Affected Platform : Microsoft Office Outlook

Microsoft ได้เผยแพร่โปรแกรมสำหรับแก้ไขปัญหาช่องโหว่ที่มีผลต่อ Microsoft Office การใช้ช่องโหว่ดังกล่าวอาจทำให้ผู้บุกรุกสามารถควบคุมระบบที่ไม่ได้รับการอัพเดตได้

CVE-2017-8663 | ช่องโหว่ของ Microsoft Office Outlook ที่เกิดขึ้นจากหน่วยความจำ
ช่องโหว่นี้จะเปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งไฟล์อันตรายผ่านทาง Microsoft Office Outlook ที่ไม่ได้รับการอัพเดต เมื่อเหยื่อทำการเปิดไฟล์แล้ว จะทำให้ผู้ไม่หวังดีสามารถเข้ามาควบคุมเครื่องได้ และสามารถติดตั้งโปรแกรม เปลี่ยนหรือลบข้อมูล ทำได้แม้กระทั่งการสร้างบัญชีใหม่ที่มีสิทธิ์การเข้าถึงระบบอย่างเต็มรูปแบบ โดยการอัพเดตความปลอดภัยนี้จะแก้ไขปัญหาช่องโหว่โดยการที่ Microsoft Office Outlook จะช่วยทำการวิเคราะห์ และแยกแยะเนื้อหาของอีเมล์ให้

CVE-2017-8572 | ช่องโหว่ของ Microsoft Office Outlook ที่จะเปิดเผยข้อมูลของหน่วยความจำที่ถูกใช้งาน
ช่องโหว่จะเปิดเผยข้อมูลของหน่วยความจำที่มีการใช้งาน โดยผู้ไม่หวังดีจะใช้ข้อมูลนี้เพื่อระบุตำแหน่งของหน่วยความจำที่ใช้ในการสร้างวัตถุ(Object) และจะใช้ช่องโหว่นี้เพื่อสร้างไฟล์เอกสารที่มีการฝัง script ไว้ เมื่อเหยื่อเปิดไฟล์ขึ้นมา จะทำให้ผู้ไม่หวังดีสามารถเข้าถึงคอมพิวเตอร์หรือข้อมูลของเหยื่อได้ โดยการอุดช่องโหว่นี้งจะทำการเปลี่ยนวิธีการจัดการฟังก์ชันบางอย่างในหน่วยความจำ

ที่มา : us-cert

Impact Level : information

Affected Platform : Windows Platform

Conclusion : นักวิจัยจาก Politecnico di Milano ของอิตาลีได้นำเสนอเครื่องมือที่ใช้ตรวจจับ ransomeware และการกู้คืน file ที่ถูกเข้ารหัสจาก ransomeware ที่มีชื่อว่า ShieldFS

ShieldFS จะทำการจดจำและสร้าง models พฤติกรรมของ filesystem ที่เกิดจากใช้งานปกติ และมันยังสามารถตรวจหา ransomeware จากพฤติกรรมที่เกิดขึ้นมาเปรียบเทียบกับ models

ที่ทำการสร้างขึ้นมาก่อนหน้า หากตรวจพบพฤติกรรมของ ransomeware เครื่องมือ ShieldFS จะ block การทำงานของ ransomeware และทำการกู้ไฟล์ที่ถูกเข้ารหัส
Copy-on-Write (COW) เป็นเทคนิคทางโปรแกรมมิ่งที่ ShieldFS นำมาใช้ในการกู้ไฟล์ที่ถูกเข้ารหัส โดยเป็นเทคนิคที่อนุญาตให้ระบบปฏิบัติการแชร์ข้อมูลที่กำลังถูกประมวลผลให้กับโปรเซสอื่น

นักวิจัยได้ทำการทดสอบ ShieldFS กับ malware หลายๆตัวที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งรวมไปถึง WannaCry, TeslaCrypt, CryptoWall, CryptoLocker ด้วยผลการทดสอบเผยให้เห็นว่า ShieldFS สามารถตรวจจับ malware ที่ได้นำมาทำการทดลองได้สำเร็จและสามารถกู้ไฟล์ข้อมูลที่ถูกเข้ารหัสได้ 97 เปอร์เซ็นต์

ที่มา : THREATPOST

Fabio Assolini นักวิจัยด้านความปลอดภัยจาก Kaspersky Lab รายงานว่าพบโทรจันที่มีเป้าหมายเป็นธนาคารในประเทศบราซิลภายใต้ชื่อ Trojan-Proxy.

บริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา มีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS ซึ่งมัลแวร์ตัวนี้อาจจะมีต้นทางมาจากจีน โดยทำการดักเอา Apple ID ของผู้ใช้งาน แล้วส่งกลับไปยังแฮกเกอร์ หลังจากนั้นแฮกเกอร์จะนำเอา Apple ID ไปใช้งานและมีความเป็นไปได้ที่จะแฮกเอาทั้งรหัสประจำตัวของโทรศัพท์และใบรับรองความปลอดภัยไปเพื่อเข้าถึงบริการของ Apple Pay ด้วย ซึ่งมีผู้ได้รับผลกระทบแล้วกว่า 2 แสนราย

นอกจากนั้นแล้ว ทางบริษัทยังมีการรายงานเพิ่มเติมว่ามีการตรวจพบ ransomware เพื่อบังคับให้ผู้ใช้จ่ายเงินแลกกับการได้กลับมาควบคุมโทรศัพท์เหมือนเดิมด้วย โดยคำแนะนำที่ดีที่สุดในการป้องกันจากการแพร่ระบาดของมัลแวร์และ ransomware คือการไม่เจลเบรคเครื่อง ส่วนคนที่ได้รับผลกระทบนอกจากเปลี่ยนรหัสผ่าน Apple ID และเปิดการยืนยันตัวตนสองขั้นตอน (two-factor authentication) แล้ว ยังต้องหมั่นตรวจสอบความผิดปกติในรายการซื้อสินค้าต่างๆ ผ่าน Apple ID ด้วย

ที่มา : blognone

เมื่อเวลาประมาณเที่ยงคืนที่ผ่านมา เว็บไซต์ ลำพูน (http://www.lamphun.go.th) ซึ่งเป็นเว็บไซต์ของจังหวัดลำพูน ถูกเเฮกโดยกลุ่มมุสลิมเเฮกเกอร์ ที่ใช้ชื่อว่า “Fallag Gassrini” จากตูนิเซีย โดยเปลี่ยนหน้าเพจแรกของเว็บไซต์ เป็นโพสรูปชาวโรฮิงญาทีถุกกระทำโดยรัฐบาลพม่า ภาพชาวโรฮิงญาที่พยายามจะหนีมาทางเรือ เเละเด็กชาวมุสลิมที่โดนระเบิดเสียชีวิตจำนวนมาก พร้อมระบุข้อความไว้ด้วยว่า “เพจคุณถูกเเฮกหน่วยรบ Cyber Fallag Gassrini เเละ DR Lamochi จากตูนิเซีย ให้เกียรติคนของเรา ไม่งั้นจะเจอการต่อต้านจากเรา พวกเราคือ Fallaga พวกเราคือชาวมุสลิม พวกเรารักสันติ”
นอกจากนี้ ยังวางลิงค์เชื่อมต่อไปยังเฟซบุ๊กและทวิตเตอร์ของกลุ่มแฮกเกอร์ โดยเฟซบุ๊กนั้นถูกบล็อกแต่ทวิตเตอร์สามารถเข้าไปได้ แต่ข้อความส่วนใหญ่เป็นภาษาอาหรับ
ทั้งนี้แฮกเกอร์กลุ่มดังกล่าว ตามประวัติเคยเเฮกเพจของฝรั่งเศสมาเเล้ว หลังจากเหตุการณ์ก่อการร้าย ที่มีการกราดยิงในสำนักพิมพ์ ชาร์ลี แอบโด ในช่วงต้นปีที่ผ่านมา
นอกจากเว็บไซต์จังหวัดลำพูน แล้ว ยังมีเว็บไซต์อื่น ๆ ถูกแฮกเกอร์กลุ่มนี้เขาโจมตี ดังนี้

มหาวิทยาลัยมหาสารคาม (http://www.

