ทีม Project Zero จาก Google ได้เปิดเผยถึงการค้นพบกลุ่มเเฮกเกอร์พยายามใช้ช่องโหว่ Zero-day จำนวน 11 รายการ ในการโจมตีที่กำหนดเป้าหมายไปที่ผู้ใช้ Windows, iOS และ Android

ตามรายงานการโจมตีพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์เกิดขึ้นในสองช่วงเวลาคือในเดือนกุมภาพันธ์และตุลาคม 2020 ที่ผ่านมา โดยช่องโหว่ Zero-day จำนวน 11 รายการ ที่ถูกใช้ในการโจมตีมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-6418 - เป็นช่องโหว่ในโมดูล TurboFan ของ Chrome (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-0938 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1020 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1027 - เป็นช่องโหว่ Client Server Run-Time Subsystem (CSRSS) บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-15999 - เป็นช่องโหว่ Freetype Heap buffer overflow บน Chrome (ถูกแก้ไขช่องโหว่แล้วในตุลาคม 2020)
ช่องโหว่ CVE-2020-17087 - เป็นช่องโหว่ Heap buffer overflow ใน cng.

Google ประกาศ Chrome เวอร์ชัน 88.0.4324.150 ซึ่งมีการเปลี่ยนแปลงสำคัญคือการแพตช์ช่องโหว่ CVE-2021-21148 ซึ่งเป็นช่องโหว่ Heap overflow ในเอนจินจาวาสคริปต์ V8 ช่องโหว่ CVE-2021-21148 ถูกระบุว่าอาจมีความเกี่ยวข้องกับแคมเปญของกลุ่ม APT สัญชาติเกาหลีเหนือซึ่งใช้ช่องโหว่นี้ในการหลอกล่อผู้เชี่ยวชาญด้านความปลอดภัยในแคมเปญการโจมตีที่พึ่งถูกเปิดเผยเมื่อปลายเดือนมกราคมที่ผ่านมา

อ้างอิงจากไทม์ไลน์ของช่องโหว่ ช่องโหว่ CVE-2021-21148 ถูกแจ้งโดย Mattias Buelens ในวันที่ 24 มกราคม สองวันหลังจากนั้นทีมความปลอดภัย Google ประกาศการค้นพบแคมเปญโจมตีของเกาหลีเหนือซึ่งมีการใช้ช่องโหว่ที่คาดว่าเป็นช่องโหว่ตัวเดียวกัน

เนื่องจากช่องโหว่มีการถูกใช้เพื่อโจมตีจริงแล้ว ขอให้ผู้ใช้งานทำการตรวจสอบว่า Google Chrome ได้มีการอัปเดตโดยอัตโนมัติว่าเป็นเวอร์ชันล่าสุดแล้วหรือไม่ และให้ทำการอัปเดตโดยทันทีหากยังมีการใช้งานรุ่นเก่าอยู่

ที่มา:

zdnet.

Google ประกาศแผนการเตรียมปล่อยฟีเจอร์ความปลอดภัยใหม่ใน Chrome ซึ่งจะถูกปล่อยออกมาอย่างเป็นทางการในเดือนมกราคมปีหน้า โดยหนึ่งในฟีเจอร์ความปลอดภัยใหม่นั้นคือฟีเจอร์การป้องกันการโจมตีที่เรียกว่า Tab nabbing

Tab nabbing เป็นการโจมตีซึ่งถูกจัดอยู่ในกลุ่มการโจมตีแบบ Tab hijacking โดย OWASP การโจมตีนี้เกิดขึ้นได้ในลักษณะของการที่ผู้โจมตีหลอกให้ผู้ใช้งานเปิดแท็บใหม่ และใช้หน้าแท็บใหม่ในการแก้ไขเนื้อหาในหน้าเว็บเพจเดิมซึ่งอาจส่งผลให้เกิดการเปลี่ยนหน้าต่างของเว็บเพจที่ถูกแก้ไขไปยังหน้าเว็บไซต์ที่เป็นอันตรายได้

Apple และ Mozilla ได้มีการป้องกันการโจมตีในลักษณะไปตั้งแต่ปี 2018 โดยการเพิ่มโค้ด "rel=noopener" เอาไว้ในลิงค์เมื่อมีการใช้ "target=_blank" การอัปเดตของ Chrome จะทำให้เบราว์เซอร์ซึ่งใช้เอนจินเดียวกัน เช่น Edge, Opera, Vivaldi และ Brave ได้รับการอัปเดตตามไปด้วย

ที่มา: zdnet.

