ค้นพบช่องโหว่ใหม่บน F5 Big-IP ส่งผลให้สามารถข้ามผ่านกระบวนการความปลอดภัยของ Key Distribution Center (KDC) บน Kerberos Protocol ได้

ช่องโหว่ CVE-2021-23008 (คะแนน 8.1/10) ส่งผลให้ผู้ไม่หวังดีสามารถข้ามผ่าน (Bypass) กระบวนการพิสูจน์ตัวตน (Authentication) บน Kerberos ไปยัง Big-IP Access Policy Manager (APM) และข้ามผ่านข้อกำหนดความปลอดภัย (Security Policies) ได้

ทั้งนี้ Key Distribution Center (KDC) ทำงานอยู่บนโปรโตคอล Kerberos ซึ่งเป็นโปรโตคอลที่ใช้สำหรับทำหน้าที่พิสูจน์ตัวตน (Authentication) โดยมี KDC ที่ทำงานเปรียบเสมือนเซิร์ฟเวอร์ตัวกลางที่ใช้ในการเก็บ Shared Secret Key และสิทธิ์ของผู้ใช้งานทุกคน จากนั้นจะทำหน้าที่แจกจ่าย Ticket ให้กับผู้ใช้งานที่ถูกต้องไปใช้เข้าถึง service ที่ต้องการ การโจมตีนี้เกิดขึ้นได้จากการที่ผู้ไม่หวังดีส่ง Response (AS-REP: Kerberos Authentication Service Response) ที่ถูกปลอม (Spoofed) ในกระบวนการเชื่อมต่อของ Kerberos Key Distribution Center (KDC) ที่ถูกยึดครองแล้ว หรือจาก AD Server ที่ถูกยึดครองโดยผู้ไม่หวังดีแล้ว หากมีการใช้งานร่วมกับ AD ด้วย

Big-IP APM เวอร์ชันที่ได้รับผลกระทบจะประกอบไปด้วย 11.5.2 - 11.6.5 (ยังไม่มีแพทช์), 12.1.0 - 12.1.5 (อัพเดตเป็น 12.1.6), 13.1.0 - 13.1.3 (อัพเดตเป็น 13.1.4), 14.1.0 - 14.1.3 (อัพเดตเป็น 14.1.4), 15.0.0 - 15.1.2 (อัพเดตเป็น 15.1.3) และ 16.0.0 - 16.0.1 (ยังไม่มีแพทช์) ควรทำการอัพเดตตามเวอร์ชัน หากมีแพทช์แล้ว

ที่มา: thehackernews, support.

นักวิจัยเผยเเพร่เทคนิคใหม่ในการติดตามผู้ใช้งานผ่าน DNS ในชื่อ “CNAME Cloaking”

นักวิจัยภายในเครือ KU Leuven ซึ่งประกอบไปด้วย Yana Dimova, Gunes Acar, Wouter Joosen, Tom Van Goethem และ Lukasz Olejnik ได้ออกเอกสารการวิจัยซึ่งได้พบว่า บริษัทเทคโนโลยีด้านการโฆษณากำลังพยายามติดตามข้อมูลการใช้งานและข้อมูลอื่น ๆ ผ่านทางเบราว์เซอร์โดยใช้เทคนิคทางด้าน DNS มาใช้เพื่อหลบเลี่ยงการป้องกันจากผู้พัฒนาเบราว์เซอร์และรุกล้ำความเป็นส่วนตัวของผู้ใช้

เทคนิคดังกล่าวถูกเรียกว่า CNAME Cloaking ซึ่งจะถูกนำเสนอในเดือนกรกฎาคมที่จะถึงนี้ในงาน Privacy Enhancing Technologies Symposium ครั้งที่ 21 (PETS 2021) เทคนิคดังกล่าวเป็นเทคนิคการติดตามผู้ใช้โดยใช้ประโยชน์จาก CNAME record บน Subdomain เพื่อให้เบราว์เซอร์มองเว็บไซต์จาก Subdomain เป็นเว็บไซต์เดียวกันเพื่อสร้างความน่าเชื่อถือและเพื่อ Bypass การป้องกันการบล็อกคุกกี้ของผู้ใช้ที่เยื่ยมชมจากแอปพลิเคชัน Third-party ที่ถูกใช้โดยผู้ใช้หรือจากเบราว์เซอร์เอง

นอกจากนี้นักวิจัยยังพบอีกว่าการติดตามผู้ใช้ด้วย CNAME ทำให้เกิดช่องโหว่ด้านความปลอดภัยสองรายการในการใช้งาน โดยผู้ประสงค์ร้ายสามารถทำให้เว็บไซต์มีความเสี่ยงต่อการโจมตีจากเทคนิค Session fixation และเทคนิค XSS กับผู้ที่เยื่ยมชมเว็บไซต์ด้วย

