เครื่องมือใหม่ที่สามารถ bypass ระบบการเข้ารหัสคุกกี้ของ Google Chrome ได้

นักวิจัยได้เปิดตัวเครื่องมือใหม่ที่สามารถ bypass ระบบป้องกันการโจรกรรมคุกกี้การเข้ารหัสแบบ App-Bound ของ Google และสามารถดึงข้อมูล credentials ที่บันทึกไว้ในเว็บเบราว์เซอร์ Chrome ออกไปได้

เครื่องมือนี้มีชื่อว่า ‘Chrome-App-Bound-Encryption-Decryption’ ได้รับการเผยแพร่โดย Alexander Hagenah นักวิจัยด้านความปลอดภัยไซเบอร์ หลังจากที่เขาสังเกตเห็นว่านักวิจัยคนอื่น ๆ กำลังคิดค้นวิธีหลบเลี่ยงแบบเดียวกันนี้ได้แล้ว (more…)

การ Bypass Windows Driver Signature แบบใหม่ ช่วยให้สามารถติดตั้ง Kernel Rootkit ได้

ผู้โจมตีสามารถทำการดาวน์เกรดคอมโพแนนต์ของ Kernel Windows เพื่อ bypass คุณสมบัติการรักษาความปลอดภัยเช่น Driver Signature Enforcement และติดตั้ง Rootkit บนระบบที่ได้รับการแพตช์ในเวอร์ชันล่าสุดแล้วได้

วิธีการนี้สามารถทำได้โดยการควบคุมกระบวนการอัปเดตของ Windows เพื่อแทรกซอฟต์แวร์คอมโพแนนต์เก่า ๆ ที่มีช่องโหว่บนเครื่องที่ได้รับการอัปเดตโดยไม่เปลี่ยนสถานะการแพตช์ที่สมบูรณ์ของระบบปฏิบัติการ (more…)

DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้

DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11

(more…)

แฮ็กเกอร์ใช้ประโยชน์จาก Windows Container Isolation Framework เพื่อ Bypass Endpoint Security

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

Adobe ออกแพตซ์อัปเดต เพื่อแก้ไขปัญหาการ bypass สําหรับช่องโหว่ ColdFusion CVE-2023-29298

Adobe ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ColdFusion รวมถึงการโจมตี zero-day แบบใหม่ โดยมีการแก้ไขช่องโหว่ 3 รายการ ดังนี้ :

CVE-2023-38204 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) แต่ยังไม่พบการโจมตีจากช่องโหว่นี้
CVE-2023-38205 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่การควบคุมการเข้าถึงที่ถูกนำไปใช้อย่างแพร่หลายในการโจมตีแบบ limited attacks targeting ไปที่ Adobe ColdFusion
CVE-2023-38206 (คะแนน CVSS 5.3/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งอาจนำไปสู่การ bypass ความปลอดภัย

โดยช่องโหว่ CVE-2023-38205 จะใช้ประโยชน์จากช่องโหว่เก่า CVE-2023-29298 โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Rapid7 Stephen Fewer ในวันอังคารที่ 11 กรกฎาคม 2023

เมื่อวันพฤหัสบดีที่ 13 กรกฎาคม 2023 Rapid7 พบผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-29298 และ CVE-2023-29300/CVE-2023-38203 เพื่อสร้างช่องโหว่เว็ปเชลล์บนเซิร์ฟเวอร์ ColdFusion ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

นักวิจัยจาก Rapid7 ระบุว่าเมื่อวันจันทร์ที่ 17 กรกฎาคม 2023 ที่ผ่านมา การแพตซ์อัปเดตของ Adobe สำหรับช่องโหว่ CVE-2023-29298 นั้นยังไม่สมบูรณ์ และอาจถูกผู้โจมตีใช้เพื่อ bypass การป้องกันได้ โดยทาง Rapid7 ได้แจ้งให้ Adobe ทราบถึงเหตุการณ์ดังกล่าวแล้ว