บั๊ก StageFright ของ Android ที่โด่งดังเป็นข่าวใหญ่ทั่วโลกเพราะส่งผลกระทบต่อฮาร์ดแวร์ Android เป็นจำนวนมาก
ล่าสุด Trend Micro ค้นพบช่องโหว่ใหม่ในโค้ดของ MediaServer ตัวเดียวกับที่เกิดปัญหา StageFright โดย Android ที่ได้รับผลกระทบมีตั้งแต่เวอร์ชัน 2.3-5.1.1
รายละเอียดของช่องโหว่เกิดจากคอมโพเนนต์ชื่อ “AudioEffect” ใน MediaServer รับค่าจากแอพแล้วไม่ตรวจสอบตัวแปรอีกรอบ ดังนั้นผู้ประสงค์ร้ายที่หลอกให้ผู้ใช้ติดตั้งแอพได้สำเร็จ สามารถเจาะผ่านช่องทางนี้ได้ ทีมงาน Trend Micro ลองสร้างมัลแวร์ต้นแบบ (proof of concept) และสามารถแครช MediaServer ได้
Trend Micro แจ้งปัญหานี้ให้กูเกิลตั้งแต่เดือน มิ.ย. และกูเกิลออกแพตช์แก้ไขในโค้ดของ AOSP เรียบร้อยแล้วตั้งแต่วันที่ 1 ส.ค. ที่เหลือก็รอบรรดาผู้ผลิตฮาร์ดแวร์อัพเดตแพตช์ให้ต่อไป

ที่มา : TRENDMICRO

Mozilla ออกประกาศเตือนช่องโหว่ระดับ critical ค้นพบใหม่ใน Firefox เกี่ยวกับตัวอ่าน PDF ที่มาพร้อมกับเบราว์เซอร์ ช่องโหว่นี้เปิดให้ผู้ประสงค์ร้ายเข้ามาขโมยข้อมูลในเครื่องของผู้ใช้ได้

สิ่งที่น่ากลัว คือ พบการโจมตีผ่านช่องโหว่นี้ในรัสเซียแล้ว โดยแฮกเกอร์ใช้วิธียิงโฆษณาบนเว็บไซต์ข่าวแห่งหนึ่ง เพื่อขโมยข้อมูลของผู้ที่เข้าชมเว็บไซต์ข่าวแห่งนี้ด้วย Firefox ตัวอย่างข้อมูลที่ถูกขโมยคือไฟล์คอนฟิกต่างๆ ที่อาจมีรหัสผ่านเก็บอยู่ เช่น /etc/passwd, .ssh, .mysql_history รวมถึงไฟล์คอนฟิกของ Filezilla หรือ subversion

Mozilla ออกแพตช์แก้มาเป็น Firefox 39.0.3 และ Firefox ESR 38.1.1 ให้อัพเดตแล้ว

ที่มา : mozilla

รายงานช่องโหว่ของซีพียูอินเทลตั้งแต่ปี 1997 เป็นต้นมาทำให้แฮกเกอร์สามารถสร้าง rootkit ฝังตัวไว้ในเครื่องของเหยื่อที่ระดับต่ำกว่าระบบปฏิบัติการ โดยนักวิจัย Christopher Domas นำเสนอช่องโหว่นี้ในงาน Black Hat

ระดับความปลอดภัย System Management Mode (SMM) ซึ่งเป็นระดับลึกที่สุดของซีพียู ลึกกว่าชั้น hypervisor ที่มีไว้สำหรับสร้างเครื่องจำลอง

เมื่อมัลแวร์สามารถเข้าไปรันที่ระดับความปลอดภัยนี้ได้ ระบบปฏิบัติการจะไม่รู้ตัวว่ามีซอฟต์แวร์รันอยู่บนซีพียูเดียวกัน ที่ระดับความปลอดภัยนี้แฮกเกอร์สามารถเขียนไบออสและ UEFI ใหม่ ทำให้เครื่องบูตไม่ขึ้นหรืออาจจะทำให้ติดมัลแวร์ทุกครั้งหลังล้างเครื่องใหม่

