Samba Releases Security Updates

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัย

Samba ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้วยความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2019-3870 และ CVE-2019-3880 โดยผู้โจมตีสามารถโจมตีช่องโหว่เพื่อยึดครองระบบได้

CVE-2019-3870 เป็นช่องโหว่ที่กระทบ Samba ตั้งแต่รุ่น 4.9 เป็นต้นไป โดยเกิดความผิดพลาดในการกำหนดสิทธิ์ของพาธ /usr/local/samba/private ซึ่งควรมีสิทธิ์เป็น 0700 เพื่อจำกัดให้สิทธิ์ในการแก้ไขเป็นของ root เท่านั้น แต่เกิดความผิดพลาดทำให้มีการกำหนดสิทธิ์เป็น 0666 ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำกว่าสามารถเขียนลงในพาธดังกล่าวได้ ซึ่งการอัปเดตจะไม่แก้ไขสิทธิ์ 0666 ดังกล่าวทำให้นอกจากผู้ดูแลระบบจะต้องอัปเดตแพตช์แล้ว ผู้ดูแลระบบจะต้องแก้ไขสิทธิ์ของพาธ /usr/local/samba/private ให้ถูกต้องอีกด้วย

ช่องโหว่ CVE-2019-3880 กระทบกับ Samba ตั้งแต่รุ่น 3.2.0 เป็นต้นไป โดยผู้ใช้งานที่มีสิทธิ์ในการเขียนไฟล์สามารถเขียนไฟล์นอกเหนือจาก Samba share ได้

ผู้ดูแลระบบความศึกษา https://www.

SAP April 2019 Security Patch Day addresses High severity flaws in Crystal Reports, NetWeaver

SAP ปล่อยแพทช์ประจำเดือนเมษายน เพื่อแก้ไขเพิ่มเติมช่องโหว่เก่าทั้งหมด 6 รายการ และช่องโหว่ความรุนแรงสูง (High) ใน Crystal Report และ NetWeaver อีก 2 รายการ

ช่องโหว่ความรุนแรงสูง (High) ที่ถูกแพทช์รอบนี้ คือ ช่องโหว่ใน Crystal Report เกี่ยวกับการเปิดเผยข้อมูลของ system data, debugging information และข้อมูลอื่นๆ ของระบบโดยไม่ตั้งใจ (Information Disclosure) (CVE-2019-0285) และช่องโหว่ถัดมาเป็นปัญหาใน NetWeaver Java Application Server เป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถปลอมแปลงตนเองให้อยู่ในระบบเพื่อดักข้อมูลที่จะส่งมาเพื่อแสดงผลที่เครื่องผู้ใช้งาน (Spoofing Attack) (CVE-2019-0283)

นอกจากนี้ยังมีอัพเดตเพิ่มเติมเพื่อแก้ไขช่องโหว่เก่าอื่นๆ ได้แก่ ช่องโหว่การพิสูจน์สิทธิ์ผู้ใช้งาน (authorization) ใน SAP Enterprise Financial Service (CVE-2018-2484) ที่ได้รับการแก้ไขเมื่อเดือนมกราคม และช่องโหว่อื่นๆ ใน NetWeaver (CVE-2019-0265, CVE-2019-0282 และ CVE-2019-0278), ช่องโหว่ใน ABAP Platform (CVE-2019-0265, CVE-2019-0279) และช่องโหว่ใน SAP HANA (CVE-2019-0284) ที่ทำให้เกิด DoS และสามารถเข้าถึงไฟล์สำคัญในระบบ เพื่อขโมย code ได้

ที่มา : securityaffairs

Security researchers discovered weaknesses in WPA3 that could be exploited to recover WiFi passwords

