นบนอุปกรณ์
CVE-2019-7287: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกรันโค๊ดได้ด้วยสิทธิ์ kernel
CVE-2019-7288: ค้นพบโดยทีมรักษาความปลอดภัยของ Apple ข้อบกพร่องของ FaceTime ที่เกี่ยวกับ Live Photos

ผู้ใช้งานสามารถทำการอัพเดตอุปกรณ์ของตนเองได้แล้ว สำหรับ iPhone, iPad หรือ iPod ไปที่ Settings→ General → Software Update และ macOS ควรอัปเดตเป็น macOS Mojave 10.14.3 ได้ที่ 'System Preferences' คลิก 'Software Update' และทำการดาวน์โหลด

ที่มา : thehackernews

แจ้งเตือนช่องโหว่ใน runc กระทบ LXC, Docker และ Kubernetes รันโค้ดอันตรายทะลุถึงโฮสต์ได้

นักพัฒนาประจำโครงการ runc ซึ่งเป็น container runtime ให้กับโครงการ container หลายโครงการได้ออกมาประกาศการค้นพบช่องโหว่รหัส CVE-2019-5736 วันนี้ การโจมตีช่องโหว่นี้จะส่งผลให้ผู้โจมตีสามารถรันโค้ดอันตรายด้วยสิทธิ์ระดับสูงในระบบโฮสต์ได้ ช่องโหว่นี้ได้คะแนน CVSSv3 7.2 คะแนน

ช่องโหว่ดังกล่าวจะถูกโจมตีได้เมื่อมีการรัน container ที่ถูกสร้างขึ้นมาอย่างเฉพาะ โดย container ดังกล่าวนั้นจะเขียนทับไบนารีของ runc บนโฮสต์เพื่อรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root ได้

ช่องโหว่นี้จะไม่ถูกบล็อคโดยการตั้งค่าเริ่มต้นของ AppArmor และ SELinux บน Fedora หากมีการติดตั้ง moby-engine แต่จะถูกบล็อคหากการใช้งาน namepsace นั้นมีลักษณะที่รัดกุมพอ เช่น ไม่มีการ map โฮสต์เข้ากับ namspace ของ container

runc ถูกใช้เป็น container runtime ในหลายโครงการ อาทิ Docker, cri-o, containerd, Kubernetes และ Apache Mesos ซึ่งยืนยันแล้วว่าได้รับผลกระทบจากช่องโหว่

ผู้ใช้งานที่ได้รับผลกระทบควรดำเนินการอัปเดตซอฟต์แวร์ใดๆ ที่มีการใช้งาน runc เป็นเวอร์ชันล่าสุดที่มีการแพตช์แล้วโดยด่วน

ที่มา : bleepingcomputer

พบมัลแวร์ใหม่ที่ปลอมตัวเป็นโปรแกรม Google Update เพื่อขโมยข้อมูล และติดตั้งมัลแวร์เพิ่มเติม

นักวิจัยด้านความปลอดภัยจาก Minerva Labs ตรวจพบมีการขโมยข้อมูลโดยใช้โทรจัน AZORult ซึ่งโทรจันดังกล่าวจะทำการปลอมตัวเป็นโปรแกรม Google Update เมื่อติดตั้งบนเครื่องเหยื่อแล้ว มัลแวร์จะแทนที่การทำงานของ Google Update ตัวจริง

โปรแกรมดังกล่าวถูกพัฒนาให้มีรูปแบบที่เหมือนกับโปรแกรมที่ถูกต้องของ Google เช่นมีการใช้ไอคอนของ Google และมีการรับรอง (signed) ด้วยใบรับรอง (certificate) ที่ยังไม่หมดอายุ แต่จากการตรวจสอบเพิ่มเติมอย่างละเอียดพบว่า ใบรับรอง (certificate) ดังกล่าวออกให้กับ "Singh Agile Content Design Limited" แทนที่จะเป็นการออกให้กับ "Google" โดยออกเมื่อวันที่ 19 พฤศจิกายน

หลังจากการวิเคราะห์อย่างละเอียดพบว่ามัลแวร์ AZORult มีรูปแบบการทำงาน ดังต่อไปนี้

- ส่งคำขอ HTTP POST ไปที่ /index.