นักวิจัยระบุว่า อินเทลน่าจะรู้ช่องโหว่นี้ก่อนแล้วเพราะซีพียูรุ่นใหม่ๆ แก้ไขช่องโหว่นี้แล้ว และมีเฟิร์มแวร์ส่งไปให้กับผู้ผลิตเมนบอร์ด แต่ก็ไม่ใช่ทุกรุ่นที่จะแพตช์ได้ อย่างไรก็ดีแฮกเกอร์จะเข้าถึงช่องโหว่นี้ได้จะต้องเจาะระบบปฏิบัติการได้เสียก่อน

ที่มา : PCWorld

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮกเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที
Malwarebytes ตรวจสอบพบว่าแฮกเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชั่นล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที
ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง
โฆษณาที่ว่านี้แสดงเป็นเวลานานประมาณ 1 สัปดาห์ หลังจากที่ Malwarebytes พบเข้าจึงแจ้งไปยัง Yahoo และบริษัทก็สั่งปิดโฆษณาทันที

ที่มา : The New York Times

รายงานช่องโหว่ Ceriti-Gate ที่เป็นช่องโหว่ของซอฟต์แวร์ซัพพอร์ตลูกค้าจากระยะไกล (mobile remote support tools - mRSTs) ที่สามารถเข้าควบคุมเครื่องได้แทบทุกรูปแบบ ทั้งการสั่งติดตั้งแอพพลิเคชั่น, จับภาพหน้าจอ, ควบคุมอินพุต ซึ่งแอพพลิเคชั่นเหล่านี้แบ่งออกเป็น 2 ส่วน คือแอพหลักและปลั๊กอิน โดยแอพหลักจะใช้สิทธิ์ไม่ต่างจากแอพทั่วๆ ไป แต่ส่วนปลั๊กอินจะมีสิทธิระดับลึกกว่า ซึ่งจะได้รับการรับรองจากผู้ผลิตโดยตรงทำให้เข้าถึงฟังก์ชั่นที่ปกตินักพัฒนาทั่วไปเข้าถึงไม่ได้ เมื่อผู้ใช้ติดตั้งแอพหลัก ตัวปลั๊กอินมักตรวจสอบแอพหลักว่ามาจากผู้ผลิตที่ถูกต้องหรือไม่ ทีมวิจัยพบว่าปลั๊กอินหลายตัวมีกระบวนการตรวจสอบผู้ผลิตที่หละหลวม ทำให้แฮกเกอร์สามารถปลอมตัวเพื่อหลอกปลั๊กอินได้โดยง่าย

ทีมวิจัยรายงานถึงผู้ผลิต 3 รายที่มีช่องโหว่ในกระบวนการตรวจสอบแอพหลัก ได้แก่ TeamViewer, RSupport และ CommuniTake

TeamViewer อาศัยหมายเลขซีเรียลของใบรับรอง ทำให้แฮกเกอร์สามารถสร้างแอพปลอมที่ใช้ใบรับรองที่สร้างขึ้นเองและมีหมายเลขซีเรียลตรงกัน
RSupport อาศัยค่าแฮชของใบรับรอง แต่ฟังก์ชั่นแฮชกลับอ่อนแอ ขนาดค่าแฮชมีขนาดเพียง 32 บิต
CommuniTake คอนฟิกเซิร์ฟเวอร์ที่ใช้เชื่อมต่อผ่านทาง SMS ทำให้ผู้ผลิตสามารถส่ง SMS มาบอกให้แอพเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ได้ โดยล็อกว่าโดเมนระดับบนสุดต้องเป็นโดเมนของ CommuniTake เอง แต่ตัวอ่าน URL มีบั๊กทำให้แฮกเกอร์สามารถส่ง SMS หลอกเพื่อให้ตัวแอพเชื่อมต่อไปยังเครื่องใดๆ ก็ได้

โทรศัพท์ยี่ห้อหลักๆ หลายรุ่นติดตั้งแอพพลิเคชั่นเหล่านี้มาจากโรงงานทำให้จำนวนอุปกรณ์ที่ได้รับผลกระทบมีสูงถึงหลายล้านเครื่อง

ที่มา : blognone