อย่างไรก็ตาม Adobe ได้ออกมายืนยันว่าการแก้ไขช่องโหว่ CVE-2023-29298 จะถูกรวมอยู่ในแพตซ์ APSB23-47 ของช่องโหว่ CVE-2023-38205 และเนื่องจากช่องโหว่นี้กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ ColdFusion จึงขอแนะนำให้ผู้ดูแลระบบติดตั้งแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

ที่มา : bleepingcomputer

เครื่องมือที่ใช้โจมตีช่องโหว่ RCE ใน ReportLab PDF library ถูกเผยแพร่ออกสู่สาธารณะ

นักวิจัยได้เผยแพร่เครื่องมือที่ใช้สำหรับการโจมตีช่องโหว่ Remote Code Execution (RCE) ที่ส่งผลกระทบต่อ ReportLab Toolkit ซึ่งเป็น Python library ยอดนิยมที่หลาย project ใช้เพื่อสร้างไฟล์ PDF จากอินพุต HTML

Proof-of-Concept (PoC) สำหรับ CVE-2023-33733 ถูกเผยแพร่เมื่อวานนี้ (30 พฤษภาคม 2023) บน GitHub พร้อมกับรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ ซึ่งเป็นการเพิ่มโอกาสให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว

ReportLab Toolkit ถูกใช้โดยหลาย project สำหรับเป็น PDF library และมีการดาวน์โหลดไปแล้วประมาณ 3.5 ล้านครั้งต่อเดือนบน PyPI (Python Package Index)

Bypass การแก้ไขช่องโหว่ครั้งก่อน

โดยช่องโหว่เกิดจากการสามารถ bypass ข้อจำกัดของ sandbox ใน 'rl_safe_eval' ซึ่งมีหน้าที่ป้องกันการเรียกใช้โค้ดที่เป็นอันตราย ทำให้ผู้โจมตีเข้าถึงฟังก์ชันของ Python ที่อาจเป็นอันตรายได้

ฟังก์ชัน 'rl_safe_eval' ถูกนำมาใช้เป็นมาตรการเพื่อป้องกันช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลในลักษณะคล้ายกัน ซึ่งถูกค้นพบในปี 2019 ดังนั้นนักวิจัยจึงมุ่งเน้นไปที่การ bypass ฟังก์ชันดังกล่าว

PoC ที่ถูกเผยแพร่จะดึงฟังก์ชัน 'type' ที่สร้างขึ้นมาเพื่อช่วยสร้างคลาสใหม่ที่ชื่อว่า 'Word' ซึ่งสืบทอดมาจากคลาส 'str' ซึ่งสามารถหลีกเลี่ยงการตรวจสอบด้านความปลอดภัย และให้สิทธิ์เข้าถึงแอตทริบิวต์ที่มีความสำคัญ เช่น 'code' ได้

จากนั้น 'type' จะถูกเรียกใช้ในตัวมันเองเพื่อเลี่ยงการตรวจสอบ eval ที่เกี่ยวกับข้อจำกัดจำนวนอาร์กิวเมนต์ ทำให้ผู้โจมตีสามารถใช้ฟังก์ชัน 'type' เดิมที่ติดตั้งไว้สำหรับการสร้างคลาส และอ็อบเจ็กต์ใหม่ได้

จึงนำไปสู่การสร้างฟังก์ชันที่เป็นอันตรายจาก bytecode ของฟังก์ชันที่คอมไพล์ ซึ่งอาจทำให้สามารถรันโค้ดได้ตามที่ต้องการ โดยจาก PoC ของนักวิจัย จะทำการเรียกคำสั่งบน OS เพื่อสร้างไฟล์ชื่อ 'exploited' ในไดเร็กทอรี "/tmp/"