ทั้งนี้ผู้พัฒนาเบราว์เซอร์อย่าง Google Chrome, Firefox, Safari, Brave กำลังพยายามแก้ไขปัญหาและคาดว่าจะมีการปล่อยการแก้ไขออกมาในลักษณะของแพตช์ด้านความปลอดภัยในเร็ววันนี้

ที่มา: thehackernews, theregister

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดช่องโหว่บน Windows NT LAN Manager ที่ Microsoft เพิ่งทำการแก้ไขช่องโหว่

Yaron Zinar นักวิจัยด้านความปลอดภัยจากบริษัท Preempt ได้เปิดเผยถึงรายละเอียดของช่องโหว่ใน Windows NT LAN Manager (NTLM) ที่ Microsoft ได้ทำการแก้ไขช่องโหว่ดังกล่าวแล้วในการอัปเดตความปลอดภัยประจำเดือนหรือ Patch Tuesday เมื่อต้นเดือนที่ผ่านมา

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1678 (CVSSv3: 4.3/10) ซึ่งช่องโหว่ดังกล่าวได้รับการอธิบายจาก Microsoft ว่าเป็นช่องโหว่ที่สามารถ Bypass ฟีเจอร์ความปลอดภัยของ Windows NT LAN Manager (NTLM) โดยช่องโหว่ดังกล่าวอยู่ใน IRemoteWinSpool MSRPC interface ซึ่งเป็นอินเทอร์เฟซสำหรับ Printer Remote Procedure Call (RPC) ที่ออกแบบมาสำหรับการจัดการตัวจัดคิวของเครื่องพิมพ์เอกสารจากระยะไกล ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถรีเลย์เซสชันการตรวจสอบสิทธิ์ NTLM ไปยังเครื่องที่ถูกโจมตีและใช้ MSRPC interface ของ Printer spooler เพื่อเรียกใช้โค้ดจากระยะไกลบนเครื่องที่ถูกโจมตี

ช่องโหว่จะส่งผลกระทบกับ Windows ทุกรุ่น ได้แก่ Windows Server, Windows Server 2012 R2, Windows Server 2008, Windows Server 2016, Windows Server 2019, RT 8.1, 8.1, 7 และ 10

ทั้งนี้นักวิจัยด้านความปลอดภัยได้กล่าวว่าพวกเขามีโค้ด Proof-of-Concept (POC) สำหรับช่องโหว่และสามารถใช้งานได้ แต่จะยังไม่ทำการเผยเเพร่สู่สาธารณะ อย่างไรก็ดีผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: securityweek | thehackernews

ผู้ใช้ WordPress กว่า 5 เว็บไซต์มีความเสี่ยงจากช่องโหว่ที่มีความรุนแรงบนปลั๊กอิน Contact Form 7

Jinson Varghese Behanan นักวิเคราะห์ความปลอดภัยข้อมูลจาก Astra ได้เปิดเผยถึงช่องโหว่ที่มีความรุนแรงในปลั๊กอิน WordPress ยอดนิยมที่มีชื่อว่า Contact Form 7 ซึ่งมีการดาวน์โหลดและติดตั้งอยู่กว่า 5 ล้านครั้ง

ช่องโหว่ที่มีความรุนแรงในปลั๊กอิน Contact Form 7 ถูกติดตามด้วยรหัส CVE-2020-35489 โดยช่องโหว่เกิดจากการตรวจสอบอักขระที่อยู่ในไฟล์ที่ถูกอัปโหลดไม่ดีพอ ซึ่งช่องโหว่จะเปิดโอกาศให้ผู้โจมตีสามารถ Bypass การตรวจสอบไฟล์ที่ทำการอัปโหลด ผู้โจมตีที่ทำการสร้างไฟล์ขึ้นมาเป็นพิเศษจะสามารถเรียกใช้โค้ดในไฟล์ที่ถูกอัปโหลดได้ ช่องโหว่นี้จะกระทบกับปลั๊กอิน Contact Form 7 เวอร์ชันก่อน 5.3.2

ทั้งนี้ผู้ดูแลเว็บไซต์ควรรีบทำการอัปเดตแพตช์ความปลอดภัยและติดตั้งปลั๊กอิน Contact Form 7 ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer

New PIN Verification Bypass Flaw Affects Visa Contactless Payments

นักวิจัยค้นพบช่องโหว่ใหม่ที่สามารถ Bypass การตรวจสอบ PIN บนบัตรเครดิตแบบ Contactless ของ Visa

