พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS)

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.

ช่องโหว่ RDS PostgreSQL ทำให้สามารถดึง AWS internal credentials ออกมาได้

นักวิจัยจาก Lightspin พบช่องโหว่ local file read ใน RDS และ Aurora PostgreSQL บน AWS โดยการใช้ third-party open-source PostgreSQL extension ที่ชื่อว่า “log_fdw” ปกติแล้ว log_fdw จะใช้ในการอ่านไฟล์ log ในเครื่อง RDS แต่นักวิจัยสามารถ Bypass การตรวจสอบชื่อไฟล์ของ log_fdw ทำให้สามารถอ่านไฟล์ใดก็ได้ในเครื่อง RDS

โดย RDS คือบริการ Database ที่ผู้ใช้งานไม่ต้องบริหารจัดการตัว OS, Database Patch หรือ Security Patch ทุกอย่างถูกจัดการให้โดย AWS จึงทำให้ปกติแล้วผู้ใช้งานจะไม่มีสิทธ์เข้าถึง OS โดยตรง หรือสิทธ์ Superuser ใน Database

ซึ่งนักวัจัยพบว่าเมื่อสามารถเข้าถึงไฟล์ RDS config ‘/rdsdbdata/config/postgresql.

Ukraine CERT-UA warns of new attacks launched by Russia-linked Armageddon APT

CERT-UA ของยูเครน เตือนถึงการโจมตีครั้งใหม่โดย Armageddon APT. ที่เชื่อมโยงกับรัสเซีย

Ukraine Computer Emergency Response Team (CERT-UA) ได้รายงาน phishing campaign ที่ใช้ข้อความโดยมี subject ชื่อ “On revenge in Kherson!” และมีไฟล์แนบ "Plan Kherson.

Hackers are now hiding malware in Windows Event Logs

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

แบบฟอร์มติดต่อบนเว็บไซต์ขององค์กร ถูกใช้ในการแพร่กระจายมัลแวร์ BazarBackdoor

มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security

BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์

แบบฟอร์มการติดต่อถูกใช้แทนอีเมล

ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads

แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป

เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง

Hiding BazarLoader

ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง

โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL

เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.

SolarWinds ออกคำเตือนการโจมตี ซึ่งมีเป้าหมายไปที่ Web Help Desk instances (WHD)

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

พบ Botnet ใหม่ บนระบบปฏิบัติการ Linux ใช้ประโยชน์จากช่องโหว่ Log4J โดยใช้ DNS Tunneling ในการติดต่อกลับไปยัง C&C Server

Botnet ที่ถูกพบเมื่อไม่นานมานี้ กำลังมุ่งเป้าไปที่ระบบปฏิบัติการ Linux โดยพยายามยึดครองเครื่องเหยื่อเพื่อสร้างเป็น Army of Bots ที่พร้อมจะขโมย sensitive info, ติดตั้ง Rootkits, สร้าง Reverse Shells, และทำหน้าที่เป็น Web Traffic Proxies

มัลแวร์ที่เพิ่งค้นพบใหม่นี้มีชื่อเรียกว่า B1txor20 โดยนักวิจัยที่ Network Security Research Lab ของ Qihoo 360(360 Netlab) ซึ่งพบว่าตัวมันมุ่งเป้าการโจมตีไปยังระบบปฏิบัติการ Linux ARM, X64 CPU

Botnet ใช้ช่องโหว่ Log4J เพื่อแพร่กระจายมัลแวร์ ซึ่งเป็น Attack Vector ที่น่าสนใจเนื่องจากมี Vendors หลายสิบรายใช้ไลบรารี Apache Log4j Logging ที่มีช่องโหว่

นักวิจัยพบ Botnet B1txor20 เป็นครั้งแรกเมื่อวันที่ 9 กุมภาพันธ์ บนระบบ Honeypot ของพวกเขา

มัลแวร์ B1txor20 เป็น Backdoor บน Linux Platform ซึ่งใช้เทคโนโลยี DNS Tunneling เพื่อสร้างช่องทางการสื่อสารกับ C2 นอกเหนือจากฟังก์ชัน Backdoor แล้ว B1txor20 ยังมีฟังก์ชันต่าง ๆ เช่น การเปิด Socket5 Proxy, การดาวน์โหลดและติดตั้ง Rootkit จากระยะไกล

