FBI เตือนการโจมตี BEC โดยใช้ Microsoft Office 365 และ Google G Suite
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เตือนพันธมิตรอุตสาหกรรมภาคเอกชนเกี่ยวกับการใช้ Microsoft Office 365 และ Google G Suite เป็นส่วนหนึ่งของการโจมตี Business Email Compromise (BEC) โดยระหว่างมกราคม 2014 จนถึง ตุลาคม 2019 ที่ผ่านมา FBI ได้รับคำร้องเกี่ยวกับการหลอกลวงมูลค่ากว่า 2.1 พันล้านเหรียญสหรัฐฯ จากการโจมตีแบบ BEC ที่เน้นเหยื่อผู้ใช้งาน Microsoft Office 365 และ Google G Suite
อาชญากรไซเบอร์ย้ายไปที่บริการอีเมลบนคลาวด์เพื่อตามไปโจมตีการย้ายข้อมูลขององค์กรไปยังบริการคลาวด์เหมือนกัน โดยโจมตีผ่านทางแคมเปญ Phishing ขนาดใหญ่ เมื่อหลอกเอารหัสผ่านได้แล้วอาชญากรไซเบอร์จะบุกรุกบัญชีผู้ใช้งานเหล่านั้น แล้วจะวิเคราะห์เนื้อหาอีเมลในกล่องข้อความเพื่อค้นหาหลักฐานการทำธุรกรรมทางการเงิน
อาชญากรไซเบอร์ใช้ข้อมูลที่รวบรวมจากบัญชีที่ถูกโจมตีเพื่อทำการปลอมแปลงการสื่อสารทางอีเมลระหว่างธุรกิจที่ถูกบุกรุกและบุคคลที่สาม เช่น ผู้ขายหรือลูกค้า นักต้มตุ๋นจะปลอมตัวเป็นพนักงานขององค์กรที่ถูกบุกรุกในขณะนั้น หรือพันธมิตรทางธุรกิจของพวกเขา เพื่อพยายามที่จะเปลี่ยนเส้นทางการชำระเงินระหว่างพวกเขา ไปยังบัญชีธนาคารของผู้โจมตี พวกเขาจะขโมยรายชื่อผู้ติดต่อจำนวนมากจากบัญชีอีเมลที่ถูกแฮก แล้วจะเอาไปใช้เพื่อโจมตีแบบ Phishing อื่นๆ ในภายหลัง
แม้ว่าทั้ง Microsoft Office 365 และ Google G Suite มาพร้อมกับคุณลักษณะด้านความปลอดภัยที่สามารถช่วยป้องกันการหลอกลวง BEC ได้ เเต่หลายคุณลักษณะของมันต้องกำหนดค่าและเปิดใช้งานเองโดยผู้ดูแลระบบไอทีและทีมรักษาความปลอดภัย ด้วยเหตุนี้องค์กรขนาดเล็กและขนาดกลางหรือองค์กรที่มีทรัพยากรด้านไอที จำกัดจึงเสี่ยงต่อการถูกโจมตีด้วยการหลอกลวง BEC มากที่สุด FBI กล่าว

FBI ให้คำแนะนำเพื่อลดความเสี่ยงจากการโจมตี BEC ดังต่อไปนี้:

ตั้งค่าห้ามไม่ให้มีการส่งต่ออีเมลโดยอัตโนมัติไปยังอีเมลภายนอกองค์กร
เพิ่มแบนเนอร์อีเมลเตือนเมื่อมีข้อความที่มาจากภายนอกองค์กรของคุณ
ห้ามใช้โปรโตคอลอีเมลดั้งเดิมเช่น POP, IMAP และ SMTP ที่สามารถใช้เพื่อหลีกเลี่ยง Multi-factor authentication
ตรวจสอบให้แน่ใจว่า log การเข้าสู่ระบบกล่องจดหมายและการเปลี่ยนแปลงการตั้งค่าได้รับการบันทึกและเก็บรักษาไว้อย่างน้อย 90 วัน
เปิดใช้งานการเเจ้งเตือน สำหรับพฤติกรรมที่น่าสงสัย เช่น การ Login จากต่างประเทศ
เปิดใช้งานคุณลักษณะด้านความปลอดภัยที่บล็อกอีเมลที่เป็นอันตราย เช่น Anti-phishing เเละ Anti-spoofing policy
กำหนดค่า Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), เเละ Domain-based Message Authentication Reporting เเละ Conformance (DMARC) เพื่อป้องกันการปลอมแปลง และการตรวจสอบอีเมล
ปิดใช้งาน Authentication ของบัญชีเก่าที่ไม่ได้ใช้งานเเล้ว