นักวิจัยพบช่องโหว่ในมาตรฐาน WPA3 ที่สามารถถูกใช้เพื่อขโมยรหัสผ่าน WiFi ได้

มาตราฐาน Wi-Fi Protected Access III (WPA3) ได้รับการเผยแพร่เมื่อปี 2018 โดยเป็นการปรับปรุงจาก WPA2 เพื่อให้มีความปลอดภัยมากขึ้น โดยใช้วิธีจับคู่เพื่อส่งข้อมูล (secure handshake) ที่ปลอดภัยมากขึ้นชื่อ Dragonfly เพื่อป้องกันการถอดรหัสผ่าน WiFi

แต่นักวิจัยกลุ่มเดิมที่ค้นพบช่องโหว่ KRACK บนมาตรฐาน WPA2 ได้ค้นพบช่องโหว่บน WPA3 โดยให้ชื่อว่า Dragonblood ประกอบด้วยช่องโหว่ 5 ช่องโหว่ เป็นช่องโหว่เพื่อหยุดการทำงาน (denial of service) 1 ช่องโหว่ ช่องโหว่ downgrade attacks 2 ช่องโหว่ และช่องโหว่ Side-channel Attack 2 ช่องโหว่ ซึ่งช่องโหว่เหล่านี้สามารถถูกใช้งานเพื่อขโมยรหัสผ่าน WiFi และโจมตีในลักษณะอื่นๆ ได้ โดยนักวิจัยได้ให้รายละเอียดเกี่ยวกับช่องโหว่เหล่านี้รวมถึงเครื่องมือในการตรวจสอบช่องโหว่ดังกล่าวไว้ในเว็บไซต์ https://wpa3.mathyvanhoef.

Microsoft’s April 2019 Patch Tuesday Fixes 74 Vulnerabilities

Microsoft ได้ทำการปล่อยแพตช์แก้ไขช่องโหว่ประจำเดือนเมษายน 2019 โดยแก้ไขช่องโหว่ทั้งหมด 74 ช่องโหว่ โดย 15 ช่องโหว่จัดอยู่ในระดับ Critical และได้มีการแก้ไขช่องโหว่ Win32k จำนวน 2 ช่องโหว่ที่กำลังถูกใช้โจมตีอยู่ด้วย

ช่องโหว่ Win32k ที่กำลังถูกใช้โจมตีอยู่นี้เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ยกระดับสิทธิ์ได้ ประกอบด้วย CVE-2019-0803 ถูกค้นพบโดย Alibaba Cloud Intelligence Security Team และช่องโหว่ที่ 2 ถูกค้นพบโดย Kaspersky ได้รับ CVE-2019-0859 ซึ่งทั้งสองช่องโหว่นี้เกิดจากการที่ Win32k จัดการหน่วยความจำได้ไม่ดี ทำให้หากถูกโจมตีจะทำให้ผู้โจมตีสามารถติดตั้งโปรแกรม ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิ์สูงสุดในการใช้งาน

นอกจากนี้นักวิจัยผู้ค้นพบช่องโหว่ CVE-2019-0841 ซึ่งมีการอัปเดตในแพตช์นี้เช่นกันได้เผยแพร่ Proof-of-concept สำหรับใช้โจมตีออกมาแล้ว ช่องโหว่ CVE-2019-0841 นี้เป็นช่องโหว่ใน AppX Deployment Service (AppXSVC) ที่สามารถใช้เพื่อยกระดับสิทธิ์ได้ใน Windows 10 และ Windows Server 2019

ผู้ใช้งานหรือผู้ดูแลระบบควรทำการอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่เหล่านี้

ที่มา : bleepingcomputer , bleepingcomputer

Cyber Attack Shuts Down Hoya Corp’s Thailand Plant for Three Days

Hoya บริษัทผู้ผลิตอุปกรณ์เกี่ยวกับการมองห็นและเลนส์สายตาของญี่ปุ่น ได้รับผลกระทบจากการโจมตีทางไซเบอร์เมื่อปลายเดือนกุมภาพันธ์ที่ผ่านมา ทำให้ต้องหยุดการผลิตบางส่วนในประเทศไทยเป็นเวลาสามวัน

