ช่องโหว่ดังกล่าวคือ CVE-2021-28133 โดยปกติผู้ใช้งานสามารถเลือกที่จะแชร์หน้าจอเฉพาะส่วนที่ต้องการ, แอพพลิเคชั่นที่ต้องการ หรือเลือกที่จะแชร์หน้าจอทั้งหมด แต่ช่องโหว่ดังกล่าวนี้จะแสดงข้อมูลของแอพพลิเคชั่นอื่นๆ ให้ผู้เข้าร่วมคนอื่นเห็นเป็นช่วงเวลาสั้นๆ หากแอพพลิเคชั่นดังกล่าวถูกเปิดซ้อนบนแอพพลิเคชั่นที่ถูกแชร์อยู่

ปัญหาดังกล่าวถูกทดสอบบนเวอร์ชั่น 5.4.3 และ 5.5.4 ทั้งบน Windows และ Linux มีการเปิดเผยว่าช่องโหว่ดังกล่าวได้รับการแจ้งไปตั้งแต่เมื่อวันที่ 2 ธันวาคม ปีที่แล้ว และปัจจุบันช่องโหว่ดังกล่าวก็ยังไม่มีการปล่อยแพทช์ออกมา โดย zoom แจ้งว่ารับทราบถึงปัญหาดังกล่าวแล้ว และกำลังอยู่ในขั้นตอนดำเนินการแก้ไข แม้ว่าข้อมูลดังกล่าวจะถูกแสดงเพียงแค่ระยะเวลาสั้นๆ แต่หากมีการอัดวิดีโอไว้ ก็จะสามารถเปิดย้อนกลับมาเพื่อดูได้

ที่มา: thehackernews

Acer บริษัทยักษ์ใหญ่ทางด้านคอมพิวเตอร์ถูกโจมตีด้วย REvil Ransomware ซึ่งกลุ่มผู้ประสงค์ร้ายได้เรียกร้องค่าไถ่ที่เป็นจำนวนเงิน 50 ล้านดอลลาร์

BleepingComputer และ Valery Marchive จาก LegMagIT ได้พบตัวอย่างไฟล์จากกลุ่ม REvil ransomware และทำให้สามารถยืนยันการโจมตีได้จากบันทึกค่าไถ่และการสนทนาของตัวเเทน Acer กับผู้โจมตี โดยการโจมตีถูกเริ่มตั้งแต่วันที่ 14 มีนาคมที่ผ่านมา ตัวแทน Acer ได้รับการติดต่อจากตัวเเทนของกลุ่ม REvil Ransomware ที่ได้แชร์ลิงก์ไปยังหน้าข้อมูลที่เผยแพร่ตัวอย่างไฟล์และภาพที่ถูกละเมิดจากเครือข่ายของ Acer ซึ่งถูกปิดเป็นความลับในช่วงเวลาดังกล่าว โดยกลุ่ม REvil ได้แสดงความต้องการค่าไถ่เป็นจำนวนมากถึง 50 ล้านดอลลาร์และยังได้ทำการเสนอส่วนลด 20 % ถ้าหากทาง Acer ชำระเงินภายในวันพุธที่ผ่านมา และจะส่งตัวถอดรหัสกับรายงานช่องโหว่และการลบไฟล์ที่ถูกขโมยออกไปด้วย

Vitali Kremez ผู้เชี่ยวชาญด้านความปลอดภัยได้ออกมาแสดงข้อสันนิษฐานกับเหตุการณ์ที่เกิดขึ้นหลังจากแพลตฟอร์ม Andariel cyberintelligence ของ Intel ตรวจพบกลุ่ม Revil ที่ได้กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Microsoft Exchange บนโดเมนของ Acer การโจมตีดังกล่าวได้ใช้ประโยชน์จากช่องโหว่ ProxyLogon เพื่อปรับใช้ ransomware โดยเหตุการณ์การตรวจจับนี้ยังไม่ได้รับการยืนยันจาก Acer ซึ่งหาก REvil ใช้ประโยชน์จากช่องโหว่ล่าสุดของ Microsoft Exchange เพื่อขโมยข้อมูลหรือเข้ารหัสอุปกรณ์ก็จะเป็นครั้งแรกที่การดำเนินการเรียกค่าไถ่จากการใช้เวกเตอร์นี้ในการโจมตี

