บริษัท The Browser Company ผู้ให้บริการ Arc Browser ได้เปิดตัวโครงการ Arc Bug Bounty เพื่อกระตุ้นให้นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ต่อโครงการ และรับเงินรางวัล

การพัฒนาครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical หมายเลข CVE-2024-45489 ซึ่งอาจทำให้ผู้โจมตีสามารถโจมตีผู้ใช้โปรแกรมในวงกว้างได้

โดยช่องโหว่ดังกล่าว ผู้โจมตีสามารถใช้ประโยชน์จาก Arc ที่ใช้ Firebase สำหรับการยืนยันตัวตน และการจัดการฐานข้อมูลเพื่อรันโค้ดตามที่ต้องการบนเบราว์เซอร์ของเป้าหมายได้

นักวิจัยพบช่องโหว่ระดับ Critical ในฟีเจอร์ Boosts (user-created customizations) ที่อนุญาตให้ผู้ใช้งานใช้ JavaScript ปรับเปลี่ยนเว็บไซต์เมื่อเข้าชมได้

นักวิจัยพบว่าสามารถทำให้โค้ด JavaScript ที่เป็นอันตรายทำงานในเบราว์เซอร์ของผู้ใช้รายอื่นได้ เพียงแค่เปลี่ยน creator ID ของ Boosts เป็น ID ของบุคคลอื่น และเมื่อผู้ใช้ Arc Browser เยี่ยมชมเว็บไซต์ดังกล่าว ก็จะเปิดใช้งานโค้ดที่เป็นอันตรายที่ถูกสร้างขึ้นโดยผู้โจมตี

แม้ว่าช่องโหว่ดังกล่าวจะปรากฏบนเบราว์เซอร์มาระยะหนึ่งแล้ว แต่ก็ได้รับการแก้ไขอย่างรวดเร็วในวันที่ 26 สิงหาคม 2024 หนึ่งวันหลังจากที่นักวิจัยเปิดเผยช่องโหว่ดังกล่าวต่อทีม Arc โดยพวกเขาได้รับรางวัล 2,000 ดอลลาร์

โครงการ Arc Bug Bounty

โครงการ Bug Bounty ที่ประกาศโดย The Browser Company ครอบคลุมถึง Arc บน macOS และ Windows และ Arc Search บนแพลตฟอร์ม iOS

การจ่ายเงินรอบนี้สามารถสรุปได้เป็น 4 หมวดหมู่หลักดังต่อไปนี้ ขึ้นอยู่กับความร้ายแรงของช่องโหว่ที่ค้นพบ

ช่องโหว่ระดับ Critical คือ การเข้าถึงระบบทั้งหมด หรือการใช้ประโยชน์ที่ส่งผลกระทบอย่างมีนัยสำคัญ (เช่น ไม่ต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 10,000 - 20,000 ดอลลาร์
ช่องโหว่ระดับ High คือ ปัญหาร้ายแรงที่ส่งผลต่อความสมบูรณ์ของเซสชัน การเปิดเผยข้อมูลที่สำคัญ หรือการเปิดใช้งานการเข้าควบคุมระบบ (รวมถึงช่องโหว่เบราว์เซอร์ extension บางส่วน) รางวัล: 2,500 - 10,000 ดอลลาร์
ช่องโหว่ระดับ Medium คือ ช่องโหว่ที่ส่งผลต่อ multiple tabs ที่มีผลกระทบต่อเซสชัน และข้อมูลที่จำกัด หรือการเข้าถึงข้อมูลที่สำคัญบางส่วน (อาจต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 500 - 2,500 ดอลลาร์
ช่องโหว่ระดับ Low คือ ปัญหาเล็กน้อยที่จำเป็นต้องมีการโต้ตอบจากผู้ใช้จำนวนมาก หรือมีขอบเขตจำกัด (เช่น ค่าเริ่มต้นที่ไม่ปลอดภัย และช่องโหว่ที่ยากต่อการนำใช้ในการโจมตี) รางวัล: สูงสุด 500 ดอลลาร์

รายละเอียดเพิ่มเติมเกี่ยวกับโครงการ Arc Bug Bounty{}

เกี่ยวกับช่องโหว่หมายเลข CVE-2024-45489 ทีมงาน Arc ระบุในประกาศล่าสุดว่า การซิงค์อัตโนมัติของ Boosts กับ JavaScript จะถูกปิดใช้งาน และมีการเพิ่มปุ่มปิดคุณสมบัติที่เกี่ยวข้องกับ Boost ทั้งหมดลงใน Arc 1.61.2 ซึ่งเป็นเวอร์ชันล่าสุดที่เปิดตัวเมื่อวันที่ 26 กันยายน 2024

นอกจากนี้ ยังมีการตรวจสอบจากผู้เชี่ยวชาญด้าน auditing ซึ่งอยู่ระหว่างการตรวจสอบ โดยจะครอบคลุมระบบที่ได้รับการสนับสนุนของ Arc