DNS Tunneling ใช้เพื่อปกปิดการรับส่งข้อมูลกับ C2

สิ่งที่ทำให้มัลแวร์ B1txor20 โดดเด่นคือ การใช้ DNS tunneling สำหรับช่องทางการสื่อสารกับเซิร์ฟเวอร์ Command and Control(C2) ซึ่งเป็นเทคนิคที่เก่าแต่ยังคงเชื่อถือได้ โดยผู้ไม่หวังดีใช้ประโยชน์จากโปรโตคอล DNS เพื่อสร้าง tunnel malware และ data via DNS queries

นักวิจัยอธิบายเกี่ยวกับมัลแวร์ไว้ว่า "Bot จะส่งข้อมูลสำคัญที่ถูกขโมย เช่น ผลการดำเนินการตามคำสั่ง และข้อมูลอื่น ๆ ไปยัง C2 ในลักษณะ DNS request" หลังจากได้รับ Request แล้ว C2 จะส่ง Payload กลับไปยัง Bot เพื่อตอบกลับ DNS request ด้วยวิธีนี้ Bot และ C2 จึงสามารถสื่อสารได้โดยใช้โปรโตคอล DNS ได้

นักวิจัย 360 Netlab ยังพบ Features ที่พัฒนาแล้วจำนวนมากที่ยังไม่ได้ถูกนำไปใช้ เนื่องจาก Features บางอย่างยังไม่สมบูรณ์ เราคิดว่าผู้พัฒนามัลแวร์ B1txor20 จะยังคงปรับปรุง และเปิดใช้งาน Features ต่าง ๆ ในอนาคต

ข้อมูลเพิ่มเติม รวมถึง indicators of compromise (IOCs) และรายการคำสั่ง C2 ทั้งหมด ดูได้ที่ 360 Netlab report

การใช้ประโยชน์จากช่องโหว่ Log4J อย่างต่อเนื่องโดย Botnets

ตั้งแต่มีการเปิดเผยช่องโหว่ของ Log4J ผู้ไม่หวังดีจำนวนมากเริ่มใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึงกลุ่มที่ได้รับการสนับสนุนซึ่งมีข้อมูลเชื่อมโยงกับรัฐบาลในจีน, อิหร่าน, เกาหลีเหนือ, และตุรกี รวมถึงโดย Ransomware gangs

นักวิจัย 360 Netlab กล่าวเสริมว่า "เนื่องจากช่องโหว่ของ Log4J ถูกเปิดเผยออกมา เราจึงเห็นมัลแวร์จำนวนมากขึ้นเช่น wagon, Elknot, Gafgyt, Mirai" ตัวอย่างเช่น ในเดือนธันวาคม พบผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของ Log4J เพื่อทำให้อุปกรณ์ Linux ที่มีช่องโหว่ ติดมัลแวร์ Mirai และมัลแวร์ Muhstik

Barracuda ยืนยันรายงานของ 360 Netlab เมื่อต้นเดือนที่ผ่านมา โดยกล่าวว่าพวกเขาพบ Payloads ต่าง ๆ ที่กำหนดเป้าหมายการโจมตีไปยัง Server ที่มีช่องโหว่ Log4j เช่นเดียวกัน

ที่มา : bleepingcomputer

Bridgestone Americas ยอมรับถึงเหตุการณ์ข้อมูลรั่วไหลจากการโจมตีโดยกลุ่ม LockBit Ransomware

Bridgestone Americas หนึ่งในผู้ผลิตล้อยางรายใหญ่ที่สุดในโลกถูกโจมตีทางไซเบอร์ ซึ่งทางกลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี พวกเขาประกาศว่าจะเผยแพร่ข้อมูลที่ได้ขโมยมาจากบริษัทโดยตั้งเวลานับถอยหลัง ซึ่งขณะนี้เหลือเวลาอีกไม่ถึง 3 ชั่วโมง

Bridgestone มีโรงงานผลิตหลายแห่งทั่วโลก และพนักงานกว่า 130,000 คน (พนักงานประจำ และตามสัญญา) จากข้อมูลของบริษัทในปี 2020

