นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.

โดยปกติในอุปกรณ์ที่ใช้ iOS นั้น หากผู้ใช้งานมีการตั้งค่า Fraudulent Website Warning ไว้ในแอป Safari เมื่อผู้ใช้งานพยายามจะเข้าเว็บไซต์ใด Safari จะทำการส่งข้อมูลที่เกี่ยวข้องกับการเข้าถึงแบบไม่สามารถระบุตัวตนได้ไปยังบริการ Safe Browsing ของ Google เพื่อตรวจสอบความเป็นอันตรายของการเข้าถึงดังกล่าว ผู้ใช้งานจะได้รับการแจ้งเตือนเป็นหน้าสีแดงหากผลลัพธ์ออกมาว่าเว็บไซต์ที่ผู้ใช้งานกำลังจะเข้าถึงนั้นเป็นอันตราย

อย่างไรก็ตามแม้ว่าข้อมูลที่ Safari ส่งให้กับ Safe Browsing จะอยู่ในสถานะที่ปราศจากข้อมูลส่วนบุคคลหรือข้อมูลที่บ่งชี้พฤติกรรมการใช้งานได้ Google ก็ยังคงทราบหมายเลขไอพีแอดเดรสของอุปกรณ์ที่ส่งข้อมูลมาอยู่ดี

หลังจากความตั้งใจของแอปเปิลเกี่ยวกับการพยายามเพิ่มความเป็นส่วนตัวของผู้ใช้งานซึ่งแสดงให้เห็นจากหลายฟีเจอร์ที่ถูกเพิ่มเข้ามาใน iOS หนึ่งในฟีเจอร์อีกหนึ่งอย่างที่กำลังจะเพิ่มเข้ามาใน iOS 14.5 นั้นคือการทำพร็อกซีให้กับแอป Safari ก่อนที่จะมีการส่งข้อมูลไปยัง Safe Browsing ซึ่งจะส่งผลให้หมายเลขไอพีแอดเดรสทั้งหมดที่ Safe Browsing จะเห็นนั้นเป็นหมายเลขไอพีเดียวกัน

ฟีเจอร์นี้ได้ถูกอิมพลีเมนต์ลงไปแล้วใน iOS 14.5 beta หลังจากที่ถูกค้นพบโดยผู้ใช้งาน Reddit ซึ่งใช้ชื่อบัญชีว่า jaydenkieran โดย Apple อาจมีจะมีการปล่อย iOS รุ่นใหม่นี้ในช่วงเดือนกุมภาพันธ์/มีนาคมที่จะถึงนี้

ที่มา: zdnet

Nitro PDF เป็นแอปพลิเคชันที่ช่วยช่วยในการแก้ไขเอกสาร PDF และทำการลงนามในเอกสารดิจิทัล ซึ่งเป็นแอปพลิเคชันที่มีลูกค้าประเภทธุรกิจมากกว่า 10,000 รายและผู้ใช้ที่ได้รับใบอนุญาตประมาณ 1.8 ล้านคน ทั้งนี้ฐานข้อมูลที่ถูกปล่อยรั่วไหลขนาดนี้มีขนาด 14GB ซึ่งมีข้อมูล 77,159,696 รายการ ซึ่งประกอบไปด้วยอีเมลของผู้ใช้, ชื่อเต็ม, รหัสผ่านที่แฮชด้วย bcrypt, ชื่อบริษัท, IP Addresses และข้อมูลอื่นๆ ที่เกี่ยวข้องกับระบบ

การถูกละเมิดระบบ Nitro PDF ถูกรายงานครั้งแรกเมื่อปีที่แล้ว โดยการบุกรุกส่งผลกระทบต่อองค์กรที่มีชื่อเสียงหลายแห่งเช่น Google, Apple, Microsoft, Chase และ Citibank ซึ่งทาง Nitro PDF ได้แถลงเมื่อตุลาคม 2020 ว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตามในเวลาต่อมา BleepingComputer ได้พบฐานข้อมูลที่ถูกกล่าวหาว่ามีความเกี่ยวกับผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ ถูกประมูลพร้อมกับเอกสาร 1TB ในราคาเริ่มต้นที่ 80,000 ดอลลาร์