นักวิจัย ETH จากซูริคได้เปิดเผยถึงช่องโหว่การ Bypass การตรวจสอบ PIN ของบัตรเครดิตแบบระบบ Contactless ของ Visa ที่ช่วยให้ผู้ประสงค์ร้ายสามารถใช้บัตรเครดิตของเหยื่อที่ถูกขโมยหรือหายทำการซื้อสินค้าโดยปราศจากรหัส PIN ของบัตรบัตรเครดิต ณ จุด Point of sale (PoS)

จากการเปิดเผยของนักวิจัย ETH ช่องโหว่ที่พบนั้นอยู่ในโปรโตคอล EMV (ย่อมาจาก Europay, Mastercard, และ Visa) ซึ่งเป็นมาตรฐานโปรโตคอลสากลที่ใช้กันอย่างแพร่หลายสำหรับการชำระเงินด้วยสมาร์ทการ์ด โดยผู้ประสงค์ร้ายสามารถทำการโจมตีแบบ man-in-the-middle (MitM) ผ่านแอป Android ด้วยการสั่งให้เทอร์มินัลไม่ต้องทำการตรวจสอบ PIN เนื่องจากมีการตรวจสอบผู้ถือบัตรด้วยการดำเนินการบนอุปกรณ์ของผู้ถือบัตร เนื่องจากได้รับการยืนยันแล้วจากอุปกรณ์ของผู้ใช้และจะดำเนินการหักเงินในบัตรของผู้ใช้ในขึ้นต่อไป

นอกจากช่องโหว่ที่ถูกเปิดเผยนี้นักวิจัย ETH ยังพบช่องโหว่ที่เกี่ยวข้องกับระบบ Contactless ของ Visa และบัตร Mastercard อีกช่องโหว่หนึ่งคือผู้ประสงค์ร้ายสามารถแก้ไขข้อมูลเฉพาะที่เรียกว่า "Application Cryptogram" (AC) ก่อนที่จะส่งไปยังเทอร์มินัล PoS โดยทั่วไปบัตรที่ทำธุรกรรมแบบออฟไลน์จะใช้เพื่อชำระค่าสินค้าและบริการโดยตรงจากบัญชีธนาคารของผู้ถือบัตรโดยไม่ต้องใช้หมายเลข PIN แต่เนื่องจากธุรกรรมเหล่านี้ไม่ได้เชื่อมต่อกับระบบออนไลน์จึงมีความล่าช้า 24 ถึง 72 ชั่วโมงก่อนที่ธนาคารจะยืนยันความถูกต้องของธุรกรรมโดยใช้การใช้ Cryptogram และจำนวนเงินที่ซื้อจะถูกหักออกจากบัญชี ผู้ประสงค์ร้ายสามารถใช้กลไกการประมวลผลที่ล่าช้านี้เพื่อใช้บัตรที่ทำการปลอมเเปลงทำธุรกรรมที่มีมูลค่าต่ำ ซึ่งกว่าธนาคารผู้ออกบัตรจะปฏิเสธธุรกรรมที่ใช้ Cryptogram ผิดพลาดผู้ประสงค์ร้ายก็ออกจากจุดที่ทำธุรกรรมแล้ว

นักวิจัย ETH กล่าวว่าช่องโหว่ที่ถุกค้นพบนั้นมีผลกระทบกับบัตรเครดิตแบบระบบ Contactless ของ Visa เช่น Visa Credit, Visa Debit, Visa Electron และ V Pay card ทั้งนี้ช่องโหว่ยังสามารถใช้กับบัตรที่ใช้โปรโตคอล EMV อย่าง Discover และ UnionPay ได้ด้วยอย่างไรก็ตามช่องโหว่ดังกล่าวจะไม่ส่งผลกระทบต่อ Mastercard, American Express และ JCB ปัจจุบันนักวิจัยได้ทำการเเจ้ง Visa ให้ได้รับทราบถึงปัญหาแล้ว ส่วนรายละเอียดของช่องโหว่นั้นจะถูกนำเสนอในงาน IEEE Symposium on Security and Privacy ครั้งที่ 42 ที่จะจัดขึ้นในซานฟรานซิสโกในเดือนพฤษภาคมปีหน้า

ที่มา: thehackernews.

“wsreset” เครื่องมือบน Windows 10 Store ช่วยให้ผู้โจมตี Bypass โปรแกรมป้องกันไวรัส

Daniel Gebert นักวิจัยระบบด้านความปลอดภัยได้เปิดเผยการค้นพบเทคนิคใหม่ที่ใช้ประโยชน์จากเครื่องมือบน Windows 10 Microsoft Store ที่เรียกว่า “wsreset.