Elyas Damej นักวิจัยของ Cure53 แจ้งเตือนในรายงานว่า การใช้ประโยชน์จากช่องโหว่ CVE-2023-33733 ทำได้ง่ายมาก เพียงแค่ใส่โค้ดที่เป็นอันตรายไว้ในไฟล์ HTML ซึ่งจะถูกแปลงเป็น PDF บนซอฟต์แวร์ที่ใช้ไลบรารี ReportLab

คำแนะนำ

ช่องโหว่ส่งผลกระทบต่อไลบรารีเวอร์ชันก่อนหน้านี้ทั้งหมด
ทำการอัปเดตเป็นเวอร์ชัน 3.6.13

 

ที่มา : bleepingcomputer

Microsoft ออกแพตซ์อัปเดตกว่า 38 รายการ รวมทั้งช่องโหว่ Zero-Day

Microsoft ออกแพตซ์อัปเดตสำหรับเดือนพฤษภาคม 2023 เพื่อแก้ไขช่องโหว่ 38 รายการ รวมถึงช่องโหว่ Zero-day ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี โดยจากช่องโหว่ทั้งหมด 38 รายการ มี 6 รายการที่ได้รับการจัดอยู่ในระดับ Critical อีก 32 รายการที่อยู่ในระดับอื่น ๆ ซึ่งมีช่องโหว่ 8 รายการที่มีแนวโน้มว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เดือนพฤษภาคมนี้ Microsoft ได้แก้ไขช่องโหว่เหล่านี้บนเบราว์เซอร์ Chromium-based Edge หลังจากที่พึ่งมีการออกอัปเดต Patch Tuesday ในเดือนเมษายนที่ผ่านมา

ช่องโหว่ที่น่าสนใจในรอบนี้ คือ CVE-2023-29336 (คะแนน CVSS: 7.8) เป็นช่องโหว่ที่สามารถทำการเพิ่มสิทธิ์ใน Win32k แต่ยังไม่มีข้อมูลที่แน่ชัดว่ามีขอบเขตของการโจมตีกว้างแค่ไหน

Microsoft ให้เครดิตกับนักวิจัย Avast Jan VojtŞshek, Milánek และ Luigino Camastra เป็นผู้รายงานรายงานช่องโหว่นี้ ซึ่งผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จจะได้รับสิทธิ์ SYSTEM บนระบบ โดยสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา หรือ CISA ได้เพิ่มช่องโหว่ดังกล่าวเข้าสู่ Known Exploited Vulnerabilities (KEV) เพื่อแจ้งเตือนให้องค์กรต่าง ๆ ภายใต้การกำกับดูแล ให้รีบทำการอัปเดตทันที

นอกจากนี้ยังมีช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ซึ่งหนึ่งในนั้นคือช่องโหว่ remote code execution ที่ส่งผลกระทบต่อ Windows OLE (CVE-2023-29325, คะแนน CVSS: 8.1) ซึ่งอาจถูกโจมตีโดยการส่งอีเมลอันตรายที่ถูกสร้างขึ้นเป็นพิเศษไปยังเหยื่อ อีกหนึ่งช่องโหว่คือ CVE-2023-24932 (คะแนน CVSS:6.7) ซึ่งเป็นการ bypass ฟีเจอร์ Secure Boot security ของ BlackLotus UEFI เพื่อใช้ประโยชน์จาก CVE-2022-21894 (หรือที่เรียกว่า baton drop) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในระดับ UEFI (unified extensible firmware interface) เมื่อเปิดใช้งาน Secure Boot

ผู้โจมตีนิยมใช้วิธีนี้เป็นกลไกในการหลีกเลี่ยงการตรวจจับ การจะโจมตีได้สำเร็จผู้โจมตีต้องสามารถเข้าถึงอุปกรณ์เป้าหมาย หรือได้สิทธิ์ local admin ให้ได้ก่อน