งานแฮกระดับประเทศของจีน Tianfu Cup ดำเนินเข้ามาสู่ปีที่ 3 แล้ว โดยในปีนี้นั้นเป้าหมายชื่อดังอย่าง iOS 14, Windows 10 v2004, Chrome รวมไปถึงกลุ่มเทคโนโลยี virtualization สามารถถูกโจมตีโดยช่องโหว่ได้สำเร็จ

Tianfu Cup ครั้งที่ 3 จัดขึ้นที่เมืองเฉิงตูในช่วงเวลาเดียวกับการแข่งขัน Pwn2Own ผู้เข้าแข่งขันจำนวน 15 ทีมจะมีเวลา 5 นาทีและเงื่อนไขในการโจมตีได้ 3 ครั้งเพื่อให้นำ exploit ที่ทำการพัฒนามาโจมตีกับเป้าหมาย เงินรางวัลจะถูกมอบให้กับทีมซึ่งโจมตีเป้าหมายได้สำเร็จก่อนตามเงื่อนไขของความยากและอื่นๆ โดยในปีนี้ทีมผู้ชนะซึ่งได้เงินรางวัลไปสูงสุดคือทีม 360 Enterprise Security and Government and (ESG) Vulnerability Research Institute จาก Qihoo 360 ซึ่งได้เงินรางวัลไป 22 ล้านบาท

นอกเหนือจาก iOS 14, Windos 10 และ Chrome แล้ว เป้าหมายที่ถูกโจมตีสำเร็จยังมี Samsung Galaxy S20, Ubuntu, Safari, Firefox, Adobe PDF Reader, Docker (Community Edition), VMWare EXSi (hypervisor), QEMU (emulator & virtualizer) และเฟิร์มแวร์ของ TP-Link และ ASUS ด้วย

การแข่งขัน Tianfu Cup เป็นส่วนหนึ่งของผลลัพธ์ที่หลังจากรัฐบาลจีนมีนโยบายจำกัดไม่ให้ชาวจีนเข้าร่วมการแข่งขันอย่าง Pwn2Own จากข้อกังวลเรื่องความมั่นคงของประเทศ แต่ผลักดันให้มีการแข่งขันภายในประเทศแทนและคาดว่าผลลัพธ์ที่ได้จากการแข่งขันจะก่อให้เกิดประโยชน์ต่อแนวทางด้านไซเบอร์ของจีน

ที่มา: zdnet

Chrome ออกแพตช์อุตช่องโหว่ 0 Day

หลังจากออก Chrome รุ่น 80 ไม่นาน ก็มีการออกรุ่น 80.0.3987.122 ตามมาทันที โดยเป็นการแก้ไขช่องโหว่ทั้งหมด 3 ช่องโหว่ เป็นความรุนแรง High ทั้งหมด โดยช่องโหว่ที่สำคัญคือ CVE-2020-6418 เป็นช่องโหว่ type of confusion bug กระทบทุกรุ่นจนกระทั่งรุ่น 80.0.3987.122 เป็นช่องโหว่ใน JavaScript และ Web Assembly engine ที่ชื่อว่า V8

ในปัจจุบันมีการโจมตีช่องโหว่นี้เกิดขึ้นแล้ว ผู้ใช้งานควรทำการ Update Chrome เป็นรุ่น 80.0.3987.122

ที่มา : threatpost

นักวิจัยด้านความปลอดภัย Clement Lecigne รายงานช่องโหว่ร้ายแรงที่พบบน Google Chrome เมื่อช่วงปลายเดือนที่ผ่านมา ซึ่งอาจส่งผลให้ผู้โจมตีสามารถ remote ควบคุมเครื่องได้เกิดจากช่องโหว่ใน FileReader ซึ่งเป็น API มาตรฐานที่ได้รับการออกแบบมาเพื่อให้เว็บแอปพลิเคชันอ่านเนื้อหาของไฟล์ ช่องโหว่ในองค์ประกอบ FileReader สามารถเปิดโอกาสให้ผู้โจมตีที่ได้รับสิทธิพิเศษบนเว็บเบราว์เซอร์ Chrome ทำให้พวกเขาสามารถหลบหนีการป้องกันและเรียกใช้ควบคุมเครื่องเป้าหมาย
CVE-2019-5786 นั้นมีผลกระทบต่อ Google Chrome ทั้งบนระบบปฏิบัติการ Microsoft Windows, Apple macOS และ Linux โดย Google เตือนว่าช่องโหว่ zero-day RCE นี้กำลังถูกโจมตี โดย Google แก้ไขช่องโหว่ด้านความปลอดภัยนี้แล้วใน Chrome เวอร์ชัน 72.0.3626.121 สำหรับระบบปฏิบัติการ Windows, Mac และ Linux ดังนั้นผู้ใช้ควรตรวจสอบให้แน่ใจว่าระบบของคุณใช้งานเว็บเบราว์เซอร์ Chrome รุ่น 72.0.3626.121 ดังกล่าว

ที่มา: thehackernews.

Google ได้เปิดตัว Chrome เวอร์ชัน 70.0.3538.67 สำหรับ Windows, Mac และ Linux

เวอร์ชั่นนี้มีการแก้ไขช่องโหว่ที่ผู้บุกรุกสามารถใช้เพื่อควบคุมเครื่องที่ได้รับผลกระทบด้วย โดยเวอร์ชั่นนี้จะช่วยแก้ปัญหาด้วยความปลอดภัยทั้งหมด 23 รายการ ซึ่งเป็นช่องโหว่ที่ถูกค้นพบโดยนักวิจัยภายนอกทั้งหมด 18 รายการ ประกอบด้วย ช่องโหว่ที่มีความรุนแรงสูง (High) 6 รายการ, ช่องโหว่ที่มีความรุนแรงปานกลาง (Medium) 8 รายการ และช่องโหว่ที่มีความรุนแรงต่ำ (Low) 4 รายการ

ที่มา: us-cert

Chrome เปิดตัวเบราว์เซอร์เวอร์ชั่น 69 รวมถึงออกแพตช์อัพเดทช่องโหว่ความปลอดภัยด้านการออกแบบในเบราว์เซอร์ Chrome ที่ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวขโมยข้อมูลสำหรับการเข้าสู่ระบบ Wifi ทั้งแบบบ้านและระบบเครือข่ายขององค์กร โดยปัญหาดังกล่าวเกิดจากเบราว์เซอร์ Chrome เวอร์ชั่นเก่ามีกรอกค่า Username และ Passwords บนแบบฟอร์มการเข้าสู่ระบบผ่าน HTTP แบบอัตโนมัติ (auto-fill)

Elliot Thompson นักวิจัยด้านความปลอดภัยจาก SureCloud ได้ทำการรวบรวมเทคนิคการโจมตีจากการใช้ประโยชน์ของปัญหาในการออกแบบเบาร์เซอร์ซึ่งมีขั้นตอนที่หลากหลายและซับซ้อน โดยการโจมตีดังกล่าวชื่อว่า Wi-Jacking (WiFi Jacking) ซึ่งได้ผลกับ Chrome บน Windows ขั้นตอนสำหรับการโจมตี Wi-Jacking มีรายละเอียดดังนี้
ขั้นตอนที่1 ผู้โจมตีจำเป็นต้องอยู่บริเวณใกล้เคียงกับระบบเครือข่าย WiFi ของเครื่องเป้าหมายเพื่อให้สามารถเข้าถึงได้โดยการส่งคำขอ deauthentication ไปยังเราเตอร์เพื่อทำการตัดการเชื่อมต่อของผู้ใช้งานออกจากระบบ WiFi
ขั้นตอนที่2 ผู้โจมตีใช้เทคนิคการโจมตีแบบ classic Karma attack เพื่อหลอกให้เป้าหมายเชื่อมต่อกับระบบเครือข่ายอันตรายที่ผู้โจมตีสร้างไว้
ขั้นตอนที่3 ผู้โจมตีทำการสร้างเว็บไซต์โดยจำลองหน้าเว็บต่างๆให้มีความคล้ายกับเว็บไซต์หลักของเราเตอร์ และทำการซ่อนฟิลด์สำหรับรับค่าข้อมูลสำหรับ Login ไว้ และเนื่องจากเป้าหมายเชื่อมต่อกับเครือข่ายของผู้โจมตีทำให้ผู้โจมตีสามารถตั้งค่า URL ของหน้าเว็บปลอมไปยัง URL ที่ถูกต้องของเราเตอร์ที่เป้าหมายใช้งานได้ทำให้เป้าหมายเข้าใจว่าเข้าถึงเว็บไซต์หลักที่ถูกต้อง ซึ่งหากเป้าหมายอนุญาตให้เบราว์เซอร์ Chrome กรอกข้อมูลสำหรับ Login แบบอัตโนมัติ (auto-fill) ข้อมูลเหล่านั้นจะถูกป้อนไปยังฟิลด์ที่ซ่อนไว้ในหน้าเว็บที่ผู้โจมตีสร้างไว้โดยอัตโนมัติ
ขั้นตอนที่4 ผู้โจมตีหยุดเทคนิค Karma และช่วยให้เป้าหมายเชื่อมต่อกลับไปยังเครือข่าย WiFi เดิม
ขั้นตอนที่5 หากเป้าหมายคลิกส่วนใดๆ ในหน้าเว็บที่เป็นอันตรายหรือหน้าเว็บดังกล่าวยังคงทำงานอยู่ในเบราว์เซอร์ของเป้าหมาย จะส่งข้อมูลการ Login ที่ซ่อนอยู่ในฟิลด์การเข้าสู่ระบบไปยัง backend panel ของเราเตอร์จริง วิธีนี้จะทำให้ผู้โจมตีสามารถตรวจสอบการเข้าถึงของเป้าหมายและช่วยให้ผู้โจมตีสามารถตรวจจับ WPA / WPA2 PSK (pre-shared key) จากการตั้งค่า Wi-Fi ของเราเตอร์ของเป้าหมาย และสามารถใช้เข้าสู่ระบบได้

นอกเหนือจากเบราว์เซอร์ Chrome ยังมีเบราว์เซอร์ Opera ที่ได้รับผลกระทบจากการโจมตีด้วยวิธีการ Wi-Jacking แต่เบราว์เซอร์อื่นๆ เช่น Firefox, Edge, Internet Explorer และ Safari ไม่เสี่ยงต่อการถูกโจมตีเนื่องจากไม่มีการกรอกข้อมูลสำหรับการ Login แบบอัตโนมัติ (auto-fill)

ที่มา : Zdnet

Google เปิดตัว Chrome เวอร์ชัน 66.0.3359.170 สำหรับ Windows, Mac และ Linux โดยเวอร์ชั่นนี้มีการแก้ไขช่องโหว่ที่ผู้โจมตีสามารถโจมตีได้จากระยะไกลเพื่อเข้าควบคุมเครื่อง ช่องโหว่ที่แก้ไขอยู่ในระดับ Critical,High

Critical: Chain leading to sandbox escape.

Lior Margalit ได้ให้ข้อมูลผ่าน Post ของเค้าบน Medium ว่าใครๆ ก็สามารถขโมย password, form fields, bookmarks และประวัติการเข้าเว็ปไซต์ จาก Google chrome ได้

มีการรายงานปัญหานี้ไปยัง Google และคำตอบของพวกเขาคือ "ใช่ มีการให้สิทธิ์การเข้าถึงบัญชีผู้ใช้ที่ไม่จำกัด คุณสามารถขโมยข้อมูลได้ ... สถานะ: WontFix"
พร้อมทั้งแสดงวิธีการให้เห็นด้วยว่าสามารถทำได้จริง

- คลิกที่ไอคอนมุมขวา หรือ chrome://settings/manageProfile
- คลิก Edit person หรือ chrome://settings/people
- SIGN OUT
- คลิก SING IN TO CHROME ใช้บัญชี Gmail อื่นที่รู้รหัสผ่าน (บัญชี Gmail ของคุณ)
- คลิกเลือก "this was me" และคลิก continue

เพียงเท่านี้คุณจะมีรหัสผ่าน รวมทั้งข้อมูลอื่นๆที่อยู่ภายใต้บัญชี Google ของคนที่ log in ก่อนหน้า โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของเค้าเลย
อย่างไรก็ตามการให้ข้อมูลนี้ มีจุดประสงค์เพียงเพื่อให้ทุกท่านมีความตระหนักที่จะรักษาความปลอดภัยของข้อมูลส่วนตัวของท่าน หากต้องการทดสอบควรจะทดสอบภายใต้สิ่งแวดล้อมที่ถูกสร้างขึ้นมา หรือได้รับการยินยอมจากเจ้าของบัญชีผู้ใช้งานที่ท่านต้องการใช้ในการทดสอบเท่านั้น ทั้งนี้หากต้องการทดสอบสามารถดูข้อมูลเพิ่มเติม พร้อมภาพประกอบได้จาก link ที่มาด้านล่าง

ข้อแนะนำ
- ควรหลีกเลี่ยงการ Log in บัญชี Gmail ของท่านบนเครื่องสาธารณะโดยไม่จำเป็น หากจำเป็นต้อง Log in จริงๆ ควรจะต้องทำการ remove a saved password บน Browser ที่ใช้งานทุกครั้ง
(https://www.