New tool automates phishing attacks that bypass 2FA

เมื่อต้นปีที่ผ่านมา นักวิจัยด้านความปลอดภัยได้เผยแพร่เครื่องมือที่สามารถทำการโจมตีแบบฟิชชิ่งและยังสามารถเข้าสู่บัญชีได้โดยเลี่ยงการป้องกัน two-factor authentication (2FA)

Modlishka เครื่องมือใหม่นี้ถูกสร้างขึ้นโดย Piotr Duszyński นักวิจัยชาวโปแลนด์ ใช้วิธี reverse proxy ทำการปรับเปลี่ยนทราฟฟิกขาเข้าจากผู้ใช้เพื่อขโมยข้อมูลจากผู้ใช้เป้าหมาย

Modlishka ตั้งอยู่ระหว่างผู้ใช้เป้าหมายและเว็บไซต์ เช่น Gmail, Yahoo หรือ ProtonMail ผู้ที่ตกเป็นเหยื่อฟิชชิ่งจะเชื่อมต่อกับเซิร์ฟเวอร์ Modlishka (โฮสต์โดเมนฟิชชิ่ง) และ reverse proxy ส่งคำขอไปยังเว็บไซต์ที่ต้องการปลอม

Modlishka ยังจัดการระบบ 2FA ได้ เนื่องจากสามารถรวบรวมโทเค็น 2FA แบบเรียลไทม์ได้โดยไม่ต้องใช้เทมเพลตปลอมใด ๆ พวกเขาสามารถใช้เข้าสู่บัญชีของเหยื่อและสร้างเซสชันใหม่ได้อย่างถูกต้องแต่ผู้โจมตีต้องมีชื่อโดเมนฟิชชิ่ง (ไปยังโฮสต์บนเซิร์ฟเวอร์ Modlishka) และใบรับรอง TLS ที่ถูกต้องเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้เมื่อขาดการเชื่อมต่อ HTTPS

โดยสุดท้ายนั้นเมื่อผู้ใช้งานเข้าสู่ระบบสำเร็จ Modlishka จะเปลี่ยนเส้นทางไปยังเว็บไซต์ที่เป็นของจริงและถูกต้องเพื่อไม่ให้ผู้ใช้งานสงสัยและป้องกันไม่ให้ผู้ใช้งานสังเกตความผิดปกติของโดเมนเนมปลอมที่ผู้โจมตีสร้างขึ้น

ที่มา:zdnet.

Apple Fixes Passcode Bypass, RCE Vulnerabilities, and More in Today’s Updates.

Apple ได้แก้ไขปัญหาช่องโหว่การบายพาส Passcode, ข่องโหว่ RCE และอื่นๆ ในการอัปเดตล่าสุด

Apple เปิดตัวการปรับปรุงผลิตภัณฑ์หลักของตนซึ่งประกอบด้วย iCloud, Safari, iTunes, macOS Mojave, Sierra Sierra สำหรับ iOS 2.1.2, tvOS 12.1.1 และ iOS 12.1.1

ใน iOS 12.1.1 แก้ไขปัญหาข้อผิดพลาดในส่วนของการใช้งาน FaceTime ที่สามารถทำให้ผู้ใช้สามารถเข้าถึงรายชื่อผู้ติดต่อของโทรศัพท์ได้แม้ล็อกสกรีนอยู่ และช่องโหว่อื่น ๆ ที่ได้รับการแก้ไข ได้แก่ การเรียกใช้โค้ดจากระยะไกล (remote code execution), การเปิดเผยข้อมูลอย่างไม่ตั้งใจ (information disclosure), การเพิ่มสิทธิ์พิเศษ (privilege escalation) และ denial of service (dos)

การปรับปรุงความปลอดภัยครั้งนี้เป็นการแก้ไขข้อบกพร่องด้านความปลอดภัยหลายรายการ ด้วยเหตุนี้หากเป็นผู้ใช้ผลิตภัณฑ์ใด ๆ ข้างต้นควรทำการอัปเดตให้เป็นเวอร์ชั่นล่าสุด

ที่มา: bleepingcomputer

Oracle MySQL and MariaDB CVE-2012-5627 Insecure Salt Generation Security Bypass Weakness

MySQL และ MariaDB มีช่องโหว่ security-bypass
โดยผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า brute force ในการโจมตีและอาจส่งผลให้เกิดการโจมตีอื่นๆตามมา

ที่มา: securityfocus

Oracle Java SE CVE-2013-1485 Security Bypass Vulnerability

Oracle Java SE มีช่องโหว่ที่สามารถทำ security-bypass ใน Java Runtime Environment(JRE)
โดยสามารถทำให้ผู้โจมตี bypass ข้อจำกัดด้านความปลอดภัยและอาจจะส่งผลให้มีการโจมตีอื่นๆตามมา
ช่องโหว่นี่ถูกพบใน 7 Update 13 และเวอร์ชั่นก่อนหน้า

ที่มา: securityfocus