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เสมอและควรทำการอัปเดตเเพตช์ความปลอดภัยอยู่เป็นประจำและควรพิจาณาการใช้ไฟล์วอลในระบบของท่าน เพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

งานแถลงข่าวเมื่อวันที่ 17 มีนาคม ที่ผ่านมา หน่วยงานของรัฐบาลญี่ปุ่นประกาศการเข้าตรวจสอบ Z Holdings ซึ่งเป็นบริษัทแม่ของ LINE หลังจากที่สื่อญี่ปุ่นรายงานว่าบริษัทเทคโนโลยีสัญชาติจีนที่ทำธุรกิจร่วมกันนั้นสามารถเข้าถึงข้อความและข้อมูลส่วนตัวของผู้ใช้งาน LINE ได้

สำนักข่าว The Asashi Shimbun ซึ่งเป็นผู้รายงานข่าวต้นเรื่องได้ออกรายงานว่า วิศวกรชาวจีนจำนวน 4 คนได้มีการเข้าถึงระบบของ LINE เพื่ออ่านข้อความและข้อมูลส่วนตัวของผู้ใช้งาน ได้แก่ ชื่อ, หมายเลขโทรศัพท์, อีเมลแอดเดรสและชื่อ LINE ID โดยวิศวกรทั้ง 4 คนทำงานให้กับบริษัทซอฟต์แวร์ในเซี่ยงไฮ้เกี่ยวกับโครงการ AI ร่วมกับ LINE

ในขณะนี้หน่วยงานของรัฐบาลญี่ปุ่นได้ทำการตรวจสอบเหตุการณ์ดังกล่าวโดยเฉพาะอย่างยิ่งในประเด็นของการไม่ปฏิบัติตามนโยบายด้านข้อมูลส่วนบุคคล อีกทั้งหากการเข้าถึงข้อมูลดังกล่าวเกิดขึ้นในลักษณะที่ไม่ได้รับอนุญาต LINE อาจเจอปัญหาเพิ่มเติมจากการไม่เปิดเผยเหตุการณ์ดังกล่าวในรายงาน Transparency report อีก

ในฝั่งของ LINE นั้น The Ashi Shimbun รายงานว่าทาง LINE ไม่พบการเข้าถึงในลักษณะที่ไม่ได้รับอนุญาตหรือมีลักษณะเป็น Data breach แต่อย่างใด อย่างไรก็ตาม LINE ได้มีการยกเลิกสิทธิ์ในการเข้าถึงข้อมูลแล้วตั้งแต่วันที่ 24 กุมภาพันธ์ที่ผ่านมา

แม้ว่าเหตุการณ์ที่เกิดขึ้นจะยังมีความไม่ชัดเจนอยู่ในหลายประเด็น ทั้ง LINE และ Z Holding ก็ได้มีการออกจดหมายขอโทษแก่ผู้ใช้งานแล้ว และมีการกล่าวถึงการตรวจสอบเพิ่มเติมที่จะเกิดขึ้นต่อไป

อ่านแถลงจากหน่วยงานของรัฐบาลญี่ปุ่น: kantei
รายงานจาก The Asahi Shimbun: asahi
จดหมายขอโทษจาก LINE: linecorp
จดหมายขอโทษจาก Z Holdingz: z-holdings
ที่มา: therecord

Microsoft ออก Exchange On-premises Mitigation Tool (EOMT) ซึ่งเป็นสคริป PowerShell เพื่อช่วยองค์กรขนาดเล็กในการบรรเทาผลกระทบจากช่องโหว่ ProxyLogon ใน Exchange โดยสคริปดังกล่าวรองรับ Exchange 2013, 2016 และ 2019 โดยสคริปดังกล่าวจะ

ตรวจสอบว่ามีช่องโหว่หรือไม่
บรรเทาผลกระทบจากช่องโหว่ CVE-2021-26855 ด้วย URL Rewrite configuration
ดาวน์โหลดและรัน Microsoft Safety Scanner เพื่อค้นหา webshell ที่อาจมีฝังไว้
ลบไฟล์อันตรายที่ Microsoft Safety Scanner พบ