Firefox รุ่น 65 ปรับปรุงความสามารถในการแจ้งเตือนการโจมตี Man-in-the-middle

ตั้งแต่ Firefox รุ่น 61 มีเพิ่มความสามารถการแสดงข้อความ error "MOZILLA_PKIX_ERROR_MITM_DETECTED" ที่เตือนว่ามีการรันโปรแกรมเพื่อทำการโจมตี SSL ด้วยวิธีการ man-in-the-middle ซึ่งใน Firefox รุ่น 65 ได้มีการแก้ไขเพิ่มเติมว่าอาจมีโปรแกรมป้องกันไวรัสอาจเป็นสาเหตุของข้อผิดพลาดดังกล่าวได้ด้วย ไม่ใช่มีแต่การถูกโจมตีเสมอไป

Man-in-the-middle (MITM) คือ เทคนิคการโจมตีของแฮคเกอร์ที่จะปลอมเป็นคนกลางเข้ามาแทรกสัญญาณการรับส่งข้อมูลระหว่างผู้ใช้ (เบราว์เซอร์) และเซิร์ฟเวอร์ โดยใช้โปรแกรมดักฟังข้อมูลของเหยื่อ แล้วแฮกเกอร์ก็เป็นตัวกลางส่งผ่านข้อมูลให้ระหว่างเบราว์เซอร์กับเซิร์ฟเวอร์ ทำให้สามารถดักข้อมูล เช่น รหัสผ่าน หรือทำการแก้ไขเนื้อหาข้อมูลก่อนถึงปลายทางได้่
แต่โปรแกรมป้องกันไวรัสหรือโปรแกรม HTTP debugging tool อย่าง Fiddler มีการทำงานที่คล้ายกับการทำ MITM ทำให้เกิดข้อความ error ได้เช่นกัน

Firefox รุ่น 65 จึงมีการปรับปรุงโดยเพิ่มข้อมูลใบรับรองของโปรแกรมที่ทำให้เกิดการแจ้งเตือน ดังนั้นหาก Firefox รุ่น 65 แสดงข้อผิดพลาด MOZILLA_PKIX_ERROR_MITM_DETECTED แสดงว่าผู้ใช้มีโปรแกรมที่พยายามเข้าถึงใบรับรองเพื่อให้สามารถรับฟังการเข้าชมเว็บไซต์ที่เข้ารหัสของคุณได้ ผู้ใช้ควรทำการตรวจสอบว่ามาจากโปรแกรมใด ถ้าใบรับรองไม่ได้มาจากโปรแกรมป้องกันไวรัสแปลว่าอาจมีมัลแวร์บนเครื่อง
แต่ถ้าหากใบรับรองมาจากโปรแกรมป้องกันไวรัส Mozilla แนะนำให้ผู้ใช้ปิดการสแกน SSL หรือ HTTPS และเปิดใช้งานอีกครั้ง เพื่อเพิ่มใบรับรองของโปรแกรมป้องกันไวรัสไปยังที่เก็บใบรับรอง Firefox

ที่มา : bleepingcomputer

โปรแกรมที่มีการอิมพลีเมนต์ฟีเจอร์ SCP (Secure Copy Protocol) ทั้งหมดจาก 36 ปีที่ผ่านมาตั้งแต่ปี 1983 มีความเสี่ยงต่อข้อบกพร่องด้านความปลอดภัย 4 ประเด็น ที่อนุญาตให้เซิร์ฟเวอร์ SCP ที่เป็นอันตรายทำการเปลี่ยนแปลงระบบของผู้ใช้ โดยไม่ได้รับอนุญาตและซ่อนการทำงานที่เป็นอันตรายในเครื่อง

Harry Sintonen นักวิจัยด้านความปลอดภัยจากบริษัท F-Secure บริษัทที่รักษาความปลอดภัยทางไซเบอร์จากประเทศฟินแลนด์ได้ค้นพบช่องโหว่ตั้งแต่เดือนสิงหาคมปีที่ผ่านมา

SCP ทำงานบนโปรโตคอล SSH ที่สนับสนุนกลไกการตรวจสอบสิทธิ์ หรือการพิสูจน์ตัวตนเพื่อความถูกต้องและรักษาความลับสำหรับไฟล์ที่ถูกถ่ายโอนเช่นเดียวกับ นับตั้งแต่เปิดตัวครั้งแรกในปี 2526 SCP ได้ถูกใช้เป็นแอฟพลิเคชั่นภายใต้ชื่อเดียวกัน แต่อยู่ภายในปพลิเคชันอื่นๆ ตัวอย่างเช่น SCP เป็นวิธีการถ่ายโอนไฟล์มาตรฐานสำหรับ OpenSSH, Putty และ WinSCP เป็นต้น

Sintonen เปิดเผยว่ามีข้อบกพร่องด้านความปลอดภัยที่สำคัญ 4 ตัวที่มีผลต่อการใช้งาน SCP ดังนี้
1. CVE-2018-20685 - แอปไคลเอ็นต์ของ SCP อนุญาตให้เซิร์ฟเวอร์ SCP ระยะไกลสามารถแก้ไขสิทธิ์ของไดเรกทอรีเป้าหมายได้
2. CVE-2019-6111 - เซิร์ฟเวอร์ SCP ที่เป็นอันตรายสามารถเขียนทับไฟล์โดยพลการได้ในไดเรกทอรีของเป้าหมายบนไคลเอ็นต์ SCP หากดำเนินการแบบเรียกซ้ำ (-r) เซิร์ฟเวอร์สามารถจัดการไดเรกทอรีย่อยได้เช่นกัน (เช่นเขียนทับ. ssh / authorized_keys)
3. CVE-2019-6109 - เอาต์พุตเทอร์มินัลไคลเอ็นต์สามารถจัดการผ่านรหัส ANSI เพื่อซ่อนการทำงานที่ตามมา
4. CVE-2019-6110 – คล้ายกับด้านบน

การโจมตีต่างๆที่อาจพยายามโจมตีผ่านช่องโหว่เหล่านี้นั้นขึ้นอยู่กับผู้ที่ประสงค์ร้ายที่จะทำการยึดครองเซิร์ฟเวอร์ SCP หรือทำตัวเป็น Man-in-the-Middle

Recommendation แนะนำให้ผู้ใช้งานอัปเดตโปรแกรม OpenSSH, Putty และ WinSCP ให้เป็นเวอร์ชันใหม่โดยด่วน

ที่มา : zdnet

Mike Bautista นักวิจัยด้านความปลอดภัยจาก Cisco Talos เผยแพร่เครื่องมือฟรีที่สามารถปลดล็อคไฟล์ที่ถูกเข้ารหัสจาก PyLocky ransomware โดยไม่ต้องเสียค่าไถ่

PyLocky Ransomware ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก Trend Micro เมื่อเดือนกรกฎาคมปีที่แล้ว โดยทำการแพร่กระจายผ่านทาง spam email เช่นเดียวกับแคมเปญมัลแวร์ส่วนใหญ่ อีกทั้งยังมีความสามารถในการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ sandbox

เมื่อเข้าถึงกระบวนการเข้ารหัสไฟล์ Ransomware ดังกล่าวจะทำการเข้ารหัสเฉพาะระบบที่มีหน่วยความจำที่มากกว่าหรือเท่ากับ 4GB เท่านั้น โดยจะแสดงข้อมูลเกี่ยวกับการเรียกค่าไถ่ที่อ้างว่าเป็นตัวแปรของ Locky ransomware ที่รู้จักกันดีซึ่งต้องการค่าไถ่ในรูปแบบ cryptocurrency เพื่อ "กู้คืน" ไฟล์ และอ้างว่าจะเพิ่มค่าไถ่เป็นสองเท่าทุก ๆ 96 ชั่วโมงหากเหยื่อไม่จ่ายเงิน เป้าหมายหลักในการโจมตีของ PyLocky คือธุรกิจในยุโรปเป็นหลัก โดยเฉพาะในฝรั่งเศส และอาจมีเป้าหมายไปที่ประเทศเกาหลีและอิตาลีอีกด้วย

เครื่องมือสำหรับถอดรหัสไฟล์สามารถใช้งานได้กับทุกคน แต่มีข้อจำกัดอย่างมากในการกู้ไฟล์คืน โดยต้องทำการจับ initial network traffic (PCAP file) ระหว่าง PyLocky ransomware และ command-and-control (C2) server โดยสามารถดาวน์โหลดเครื่องมือถอดรหัส PyLocky ransomware จาก GitHub ได้ฟรีและเปิดใช้งานบนคอมพิวเตอร์ Windows