เมื่อวันที่ 27 กุมภาพันธ์ Bridgestone เริ่มตรวจสอบ “เหตุการณ์ด้านความปลอดภัยของข้อมูล” ซึ่งตรวจพบในช่วงเช้าของวันเดียวกัน

Bridgestone กล่าวในแถลงการณ์ว่า "จากเหตุการณ์ที่เกิดขึ้น เราได้ทำการตัดการเชื่อมต่อของโรงงานผลิต และการหล่อยางหลายแห่งในละตินอเมริกา อเมริกาเหนือ ออกจากเครือข่ายของเรา เพื่อควบคุม และป้องกันผลกระทบที่อาจเกิดขึ้น"

ยังไม่มีรายละเอียดเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจนกระทั่งวันนี้ กลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี โดยมีการเพิ่ม Bridgestone Americas ลงในรายชื่อเหยื่อของพวกเขา ซึ่ง LockBit เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่มีการเคลื่อนไหวมากที่สุดในปัจจุบัน โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ บางครั้งก็มีการเรียกค่าไถ่เป็นเงินหลายสิบล้านเหรียญสหรัฐ เช่นเดียวกับ Accenture

ยังไม่สามาถระบุได้ว่ามีข้อมูลใดบ้างที่ LockBit ขโมยมาจาก Bridgestone Americas หรือข้อมูลดังกล่าวจะส่งผลเสียต่อบริษัทอย่างไรบ้าง ในขณะที่การนับเวลาถอยหลังสำหรับการปล่อยข้อมูลออกสู่สาธารณะ ที่กำลังจะถึงกำหนดภายในเวลาประมาณ 3 ชั่วโมงครึ่ง

 

ในรายงานเมื่อเดือนที่แล้ว บริษัท อุตสาหกรรม Cybersecurity Dragos กล่าวว่า LockBit เป็นกลุ่ม Ransomware ที่มีการกำหนดเป้าหมายเป็นภาคอุตสาหกรรมด้วยการโจมตีมากถึง 103 ครั้ง ตามมาด้วยกลุ่ม Conti 63 ครั้งในรอบปีที่ผ่านมา

ในต้นเดือนกุมภาพันธ์ ทาง FBI ได้ให้รายละเอียดทางเทคนิคในการแสดงหน้าต่าง debug ที่ซ่อนอยู่ของกลุ่ม LockBit เพื่อให้เห็นสถานะการ encrypt ข้อมูลแบบเรียลไทม์

ในช่วงแรก BleepingComputer ได้ติดต่อไปยังบริษัท Bridgestone Americas เพื่อขอคำชี้แจงเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ในเวลานั้นก็ยังไม่ได้รับการตอบกลับ

ต่อมาเมื่อวันที่ 11 มีนาคม, 16:36 น. Bridgestone Americas ตอบกลับคำขอความคิดเห็นจาก BleepingComputer โดยระบุว่ากำลังทำงานร่วมกับ Accenture Security "เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด ซึ่งกำลังวิเคราะห์เพื่อระบุข้อมูลที่ถูกขโมยไป"

ข้อความเต็มด้านล่าง :
เมื่อวันที่ 27 กุมภาพันธ์ พ.ศ. 2565 บริษัท Bridgestone Americas ตรวจพบเหตุการณ์การโจมตี จากนั้นเราได้แจ้งหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง และเรายังทำงานกับที่ปรึกษาด้านความปลอดภัยภายนอกองค์กร Accenture Security เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด เบื้องต้นเหตุการณ์นี้เป็นผลมาจากการโจมตีของแรนซัมแวร์ ซึ่งการโจมตีของแรนซัมแวร์นี้ ส่งผลกระทบต่อองค์กรหลายพันแห่งในลักษณะเดียวกัน