Microsoft ระบุว่าสคริปดังกล่าวเป็นเพียงการบรรเทาผลกระทบชั่วคราวเท่านั้น ผู้ดูแลระบบควรอัปเดตแพตช์จะเป็นการดีที่สุด สามารถอ่านรายละเอียดของสคริปดังกล่าวได้ที่ microsoft

ที่มา msrc-blog

Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing

โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency

ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว

ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore

ที่มา: security

ตำรวจเกาหลีใต้ประกาศการเข้าจับกุมผู้ต้องสงสัยวัย 20 ปีเมื่อช่วงต้นเดือนที่ผ่านมาหลังจากพบหลักฐานซึ่งบ่งชี้ว่าผู้ต้องสงสัยคนนี้มีส่วนเกี่ยวข้องกับการแพร่กระจายมัลแวร์เรียกค่าไถ่ Gandcrab ผ่านการใช้บริการ Ransomware-as-a-Service เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ผ่านทางอีเมลกับเป้าหมายในประเทศเกาหลีใต้ กระบวนการสืบสวนถูกดำเนินการผ่านการติดตามลักษณะธุรกรรมของ cryptocurenncy ที่มีการเชื่อมโยงกับบัญชีธนาคารจริง

จากการตรวจสอบ ผู้ต้องสงสัยรายนี้มีพฤติกรรมในการส่งอีเมลกว่า 6,500 ฉบับในช่วงระหว่างเดือนกุมภาพันธ์ถึงเดือนมิถุนายน 2019 โดยปลอมแปลงเอกสารทางราชการในลักษณะต่าง ๆ พร้อมกับแนบไฟล์ของมัลแวร์ Gandcrab เมื่อกระบวนการเข้ารหัสเสร็จสิ้น มัลแวร์เรียกค่าไถ่จะเรียกเงินค่าไถ่เป็นจำนวนประมาณ 1,300 ดอลลาร์สหรัฐฯ หรือประมาณ 40,000 บาทในสกุลบิทคอยน์ การติดตามการโจมตีพบผู้เสียหายแล้วกว่า 120 ราย

แม้ลักษณะการส่งอีเมลเป็นจำนวนมาก ทางหน่วยงานเกาหลีกล่าวว่าผู้ต้องสงสัยทำเงินจากปฏิบัติการได้เพียงแค่ 12 ล้านวอน หรือประมาณ 320,000 บาทเท่านั้น เนื่องจากเขาจะได้รับเงินจากการจ่ายค่าไถ่เพียงแค่ 7% จากมูลค่าทั้งหมดที่ถูกจ่ายผ่านบริการ Ransomware-as-a-Service

ที่มา: therecord

เมื่อวันที่ 16 กุมภาพันธ์ 2021 ที่ผ่านมาทาง Walmart ได้รับแจ้งจากซัพพลายเออร์รายหนึ่งว่าโฮสต์ที่ให้บริการข้อมูลถูกบุกรุกในวันที่ 20 มกราคม 2021 จากบุคคลที่ไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบุคคลดังกล่าวยังได้ทำการขโมยข้อมูลบางส่วน รวมถึงข้อมูลเกี่ยวกับผู้ป่วยของร้านขายยาออกไปด้วย

เหตุการณ์นี้ Walmart ได้ระบุว่าระบบข้อมูลหลักของ Walmart ไม่ได้รับผลกระทบจากเหตุการณ์นี้ แต่ทาง Walmart ได้เริ่มตรวจสอบเหตุการณ์ทันทีเพื่อตรวจสอบว่าข้อมูลส่วนบุคคลใด ๆ บ้างจากผู้ใช้บริการโดยซัพพลายเออร์ที่ได้รับผลกระทบ