MDM configuration แบบใหม่ที่ใช้เพื่อปิดการใช้งาน Boosts สำหรับองค์กรจะเปิดตัวในอีกไม่กี่สัปดาห์ข้างหน้านี้

บริษัท The Browser Company เปิดเผยว่า ขณะนี้กำลังมีการร่างแนวปฏิบัติการเข้ารหัสใหม่ โดยเน้นไปที่การตรวจสอบ และทบทวนการทำงานเป็นพิเศษ รวมไปถึงกระบวนการตอบสนองต่อเหตุการณ์ที่มีการปรับปรุงใหม่เพื่อให้มีประสิทธิภาพมากขึ้น

Arc เปิดตัวเมื่อปีก่อน และได้รับความนิยมอย่างรวดเร็วด้วยการออกแบบอินเทอร์เฟซของผู้ใช้ที่มีความสร้างสรรค์ รวมไปถึงตัวเลือกการปรับแต่งที่ผสานรวมกับ uBlock Origin ทำให้มีประสิทธิภาพการทำงานที่รวดเร็ว ซึ่งทำให้ผู้โจมตีใช้ความนิยมของเบราว์เซอร์เพื่อส่งมัลแวร์ไปยังผู้ใช้งาน Windows

ที่มา : bleepingcomputer

โครงการของ Tor และ Tails OS กำลังรวมกระบวนการทำงานเข้าด้วยกันเพื่อร่วมมือกันสร้าง free internet โดยปกป้องผู้ใช้จากการสอดแนม และการเซ็นเซอร์

แนวคิดเรื่องการควบรวมกิจการเกิดขึ้นในช่วงปลายปีที่แล้วจาก Tails เนื่องจากองค์กรเติบโตเกินโครงสร้างที่มีอยู่ และเพื่อปกป้องพนักงานจากความเครียดที่เพิ่มขึ้นจากการขยายกรอบงาน

Tails ระบุว่า การร่วมมือกันสามารถมุ่งเน้นไปที่ภารกิจหลักในการดูแลรักษา และปรับปรุง Tails OS ได้อย่างครอบคลุมมากขึ้น รวมไปถึงการทำงานร่วมกันเพื่อเสริมประสิทธิภาพของกันและกันให้ดีมากขึ้น ขณะเดียวกันก็ได้รับประโยชน์จากโครงสร้างองค์กรที่ใหญ่กว่าของ Tor Project

Tor (The Onion Router) เป็นโครงการระดับโลกที่ไม่แสวงหากำไร ที่มีการพัฒนาเครื่องมือรักษาความเป็นส่วนตัวออนไลน์ โดยเฉพาะอย่างยิ่ง Tor Browser ที่ทำให้กิจกรรมบนอินเทอร์เน็ตไม่ระบุตัวตน รวมถึงเพื่อปกป้องผู้ใช้จากการติดตาม และการสอดแนม

Tails (Amnesic Incognito Live System) เป็นระบบปฏิบัติการ portable ที่ใช้ Linux (Debian) ที่มีการทำงานจาก removable storage media และใช้เบราว์เซอร์ Tor เพื่อกำหนดเส้นทางการแลกเปลี่ยนข้อมูลทั้งหมดระหว่างระบบภายในเครื่อง และอินเทอร์เน็ต จึงทำให้เป็นการใช้งานแบบไม่ระบุตัวตน

ทั้งสององค์กรได้ร่วมมือกันอย่างใกล้ชิดมาตลอดเก้าปีที่ผ่านมา และการควบรวมกิจการนี้ทำให้สามารถรวบรวมทรัพยากรได้อย่างมีประสิทธิภาพมากขึ้น และขยายการเข้าถึงเพื่อปรับปรุงเครื่องมือความปลอดภัยทางดิจิทัล

โดยการรวม Tails เข้ากับโครงสร้างของโครงการ Tor ช่วยให้การทำงานร่วมกันง่ายขึ้น มีความยั่งยืนมากขึ้น ค่าใช้จ่ายลดลง และมีการขยายการฝึกอบรม รวมไปถึงโปรแกรมการเข้าถึงเพื่อรับมือกับภัยคุกคามทางดิจิทัลที่เพิ่มจำนวนมากขึ้น

โดยสรุป การร่วมมือกันจะช่วยเสริมสร้างความสามารถของทั้งสององค์กรในการปกป้องผู้คนทั่วโลกจากการสอดแนม และการเซ็นเซอร์

Tails อธิบายว่าจำเป็นต้องมีโครงสร้างการปฏิบัติงานที่เหมาะสมกับการเติบโตมากกว่านี้ และการควบรวมกับ Tor จะช่วยสนับสนุน รวมถึงเสริมภารกิจร่วมกันในการปกป้องเสรีภาพทางอินเทอร์เน็ต