ในการสืบสวน ได้พบว่าผู้โจมตีได้มีการนำข้อมูลออกจากระบบของ Bridgestone จำนวนหนึ่ง และข่มขู่ที่จะเปิดเผยข้อมูลต่อสาธารณะ เรามีความมุ่งมั่นที่จะดำเนินการตรวจสอบให้เร็วที่สุดเท่าที่เป็นไปได้จากข้อมูลแวดล้อมที่มี Bridgestone ดำเนินการด้านความปลอดภัยของข้อมูลให้กับลูกค้า และพันธมิตรด้วยความสำคัญสูงสุด จะทำการติดต่อ และแจ้งให้ทราบ เพื่อลดอันตรายที่อาจเกิดขึ้นจากเหตุการณ์นี้ และเพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ตามคำแนะนำของที่ปรึกษาด้านความปลอดภัยทั้งภายใน และภายนอก

ที่มา : bleepingcomputer

Microsoft วางแผนที่จะกำจัดมัลแวร์ที่ส่งผ่าน Macros ของ Office

Microsoft ประกาศว่า จะทำให้การเปิดใช้งาน VBA Macros ใน Microsoft Office ได้ยากขึ้น VBA Macros เป็นฟีเจอร์ที่มีประโยชน์สำหรับผู้ใช้งาน แต่ก็เป็นจุดอ่อนที่แฮกเกอร์ใช้เป็นช่องทางในการแพร่กระจาย Malware จึงจำเป็นที่ต้องกำจัดจุดอ่อนนี้เพื่อความปลอดภัยของผู้ใช้งานโดยจะเริ่มต้นในช่วงเดือนเมษายนนี้

การใช้ VBA Macros ที่มีอยู่ในเอกสาร Office เป็นวิธีที่นิยมอย่างมากในการแพร่กระจาย malware ที่เป็นอันตราย และการโจมตีแบบฟิชชิ่งจากมัลแวร์ต่างๆเช่น Emotet , TrickBot , Qbot และ Dridex อีกด้วย

“โดยการจัดการในครั้งนี้มีผลเฉพาะกับ Office บนอุปกรณ์ที่ใช้ Windows และแอปพลิเคชันต่อไปนี้เท่านั้น: Access, Excel, PowerPoint, Visio และ Word" Microsoft Office Product Group ได้กล่าวไว้

Microsoft จะเริ่มจัดการฟีเจอร์ Macros ในเวอร์ชัน 2023 ของ Microsoft 365 ซึ่งคาดว่าจะมีผลในต้นเดือนเมษายน 2022

หลังจากตัดสินใจบล็อคฟีเจอร์ Macros แล้ว ผู้ใช้ Office จะไม่สามารถเปิดใช้งาน Macors ได้อีก เพื่อเป็นการหยุดการแพร่กระจายของ Malware บนเครือข่ายโดยอัตโนมัติเมื่อเปิด Office docs ที่อันตราย รวมถึงโทรจันที่พยายามขโมยข้อมูลต่างๆ และเครื่องมือที่เป็นอันตรายที่ใช้โดยแก๊งแรนซัมแวร์

ณ ปัจจุบัน จนกว่าการบล็อกจะมีผลบังคับใช้ ถ้ามีการเปิดเอกสาร จะมีการตรวจสอบว่ามันถูกแท็กด้วย " Mark of the Web " (MoTW) หรือไม่ ซึ่งจะหมายความว่าไฟล์นั้นได้ถูกดาวน์โหลดมาจากอินเทอร์เน็ต

หากพบแท็ก " Mark of the Web " Microsoft จะเปิดเอกสารในโหมดอ่านอย่างเดียว บล็อกการใช้งานเว้นแต่ผู้ใช้จะคลิกที่ปุ่ม ' Enable Editing ' หรือ ' Enable Content ' ที่แสดงที่ด้านบนของเอกสาร

ดังนั้นการลบปุ่มเหล่านี้ออก บล็อกมาโครจากแหล่งที่ไม่น่าเชื่อถือโดยค่าเริ่มต้น เอกสารที่เป็นอันตรายส่วนใหญ่จะไม่สามารถทำงานได้ ซึ่งเป็นการหยุดการแพร่กระจายของมัลแวร์โดยแฮกเกอร์ที่ใช้ช่องโหว่นี้

จากข้อมูลของ Microsoft การปรับปรุงความปลอดภัยที่สำคัญนี้จะเผยแพร่ไปยังช่องทางการอัปเดต Office อื่นๆ เช่น Current Channel, Monthly Enterprise Channel, and Semi-Annual ในภายหลัง