ปัจจุบันแฮกเกอร์ที่อ้างว่าอยู่เบื้องหลังกลุ่ม ShinyHunters ได้ปล่อยฐานข้อมูลดังกล่าวในฟอรัมแฮกเกอร์ โดยกำหนดราคาไว้ที่ 3 ดอลลาร์ (ประมาณ 90บาท) สำหรับการเข้าถึงลิงก์ดาวน์โหลดข้อมูลทั้งหมดของผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ

ทั้งนี้ผู้ใช้งาน Nitro PDF สามารถเช็คว่าข้อมูลของตนเองถูกรั่วไหลได้ที่บริการ Have I Been Pwned: haveibeenpwned และควรทำการเปลี่ยนรหัสผ่านที่ใช้ซ้ำกับบริการ Nitro PDF

ที่มา: bleepingcomputer

Ian Beer นักวิจัยจาก Google Project Zero ได้เปิดเผยรายละเอียดของช่องโหว่ที่สำคัญใน iOS ที่มีลักษณะ "wormable" และได้รับการแก้ไขแล้ว ซึ่งช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลสามารถเข้าควบคุมอุปกรณ์ใดๆ ในบริเวณใกล้เคียงได้ผ่าน Wi-Fi ได้อย่างสมบูรณ์

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3843 ได้รับการแก้ไขช่องโหว่แล้วในชุดการอัปเดตการรักษาความปลอดภัยที่เป็นส่วนหนึ่งของการอัปเดต iOS 13.3.1 , MacOS Catalina 10.15.3 และ watchOS 5.3.7 โดยช่องโหว่เกิดจากข้อผิดพลาดจากการเขียนโปรเเกรม Buffer overflow ในไดรเวอร์ Wi-Fi ที่เชื่อมโยงกับ Apple Wireless Direct Link ( AWDL ) ซึ่งเป็นโปรโตคอลเครือข่ายถูกพัฒนาโดย Apple เพื่อใช้ใน AirDrop, AirPlay และอื่น ๆ ทำให้การสื่อสารง่ายขึ้นระหว่างอุปกรณ์ Apple

นักวิจัยกล่าวว่าช่องโหว่จะทำให้สามารถอ่านและเขียนหน่วยความจำเคอร์เนลได้โดยไม่ต้องรับอนุญาติจากระยะไกล โดยใช้ประโยชน์จากการส่งเพย์โหลดเชลล์โค้ดลงในหน่วยความจำเคอร์เนลผ่านกระบวนการ เพื่อหลีกเลี่ยงการป้องกันแซนด์บ็อกซ์ของกระบวนการในการรับข้อมูลจากผู้ใช้ จากนั้นจะใช้ประโยชน์จาก Buffer overflow ใน AWDL เพื่อเข้าถึงอุปกรณ์และเรียกใช้เพย์โหลด ด้วยวิธีการนี้จะช่วยให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมข้อมูลเครื่องและสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมถึงอีเมล, รูปภาพ, ข้อความ, ข้อมูล iCloud และอื่น ๆ

ทั้งนี้ผู้ใช้ iOS ควรทำการอัปเดต iOS ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้

ที่มา: thehackernews | threatpost

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

เเฮกเกอร์ทำการเข้ายึดบัญชี Twitter อย่างเป็นทางการของ Apple, Kanye, Gates, Bezos และหลายๆ คนดัง หลังจากนั้นเเฮกเกอร์ได้ทำการทวีตข้อความโดยสัญญาว่าจะมอบเงินบิทคอยน์เป็นจำนวนมากถึง 5,000 BTC (ประมาณ 1,436,024,782 บาท) สำหรับผู้ที่โอนเงินระหว่าง 0.1 BTC (ประมาณ 28,720 บาท) ถึง 20 BTC (ประมาณ 5,739,539 บาท) ไปยังที่อยู่บัญชีที่อยู่ในข้อความที่ทวีต