Intrigeri, Team lead ของ Talis ระบุว่า การดำเนินโครงการ Tails ในลักษณะโครงการอิสระมาเป็นเวลา 15 ปีนั้นต้องมีความพยายามอย่างมาก ส่วนที่ยากที่สุดไม่ใช่เทคโนโลยี แต่เป็นการจัดการงานสำคัญ ๆ เช่น การระดมทุน การเงิน และทรัพยากรบุคคล หลังจากพยายามจัดการงานเหล่านี้ในรูปแบบต่าง ๆ เขารู้สึกดีใจมากที่ตอนนี้ Tails อยู่ภายใต้การดูแลของ Tor Project โดยมีความรู้สึกเหมือนได้กลับบ้าน

การเคลื่อนไหวครั้งนี้คาดว่าจะช่วยกระตุ้นให้มีผู้ใช้งานเพิ่มมากขึ้นสำหรับ Tails OS โดยผู้ใช้งานยังคงน้อยกว่า Tor Project อยู่เล็กน้อย ซึ่งเป็นที่นิยม และเป็นกระแสหลักมากกว่า

สำหรับผู้ใช้ Tor Browser หรือ Tails OS อยู่แล้ว โปรเจ็กต์ทั้งสองนี้จะเสริมกระบวนการทำงานซึ่งกันและกัน และจะก่อให้เกิดโซลูชันที่ครอบคลุมมากขึ้น รวมไปถึงเพิ่มความปลอดภัยทั้งในระดับเครือข่าย และระบบปฏิบัติการ

ที่มา : bleepingcomputer

 

ผู้ให้บริการด้านสุขภาพในรัฐเท็กซัส UMC Health System ถูกบังคับให้ย้ายผู้ป่วยบางรายไปยังสถานที่อื่น หลังจากการถูกโจมตีด้วยแรนซัมแวร์ทำให้ส่งผลกระทบต่อการดำเนินงานของโรงพยาบาล

(more…)

Cyble Research and Intelligence Lab (CRIL) ได้เปิดเผยแคมเปญที่ใช้ไฟล์ .LNK ที่น่าสงสัยเป็น attack vector ในการโจมตีเบื้องต้น โดยไฟล์นี้อาจถูกส่งผ่านอีเมล spam และดาวน์โหลดแพ็คเกจ Python ซึ่งจากนั้นจะใช้เพื่อรันสคริปต์ Python ที่ถูก obfuscated ซึ่งถูกดึงมาจากเว็บไซต์ paste.

นักวิจัยด้านความปลอดภัยกลุ่มหนึ่งพบช่องโหว่ระดับ Critical ในพอร์ทัลตัวแทนจำหน่ายของ Kia ซึ่งอาจทำให้แฮ็กเกอร์สามารถค้นหา และขโมยรถยนต์ของ Kia ได้หลายล้านคัน ที่ผลิตภายหลังปี 2013 โดยใช้เพียงป้ายทะเบียนรถที่เป็นเป้าหมายเท่านั้น

ในปี 2022 แฮ็กเกอร์บางรายในกลุ่มนี้ และนักวิจัยด้านความปลอดภัยรวมไปถึง Sam Curry ผู้เชี่ยวชาญด้าน bug bounty จากการค้นหาช่องโหว่ ได้ค้นพบช่องโหว่ ระดับ Critical อื่น ๆ ที่ส่งผลกระทบต่อบริษัทผลิตรถยนต์กว่าสิบแห่ง ซึ่งทำให้ผู้โจมตีสามารถค้นหา และทำการปิดการทำงานของระบบสตาร์ทเครื่องยนต์, ปลดล็อก และสตาร์ทรถยนต์กว่า 15 ล้านคันที่ผลิตโดย Ferrari, BMW, Rolls Royce, Porsche และผู้ผลิตรถยนต์รายอื่น ๆ จากระยะไกลได้

Curry เปิดเผยว่า ช่องโหว่เว็บพอร์ทัลของ Kia ที่ค้นพบเมื่อวันที่ 11 มิถุนายน 2024 อาจถูกนำไปใช้เพื่อควบคุมรถยนต์ Kia ทุกคันจากระยะไกลได้ภายในเวลาไม่ถึง 30 วินาที "ไม่ว่าจะมีการสมัครสมาชิก Kia Connect หรือไม่ก็ตาม"

ช่องโหว่ดังกล่าวยังเปิดเผยข้อมูลส่วนบุคคลที่สำคัญของเจ้าของรถ รวมถึงชื่อ, หมายเลขโทรศัพท์, ที่อยู่อีเมล และที่อยู่ทางกายภาพ และอาจทำให้ผู้โจมตีสามารถเพิ่มตนเองเป็นผู้ใช้คนที่สองในรถที่เป็นเป้าหมายโดยที่เจ้าของรถอาจไม่รู้ตัว

เพื่อสาธิตปัญหานี้เพิ่มเติม ทีมงานจึงได้สร้างเครื่องมือที่แสดงให้เห็นว่าผู้โจมตีสามารถเข้าถึงป้ายทะเบียนรถยนต์ และทำการล็อก หรือปลดล็อกรถ, สตาร์ท หรือหยุดรถ, บีบแตร หรือระบุตำแหน่งรถยนต์ได้อย่างไรภายในเวลา 30 วินาที

นักวิจัยได้ลงทะเบียนบนพอร์ทัลตัวแทนจำหน่าย kiaconnect.

สำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐฯ (SEC) ได้ตั้งข้อกล่าวหาโรเบิร์ต บี. เวสต์บรู๊ค ซึ่งเป็นพลเมืองอังกฤษ ในข้อหาแฮ็กระบบคอมพิวเตอร์ของบริษัทมหาชนของสหรัฐฯ 5 แห่ง เพื่อเข้าถึงข้อมูลรายได้ที่เป็นความลับ และดำเนินการซื้อขายข้อมูลภายใน

จากนั้นเวสต์บรู๊คก็ใช้ข้อมูลนี้เพื่อทำการซื้อขายก่อนที่จะมีการประกาศรายได้ 14 รายการ ระหว่างเดือนมกราคม 2019 ถึงสิงหาคม 2020 และได้รับกำไรจากการขาย และกระทำผิดกฎหมายประมาณ 3,750,000 ดอลลาร์

กิจกรรมนี้เรียกว่า insider trading ซึ่งบุคคลที่ไม่ได้รับอนุญาตจะทำการลงทุนโดยอาศัยข้อมูลลับของบริษัทที่ไม่สามารถเปิดเผยต่อภายนอกได้

แฮ็กเกอร์ชาวอังกฤษถูกกล่าวหาว่าเจาะระบบของบริษัทต่าง ๆ โดยการรีเซ็ตรหัสผ่านของผู้บริหารระดับสูงขององค์กรที่เป็นเป้าหมาย จากนั้นแฮ็กเกอร์จึงเข้าถึงเอกสาร หรืออีเมลที่มีรายงานทางการเงิน และผลประกอบการ

การเข้าถึงบัญชีอีเมลจะช่วยให้แฮ็กเกอร์ลบร่องรอยของกิจกรรมนี้ได้อย่างง่าย รวมถึงลบการแจ้งเตือนของการรีเซ็ตรหัสผ่าน หรือการใช้วิธีการส่งต่อข้อความ

นอกจากนี้ เวสต์บรู๊คยังใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และ Bitcoin เพื่อทำการลงทุนที่ผิดกฎหมายโดยปกปิดตัวตน อย่างไรก็ตาม ก.ล.ต. ระบุว่าสามารถติดตามตัวผู้ก่อเหตุได้โดยใช้การวิเคราะห์ข้อมูล

สำนักงาน ก.ล.ต. สหรัฐฯ ระบุว่า แม้ว่าเวสต์บรู๊คจะใช้วิธีการต่าง ๆ มากมายในการปกปิดตัวตน ซึ่งรวมถึงการใช้บัญชีอีเมลที่ไม่เปิดเผยตัวตน คือ บริการ VPN และการใช้บิตคอยน์ แต่ระบบวิเคราะห์ข้อมูลขั้นสูงได้มีการติดตามสินทรัพย์ดิจิทัลอยู่ตลอด และต่อมาเทคโนโลยีของคณะกรรมาธิการก็สามารถเปิดเผยการฉ้อโกงได้ แม้แต่ในกรณีที่เกี่ยวข้องกับการแฮ็กข้อมูลที่ซับซ้อนในระดับนานาชาติก็สามารถติดตามตรวจจับได้

ขณะนี้ เวสต์บรู๊คต้องเผชิญกับข้อกล่าวหาทางแพ่งจากสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์สหรัฐ (SEC) และข้อกล่าวหาทางอาญาจากสำนักงานอัยการสหรัฐประจำเขตนิวเจอร์ซี

ก.ล.ต. ได้ยื่นฟ้อง Westbrook ว่าได้ทำผิดกฎหมายการต่อต้านการฉ้อโกงภายใต้พระราชบัญญัติการแลกเปลี่ยนหลักทรัพย์ พ.ศ. 2477 ในขณะที่ข้อกล่าวหาทางอาญาอาจประกอบไปด้วยการฉ้อโกงทางโทรศัพท์ และการฉ้อโกงในหลักทรัพย์ รวมไปถึงการเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต

การกระทำข้างต้นอาจมีโทษจำคุกหลายปี และปรับเงินจำนวนมาก โดยการปรับมักจะมีการปรับเงินมากกว่าเงินที่ได้จากการทำผิดกฎหมาย รวมทั้งมีคำสั่งห้าม Westbrook ซื้อขายหลักทรัพย์ในอนาคตอีกด้วย

