QR codes สามารถ bypass browser isolation เพื่อใช้ติดต่อกับ C2 Server ที่เป็นอันตรายได้

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

เบราว์เซอร์ Arc เปิดตัว Bug Bounty โปรแกรม หลังจากแก้ไขช่องโหว่ RCE

บริษัท The Browser Company ผู้ให้บริการ Arc Browser ได้เปิดตัวโครงการ Arc Bug Bounty เพื่อกระตุ้นให้นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ต่อโครงการ และรับเงินรางวัล

การพัฒนาครั้งนี้เกิดขึ้นเพื่อตอบสนองต่อช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical หมายเลข CVE-2024-45489 ซึ่งอาจทำให้ผู้โจมตีสามารถโจมตีผู้ใช้โปรแกรมในวงกว้างได้

โดยช่องโหว่ดังกล่าว ผู้โจมตีสามารถใช้ประโยชน์จาก Arc ที่ใช้ Firebase สำหรับการยืนยันตัวตน และการจัดการฐานข้อมูลเพื่อรันโค้ดตามที่ต้องการบนเบราว์เซอร์ของเป้าหมายได้

นักวิจัยพบช่องโหว่ระดับ Critical ในฟีเจอร์ Boosts (user-created customizations) ที่อนุญาตให้ผู้ใช้งานใช้ JavaScript ปรับเปลี่ยนเว็บไซต์เมื่อเข้าชมได้

นักวิจัยพบว่าสามารถทำให้โค้ด JavaScript ที่เป็นอันตรายทำงานในเบราว์เซอร์ของผู้ใช้รายอื่นได้ เพียงแค่เปลี่ยน creator ID ของ Boosts เป็น ID ของบุคคลอื่น และเมื่อผู้ใช้ Arc Browser เยี่ยมชมเว็บไซต์ดังกล่าว ก็จะเปิดใช้งานโค้ดที่เป็นอันตรายที่ถูกสร้างขึ้นโดยผู้โจมตี

แม้ว่าช่องโหว่ดังกล่าวจะปรากฏบนเบราว์เซอร์มาระยะหนึ่งแล้ว แต่ก็ได้รับการแก้ไขอย่างรวดเร็วในวันที่ 26 สิงหาคม 2024 หนึ่งวันหลังจากที่นักวิจัยเปิดเผยช่องโหว่ดังกล่าวต่อทีม Arc โดยพวกเขาได้รับรางวัล 2,000 ดอลลาร์

โครงการ Arc Bug Bounty

โครงการ Bug Bounty ที่ประกาศโดย The Browser Company ครอบคลุมถึง Arc บน macOS และ Windows และ Arc Search บนแพลตฟอร์ม iOS

การจ่ายเงินรอบนี้สามารถสรุปได้เป็น 4 หมวดหมู่หลักดังต่อไปนี้ ขึ้นอยู่กับความร้ายแรงของช่องโหว่ที่ค้นพบ

ช่องโหว่ระดับ Critical คือ การเข้าถึงระบบทั้งหมด หรือการใช้ประโยชน์ที่ส่งผลกระทบอย่างมีนัยสำคัญ (เช่น ไม่ต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 10,000 - 20,000 ดอลลาร์
ช่องโหว่ระดับ High คือ ปัญหาร้ายแรงที่ส่งผลต่อความสมบูรณ์ของเซสชัน การเปิดเผยข้อมูลที่สำคัญ หรือการเปิดใช้งานการเข้าควบคุมระบบ (รวมถึงช่องโหว่เบราว์เซอร์ extension บางส่วน) รางวัล: 2,500 - 10,000 ดอลลาร์
ช่องโหว่ระดับ Medium คือ ช่องโหว่ที่ส่งผลต่อ multiple tabs ที่มีผลกระทบต่อเซสชัน และข้อมูลที่จำกัด หรือการเข้าถึงข้อมูลที่สำคัญบางส่วน (อาจต้องมีการโต้ตอบจากผู้ใช้) รางวัล: 500 - 2,500 ดอลลาร์
ช่องโหว่ระดับ Low คือ ปัญหาเล็กน้อยที่จำเป็นต้องมีการโต้ตอบจากผู้ใช้จำนวนมาก หรือมีขอบเขตจำกัด (เช่น ค่าเริ่มต้นที่ไม่ปลอดภัย และช่องโหว่ที่ยากต่อการนำใช้ในการโจมตี) รางวัล: สูงสุด 500 ดอลลาร์

รายละเอียดเพิ่มเติมเกี่ยวกับโครงการ Arc Bug Bounty{}

เกี่ยวกับช่องโหว่หมายเลข CVE-2024-45489 ทีมงาน Arc ระบุในประกาศล่าสุดว่า การซิงค์อัตโนมัติของ Boosts กับ JavaScript จะถูกปิดใช้งาน และมีการเพิ่มปุ่มปิดคุณสมบัติที่เกี่ยวข้องกับ Boost ทั้งหมดลงใน Arc 1.61.2 ซึ่งเป็นเวอร์ชันล่าสุดที่เปิดตัวเมื่อวันที่ 26 กันยายน 2024

นอกจากนี้ ยังมีการตรวจสอบจากผู้เชี่ยวชาญด้าน auditing ซึ่งอยู่ระหว่างการตรวจสอบ โดยจะครอบคลุมระบบที่ได้รับการสนับสนุนของ Arc

MDM configuration แบบใหม่ที่ใช้เพื่อปิดการใช้งาน Boosts สำหรับองค์กรจะเปิดตัวในอีกไม่กี่สัปดาห์ข้างหน้านี้

บริษัท The Browser Company เปิดเผยว่า ขณะนี้กำลังมีการร่างแนวปฏิบัติการเข้ารหัสใหม่ โดยเน้นไปที่การตรวจสอบ และทบทวนการทำงานเป็นพิเศษ รวมไปถึงกระบวนการตอบสนองต่อเหตุการณ์ที่มีการปรับปรุงใหม่เพื่อให้มีประสิทธิภาพมากขึ้น

Arc เปิดตัวเมื่อปีก่อน และได้รับความนิยมอย่างรวดเร็วด้วยการออกแบบอินเทอร์เฟซของผู้ใช้ที่มีความสร้างสรรค์ รวมไปถึงตัวเลือกการปรับแต่งที่ผสานรวมกับ uBlock Origin ทำให้มีประสิทธิภาพการทำงานที่รวดเร็ว ซึ่งทำให้ผู้โจมตีใช้ความนิยมของเบราว์เซอร์เพื่อส่งมัลแวร์ไปยังผู้ใช้งาน Windows

ที่มา : bleepingcomputer

Malicious npm package opens backdoors on programmers’ computers

ทีม security ของ npm (Node Package Manager) ที่เป็นผู้ให้บริการ Package Manager ของ JavaScript ได้ทำการลบ JavaScript Library ที่มีชื่อว่า "twilio-npm" ออกไปเมื่อวันที่ 2 พฤศจิกายนที่ผ่านมา เนื่องจากพบว่า Script ดังกล่าวจะมีการสั่งให้แอบเปิด TCP reverse shell บนเครื่องของนักพัฒนาที่นำไปใช้ จากรายงานระบุว่า reverse shell ดังกล่าวจะเปิดการเชื่อมต่อไปยัง 4.tcp.

Cerber Ransomware Can Now Steal Browser Passwords, Bitcoin Wallet Data

Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.