ทางบริษัทเปิดเผยว่าเครื่องคอมพิวเตอร์ประมาณ 100 เครื่องของบริษัทติดมัลแวร์ที่ถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้จากเครื่องที่มีช่องโหว่และทำการฝังมัลแวร์ขุดสกุลเงินดิจิตอล จากรายงานระบุว่าทางบริษัทสามารถหยุดยั้งกระบวนการทำงานของมัลแวร์ขุดสกุลเงินดิจิตอลได้ หลังจากสังเกตพบพฤติกรรมการพยายามขโมยข้อมูลสำคัญ (credential) ของมัลแวร์ในระบบเครือข่าย

ไม่ใช่เพียงแค่ระบบคอมพิวเตอร์ของโรงงานในประเทศไทยที่ตกเป็นเหยื่อเท่านั้น แต่มีการตรวจพบว่าระบบคอมพิวเตอร์ในสำนักงานใหญ่ของญี่ปุ่นก็ได้รับผลกระทบเช่นกัน ซึ่งถือว่าการโจมตีในครั้งนี้มีผลกระทบต่อการดำเนินธุรกิจเป็นอย่างมาก ส่งผลให้เกิดความล่าช้าในการผลิต แต่ไม่พบการรั่วไหลของข้อมูลของบริษัท

ที่มา : bleepingcomputer

Apache Bug Lets Normal Users Gain Root Access Via Scripts

Apache HTTP ได้ปล่อย httpd 2.4.39 เพื่อแก้ปัญหาช่องโหว่ที่พบในเวอร์ชั่นก่อนหน้า

พบช่องโหว่การยกระดับสิทธิ์บน Apache HTTP อนุญาตให้ผู้ใช้ที่มีสิทธิ์ในการเขียนและเรียกสคริปต์บนเครื่อง สามารถสั่งรัน script ที่เป็นอันตรายโดยใช้สิทธิ์ root บนระบบ Unix ได้ (CVE-2019-0211) ส่งผลกระทบต่อ Apache HTTP Server ทุกรุ่นตั้งแต่ 2.4.17 ถึง 2.4.38

นอกจากนี้ยังมีการแก้ไขช่องโหว่ที่สำคัญ อีก 2 ช่องโหว่ซึ่งเป็นปัญหาการ bypass สิทธิ์ในการใช้งานเครื่อง โดยช่องโหว่แรก (CVE-2019-0217) ส่งผลให้ผู้ใช้งานสามารถใช้ชื่อผู้ใช้ และรหัสผ่านที่มีอยู่เพื่อเข้าถึงเครื่องโดยใช้สิทธิ์ของผู้ใช้งานคนอื่นได้ ช่องโหว่ที่ 2 (CVE-2019-0215) มีผลกระทบกับ Apache 2.4.37 และ Apache 2.4.38 เท่านั้น โดยเป็นปัญหาในส่วนของ mod_ssl บน TLSv1.3 ส่งผลให้ client สามารถข้ามข้อจำกัดเกี่ยวกับการควบคุมสิทธิ์ความปลอดภัยบนเครื่องได้ นอกจากนี้ยังมีการแก้ปัญหาความรุนแรงระดับต่ำ (low) อีก 3 รายการ CVE-2019-0197, CVE-2019-0196 และ CVE-2019-0220

ที่มา : bleepingcomputer

Intel SPI Flash Flaw Lets Attackers Alter or Delete BIOS/UEFI Firmware

Intel มีการประกาศช่องโหว่ใหม่ CVE-2017-5703 ใน SPI Flash Memory เมื่อช่วงสงกรานต์ที่ผ่านมาโดยช่องโหว่นี้นั้นอาจทำให้ผู้โจมตีสามารถแก้ไขพฤติกรรมการทำงานหน่วยความจำในส่วนดังกล่าวที่มีหน้าที่สำคัญเมื่อมีการเปิดใช้งานระบบได้