ที่มา : bleepingcomputer

Microsoft ได้เปิดตัว Publish API สำหรับนักพัฒนา Edge extension เวอร์ชันอัปเดต ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีนักพัฒนา และการอัปเดต extension ของเบราว์เซอร์

เมื่อมีการเผยแพร่ extension เบราว์เซอร์ใน Microsoft Edge ใหม่เป็นครั้งแรก นักพัฒนาจะต้องส่ง extension ดังกล่าวผ่าน Partner Center เมื่อได้รับการอนุมัติแล้ว การอัปเดตจะดำเนินการผ่าน Partner Center หรือ Publish API

ในส่วนของ Microsoft's Secure Future Initiative ทาง Microsoft กำลังเพิ่มระดับความปลอดภัยให้กับกลุ่มผลิตภัณฑ์ทั้งหมด รวมทั้งกระบวนการ browser extension publishing เพื่อป้องกันไม่ให้ extensions ถูกฝังด้วยโค้ดที่เป็นอันตราย

โดย Publish API ใหม่ที่เป็นความลับจะถูกสร้างเป็นคีย์ API แบบไดนามิกสำหรับนักพัฒนาแต่ละคน ซึ่งช่วยลดความเสี่ยงที่ข้อมูล static credentials จะถูกเปิดเผยภายในโค้ด หรือถูกการละเมิดอื่น ๆ

ขณะนี้ API keys เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบ hashes แทนที่จะเป็น keys โดยตรง ซึ่งจะช่วยป้องกันไม่ให้ API keys รั่วไหลได้

เพื่อเพิ่มความปลอดภัยให้มากขึ้น access token URLs จะถูกสร้างขึ้นมา และไม่จำเป็นต้องมีการส่งข้อมูลออกไป ในกรณีที่นักพัฒนามีการอัปเดต extension วิธีนี้ช่วยเพิ่มความปลอดภัย โดยมีการจำกัดความเสี่ยงในการเปิดเผย URL ซึ่งอาจใช้ในการส่งการอัปเดต extension ที่เป็นอันตราย

API ที่มีการเผยแพร่ใหม่นี้ keys จะหมดอายุ ภายใน 72 วัน และเมื่อเทียบกับ 2 ปีก่อนหน้านี้ การ Rotating secrets บ่อยขึ้น จะป้องกันไม่ให้มีการใช้งานในทางที่ผิดในกรณีที่ข้อมูลจะถูกเปิดเผย

นักพัฒนา Edge สามารถลองใช้การจัดการ API key ตัวใหม่ใน Partner Center dashboard ของตนเองได้

ซึ่งนักพัฒนาจะต้องสร้าง ClientId และ secrets รวมไปถึงกำหนดค่าไปป์ไลน์ CI/CD ที่มีอยู่ใหม่

นักพัฒนาซอฟต์แวร์มักตกเป็นเป้าหมายของการโจมตีแบบฟิชชิง และการโจมตีด้วยมัลแวร์เพื่อขโมยข้อมูล credentials อยู่เสมอ

โดยข้อมูล credentials เหล่านี้จะถูกนำไปใช้เพื่อขโมยโค้ดต้นฉบับ หรือเพื่อโจมตีกระบวนการทำงานของระบบ

ในขณะนี้ทาง Microsoft กำลังจัดระเบียบ process ใหม่ในรูปแบบ opt-in เพื่อลดการหยุดชะงักในการย้ายไปใช้ Publish API ใหม่ แต่คงไม่น่าแปลกใจหาก Publish API ที่อัปเดตจะกลายเป็นระบบบังคับในอนาคต

Microsoft ระบุว่า เพื่อลดการหยุดชะงักในการย้ายไปยัง Publish API ใหม่ จำเป็นต้องมีการทำ opt-in experience ซึ่งจะช่วยให้สามารถเปลี่ยนไปใช้ new experience ของตนเองได้

หากจำเป็น ผู้ใช้ยังสามารถยกเลิก และกลับไปใช้วิธีการแบบเดิมได้ แม้ว่าจะมีการสนับสนุนให้ผู้พัฒนาเปลี่ยนไปใช้วิธีการใหม่เนื่องจากมีความปลอดภัยมากกว่าก็ตาม

การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่จะช่วยป้องกัน extension ของผู้ใช้ และเสริมประสิทธิภาพของกระบวนการทำงานมากขึ้น

ที่มา : bleepingcomputer

Microsoft Defender มีการตรวจจับ และแจ้งผู้ใช้ที่มีการสมัครใช้งาน Microsoft 365 Personal หรือ Family แบบอัตโนมัติเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

คุณสมบัติการปกป้องความเป็นส่วนตัวของ Microsoft Defender (เรียกอีกอย่างว่า Defender VPN) ช่วยปกป้องความเป็นส่วนตัว และความปลอดภัยของผู้ใช้เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ หรือเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งข้อมูล และตัวตนของผู้ใช้อาจถูกเปิดเผย หรือถูกขโมยได้

