พบช่องโหว่ใน WinRAR file archiver solution ที่อาจถูกใช้เพื่อหลีกเลี่ยงการแจ้งเตือนด้านความปลอดภัย Mark of the Web (MotW) ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายบน Windows ได้

Mark of the Web เป็นฟังก์ชันการรักษาความปลอดภัยใน Windows ในรูปแบบของ metadata value เพื่อ tag ไฟล์ว่าเป็นไฟล์ที่อาจไม่ปลอดภัย ซึ่งดาวน์โหลดมาจากอินเทอร์เน็ต

เมื่อเปิดไฟล์ executable ที่มี MotW tag Windows จะเตือนผู้ใช้ว่าไฟล์นั้นดาวน์โหลดมาจากอินเทอร์เน็ต และอาจเป็นอันตราย และเสนอตัวเลือกให้ดำเนินการต่อไป หรือยุติการทำงาน

CVE-2025-31334 (คะแนน CVSSv4 6.8/10 ความรุนแรงระดับ Medium) ทำให้ Hacker bypass คำเตือนด้านความปลอดภัย MotW ได้เมื่อเปิด symlink ที่ชี้ไปยังไฟล์ executable ใน WinRAR เวอร์ชันก่อน 7.11

ผู้โจมตีสามารถเรียกใช้โค้ดได้ตามที่ต้องการ โดยใช้ symbolic link ที่สร้างขึ้นเป็นพิเศษ โดยการสร้าง symlink บน Windows ต้องมีสิทธิ์ของผู้ดูแลระบบเท่านั้น

Shimamine Taihei จาก Mitsui Bussan Secure Directions ได้รายงานช่องโหว่นี้ผ่านหน่วยงานส่งเสริมเทคโนโลยีสารสนเทศ (IPA) ในญี่ปุ่น โดยทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ของญี่ปุ่นได้ประสานงานการเปิดเผยข้อมูลกับผู้พัฒนา WinRAR

โดย WinRAR ตั้งแต่เวอร์ชัน 7.10 เป็นต้นไป มีความเป็นไปได้ในการลบข้อมูล alternate data stream ของ MotW (เช่น Location, IP address) ที่อาจถือเป็นความเสี่ยงต่อความเป็นส่วนตัว

ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เคยใช้ประโยชน์จากการ Bypass MotW ในอดีตเพื่อส่งมัลแวร์ต่าง ๆ โดยทำให้ไม่มีคำเตือนด้านความปลอดภัย

เมื่อไม่นานนี้ แฮ็กเกอร์ชาวรัสเซียได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวในโปรแกรม 7-Zip ซึ่งจะไม่มีคำเตือนของ MotW เมื่อทำการ double archiving เพื่อเรียกใช้มัลแวร์ Smokeloader

ที่มา : bleepingcomputer

มีการค้นพบช่องโหว่ความรุนแรงระดับ Critical ใน Next.js ซึ่งเป็นเฟรมเวิร์กสำหรับพัฒนาเว็บแบบโอเพ่นซอร์ส โดยช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถ Bypass การยืนยันตัวตนได้

(more…)

GitLab ออกอัปเดตด้านความปลอดภัยอย่างเร่งด่วน เพื่อแก้ไขช่องโหว่หลายรายการที่มีระดับความรุนแรงสูงในแพลตฟอร์ม ซึ่งสามารถทำให้ผู้ไม่หวังดีสามารถ Bypass กลไกด้านความปลอดภัย, เรียกใช้สคริปต์ที่เป็นอันตราย และเข้าถึงข้อมูลที่มีความสำคัญ (more…)

Juniper Networks ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อผลิตภัณฑ์ Session Smart Router, Session Smart Conductor และ WAN Assurance Router ซึ่งอาจถูกนำไปใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์ที่มีช่องโหว่ได้

(more…)

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

นักวิจัยได้เปิดตัวเครื่องมือใหม่ที่สามารถ bypass ระบบป้องกันการโจรกรรมคุกกี้การเข้ารหัสแบบ App-Bound ของ Google และสามารถดึงข้อมูล credentials ที่บันทึกไว้ในเว็บเบราว์เซอร์ Chrome ออกไปได้

เครื่องมือนี้มีชื่อว่า ‘Chrome-App-Bound-Encryption-Decryption’ ได้รับการเผยแพร่โดย Alexander Hagenah นักวิจัยด้านความปลอดภัยไซเบอร์ หลังจากที่เขาสังเกตเห็นว่านักวิจัยคนอื่น ๆ กำลังคิดค้นวิธีหลบเลี่ยงแบบเดียวกันนี้ได้แล้ว (more…)

ผู้โจมตีสามารถทำการดาวน์เกรดคอมโพแนนต์ของ Kernel Windows เพื่อ bypass คุณสมบัติการรักษาความปลอดภัยเช่น Driver Signature Enforcement และติดตั้ง Rootkit บนระบบที่ได้รับการแพตช์ในเวอร์ชันล่าสุดแล้วได้

วิธีการนี้สามารถทำได้โดยการควบคุมกระบวนการอัปเดตของ Windows เพื่อแทรกซอฟต์แวร์คอมโพแนนต์เก่า ๆ ที่มีช่องโหว่บนเครื่องที่ได้รับการอัปเดตโดยไม่เปลี่ยนสถานะการแพตช์ที่สมบูรณ์ของระบบปฏิบัติการ (more…)

DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11

(more…)

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

Adobe ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ColdFusion รวมถึงการโจมตี zero-day แบบใหม่ โดยมีการแก้ไขช่องโหว่ 3 รายการ ดังนี้ :

CVE-2023-38204 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) แต่ยังไม่พบการโจมตีจากช่องโหว่นี้
CVE-2023-38205 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่การควบคุมการเข้าถึงที่ถูกนำไปใช้อย่างแพร่หลายในการโจมตีแบบ limited attacks targeting ไปที่ Adobe ColdFusion
CVE-2023-38206 (คะแนน CVSS 5.3/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งอาจนำไปสู่การ bypass ความปลอดภัย

โดยช่องโหว่ CVE-2023-38205 จะใช้ประโยชน์จากช่องโหว่เก่า CVE-2023-29298 โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัยจาก Rapid7 Stephen Fewer ในวันอังคารที่ 11 กรกฎาคม 2023

เมื่อวันพฤหัสบดีที่ 13 กรกฎาคม 2023 Rapid7 พบผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-29298 และ CVE-2023-29300/CVE-2023-38203 เพื่อสร้างช่องโหว่เว็ปเชลล์บนเซิร์ฟเวอร์ ColdFusion ทำให้แฮ็กเกอร์สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

นักวิจัยจาก Rapid7 ระบุว่าเมื่อวันจันทร์ที่ 17 กรกฎาคม 2023 ที่ผ่านมา การแพตซ์อัปเดตของ Adobe สำหรับช่องโหว่ CVE-2023-29298 นั้นยังไม่สมบูรณ์ และอาจถูกผู้โจมตีใช้เพื่อ bypass การป้องกันได้ โดยทาง Rapid7 ได้แจ้งให้ Adobe ทราบถึงเหตุการณ์ดังกล่าวแล้ว

อย่างไรก็ตาม Adobe ได้ออกมายืนยันว่าการแก้ไขช่องโหว่ CVE-2023-29298 จะถูกรวมอยู่ในแพตซ์ APSB23-47 ของช่องโหว่ CVE-2023-38205 และเนื่องจากช่องโหว่นี้กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ ColdFusion จึงขอแนะนำให้ผู้ดูแลระบบติดตั้งแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

ที่มา : bleepingcomputer