ผู้ใช้ยังสามารถใช้มาตรการเหล่านี้เพื่อป้องกันการหลอกลวง BEC:

เปิดใช้งาน Multi-factor authentication สำหรับบัญชีอีเมลทั้งหมด
ตรวจสอบการเปลี่ยนแปลงการชำระเงิน และธุรกรรมทั้งหมดด้วยตนเอง หรือผ่านหมายเลขโทรศัพท์ที่รู้จัก
ให้ความรู้แก่พนักงานเกี่ยวกับการหลอกลวงของ BEC รวมถึงกลยุทธ์การป้องกัน เช่นวิธีการระบุอีเมลฟิชชิ่ง และวิธีการตอบสนองต่อการถูกโจมตีที่น่าสงสัย

ที่มา : bleepingcomputer

อ่านเพิ่มเติมเกี่ยวกับ BEC ได้จากบทความ "รู้จัก Business Email Compromise (BEC) การโจมตีผ่านอีเมลเพื่อหลอกเอาเงินจากองค์กร" i-secure

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

ช่องโหว่ร้ายแรงจาก Netgear ส่งผลต่อ Router รุ่นดัง Nighthawk
Netgear กำลังคำเตือนผู้ใช้เกี่ยวกับข้อผิดพลาด remote code execution ที่สำคัญ ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตทำการควบคุมฮาร์ดแวร์ Wireless AC Router Nighthawk (R7800) ที่รันเฟิร์มแวร์เวอร์ชั่นก่อนหน้า 1.0.2.68 ได้ คำเตือนยังรวมถึงช่องโหว่อื่นๆ ได้แก่ช่องโหว่ความรุนแรงระดับสูงอีกสองตัว 21 ข้อบกพร่องที่มีระดับความรุนเเรงปานกลาง เเละอีกหนึ่งข้อบกพร่องระดับความรุนเเรงต่ำ
ช่องโหว่ remote code execution ที่สำคัญนี้ ถูกติดตามโดย Netgear ในรหัส PSV-2019-0076 ส่งผลกระทบต่อผู้ใช้ Nighthawk X4S Smart Wi-Fi Router (R7800) ที่เปิดตัวครั้งแรกในปี 2016 และยังคงมีอยู่ในปัจจุบัน Netgear ให้รายละเอียดสั้น ๆ เกี่ยวกับความเสี่ยงนี้ เพียงเเค่กระตุ้นให้ลูกค้าเยี่ยมชมหน้า online support เพื่อดาวน์โหลดตัวแก้ไข Bug เท่านั้น

ที่มา : threatpost

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

แพตช์ด่วน พบการสแกนหาช่องโหว่ Ghostcat สำหรับ Apache Tomcat แล้ว

ในตอนนี้พบการสแกนหาช่องโหว่สำหรับเซิร์ฟเวอร์ Apache Tomcat ที่ยังไม่ได้แก้ไขช่องโหว่ Ghostcat ที่ช่วยให้ผู้โจมตียึดเซิร์ฟเวอร์ได้จำนวนมาก