เพื่อการดำเนินการดังกล่าว โปรแกรมจะเข้ารหัส และกำหนดเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตของผู้ใช้ผ่านเซิร์ฟเวอร์ของ Microsoft และซ่อน IP address ของผู้ใช้ โดยใช้ VPN (Virtual Private Network)

Microsoft ประกาศเมื่อวันที่ 30 กันยายน 2024 ว่า Defender VPN ได้รับการอัปเกรดให้แจ้งเตือนผู้ใช้โดยอัตโนมัติว่ามีความเสี่ยงต่อการถูกโจมตี และตอนนี้สามารถกำหนดค่าให้เปิดใช้งานแบบอัตโนมัติเพื่อให้เกิดความปลอดภัยมากขึ้น

Microsoft ระบุว่า ได้เพิ่มการตรวจจับ Wi-Fi ที่ไม่ปลอดภัย (Wi-Fi ที่น่าสงสัย) การตรวจจับเหล่านี้สามารถทำได้โดยใช้ Defender heuristics ในการตรวจสอบลักษณะต่าง ๆ หลายประการของ Wi-Fi hotspot เพื่อระบุว่าน่าสงสัยหรือไม่

เช่นเดียวกับ Wi-Fi ที่ไม่ปลอดภัย ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับ Wi-Fi ที่ไม่ปลอดภัยด้วยเช่นกัน และสามารถเปิด Defender VPN เพื่อความปลอดภัยมากขึ้น

ระบบนี้สามารถช่วยป้องกันผู้ใช้จากผู้โจมตีที่มีการทำ rogue wireless access point ปลอม เพื่อหลอกล่อให้ผู้ใช้เชื่อมต่อ และผู้โจมตีจะทำการโจมตีแบบ Evil Twin หลังจากที่เหยื่อเชื่อมต่อได้แล้ว รวมถึงผู้โจมตีจะสามารถขโมยข้อมูลที่สำคัญในการโจมตีแบบ Man-in-the-Middle (MiTM) หรือใช้เทคนิคฟิชชิ่งเพื่อขโมยข้อมูลเพิ่มเติม

ปัจจุบันการแจ้งเตือน Wi-Fi ที่ไม่ปลอดภัยนั้นใช้งานได้เฉพาะใน Defender สำหรับ Android, iOS และ Windows เท่านั้น โดยที่ใน macOS นั้นจะเปิดตัวเร็ว ๆ นี้

นอกจากนี้บริษัทได้เพิ่มการ support สำหรับ Defender VPN บนระบบ Windows และ macOS และเปิดให้ใช้งานในเยอรมนี และแคนาดา โดยจะมีการเพิ่มประเทศอื่น ๆ ในอีกไม่กี่เดือนข้างหน้า

Microsoft ระบุว่า กำลังเพิ่มการปกป้องความเป็นส่วนตัวให้กับอีก 10 ประเทศในยุโรป เอเชีย และภูมิภาคละตินอเมริกาในเร็ว ๆ นี้

การปกป้องความเป็นส่วนตัวเป็นฟีเจอร์ที่รวมอยู่กับ Microsoft Defender สำหรับแต่ละบุคคล ซึ่งเปิดตัวครั้งแรกเมื่อปีที่แล้ว ในเดือนกันยายน 2023 บนอุปกรณ์ Android ในสหรัฐอเมริกา

สิ่งสำคัญที่ต้องทราบคือ Microsoft ระบุว่า Defender VPN จะส่งข้อมูลบริการที่ไม่ระบุชื่อไปยังเซิร์ฟเวอร์ของบริษัท แต่จะไม่รวบรวมข้อมูลการเรียกดู ประวัติ รายละเอียดส่วนบุคคล หรือตำแหน่งทางกายภาพของอุปกรณ์ของผู้ใช้

ข้อมูลบริการที่ไม่ระบุชื่อนี้ประกอบด้วยรายละเอียดต่าง ๆ เช่น ระยะเวลาการใช้งาน VPN, ปริมาณแบนด์วิดท์ VPN ที่ใช้ และชื่อ Wi-Fi hotspot ที่ตรวจพบว่าอาจเป็นอันตรายเพื่อวัตถุประสงค์ในการวิเคราะห์ภัยคุกคาม (บริษัทระบุว่าข้อมูลนี้จะถูกส่งไปที่เซิร์ฟเวอร์หลังจากได้รับความยินยอมจากผู้ใช้เท่านั้น)

หากไม่ใช่ผู้ใช้ Microsoft Defender ที่มีการสมัครใช้งาน Microsoft 365 Family หรือ Personal ผู้ใช้ยังสามารถปกป้องตนเองได้โดยเปิดใช้ multi-factor authentication ในบัญชี และปิดการเชื่อมต่อ Wi-Fi แบบอัตโนมัติ เพื่อให้แน่ใจว่าอุปกรณ์จะไม่เชื่อมต่อกับเครือข่ายไร้สายที่อาจเป็นอันตราย

ที่มา : BLEEPINGCOMPUTER

ในสัปดาห์ที่ผ่านมา Threat Hunting ของ Cyble ได้พบหลายกรณีที่มีความพยายามในการใช้ช่องโหว่, การโจมตีด้วยมัลแวร์, การหลอกลวงทางการเงิน และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors ของพวกเขา

ในระหว่างวันที่ 18-24 กันยายน นักวิจัยจาก Cyble ได้พบการโจมตีโดยใช้ช่องโหว่จำนวน 5 รายการ ซึ่งรวมถึงการโจมตีปลั๊กอินตัวใหม่ใน WordPress ที่มุ่งเป้าไปที่อุตสาหกรรมธนาคาร, การตรวจพบอีเมลสแปมใหม่กว่า 400 รายการ และการโจมตีแบบ brute-force หลายพันครั้ง

การโจมตีโดยใช้ช่องโหว่

Cyble sensors ตรวจพบช่องโหว่ใหม่ 5 รายการที่กำลังถูกโจมตีอย่างต่อเนื่อง นอกเหนือจากช่องโหว่เก่าจำนวนหนึ่งที่ยังคงถูกโจมตีอยู่

รายการที่ 1 : SQL Injection Attack

CVE-2024-27956 เป็นช่องโหว่ความรุนแรงระดับ 9.9 ที่เกิดจากการแก้ไข Special Elements ที่ไม่เหมาะสมในการใช้คำสั่ง SQL ที่พบในปลั๊กอิน ValvePress Automatic ของ WordPress โดยช่องโหว่นี้ทำให้เกิดการโจมตีแบบ SQL Injection ซึ่งช่องโหว่นี้ส่งผลกระทบกับเวอร์ชันของปลั๊กอิน Automatic ตั้งแต่เวอร์ชัน n/a ไปจนถึงเวอร์ชัน 3.92.0

รายการที่ 2 : PHP CGI Argument Injection Vulnerability

CVE-2024-4577 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ใน PHP ที่ส่งผลกระทบกับการตั้งค่า CGI และถูกโจมตีมาตั้งแต่มีการประกาศในเดือนมิถุนายน ช่องโหว่นี้ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งที่กำหนดเองผ่าน URL parameters ที่ถูกสร้างขึ้นเป็นพิเศษ ช่องโหว่นี้ส่งผลกระทบกับ PHP เวอร์ชัน 8.1.* ก่อน 8.1.29, 8.2.* ก่อน 8.2.20, และ 8.3.* ก่อน 8.3.8 เมื่อใช้ Apache และ PHP-CGI บนระบบ Windows

รายการที่ 3 : GeoServer Vulnerability Allows Remote Code Execution via Unsafe XPath Evaluation

CVE-2024-36401 เป็นช่องโหว่ความรุนแรงระดับ 9.8 ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน GeoServer เวอร์ชันก่อนหน้า 2.23.6, 2.24.4 และ 2.25.2 ช่องโหว่นี้เกิดจากการประมวลผล OGC request parameters (Open Geospatial Consortium) ในรูปแบบ XPath ที่ไม่ปลอดภัย ทำให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตน สามารถรันโค้ดที่เป็นอันตรายได้ ช่องโหว่นี้ส่งผลกระทบกับ GeoServer ทั้งหมด เนื่องจากการจัดการประเภทฟีเจอร์ที่ไม่เหมาะสม ปัจจุบันมีการอัปเดตแพตช์เพื่อแก้ไขปัญหานี้แล้ว และการแก้ไขปัญหาชั่วคราวคือการลบไลบรารี gt-complex ที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบกับฟังก์ชันการทำงานของระบบได้

รายการที่ 4 : Network Command Injection Vulnerability Without Authentication

CVE-2024-7029 เป็นช่องโหว่ความรุนแรงระดับ 8.7 ใน IP camera ของ AVTECH ที่ทำให้ผู้โจมตีจากภายนอกสามารถ inject และรันคำสั่งผ่านเครือข่ายโดยไม่ต้องผ่านการยืนยันตัวตน ช่องโหว่นี้ถือว่าร้ายแรง เนื่องจากทำให้สามารถเข้าควบคุมระบบที่ได้รับผลกระทบได้โดยไม่ได้รับอนุญาต

รายการที่ 5: Network Command Injection Vulnerability Without Authentication

ปลั๊กอิน porte_plume ที่ใช้ใน SPIP ก่อนเวอร์ชัน 4.30-alpha2, 4.2.13, และ 4.1.16 มีช่องโหว่ในการรันโค้ดที่เป็นอันตราย (arbitrary code execution) ที่มีความรุนแรงระดับ 9.8 (CVE-2024-7954) ผู้โจมตีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถรัน PHP ที่เป็นอันตรายในฐานะผู้ใช้ SPIP ได้โดยการส่ง HTTP request ที่ถูกสร้างขึ้นเป็นพิเศษ

Octo2: มัลแวร์ตัวใหม่ที่มุ่งเป้าหมายการโจมตีไปที่ธนาคารในยุโรป

Octo2 เป็น mobile banking trojan ตัวใหม่ซึ่งถูกพบเมื่อไม่นานมานี้ในการโจมตีธนาคารในยุโรป และคาดว่าจะมีการแพร่กระจายไปในภูมิภาคอื่น ๆ ทั่วโลกในอนาคต

Octo (หรือที่เรียกว่า ExobotCompact) ได้กลายเป็นหนึ่งในกลุ่มมัลแวร์ที่โดดเด่นที่สุดในแวดวงภัยคุกคามบนมือถือ โดยมีจำนวนตัวอย่างที่ไม่ซ้ำกันถูกตรวจพบในปีนี้ เมื่อไม่นานมานี้ ได้มีการค้นพบเวอร์ชันใหม่ชื่อ “Octo2” ซึ่งสร้างขึ้นโดยผู้ไม่หวังดีกลุ่มเดิม ซึ่งแสดงให้เห็นถึงการเปลี่ยนแปลงในกลยุทธ และเทคนิคของผู้ไม่หวังดี เวอร์ชันที่อัปเกรดนี้มีความสามารถในการดำเนินการจากระยะไกลที่ดีขึ้น โดยเฉพาะในการโจมตีในรูปแบบ Device Takeover ทำให้การดำเนินการมีความเสถียรมากขึ้น

แคมเปญใหม่ของ Octo2 ได้เริ่มมีการพบการโจมตีที่มุ่งเป้าไปยังหลายประเทศในยุโรป นอกจากนี้ Octo2 ยังใช้เทคนิคการหลีกเลี่ยงการตรวจจับขั้นสูง รวมถึงการนำเสนออัลกอริธึมการสร้างโดเมน (Domain Generation Algorithm - DGA) ซึ่งช่วยเพิ่มความสามารถในการแฝงตัวในระบบรักษาความปลอดภัยได้ดียิ่งขึ้น

Hashes และ IoCs ที่รู้จักผ่าน Threat Fabric

Cyble ได้ตรวจพบอีเมลสแปมใหม่จำนวน 410 รายการที่ถูกใช้ในแคมเปญ

การตรวจพบพอร์ตที่ถูกโจมตีด้วยวิธีการแบบ Brute-Force

จากการตรวจพบการโจมตีแบบ Brute-Force หลายพันครั้งโดย Cyble พอร์ตต่อไปนี้ถูกพบมากที่สุด โดยการกระจายของพอร์ตที่ถูกโจมตีตาม 5 ประเทศที่พบมากที่สุด

สหรัฐอเมริกา: Port 22 (40%), Port 3389 (32%), Port 445 (21%), Port 23 (4%), และ Port 80 (3%)
ตุรกีมุ่ง: Port 3389 (100%)
รัสเซีย: Port 5900 และ Port 445
จีน: Port 5900 และ Port 445
บัลแกเรีย: Port 5900 และ Port 445

นักวิเคราะห์ด้านความปลอดภัยแนะนำให้เพิ่มการบล็อกการเข้าถึงจากภายนอกในระบบรักษาความปลอดภัยสำหรับพอร์ตที่กำลังถูกใช้ในการโจมตี (เช่น 22, 3389, 443, 445, 5900, และ 3306)

คำแนะนำ

ดำเนินการ block Hashes URLs และข้อมูลอีเมลในระบบรักษาความปลอดภัย
อัปเดตแพตช์ช่องโหว่ทั้งหมด และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
Block IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีตามที่ระบุไว้
รีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ brute-force และบังคับให้มีการเปลี่ยนแปลงรหัสผ่านเป็นระยะ
สำหรับเซิร์ฟเวอร์ ควรตั้งรหัสผ่านที่รัดกุม และยากต่อการคาดเดา

ที่มา : CYBLE

 

CISA ได้เน้นย้ำถึงช่องโหว่ใน Versa Director ของ Versa Networks ซึ่งเป็นแพลตฟอร์ม centralized management สำหรับโซลูชัน Secure SD-WAN และ SASE ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2024-45229 เป็นช่องโหว่ที่เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้อง และส่งผลกระทบต่อหลายเวอร์ชันของซอฟต์แวร์ องค์กรที่ใช้เวอร์ชันที่มีช่องโหว่ของ Versa Director ควรเร่งดำเนินการอัปเดตแพตซ์ทันทีเพื่อป้องกันความปลอดภัยของเครือข่ายในองค์กร

(more…)