PHP 7.2 เพิ่มการรองรับฟังก์ชันแฮช Argon2 พร้อมแทนที่ Mcrypt ด้วย Libsodium

PHP ประกาศการเปลี่ยนแปลงด้านความปลอดภัยใหม่เมื่อช่วงปลายเดือนที่ผ่านมาโดยการเปลี่ยนแปลงนี้นั้นมีประเด็นสำคัญคือการโละของเก่าทิ้งไปและแทนที่ด้วยของใหม่ที่ดีและปลอดภัยกว่าเดิม

PHP 7.2 จะมาพร้อมกับฟังก์ชันแฮช Argon2 ซึ่งเป็นฟังก์ชันแฮชที่ชนะการแข่งขัน Password Hashing Competition จากฟังก์ชันแฮชกว่า 23 ฟังก์ชันที่เข้าร่วมการแข่งขัน อีกทั้งได้รับการรับรองจาก IETF ฟีเจอร์สำคัญของ Argon2 คือการปรับปรุงเพื่อให้ทนทานต่อความพยายามในการ brute force ค่าแฮชด้วย GPU และมีการปรับปรุงเพื่อให้อัลกอริธึมมีความทนทานต่อการโจมตีแบบ side channel attack ซึ่งในภาพรวมนั้น Argon2 เป็นตัวเลือกที่ดีกว่า Bcrypt ที่นิยมใช้กันอยู่ในปัจจุบัน

นอกเหนือจากการเพิ่มอัลกอริธึมใหม่แล้ว PHP 7.2 ยังมีการนำไลบรารี Mcrypt ซึ่งเป็นไลบรารีการเข้ารหัสที่มีการใช้งานมาอย่างยาวนานออกและแทนที่ด้วย Libsodium ซึ่งมีความทันสมัยกว่าและมีประสิทธิภาพการทำงานที่ดีกว่า โดย PHP นับว่าเป็นภาษาโปรแกรมมิ่งภาษาแรกที่ฝังไลบรารีสำหรับการเข้ารหัส Libsodium ไว้ในตัวมันเองแทนที่จะใช้เป็นปลั๊กอินไลบรารีแบบภาษาอื่นๆ

นักพัฒนาที่สนใจความปลอดภัยที่เพิ่มมากขึ้นสามารถทดลองใช้และตรวจสอบข้อมูลของ PHP 7.2 ได้จาก http://php.

เทคนิคใหม่ Process Doppelgänging ซ่อนมัลแวร์จากแอนติมัลแวร์และโปรแกรมตรวจสอบหลักฐานดิจิตอลได้

กลุ่มนักวิจัยด้านความปลอดภัยจาก Ensilo ได้แก่ Tal Liberman และ Enguene Kogan ได้เปิดเผยเทคนิคใหม่ภายใต้ชื่อ Process Doppelgänging ที่งานสัมมนาด้านความปลอดภัย Black Hat 2017 ซึ่งจัดที่ลอนดอนเมื่อช่วงกลางสัปดาห์ที่ผ่านมา โดยเทคนิคนี้สามารถช่วยซ่อนมัลแวร์ให้ตรวจพบได้ยากขึ้นได้

เทคนิค Process Doppelgänging ใช้ฟีเจอร์หนึ่งของวินโดวส์ชื่อว่า NTFS Transaction ซึ่งแต่เดิมเป็นฟีเจอร์ที่ใช้ในการจัดการไฟล์ในระบบไฟล์ NTFS ร่วมกับ process loader รุ่นเก่าที่มีมาตั้งแต่ Windows XP จนถึงรุ่นปัจจุบัน การดำเนินการใดๆ ที่อยู่ในลักษณะ transaction จะเกิดขึ้นบนหน่วยความจำเท่านั้นและไม่มีการเขียนไฟล์ลงบนดิสก์จริงๆ จนกว่าจะมีการ commit

เริ่มต้นจากการสร้าง transaction เพื่อแก้ไขไฟล์ที่ไม่เป็นอันตรายโดยการสอดแทรกเนื้อหาของมัลแวร์ลงไปในไฟล์ดังกล่าว (ซึ่งแน่นอนว่าเกิดขึ้นบนหน่วยความจำ) โดยการแก้ไขดังกล่าวนั้นมีค่าเทียบเท่ากับการสร้างพื้นที่บนหน่วยความจำที่มีโค้ดของมัลแวร์อยู่ จากนั้นเพื่อลบหลักฐานการแก้ไขไฟล์ไป ผู้โจมตีจะต้องดำเนินการ rollback เพื่อย้อนคืนการแก้ไขใดๆ บนไฟล์ดังกล่าวออก ท้ายที่สุดผู้โจมตีจะทำการใช้ process loader ในการสร้างโปรเซสโดยอ้างอิงไปยังพื้นที่บนหน่วยความจำที่มีโค้ดที่เป็นอันตรายและยังคงอยู่ ทำให้เกิดการรันโค้ดที่เป็นอันตรายโดยไม่ทิ้งร่องรอยไว้ได้

เทคนิค Process Doppelgänging ถูกทดสอบแล้วว่าสามารถใช้งานได้บนวินโดวส์ตั้งแต่ Vista จนถึงวินโดวส์ 10 และในขณะนี้โปรแกรมป้องกันมัลแวร์กว่า 12 รายการยังไม่สามารถตรวจพบเทคนิคนี้ได้ที่ https://thehackernews.