อ้างอิงจาก Lenovo ซึ่งมีการปล่อยแพตช์ด้านความปลอดภัยออกมาแล้ว Lenovo ได้มีการพูดถึงผลกระทบของช่องโหว่นี้ว่า "ปัญหาดังกล่าวอาจทำให้ผู้โจมตีสามารถขัดขวางการอัปเดต BIOS/UEFI, เลือกลบข้อมูลบางส่วนในเฟิร์มแวร์ซึ่งจะส่งผลให้ระบบไม่สามารถใช้งานได้ และมีโอกาสเพียงเล็กน้อยที่จะทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้"

Recommendation ช่องโห่วดังกล่าวได้รับคะแนนความร้ายแรง 7.9/10 และได้มีแพตช์สำหรับป้องกันการโจมตีช่องโหว่นี้ออกมาแล้ว แนะนำให้ผู้ใช้งานตรวจสอบกับผู้ผลิตและทำการอัปเดตโดยด่ว
Affected Platform - 8th generation Intel® Core™ Processors
- 7th generation Intel® Core™ Processors
- 6th generation Intel® Core™ Processors
- 5th generation Intel® Core™ Processors
- Intel® Pentium® and Celeron® Processor N3520, N2920, and N28XX
- Intel® Atom™ Processor x7-Z8XXX, x5-8XXX Processor Family
- Intel® Pentium™ Processor J3710 and N37XX
- Intel® Celeron™ Processor J3XXX
- Intel® Atom™ x5-E8000 Processor
- Intel® Pentium® Processor J4205 and N4200
- Intel® Celeron® Processor J3455, J3355, N3350, and N3450
- Intel® Atom™ Processor x7-E39XX Processor
- Intel® Xeon® Scalable Processors
- Intel® Xeon® Processor E3 v6 Family
- Intel® Xeon® Processor E3 v5 Family
- Intel® Xeon® Processor E7 v4 Family
- Intel® Xeon® Processor E7 v3 Family
- Intel® Xeon® Processor E7 v2 Family
- Intel® Xeon® Phi™ Processor x200
- Intel® Xeon® Processor D Family
- Intel® Atom™ Processor C Series

ที่มา : bleepingcomputer

Popular Android Phone Manufacturers Caught Lying About Security Updates

Karsten Nohl และ Jakob Lell นักวิจัยด้านความปลอดภัยจาก Security Research Labs (SRL) ได้ออกมาเปิดเผยงานวิจัยว่า ผู้ผลิตแอนดรอยด์พร้อมซอฟต์แวร์ (OEM) หลายเจ้าซึ่งรวมไปถึง Samsung, Xiaomi, OnePlus, Sony, HTC, LG และ Huawei นั้นไม่ได้มีการปล่อยแพตช์ด้านความปลอดภัยให้ผู้ใช้งานแม้ว่าจะมีการออกแพตช์อย่างเป็นทางการมาจาก Google ในทุกๆ เดือนแล้วก็ตาม

งานวิจัยของ SRL เปิดเผยจากการทดสอบอุปกรณ์กว่า 1200 เครื่องและพบว่าผู้ผลิตบางเจ้านอกจากจะไม่ได้ปล่อยแพตช์ด้านความปลอดภัยออกมาให้กับผู้ใช้งานแล้ว ยังมีการเปลี่ยนแปลงวันที่อัปเดตของแพตช์ด้านความปลอดภัยเป็นวันที่ล่าสุดเพื่อตบตาผู้ใช้งานว่าได้ทำการอัปเดตแล้วด้วย โดยเมื่อแยกแพตช์ด้านความปลอดภัยในระดับวิกฤติและในระดับสูง ผู้ผลิตหลายรายไม่ได้ปล่อยแพตช์แยกได้ดังนี้