ที่มา : thehackernews

Adobe ประกาศแพตช์ด้านความปลอดภัยแก่แอปพลิเคชันสำหรับการประชุม Adobe Connect ส่งผลกระทบต่อรุ่น 9.8.1 และรุ่นก่อนหน้า

แพตช์ที่ถูกปล่อยโดย Adobe นั้นเป็นแพตช์สำหรับช่องโหว่ CVE-2018-19718 ซึ่งเป็นปัญหาการเปิดเผยสิทธิ์ที่ได้รับผ่านโทเค็นของเซสชัน และช่องโหว่รหัส CVE-2018-12817 ซึ่งกระทบ Adobe Digital Editions รุ่น 4.5.9 และต่ำกว่าในระบบ Windows, macOS, iOS และ Android โดยเป็นช่องโหว่ out-of-bound ผู้โจมตีสามารถโจมตีช่องโหว่นี้เพื่อควบคุมระบบได้

Recommendation แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบคำแนะนำและอัตเดพ patch ด้านความปลอดภัยของ Adobe

ที่มา : zdnet

Google ออกแพตช์ความปลอดภัยให้กับ Android

Google ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ให้กับระบบ Android ในปี 2019 แล้วสองแพตช์คือ 2019-01-01 patch level และ 2019-01-05 security patch level

2019-01-01 patch level มีการแก้ไขช่องโหว่ทั้งหมด 13 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2018-9583 มีผลกระทบร้ายแรงมาก (critical) เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถโจมตีด้วยการส่งคำสั่งให้ทำงานจากระยะไกลได้

2019-01-05 security patch level มีการแก้ไขช่องโหว่ทั้งหมด 14 ช่องโหว่ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2018-11847 มีผลกระทบร้ายแรงมาก (critical) เช่นกัน เป็นช่องโหว่ในส่วนของ Qualcomm ที่ทำให้แอปที่มีคำสั่งอันตรายบนเครื่องสามารถรันคำสั่งอันตรายได้

ผู้ใช้งานควรตรวจสอบและทำการอัปเดตรุ่นของระบบ Android ให้เป็นปัจจุบันเพื่อลดความเสี่ยง

ที่มา : securityaffairs

เกม Town of Salem เกิดการรั่วไหลของข้อมูลผู้เล่นเกมกว่า 7.6 ล้านคน

Town of Salem เป็นเกมที่ใช้บนแพลตฟอร์มเบราว์เซอร์ในลักษณะวางแผนและลับสมองซึ่งเป็นที่นิยมมากด้วยจำนวนผู้เล่นมากถึง 8 ล้านคน

BlankMediaGames (BMG) ออกมายืนยันถึงการรั่วไหลของข้อมูล เมื่อวันที่ 28 ธันวาคม โดยเป็นการเข้าถึงฐานข้อมูลผู้เล่นเกมซึ่งมีข้อมูลตามรายการด้านล่างอยู่
- ที่อยู่อีเมล
- ชื่อผู้ใช้งาน
- ที่อยู่ IP
- รหัสผ่าน
- กิจกรรมของเกม
- ข้อมูลการชำระเงินบางส่วน

ข้อมูลที่รั่วไหลออกไปนั้นบางส่วนถูกส่งไปยัง DeHashed เป็นบริการสำหรับตรวจสอบบัญชีผู้ใช้งานจากฐานข้อมูลที่มีการรั่วไหลออกมา

แม้ว่า BMG จะยืนยันว่าไม่มีข้อมูลรั่วไหลของหมายเลขบัตรเครดิต แต่ DeHashed กลับระบุสวนทางว่ามีข้อมูลการเรียกเก็บเงินของผู้เล่นบางคนที่จ่ายเงินสำหรับฟีเจอร์พิเศษบางอย่าง

ด้าน BMG คาดว่าจะเพิ่มขั้นตอนหรือวิธีการที่ปลอดภัยยิ่งขึ้นสำหรับกรณีที่เกิดขึ้น และจะมีการส่งอีเมลจำนวนมากไปยังผู้เล่นเกมที่ได้รับผลกระทบจากการรั่ไหลของข้อมูล โดยให้ความสำคัญคือการ "รีเซ็ตรหัสผ่าน" และยืนยันถึงความปลอดภัยของเซิร์ฟเวอร์

ที่มา : thehackernews