Microsoft ระบุว่ากําลังใช้มาตรการด้านความปลอดภัยแบบค่อยเป็นค่อยไปเพื่อปิดกั้นการโจมตี เพื่อลดผลกระทบกับการใช้งาน และคาดว่ามาตรการดังกล่าวจะดําเนินต่อไปจนถึงไตรมาสแรกของปี 2024 ซึ่งบริษัทรักษาความปลอดภัยด้านเฟิร์มแวร์อย่าง Binary ระบุไว้เมื่อต้นเดือนมีนาคมนี้ว่า โซลูชัน Secure Boot ที่ใช้ UEFI มีความซับซ้อนมาก และไม่สามารถกำหนดค่าได้อย่างถูกต้อง กล่าวคืออาจจะยังพบการโจมตีกับ bootloader อยู่

ผู้ให้บริการรายอื่น ๆ

นอกจาก Microsoft แล้ว ยังมีผู้ให้บริการรายอื่น ๆ ได้ทำการอัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขช่องโหว่ ได้แก่

Adobe
AMD
Android
Apache Projects
Apple
Aruba Networks
Cisco
Citrix
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Intel
Juniper Networks
Lenovo
Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR, and Thunderbird
NETGEAR
NVIDIA
Palo Alto Networks
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
Synology
Veritas
VMware
Zoho
Zyxel

 

ที่มา : thehackernews

QNAP แจ้งเตือนลูกค้ารีบอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ของ Linux Sudo ในอุปกรณ์ NAS

QNAP ผู้จำหน่ายฮาร์ดแวร์ด้านการสำรองข้อมูลของไต้หวัน ได้แจ้งเตือนไปยังผู้ใช้งานให้รีบทำการอัปเดตแพตซ์ด้านความปลอดภัยในอุปกรณ์จัดเก็บข้อมูลบนเครือข่าย Network-Attached Storage ที่ใช้งานบนระบบ Linux เพื่อป้องกันช่องโหว่การยกระดับสิทธิ์ Sudo ที่มีระดับความรุนแรงสูง

CVE-2023-22809 (คะแนน CVSS 7.8/10 ระดับความรุนแรงสูง) เป็นช่องโหว่การ bypass sudoers policy ใน Sudo เวอร์ชัน 1.9.12p1 เมื่อใช้ sudoedit ทำให้สามารถเพิ่มระดับสิทธิ์โดยการแก้ไขไฟล์ที่ไม่ได้รับอนุญาต โดยการเพิ่ม arbitrary entries ลงในรายการไฟล์ที่ต้องดำเนินการ ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ใช้ Sudo เวอร์ชัน 1.8.0 ถึง 1.9.12p1 รวมไปถึงระบบปฏิบัติการ NAS ของ QTS, QuTS Hero, QuTScloud และ QVP (QVR Pro)

การป้องกัน

ทำการอัปเดตเพื่อแก้ไขช่องโหว่โดยทันทีจาก QNAP โดยทำการเลือกประเภทผลิตภัณฑ์ และรุ่นของอุปกรณ์
หากต้องการอัปเดต QTS, QuTS Hero หรือ QuTScloud ผู้ใช้งานต้องคลิกตัวเลือก "Check for Update" ในส่วน "Live Update" หลังจากเข้าสู่ระบบในฐานะผู้ดูแลระบบและไปที่ Control Panel > System > Firmware Update

QNAP NAS ตกเป็นเป้าหมายในการโจมตีมาอย่างต่อเนื่อง อย่างในกรณีล่าสุดที่พบแคมเปญการโจมตีของ DeadBolt และ eCh0raix ransomware ที่มีการใช้ช่องโหว่ของ QNAP NAS เพื่อเข้ารหัสข้อมูลบนอุปกรณ์ QNAP NAS ที่เข้าถึงได้จากอินเทอร์เน็ต

ที่มา : bleepingcomputer

Cacti Servers ที่มีช่องโหว่ ตกเป็นเป้าหมายการโจมตีของ Hackers พบมีประเทศไทยอยู่ด้วย