และจะมีการอัปเดตการเปลี่ยนแปลงนี้ให้กับผู้ใช้ Office LTSC, Office 2021, Office 2019, Office 2016 และ Office 2013 ในอนาคต

“เราจะยังคงปรับปรุงการใช้งาน macro สำหรับผู้ใช้งานของเราอย่างต่อเนื่อง ทั้งนี้เพื่อทำให้ยากขึ้นที่จะหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตรายผ่าน social engineering ในขณะที่การใช้มาโครที่ถูกต้อง ยังสามารถเปิดใช้งานได้ตามความเหมาะสมผ่าน Publisher ที่เชื่อถือได้ และ/หรือ Location ที่เชื่อถือได้” Tristan Davis จาก Microsoft กล่าว

ถึงกระนั้นหลังจากที่ Office อัปเดตเปิดตัว และบล็อกฟีเจอร์ Macros ในเอกสารที่ดาวน์โหลดจากอินเทอร์เน็ต แต่เราจะยังคงสามารถเปิดใช้งานได้โดยไปที่ properties ของเอกสารและเลือกปุ่ม " Unlock " ที่ด้านล่างขวา

เมื่อเดือนที่แล้ว Microsoft ยังกล่าวด้วยว่า มาโคร Excel 4.0 (XLM) จะถูกปิดใช้งาน เพื่อป้องกันลูกค้าจากเอกสารอันตรายที่ออกแบบมาเพื่อติดตั้งมัลแวร์

การเปลี่ยนแปลงดังกล่าวได้รับการประกาศครั้งแรกในเดือนตุลาคมเมื่อ Microsoft เปิดเผยครั้งแรกว่า จะปิดการใช้งานมาโคร XLM ทั้งหมด หากผู้ใช้หรือผู้ดูแลระบบไม่ได้เปิดหรือปิดฟีเจอร์ด้วยตนเอง

ที่มา : bleepingcomputer

พบช่องโหว่ร้ายแรงบนปลั๊กอิน Elementor ใน WordPress ซึ่งมีผู้ติดตั้งแล้วกว่าหนึ่งล้านครั้ง

พบปลั้กอิน WordPress ที่มีการติดตั้งมากกว่าหนึ่งล้านครั้งมีช่องโหว่ที่ร้ายแรง อาจส่งให้ผลให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเว็ปไซต์ได้

ปลั๊กอินที่เป็นปัญหาคือ Essential Addons เป็นปลั๊กอินส่วนเสริมของ Elementor ที่มีไลบรารี่ และ extension มากกว่า 80 รายการที่ช่วยในการออกแบบปรับแต่ง pages และ posts

Patchstack กล่าวในรายงานว่า "ช่องโหว่นี้สามารถเข้าถึงไฟล์ เช่น /etc/password โดยไม่สนการตรวจสอบสิทธิ์ หรือการอนุญาตการใช้งาน และวางไฟล์ที่อันตรายอย่าง PHP บนเว็บไซต์ จากนั้นจะทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)"

ช่องโหว่นี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการใช้งาน widgets อย่าง dynamic gallery และ product gallery

ช่องโหว่นี้ส่งผลกระทบตั้งแต่เวอร์ชัน 5.0.4 รวมถึงเวอร์ชันก่อนหน้านี้ โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Wai Yan Myo Thet และช่องโหว่นี้ได้ถูกแก้ไขแล้วในเวอร์ชัน 5.0.5 ที่ปล่อยมาในวันที่ 28 มกราคม หลังจากไม่สามารถแก้ไขได้ในเวอร์ชันก่อนหน้านี้

การออกอัพเดทนี้เกิดขึ้นหลายสัปดาห์หลังจากที่มีผู้ใช้งานไม่ทราบชื่อทำการดัดแปลงธีม และปลั๊กอินของ WordPress หลายรายการที่โฮสต์บนเว็บไซต์ของนักพัฒนาเพื่อแทรกโค้ดที่อันตรายเข้าสู่ระบบหลังบ้าน (inject a backdoor) โดยมีเป้าหมายที่จะโจมตีต่อไปยังเว็บไซต์อื่นๆ

ที่มา : thehackernews