Ghostcat เป็นช่องโหว่ความเสี่ยงสูงในการเข้าถึงการอ่านไฟล์ ซึ่งถูกติดตามในชื่อ CVE-2020-1938 และมีอยู่ใน Apache JServ Protocol (AJP) ของ Apache Tomcat ตั้งแต่เวอร์ชัน 6.x จนถึง 9.x
นักพัฒนา Apache Tomcat ออกเวอร์ชัน 7.0.100, 8.5.51 และ 9.0.31 เพื่อแก้ไขช่องโหว่แล้ว อย่างไรก็ตามผู้ใช้เวอร์ชัน 6.x จะต้องอัปเกรดเป็นเวอร์ชันที่ใหม่กว่า เนื่องจากเวอร์ชั่นนี้ถึงจุดสิ้นสุดการ support แล้ว และไม่ได้รับการอัพเดทอีกต่อไป
Apache Tomcat 6, 7, 8 และ 9 ทั้งหมดที่มีช่องโหว่ AJP Connector จะถูกเปิดใช้งานตามค่าเริ่มต้น และ listening บนพอร์ต 8009
มีการเผยแพร่โค้ดสำหรับพิสูจน์เเนวความคิดการมีอยู่ของช่องโหว่ (POC) แล้ว Tenable กล่าวว่า POC สำหรับโจมตีช่องโหว่นี้ถูกเผยแพร่ทั้วไปตาม GitHub ทำให้ผู้โจมตีสามารถนำมาใช้ได้
หากคุณไม่สามารถอัปเดทหรืออัพเกรดเซิร์ฟเวอร์ของคุณเป็นรุ่น Tomcat ที่ได้รับการแก้ไขได้ทันที ทีมวิจัยของ Chaitin Tech แนะนำให้ปิดใช้งาน AJP Connector ทั้งหมด เว้นแต่ตั้งค่า requiredSecret สำหรับ AJP Connector ไว้ ซึ่งทำให้ต้องอาศัย credential ในการเชื่อมต่อ
ช่องโหว่ Ghostcat สามารถนำไปสู่การครอบครองเซิร์ฟเวอร์ได้ เนื่องจากTomcat ถือว่าการเชื่อมต่อ AJP มีความน่าเชื่อถือสูงกว่าการเชื่อมต่อ HTTP หรือการเชื่อมต่อที่คล้ายกัน หากใช้ช่องโหว่ดังกล่าวผู้โจมตีสามารถอ่านเนื้อหาของไฟล์การกำหนดค่าและไฟล์ source code ของ webapp ทั้งหมดที่ติดตั้งบน Tomcat ได้
นอกจากนี้หาก webapp อนุญาตให้ผู้ใช้อัปโหลดไฟล์ ผู้โจมตีสามารถอัปโหลดไฟล์ที่มีรหัสสคริปต์ JSP ที่เป็นอันตรายไปยังเซิร์ฟเวอร์ก่อน ตามด้วยการโจมตีช่องโหว่ Ghostcat ซึ่งในที่สุดก็สามารถส่งผลให้สามารถทำ remote code execution ได้

ที่มา : bleepingcomputer

ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก

ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k

ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้

ที่มา : thehackernews

 

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพตช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควร Update ทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา : bleepingcomputer

Chrome ออกแพตช์อุตช่องโหว่ 0 Day

หลังจากออก Chrome รุ่น 80 ไม่นาน ก็มีการออกรุ่น 80.0.3987.122 ตามมาทันที โดยเป็นการแก้ไขช่องโหว่ทั้งหมด 3 ช่องโหว่ เป็นความรุนแรง High ทั้งหมด โดยช่องโหว่ที่สำคัญคือ CVE-2020-6418 เป็นช่องโหว่ type of confusion bug กระทบทุกรุ่นจนกระทั่งรุ่น 80.0.3987.122 เป็นช่องโหว่ใน JavaScript และ Web Assembly engine ที่ชื่อว่า V8

ในปัจจุบันมีการโจมตีช่องโหว่นี้เกิดขึ้นแล้ว ผู้ใช้งานควรทำการ Update Chrome เป็นรุ่น 80.0.3987.122

ที่มา : threatpost