จากการตรวจสอบของ Walmart พบในเบื้องต้นว่าข้อมูลที่ได้คาดว่าได้รับผลกระทบคือ ชื่อผู้ป่วย, ที่อยู่, วัน/เดือน/ปีเกิด, หมายเลขโทรศัพท์, ข้อมูลเกี่ยวกับยา เช่น ชื่อยาและความแรงของยา, หมายเลขใบสั่งยาข้อมูลผู้ใช้ยา, ข้อมูลการวางขาย, หมายเลขประจำตัวสมาชิก โดยหมายเลขประกันสุขภาพก็ได้รับผลกระทบเช่นกัน

ทั้งนี้ Walmart กำลังสอบสวนข้อมูลเพิ่มเติมและได้ให้ซัพพลายเออร์ดังกล่าวหยุดการให้บริการแล้ว โดย Walmart กำลังส่งการแจ้งเตือนเป็นรายบุคคลไปยังผู้ป่วยที่ได้รับผลกระทบเกี่ยวกับเหตุการณ์นี้ อย่างไรก็ตามผู้ที่ได้รับการแจ้งเตือนเกี่ยวกับข้อมูลที่ถูกรั่วไหลควรระมัดระวังเกี่ยวกับการคำขอให้ข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินทางโทรศัพท์หรือทางข้อความและทางอีเมล ซึ่งควรตรวจสอบแหล่งที่มาของคำขอสำหรับข้อมูลดังกล่าวเสมอ

ที่มา: databreaches

กลุ่มแฮกเกอร์โชว์การเข้าถึงกล้องวงจรปิดแบบถ่าย Live ได้ ซึ่งกล้องวงจรปิดดังกล่าวถูกติดตั้งที่ Tesla, Equinox, คลินิกดูแลสุขภาพ, คุกและธนาคารแห่งหนึ่งในรัฐยูทาห์ โดยนอกจากภาพที่ถ่ายจากกล้องแล้วแฮกเกอร์ยังแชร์ภาพหน้าจอที่กลุ่มเเฮกเกอร์สามารถแฮกได้ ในการเข้าถึง root shell ของระบบเฝ้าระวังกล้องวงจรปิดที่ใช้ผ่านระบบ Cloudflare และที่ Telsa HQ ใช้

Tillie Kottmann ซึ่งเป็นทีม Reverse engineer ของกลุ่มเเฮกเกอร์ได้เปิดเผยว่าพวกเขาสามารถเข้าถึงระบบเฝ้าระวังกล้องวงจรปิดเหล่านี้ได้ โดยใช้บัญชีผู้ดูแลระบบของบริษัท Verkada ซึ่งเป็นบริษัทผู้ให้บริการเฝ้าระวังที่ทำงานร่วมกับองค์กรต่าง ๆ Kottmann ยังกล่าวอีกว่าเขาพบข้อมูล hardcoded credential สำหรับบัญชีผู้ดูแลระบบของ Verkada ใน DevOps infrastructure ที่ถูกเปิดเผยก่อนหน้านี้

ทั้งนี้สำนักข่าว Bloomberg ซึ่งรายงานการโจมตีและได้ติดต่อบริษัท Verkada ถึงเรื่องที่กลุ่มแฮกเกอร์เข้าถึงบัญชีผู้ดูแลระบบของบริษัท ซึ่ง Verkada ได้รับทราบและทำการปิดใช้งานบัญชีผู้ดูแลระบบภายในทั้งหมดแล้วเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต โดยทีมรักษาความปลอดภัยภายในและภายนอกบริษัทกำลังตรวจสอบเหตุการณ์ที่เกิดขึ้นจากนั้นจะแจ้งให้หน่วยงานบังคับใช้กฎหมายทราบแล้วอีกครั้งภายหลัง

ที่มา: bleepingcomputer

F5 Networks ผู้ให้บริการอุปกรณ์เครือข่ายระดับองค์กรชั้นนำได้ประกาศถึงการพบช่องโหว่ร้ายแรง ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้จากระยะไกล (Remote Code Execution - RCE) จำนวน 4 รายการที่ส่งผลกระทบต่อซอฟต์แวร์ BIG-IP และ BIG-IQ โดยรายละเอียดช่องโหว่ทั้ง 4 รายการมีดังนี้