- Google, Sony, Samsung และ Wiko Mobile มีกรณีที่ไม่ได้ปล่อยแพตช์น้อยที่สุดเพียงครั้งเดียว
- Xiaomi, OnePlus และ Nokia มีกรณีที่ไม่ได้ปล่อยแพตช์ 1-3 ครั้ง
- HTC, Hauwei, LG และ Motorola มีกรณีที่ไม่ได้ปล่อยแพตช์ 3-4 ครั้ง
- TCL และ ZTE มีกรณีที่ไม่ได้ปลอดภัยแพตช์มากกว่า 4 ครั้ง

SRL ได้แนะนำให้ผู้ใช้งานตรวจสอบระดับความปลอดภัยของแอนดรอยด์ที่้ใช้งานอยู่ด้วยผ่านทางแอปซึ่งทาง SRL ออกแบบชื่อ SnoopSnitch ซึ่งจะช่วยตรวจสอบข้อเท็จจริงจากคำกล่าวอ้างของผู้ผลิตได้ด้วย

ที่มา : thehackernews

April 2018 security update release

ไมโครซอฟต์ปล่อยแพตช์ด้านความปลอดภัยประจำเดือนเกือบ 70 รายการ

ไมโครซอฟต์ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายนแล้วเมื่ออาทิตย์ที่ผ่านมาโดยในรอบนี้ในครอบคลุมช่องโหว่ทั้งหมด 66 รายการ โดยมีช่องโหว่ระดับความร้ายแรงสูงกว่า 22 รายการ

แนะนำให้อัปเดตแพตช์ผ่านทาง Windows Update หรือในช่องทางอื่นๆ โดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าว

ที่มา : Microsoft

Alert (TA18-106A) Russian State-Sponsored Cyber Actors Targeting Network Infrastructure Devices

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ร่วมกับ FBI และหน่วยงานความมั่นคงทางไซเบอร์ของอังกฤษได้ร่วมกันออกประกาศแจ้งเตือนแคมเปญซึ่งเชื่อกันว่าผู้โจมตีได้รับการสนับสนุนจากรัสเซีย โดยแคมเปญการโจมตีดังกล่าวนั้นพุ่งเป้าไปที่อุปกรณ์เครือข่ายประเทศต่างๆ ซึ่งมีเป้าหมายทั้งในกลุ่มผู้ให้บริการสาธารณูปโภค ผู้ให้บริการเครือข่ายและในภาคส่วนอื่นๆ เพื่อทำการตั้งค่าอุปกรณ์ใหม่ให้มีการส่งข้อมูลกลับมายังรัสเซีย

สำหรับรายละเอียดในการโจมตีนั้น แฮกเกอร์จะพุ่งเป้าไปที่อุปกรณ์ที่มีการตั้งค่าที่ไม่ปลอดภัยอยู่ก่อนแล้ว หรือหมดอายุการซัพพอร์ตทางด้านความปลอดภัยโดยเป็นการโจมตีที่ไม่ต้องอาศัยช่องโหว่ 0day หรือช่องโหว่ในรูปแบบพิเศษใดๆ โดยแฮกเกอร์จะทำการสแกนพอร์ตมาที่พอร์ต 3, 80, 8080, 161, 162 และ 4768 เพื่อทำการเก็บข้อมูลก่อนที่จะพยายามเข้าถึงระบบตามลักษณะของโปรโตคอลที่ไม่ปลอดภัยต่างๆ หลังจากการโจมตีเสร็จเรียบร้อยแล้วแฮกเกอร์มักจะสร้างแอคเคาท์ลับ (backdoor) เอาไว้รวมไปถึงตั้งค่าการเชื่อมต่อใหม่เพื่อให้อุปกรณ์แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้

ทาง US-CERT ได้ประกาศขั้นตอนในการตรวจสอบว่าถูกโจมตีหรือไม่และการตั้งค่าด้านความปลอดภัยที่ควรปฏิบัติเอาไว้แล้ว แนะนำให้ตรวจสอบวิธีการรับมือพร้อมทั้ง IOC เพิ่มเติมได้จากแหล่งที่มา

ที่มา : us-cert