หลังจากพบความผิดปกติ Twitter ได้ทำการล็อคบัญชีที่ถูกแฮกไว้อย่างรวดเร็วและทำการลบทวีตปลอมทั้งหมด ล่าสุด Twitter ได้ทำการเเถลงว่าการที่ Twitter อย่างเป็นทางการของคนดังทั้งหลายที่ทำการทวีตข้อความเพื่อหลอกให้โอนเงินนั้น เกิดจากบัญชีของพนักงานของ Twitter โดนโจมตีโดยการใช้ Social Engineering และทำการเจาะจงบัญชีของพนักงานที่ตกเป็นเหยื่อ จึงทำให้แฮกเกอร์สามารถเข้าถึงระบบและเครื่องมือของ Twitter ได้

ขณะนี้ Twitter ได้ทำการล็อคบัญชีที่ถูกบุกรุกและทำการดำเนินการสอบสวนถึงสาเหตุที่เเท้จริง ซึ่งก็จะมีการอัพเดตเพิ่มเติมอย่างเป็นทางการต่อไป

ที่มา: bleepingcomputer  twitter

Apple ปล่อยอัพเดทสำหรับ iOS และ iPad OS ซึ่งเป็นการอัพเดทในส่วนของ Exposure Notification API, FaceTime, การปลดล็อคหน้าจอตอนใส่หน้ากากด้วย Face ID และอื่นๆ โดยเป็นอัปเดตสำหรับ iPhone 6s และใหม่กว่า, iPad Air 2 และใหม่กว่า, iPad mini 4 และใหม่กว่าและ iPod touch รุ่นที่ 7 โดยผู้ใช้สามารถไปเช็คการอัพเดตได้ที่ Settings > General > Software Update

ช่องโหว่นี้มีการแก้ไขที่สำคัญอย่างหนึ่งคือการแพตช์ช่องโหว่ซึ่งเปิดช่องทางนำไปสู่การเกิดขึ้นของเจลเบรค "unc0ver" ได้ แนะให้ผู้ให้ทำการอัพเดทเพื่อลดความเสี่ยงในการถูกโจมตี การเจลเบรคเกิดขึ้นได้เพราะปัญหาด้านความปลอดภัย ดังนั้นการใช้อุปกรณ์ซึ่งสามารถเจลเบรคได้จึงไม่ใช่การอุปกรณ์ที่มีความปลอดภัยที่เหมาะสม

ที่มา: macrumors.

Google เปิดเผยช่องโหว่ Zero-Click ที่อาจส่งผลกระทบต่อการประมวลผลมัลติมีเดียของ Apple

ทีม Google Project Zero ได้เผยเเพร่รายงานการวิจัยว่าพวกเขาได้ทำการค้นพบช่องโหว่ Zero-Click ที่อาจส่งผลกระทบต่อการประมวลผลมัลติมีเดียบนระบบปฏิบัติการของ Apple

ช่องโหว่ที่ค้นพบนี้อยู่ในขั้นตอนการประมวลผลมัลติมีเดียที่ผู้โจมตีสามารถใช้ประโยชน์โดยการส่งรูปภาพหรือวิดีโอที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์เป้าหมายถึงแม้ว่าเป้าหมายจะไม่ทำการโต้ตอบกลับหรือที่เรียกว่าการโจมตีแบบ “Zero-Click” ซึ่งหมายความว่าข้อความที่เป็นรูปภาพจาก SMS, อีเมลหรือข้อความจาก IM อาจเป็นช่องทางในการโจมตีได้