ช่องโหว่ CVE-2021-22986 (CVSS 9.8/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface
ช่องโหว่ CVE-2021-22987 (CVSS 9.9/10) เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งในโหมด Appliance Traffic Management User Interface (TMUI) หรือที่เรียกว่ายูทิลิตี้ Configuration ได้
ช่องโหว่ CVE-2021-22991 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer-overflow ที่เกิดจากการจัดการของ Traffic Management Microkernel (TMM) URI normalization ซึ่งอาจทำให้เกิด Buffer Overflow จนนำไปสู่การโจมตี Denial-of-service (DoS)
ช่องโหว่ CVE-2021-22992 (CVSS 9.0 / 10) เป็นช่องโหว่ Buffer overflow ที่เกิดขึ้นใน Advanced WAF/BIG-IP ASM โดยผู้โจมตีสามารถทำการส่ง HTTP Response ไปยัง Login Page ซึ่งอาจทำให้เกิด Buffer overflow จนนำไปสู่การโจมตี Denial-of-service (DoS) หรือในบางกรณีอาจทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกล

นอกจากนี้ F5 ยังได้ประกาศแพตช์เพื่อเเก้ไขช่องโหว่อีก 3 รายการโดย 2 รายการมีความรุนแรง High และ Medium ตามลำดับและมีระดับความรุนเเรง CVSS ที่อยู่ 6.6 - 8.8/10 ซึ่งช่องโหว่จะส่งผลให้ผู้โจมตีที่ผ่านการพิสูจน์ตัวตนแล้วสามารถรันโค้ดได้จากระยะไกล

เพื่อเป็นแนวทางการป้องกันการใช้ประโยชน์จากช่องโหว่ใน BIG-IP ผู้ดูแลระบบควรทำการอัปเดตเวอร์ชันเป็น 6.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3 และ 11.6.5.3 สำหรับในส่วน BIG-IQ ซึ่งจะได้รับผลกระทบจากช่องโหว่ CVE-2021-22986 ผู้ดูแลระบบสามารถทำการอัปเดตเวอร์ชันเป็น 8.0.0, 7.1.0.3 และ 7.0.0.2

ที่มา: bleepingcomputer

Microsoft Patch Tuesday ประจำเดือนมีนาคม 2021 โดยในเดือนนี้ Microsoft ได้ออกเเพตช์เพื่อเเก้ไขช่องโหว่เป็นจำนวน 82 รายการ ซึ่งช่องโหว่จำนวน 10 รายการ ถูกจัดเป็นช่องโหว่ที่มีระดับความรุนแรง Critical และอีก 72 รายการ เป็นช่องโหว่ที่มีระดับความรุนแรง Important ซึ่งช่องโหว่จำนวน 82 รายการนี้ไม่รวมช่องโหว่ของ Microsoft Exchange จำนวน 7 รายการและ Chromium Edge อีก 33 รายการที่เผยแพร่เมื่อต้นเดือนนี้ที่ผ่านมา สำหรับเเพตช์ที่ได้รับการเเก้ไขและน่าสนใจมีดังนี้

ช่องโหว่ Zero-day ถูกติดตามด้วยรหัส CVE-2021-26411 ถูกจัดเป็นช่องโหว่ประเภท Memory Corruption ใน Internet Explorer ที่ถูกแฮกเกอร์ชาวเกาหลีเหนือนำไปใช้โจมตีนักวิจัยด้านความปลอดภัย

ช่องโหว่ Zero-day อีกช่องโหว่หนึ่งที่น่าสนใจถูกติดตามด้วยรหัส CVE-2021-27077 ถูกจัดเป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Win32k โดยช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะโดย Trend Micro Zero Day Initiative

นอกจากช่องโหว่ที่กล่าวมานี้ Microsoft ยังออกแพตช์อัปเดตด้านความปลอดภัยสำหรับฟีเจอร์และบริการต่าง ๆ เช่น Microsoft Windows Codecs Library, Windows Admin Center, DirectX, Event Tracing, Registry, Win32K และ Windows Remote Access API

ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย สำหรับข้อมูลเกี่ยวกับการอัปเดตเเพตช์ของ Windows สามารถดูรายละเอียดเพิ่มเติมได้ที่: microsoft

ที่มา: bleepingcomputer