Censys บริษัทด้านความปลอดภัยไซเบอร์ ได้เปิดเผยรายงานการพบเซิร์ฟเวอร์ Cacti ที่เชื่อมต่อกับอินเทอร์เน็ตส่วนใหญ่ไม่ได้รับการอัปเดตช่องโหว่ด้านความปลอดภัยที่มีหมายเลข CVE-2022-46169 ซึ่งพึ่งถูกค้นพบในเดือนธันวาคม 2022 ที่ผ่านมา ทำให้ตกเป็นเป้าหมายในการโจมตีของกลุ่ม Hackers

CVE-2022-46169 (คะแนน CVSS: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ใน Cacti Servers ที่สามารถ bypass การตรวจสอบสิทธิ์และเรียกใช้งานคำสั่งที่เป็นอันตรายบนเวอร์ชันที่เป็น open-source, web-based monitoring solution

จากการตรวจของ Censys สอบพบว่ามีเซิร์ฟเวอร์ Cacti เพียง 26 เซิร์ฟเวอร์ จากทั้งหมด 6,427 เซิร์ฟเวอร์ ที่มีการอัปเดตเวอร์ชันเพื่อปิดช่องโหว่ (version 1.2.23 และ 1.3.0) อีกทั้งนักวิจัยของ SonarSource บริษัทด้านความปลอดภัยไซเบอร์ยังได้ให้ข้อมูลเพิ่มเติมว่า พบเซิร์ฟเวอร์ Cacti ที่ยังไม่ได้อัปเดตเพื่อป้องกันช่องโหว่ถึง 1,320 เซิร์ฟเวอร์ โดยมาจากประเทศต่าง ๆ ได้แก่ บราซิล อินโดนีเซีย สหรัฐอเมริกา จีน บังคลาเทศ รัสเซีย ยูเครน ฟิลิปปินส์ อังกฤษ และประเทศไทย อีกทั้งยังพบการโจมตีช่องโหว่ดังกล่าวแล้ว ซึ่งพบว่า IP ที่โจมตีมานั้นส่วนใหญ่มาจากประเทศยูเครน

Cacti Server ที่ได้รับผลกระทบ

Cacti Server เวอร์ชัน 1.2.22 และต่ำกว่า

วิธีการแก้ไข

ทำการอัปเดต Cacti Server เป็นเวอร์ชัน 1.2.23 และ 1.3.0 เพื่อปิดช่องโหว่โดยเร็วที่สุด

ที่มา : thehackernews

พบช่องโหว่ Bypass Cross-tenant network ใน Azure Cognitive Search

Azure Cognitive Search (ACS) เป็น full-text search engine service ของ Azure โดยนักวิจัยจาก mnemonic พบช่องโหว่ในฟีเจอร์ใหม่ของหน้า ACS portal ที่ทำให้สามารถ search ข้อมูลจาก portal ได้โดยตรง โดยไม่ผ่าน Network firewall ของ ACS instance

การทำงานของฟีเจอร์ 'Allow access from Portal' จะใช้การ Whitelist portal proxy แทนที่จะเป็น IP แล้วให้ตัว portal proxy ทำการ authentication โดยใช้ Access token แต่ว่าไม่มีการตรวจสอบว่า Access token นั้นมาจาก tenant ไหน จึงทำให้ Private ACS instance สามารถถูกเข้าถึงได้จาก tenant ไหนก็ได้ขอแค่มีการเปิดใช้งานฟีเจอร์ 'Allow access from Portal'

วิธีการแก้ไข

Microsoft ได้ทำการแก้ไขช่องโหว่โดยการลบฟีเจอร์ 'Allow access from Portal' ออก และใช้การ Whitelist IP แทนการใช้ portal proxy เรียบร้อยแล้ว

ที่มา : mnemonic