นักวิจัยของ Google Project Zero กล่าวว่าพวกเขาได้ทำการวิเคราะห์เฟรมเวิร์ค Image I/O ซึ่งใช้ใน iOS, macOS, tvOS และ watchOS โดยใช้เทคนิค “ fuzzing” เพื่อทำการทดสอบว่า Image I/O ว่าจะสามารถจัดการกับไฟล์มัลติมีเดียที่มีรูปแบบไม่ถูกต้องได้หรือไม่ ผลปรากฏว่าพวกเขาพบช่องโหว่จำนวน 6 ช่องโหว่บน Image I/O และอีก 8 ช่องโหว่บน OpenEXR ซึ่งเป็นไลบรารีโอเพนซอร์ซสำหรับแยกไฟล์ภาพ EXR ที่เป็นส่วนประกอบบน Image I/O

ทีมวิจัยกล่าวว่าข้อบกพร่องและช่องโหว่ทั้งหมดได้รับการแก้ไขแล้วในเเพตซ์ความปลอดภัยในเดือนมกราคมและเดือนเมษายนในขณะที่ช่องโหว่บน OpenEXR ก็ได้รับการเเพตซ์แล้วเช่นกันใน OpenEXR v2.4.1

ที่มา:

zdnet.

ผู้ใช้ iOS โปรดระวัง! พบช่องโหว่ ‘Zero-day’ ในแอปพลิเคชัน Mail บน iOS ที่จะอนุญาติให้ผู้โจมตีสามารถทำการโจมตีเครื่องได้เมื่อเปิดอ่านอีเมล

ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัยทางไซเบอร์ ZecOps ได้เปิดเผยถึงช่องโหว่ ‘Zero-day’ ใหม่จำนวนสองรายการในอุปกรณ์ iPhone และ iPad มีผลกระทบกับผู้ใช้ iOS ตั้งเเต่ iOS เวอร์ชัน 6 จนถึง iOS เวอร์ชัน 13.4.1

ช่องโหว่ทั้งสองมีผลกระทบต่อแอปพลิเคชันเมลบน iPhone และ iPad อาจส่งผลทำให้ถูกโจมตีโดยผู้ไม่หวังดีที่ทำการโจมตีจากระยะไกล โดยใน iOS 12 ผู้โจมตีสามารถใช้วิธีการส่งอีเมลที่มีโค้ดอันตรายฝังอยู่ไปหาเหยื่อเพียงแค่เหยื่อคลิกเปิดอ่านอีเมลที่ถูกส่งมา ผู้โจมตีก็จะสามารถเข้าควบคุมระบบได้ แต่ในกรณี iOS 13 การโจมตีสามารถสำเร็จได้โดยที่เหยื่อไม่จำเป็นต้องกดเปิดอ่านอีเมลแต่อย่างใด

ZecOps ได้ทำการตรวจพบว่าการโจมตีนี้มีบุคคลสำคัญตกเป็นเป้าหมายในการโจมตีแล้วหลายคน เช่น บุคคลที่มีชื่อเสียงจาก Fortune 500 ในอเมริกาเหนือ, ผู้บริหารเครือข่ายโทรศัพท์ในญี่ปุ่น, บุคคลสำคัญในเยอรมัน, นักข่าวในยุโรป, MSSP จากซาอุดิอาระเบียและอิสราเอล

Apple ได้รับทราบปัญหาแล้วตั้งเเต่เมื่อวันที่ 19 กุมภาพันธ์ และ Apple ได้ทำการเผยแพร่แพตช์การแก้ไขสำหรับช่องโหว่นี้ในวันที่ 15 เมษายนด้วยการเปิดตัว iOS 13.4.5 เบต้า แนะนำให้ผู้ใช้ ควรงดใช้แอปพลิเคชันเมลที่ติดตั้งมาพร้อมเครื่อง โดยเปลี่ยนไปใช้แอปพลิเคชันเมลอื่นๆ เช่น Gmail หรือ Outlook ก่อนจนกว่าจะมีแพตช์การแก้ไขเพื่อความปลอดภัยจากการถูกโจมตีจากผู้ไม่หวังดี

ที่มา: zdnet

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet