Adobe ได้ออกแพตช์ด้านความความปลอดภัยประจำเดือนสิงหาคม โดยมีช่องโหว่ทั้งหมด 11 รายการ ซึ่งมี 2 ช่องโหว่ที่อยู่ระดับความรุนแรงสูงสุดมีผลต่อซอฟต์แวร์ Adobe Acrobat และ Reader โดยช่องโหว่ที่พบนี้มีผลต่อ Adobe Flash Player, แอพพลิเคชั่น Creative Cloud Desktop, Adobe Experience Manager, โปรแกรม Adobe Acrobat และ Reader

รายละเอียดช่องโหว่
นักวิจัยด้านความปลอดภัยของ Trend Micro จาก Zero Day Initiative ค้นพบข้อบกพร่อง (CVE-2018-12799) และ Cybellum Technologies ค้นพบข้อบกพร่อง (CVE-2018-12808) และรายงานช่องโหว่ code execution ใน Acrobat DC และ Acrobat Reader DC สำหรับ Windows และ macOS

Adobe Flash Player เวอร์ชันล่าสุดคือ 30.0.0.154 มีช่องโหว่ 5 ช่องโหว่ โดย 4 ช่องโหว่มีผลกับข้อมูลและ 1 เกี่ยวกับการ remote code execution ส่งผลต่อ desktop runtime และ Flash Player สำหรับ Google Chrome, MacOS, Linux และ Chrome OS ของ Google Chrome

Adobe Experience Manager แก้ไขช่องโหว่ของการเขียนสคริปต์ (XSS) 2 ช่องโหว่และข้อบกพร่องด้านการตรวจสอบ input ข้อผิดพลาด XSS อาจส่งผลให้มีการเปิดเผยข้อมูลอาจทำให้ผู้โจมตีสามารถแก้ไขข้อมูลได้

Adobe ได้ปรับช่องโหว่การเพิ่มสิทธิพิเศษที่สำคัญ (CVE-2018-5003) ในโปรแกรมติดตั้ง Creative Cloud Desktop Application เวอร์ชันล่าสุด 4.5.5.342 สำหรับ Windows

Adobe ขอแนะนำให้ผู้ใช้และผู้ดูแลระบบดาวน์โหลดและติดตั้งโปรแกรมแก้ไขความปลอดภัยล่าสุดโดยเร็วที่สุด

ที่มา : thehackernews

แฮกเกอร์สามารถโจมตีระบบเครือข่ายของคุณได้เพียงแค่ส่งแฟ็กซ์

นักวิจัยจาก CheckPoint ได้เปิดเผยรายละเอียดเกี่ยวกับ 2 ช่องโหว่ในการรันคำสั่งอันตรายจากระยะไกล (RCE) ในโปรโตคอลที่ใช้ในเครื่องแฟ็กซ์นับล้านเครื่องทั่วโลก

เนื่องจากเครื่องแฟ็กซ์ส่วนใหญ่ถูกรวมเข้ากับเครื่องพิมพ์แบบ All-in-One โดยเชื่อมต่อกับเครือข่าย Wi-Fi และสายโทรศัพท์ PSTN ผู้โจมตีจึงสามารถส่งไฟล์รูปภาพที่สร้างขึ้นมาเป็นพิเศษผ่านทางแฟ็กซ์เพื่อใช้ประโยชน์จากช่องโหว่และควบคุมการดำเนินงานขององค์กร หรือเครือข่ายภายในได้ โดยจำเป็นต้องรู้หมายเลขแฟ็กซ์ ซึ่งสามารถค้นหาได้ง่ายมาก

ช่องโหว่ Faxploit นี้เกี่ยวข้องกับ 2 ช่องโหว่ ได้แก่ buffer overflow CVE-2018-5925 และ CVE-2018-5924 ซึ่งจะนำไปสู่การเรียกใช้โค้ดจากระยะไกล
โดยทีมวิจัยมัลแวร์ของ CheckPoint ทดสอบใช้เครื่องพิมพ์แฟ็กซ์ HP Officejet Pro All-in-One ที่เป็นที่รู้จักทั่วไป ได้แก่ เครื่องพิมพ์ HP Officejet Pro 6830 all-in-one และ OfficeJet Pro 8720 โดยส่งไฟล์รูปภาพที่เต็มไปด้วย payload ที่เป็นอันตรายผ่านสายโทรศัพท์และทันทีที่เครื่องแฟ็กซ์ได้รับภาพจะถูกถอดรหัสและอัปโหลดลงในหน่วยความจำของเครื่องพิมพ์แฟ็กซ์ ซึ่งผู้บุกรุกสามารถทำรหัสไฟล์รูปภาพด้วยมัลแวร์ได้เช่น ransomware หรือ cryptocurrency miner ทั้งนี้ขึ้นอยู่กับเป้าหมายที่น่าสนใจและแรงจูงใจ

นักวิจัยของ CheckPoint ได้เปิดเผยการค้นพบให้แก่ Hewlett Packard ซึ่งทาง HP ได้แก้ไขข้อบกพร่องในเครื่องพิมพ์ของ All-in- One อย่างรวดเร็ว
อย่างไรก็ตามนักวิจัยเชื่อว่าช่องโหว่เดียวกันอาจส่งผลกระทบต่อเครื่องพิมพ์แฟ็กซ์แบบ All-In-One ส่วนใหญ่ที่จำหน่ายโดยผู้ผลิตรายอื่นและการใช้งานแฟ็กซ์อื่น ๆ เช่นบริการแฟ็กซ์ เมลบริการเครื่องแฟ็กซ์แบบสแตนด์อโลนและอื่นๆ

ที่มา : thehackernews

SAP ออกอัปเดตแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018

SAP ซึ่งเป็นผู้ให้บริการ ERP (Enterprise Resource Planning) รายใหญ่ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 ซึ่งไม่มีช่องโหว่ระดับร้ายแรงมาก (critical) แต่มีการแก้ไขช่องโหว่ระดับร้ายแรง (high) 9 รายการ และช่องโหว่ร้ายแรงปานกลาง 18 รายการ

2 ช่องโหว่จาก 9 ช่องโหว่ระดับร้ายแรงมาถูกค้นพบโดยนักวิจัยจากบริษัท Onapsis ผู้เชี่ยวชาญด้านความปลอดภัยเกี่ยวกับระบบ ERP หนึ่งในนั้นคือช่องโหว่ SQL injection ใน SAP BusinessObjects (CVE-2018-2447)

ทั้งนี้ในปลายเดือนกรกฏาคม 2018 ที่ผ่านมา Onapsis ร่วมกับ Digital Shadows ได้ออกรายงานเกี่่ยวกับความเป็นไปได้ที่จะมีการโจมตีระบบ ERP เพิ่มขึ้น โดยระบบ ERP ที่ตกเป็นเป้าหมายการโจมตีมักเป็นระบบที่บกพร่องในการแพตช์ สามารถอ่านรายละเอียดเพิ่มเติมของรายงานดังกล่าวได้จาก https://www.

บริษัทด้าน Cloud Security "Avanan" พบอีเมลฟิชชิ่งแบบใหม่ในผู้ใช้ Office 365 ถูกส่งมาในรูปแบบของอีเมลจาก Microsoft ที่มีลิงก์ไปยังเอกสาร SharePoint

นักวิจัยด้านความปลอดภัยได้แจ้งคำเตือนเกี่ยวกับการโจมตีฟิชชิ่งแบบใหม่ที่แฮ็กเกอร์ใช้เพื่อ Bypass Advanced Threat Protection (ATP) ที่เป็นบริการที่ใช้กันอย่างแพร่หลายในบริการอีเมลปัจจุบัน รวมถึง Microsoft Office 365 ซึ่งเป็น Software ที่ตอบโจทย์สำหรับผู้ใช้บริการออนไลน์หลายรูปแบบ ได้แก่ Exchange Online, SharePoint Online, Lync Online และ Office Web Apps อื่น ๆ เช่น Word, Excel, PowerPoint, Outlook และ OneNote

ข้อความของอีเมลมีลักษณะเป็นคำเชิญ SharePoint จากเพื่อนร่วมงาน เมื่อผู้ใช้คลิกลิงก์ที่อยู่ในอีเมล เบราว์เซอร์จะเปิดไฟล์ SharePoint ขึ้นโดยอัตโนมัติ เนื้อหาของไฟล์ SharePoint จะมีการร้องขอการเข้าถึงไฟล์ OneDrive แต่แท้จริงแล้วปุ่ม 'Access Document' ในไฟล์จะเป็นลิงก์ไปยัง URL ที่เป็นอันตราย และจะ redirects เหยื่อไปที่หน้าการเข้าสู่ระบบ Office 365 เพื่อหลอกให้ผู้ใช้ป้อนข้อมูลการเข้าสู่ระบบ ซึ่งแฮกเกอร์จะทำการเก็บข้อมูล

Microsoft จะสแกนเนื้อหาของอีเมลรวมถึงลิงก์ที่มีอยู่ในอีเมล แต่เนื่องจากลิงก์ที่ถูกใช้ล่าสุดจะนำไปสู่เอกสาร SharePoint ทางบริษัทจึงไม่ได้ระบุว่าเป็นภัยคุกคาม

ข้อเสนอแนะ
- ผู้ใช้งานควรใช้ความระมัดระวังในการคลิก link ที่ไม่คุ้นเคย โดยการสังเกต URL ที่ถูก redirect ไป
- เปิดใช้ Two-Factor Authentication (2FA) ถึงแม้ว่าแฮ็กเกอร์จะได้ชื่อผู้ใช้หรือรหัสผ่านไป ก็ไม่สามารถเอาไปใช้ประโยชน์ได้

ที่มา : thehackernews

Microsoft ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 แก้ไขช่องโหว่กว่า 60 ช่องโหว่ โดยบางช่องโหว่ถูกใช้โจมตีแล้ว

Microsoft ออกแพตช์ความปลอดภัยประจำเดือนสิงหาคม 2018 เพื่อแก้ไขช่องโหว่ 60 ช่องโหว่ ซึ่งสองช่องโหว่ในนั้นเป็นช่องโหว่ Zero-Day ได้แก่ CVE-2018-8414 และ CVE-2018-8373 ซึ่งมีรายงานการเผยแพร่และใช้ในการโจมตีแล้ว

CVE-2018-8414 เป็นช่องโหว่ใน Windows Shell ที่กำลังมีผู้พัฒนาทดลองแพร่มัลแวร์ผ่านช่องโหว่นี้ และ CVE-2018-8373 เป็นช่องโหว่ Internet Explorer ที่ทำให้ผู้โจมตีสามารถใช้โค้ดอันตรายได้ จะใช้โค้ดนั้นได้ตามสิทธิ์ของผู้ใช้ที่ใช้งาน Internet Explorer ขณะนั้น

ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ดังกล่าวเพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว โดยสามารถอ่านรายละเอียดของแต่ละช่องโหว่ทั้งหมดที่ได้รับการแก้ไขได้จากที่มาด้านล่าง

ที่มา : us-cert

นักวิจัย checkpoint ค้นพบช่องโหว่ด้านความปลอดภัยของ WhatsApp แอพพลิเคชั่น โดยความผิดปกติที่พบคือ ผู้โจมตีสามารถแก้ไขข้อความที่ส่งหากันทั้งในแชทส่วนตัวและกลุ่ม

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของโปรโตคอล protobuf2 ที่ WhatsApp ใช้ในการส่งข้อความเข้ารหัสระหว่าง WhatsApp Mobile และ WhatsApp Web เพื่อดักจับข้อความและแปลงให้กลับมาเป็น JSON ทำให้สามารถเห็น parameter ที่ถูกใช้ในการส่งข้อมูลและเปลี่ยนค่ามันได้ ผู้โจมตีจึงสามารถสร้างเนื้อหา หรือข่าวปลอมเพื่อส่งให้เหยื่อ หรือภายใน group chat ได้, ผู้โจมตีสามารถใช้ 'quote' ซึ่งเป็นการ reply ด้วยการอ้างอิงข้อความใดๆ ใน group chat โดยสามารถเปลี่ยนทั้งผู้ส่งและข้อความที่ส่ง รวมทั้งผู้โจมตีสามารถดักข้อความที่ถูกส่งในกลุ่มเพื่อกำหนดว่าจะให้ใครในกลุ่มเห็น หรือไม่เห็นข้อความ พร้อมทั้งส่งข้อความดังกล่าวไปให้บุคคลอื่นได้ด้วย

นักวิจัยได้ทำการสร้าง extension ใหม่ที่ใช้กับ Burp Suite ขึ้นมาเพื่อใช้ทดสอบ โดยเครื่องมือตัวนี้มีชื่อว่า "WhatsApp Protocol Decryption Burp Tool" ซึ่งมีการแชร์อยู่บน GitHub ทั้งนี้ได้มีการแจ้งช่องโหว่ไปยังผู้ผลิตแล้ว แต่ได้รับการตอบกลับมาว่ายังไม่มีแผนที่จะทำการเปลี่ยนแปลงใดๆกับแอพพลิเคชั่นดังกล่าว ปัจจุบันพบว่า WhatsApp เป็นแอพพลิเคชั่นอันดับต้นๆที่ถูกใช้ในการส่งข่าวปลอม และส่งข้อมูลที่บิดเบือน

ที่มา : thehackernews

Oracle ออกอัปเดตแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database

เมื่อวันศุกร์ที่ 10 สิงหาคม 2018 ที่ผ่านมา บริษัท Oracle ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงในโปรแกรมระบบฐานข้อมูล Oracle Database และเตือนให้ผู้ใช้อัปเดตแพตช์ดังกล่าวให้เร็วที่สุด

ช่องโหว่ดังกล่าวคือ CVE-2018-3110 เป็นช่องโหว่ของ Java VM ที่อยู่ภายในระบบ Oracle Database Server ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวเพื่อยึดระบบฐานข้อมูล Oracle Database และสามารถเข้าถึง shell ของเซิร์ฟเวอร์ที่ลงฐานข้อมูลดังกล่าวได้ ช่วงโหว่ดังกล่าวกระทบระบบฐานข้อมูล Oracle Database รุ่น 11.2.0.4 และ 12.2.0.1 บน Windows และ รุ่น 12.1.0.2 บน Windows และ Linux

ผู้ใช้ระบบฐานข้อมูลรุ่นดังกล่าวควรทำการอัปเดตให้เร็วที่สุดเพื่อป้องกันความเสี่ยงจากช่องโหว่ดังกล่าว

ที่มา : securityweek

นักวิจัยค้นพบการทำ DNS Hijacking โดยกำหนดเป้าหมายเป็นกลุ่มลูกค้าของธนาคารในประเทศบราซิล

ผู้โจมตีพุ่งเป้าไปยังเราเตอร์ DLink DSL เพื่อเปลี่ยนการตั้งค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังเซิร์ฟเวอร์ DNS ที่อยู่ภายใต้การควบคุม การโจมตีดังกล่าวส่งผลให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญที่ใช้สำหรับเข้าสู่ระบบของผู้ใช้งานได้ โดยการเปลี่ยนเส้นทางของผู้ใช้ที่พยายามเชื่อมต่อกับเว็บไซต์ธนาคารที่ปลอดภัยไปยังเว็บไซต์ที่เป็นอันตรายที่แฮกเกอร์สร้างขึ้น(redirect)

จากการวิเคราะห์โดยผู้เชี่ยวชาญพบว่าผู้โจมตีได้มีการเปลี่ยนเส้นทางไปใช้เซิร์ฟเวอร์ DNS สองเครื่องคือ 69.162.89.185 และ 198.50.222.136 ซึ่ง DNS ทั้งสองตัวจะเปลี่ยนเส้นทางของเว็บไซต์ Banco de Brasil (www.

นักวิจัยด้านความปลอดภัยนำเสนอช่องโหว่กว่า 47 ช่องโหว่ในเฟิร์มแวร์และอีก 25 ช่องโหว่ในแอปพลิเคชันบนระบบปฏิบัติการ Android ในงานประชุมด้านความปลอดภัย DEF CON ที่ลาสเวกัส

ช่องโหว่ที่พบมีความรุนแรงตั้งแต่ทำให้อุปกรณ์ทำงานผิดพลาดเล็กน้อยไปจนถึงช่องโหว่ร้ายแรงที่ทำให้ได้รับสิทธิ์ root ของอุปกรณ์ ซึ่งหากมีผู้โจมตีด้วยช่องโหว่ร้ายแรงจะสามารถเข้าถึงข้อมูลเรียกดูหรือส่งข้อความ SMS จากโทรศัพท์ของผู้ใช้, ถ่ายภาพหน้าจอหรือบันทึกวิดีโอจากหน้าจอโทรศัพท์เรียกดูรายชื่อผู้ติดต่อของผู้ใช้ บังคับให้ติดตั้งแอพพลิชันโดยพลการโดยไม่ต้องใช้การยินยอมจากผู้ใช้ หรือแม้แต่ลบข้อมูลทั้งหมดของผู้ใช้ออกจากอุปกรณ์

ช่องโหว่เหล่านี้ถูกค้นพบในแอปพลิเคชันเริ่มต้นที่ติดตั้งไว้ล่วงหน้าบนอุปกรณ์และอยู่ในเฟิร์มแวร์ของไดรเวอร์หลักที่ไม่สามารถลบออกได้ ซึ่งยี่ห้อของสมาร์ทโฟนที่พบช่องโหว่ดังกล่าวได้แก่ ZTE, Sony, Nokia, LG, Asus, Alcatel, Vivo, SKY, Plum, Orbic, Oppo, MXQ, Leagoo, Essential, Doogee และ Coolpad

ที่มา : bleepingcomputer

แอพพลิเคชัน Android ยอดนิยมบางตัวที่ติดตั้งในโทรศัพท์ อาจมีช่องโหว่เสี่ยงต่อการถูกโจมตีแบบใหม่ที่ชื่อว่า "Man-in-the-Disk (MitD)" ซึ่งทำให้แอพพลิเคชั่นอื่น crash และเรียกรัน code ที่เป็นอันตรายได้

ทีมงาน Check Point พบการโจมตีแบบ Man-in-the-Disk (MitD) ที่เกี่ยวกับความสามารถในการใช้ "External Storage" ของ Android OS เนื่องจากนักพัฒนาแอพพลิเคชั่นบางรายไม่ชอบใช้พื้นที่จัดเก็บข้อมูลภายใน เพราะหากมีขนาดใหญ่มากอาจจะทำให้ผู้ใช้ตัดสินใจไม่ใช้งานแอพพลิเคชั่นดังกล่าว ทำให้ต้องขอใช้สิทธิ์ในการเข้าถึง External Storage เช่น SD Card หรืออุปกรณ์เก็บข้อมูล USB ที่ต่ออยู่กับโทรศัพท์ และจัดเก็บไฟล์ของแอพพลิเคชั่นไว้ที่นั่น

Man-in-the-Disk ทำงานได้เนื่องจากสาเหตุสองประการ สาเหตุแรกคือแอพพลิเคชั่นใด ๆ ที่ใช้การจัดเก็บข้อมูลภายนอกสามารถถูกแทรกแซงจากแอพพลิเคชั่นอื่นได้ สาเหตุที่สองเนื่องจากแอพพลิเคชั่นเกือบทั้งหมดที่ขออนุญาตใช้งานการจัดเก็บข้อมูลภายนอก ผู้ใช้มักจะมองข้ามและอนุญาตให้งานได้ทันที โดยไม่ได้คำนึงถึงความเสี่ยงด้านความปลอดภัย

ในระหว่างการทดสอบ นักวิจัยของ Check Point ได้ทำการสร้างแอพพลิเคชั่นขึ้นมา และใช้แอพพลิเคชั่นดังกล่าวที่ได้รับอนุญาตให้ใช้งานการจัดเก็บข้อมูลภายนอก โจมตีแอพพลิเคชั่นอื่น และผลลัพธ์แรกที่ได้คือสามารถทำให้แอพพลิเคชั่นเกิดการ crash โดยการแทรกข้อมูลที่ผิดปกติลงไป เพื่อให้เกิดช่องโหว่ และใช้ประโยชน์จากช่องโหว่นั้นเพื่อใส่ code ที่เป็นอันตราย ทั้งนี้หากแอพพลิเคชั่นที่ถูกทำให้ crash มีสิทธิ์สูงกว่าแอพพลิเคชั่นที่ใช้โจมตี จะทำให้ผู้โจมตีได้รับสิทธิ์ดังกล่าว

ผลลัพธ์ที่สองคือสามารถหลอกให้แอพพลิเคชั่นทำการอัพเดทไปเป็นเวอร์ชั่นปลอมที่ผู้โจมตีสร้างขึ้นมาได้ โดยแอพพลิเคชั่นที่ถูกใช้โจมตีนั้นจะทำการตรวจสอบพื้นที่เก็บข้อมูลภายนอก เพื่อดูช่วงเวลาที่แอพพลิเคชั่นจะทำการอัปเดต เนื่องจากบางแอพพลิเคชั่นจะใช้ External Storage เพื่อเก็บไฟล์การอัปเดตชั่วคราวก่อนที่จะใช้ทำการอัปเดต ผู้โจมตีสามารถเปลี่ยนไฟล์เหล่านั้นและหลอกให้แอพพลิเคชันติดตั้งเวอร์ชั่นที่เป็นของตัวเอง

นักวิจัยระบุว่าพบแอพพลิเคชั่นยอดนิยมบางรายการที่มีช่องโหว่ดังกล่าว ซึ่งรวมถึงแอพพลิเคชั่น Google บางตัวที่ติดตั้งไว้ล่วงหน้าอยู่แล้วในอุปกรณ์ Android เช่น Google Translate, Google Voice Typing, Yandex Translate เป็นต้น และยังได้ระบุด้วยว่าปัจจัยหลักที่ทำให้การโจมตีนี้สำเร็จได้นั้น เกิดจากการที่ Developer ไม่ยอมทำตามคำแนะนำใน "Android security guidelines" เกี่ยวกับการใช้งานพื้นที่เก็บข้อมูลภายนอก (External Storage)

คำแนะนำสำหรับ developer

ควรทำการตรวจสอบความถูกต้องของข้อมูล Input เมื่อมีการใช้ข้อมูลจากที่จัดเก็บข้อมูลภายนอก
อย่าเก็บไฟล์ executable หรือ class ไฟล์ไว้ในที่จัดเก็บข้อมูลภายนอก
ไฟล์จัดเก็บข้อมูลภายนอกควรมีการ sign และตรวจสอบการเข้ารหัสก่อนการโหลดแบบไดนามิก

ที่มา : bleepingcomputer