นักวิจัยพบแอปธนาคาร HSBC, TunnelBear VPN เสี่ยงโดนดักข้อมูลแม้ใช้งาน SSL/TLS เนื่องจากตั้งค่าไม่ถูกต้อง

กลุ่มนักวิจัยจาก University of Birmingham พัฒนาซอฟต์แวร์สำหรับตรวจสอบแอปพลิเคชันที่ทำ certificate pinning ว่ามีการทำ host verification ด้วยหรือไม่ ซึ่งจากการทดสอบแอปพลิเคชันของธนาคารทั้ง HSBC, Bank of America, Meezan และ Smile พบว่าไม่มีการทำ host verification อย่างถูกต้องและอาจส่งผลให้ผู้โจมตีมีโอกาสที่จะทำการดักข้อมูลและถอดรหัสแม้ว่าจะมีการใช้ SSL/TLS ได้

Host verification เป็นกระบวนการตรวจสอบว่า hostname ซึ่งปรากฎอยู่บน certificate นั้นถูกต้องตรงกับ hostname ที่เราต้องการจะติดต่อด้วยหรือไม่ อย่างไรก็ตามแอปพลิเคชันที่เน้นเรื่องความปลอดภัยโดยส่วนใหญ่จะมีการทำ certificate pinning ซึ่งทำให้การทดสอบ (อย่างมีประสิทธิภาพ) ว่าแอปมีการทำ host verification อย่างถูกต้องหรือไม่เป็นไปได้ยากขึ้น

กลุ่มนักวิจัยดังกล่าวได้นำเสนอซอฟต์แวร์ Spinner ซึ่งช่วยในการทดสอบแอปแบบ black-box ได้ ซอฟต์แวร์ Spinner ทำหน้าที่ในการรับทราฟิกที่ส่งมาจากผู้ใช้งาน จากนั้นมันจะทำการตรวจสอบข้อมูลเพื่อหาโฮสต์อื่นๆ ที่มีการใช้ certificate ที่มาจาก CA เดียวกันผ่านทางเซอร์วิส Censys เมื่อเจอแล้ว Spinner จะทดสอบรีไดเร็คทราฟิกของผู้ใช้งานไปยังโฮสต์เหล่านั้นและดูพฤติกรรมการตอบรับ หากการส่งข้อมูลนั้นไม่เกิดข้อผิดพลาดใดๆ ก็สามารถตีความได้ว่าแอปไม่มีการทำ host verification อย่างเหมาะสม

ที่มา : thehackernews

พบช่องโหว่ใน Team Viewer !!! ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องได้

Team Viewer โปรแกรมยอดนิยม ที่ช่วยอำนวยความสะดวกในการ Meeting ผ่านระบบออนไลน์, แขร์หน้าจอและรีโมทระหว่างเครื่อง, ย้ายไฟล์ข้ามเครื่อง และอื่นๆ ล่าสุดได้มีการพบช่องโหว่บนโปรแกรม ส่งผลให้ผู้ไม่หวังดีสามารถรีโมทเข้าควบคุมเครื่องได้อย่างสมบูรณ์ โดยไม่ต้องได้รับอนุญาตจากผู้ใช้งานของเครื่อง

ช่องโหว่นี้ถูกค้นพบโดยผู้ใช้งานบน GitHub ที่ใช้ชื่อว่า “Gellin” จากวิธีการที่ได้เปิดเผยออกมาพบว่าเป็นการใช้ dll injection ซึ่งเขียนโดยใช้ C++ เข้าไปแก้ไขสิทธิ์ของ TeamViewer ใน memory โดยตรง จึงส่งผลให้ผู้ใช้งานจะไม่ได้รับการแจ้งเตือนใดๆเลยเมื่อสิทธิ์ถูกปลี่ยน จากการทดสอบบน TeamViewer x86 V.13.0.5058 ได้แสดงให้เห็นว่าหากผู้โจมตีเป็นฝั่ง “Presenter” จะสามารถเรียกใช้ความสามารถ “switch sides” เพื่อเข้าควบคุมเครื่องที่เป็นฝั่ง “Viewer” ได้โดยไม่ต้องรับอนุญาตจากเจ้าของเครื่อง แต่หากผู้โจมตีเป็นฝั่ง “Viewer” จะทำให้สามารถควบคุม mouse ในฝั่งของ “Presenter” ได้

ช่องโหว่นี้ส่งผลกระทบกับ TeamViewer ทั้งบน macOS, Linux และ Windows ในส่วนของ Patch ทางฝั่ง Windows นั้น จากรายงานได้ระบุว่า มีการปล่อยออกมาให้อัพเดทตั้งแต่เมื่อวันอังคารแล้ว แต่ในส่วนของ Linux และ macOS นั้น คาดว่าจะมีการปล่อยออกมาให้อัพเดทในวันอังคาร หรือพุธที่จะถึงนี้ โดยโปรแกรมจะได้รับการอัพเดทให้โดยอัตโนมัติหากมีการเปิดความสามารถนี้เอาไว้ แต่หากไม่ได้เปิดให้อัพเดทอัตโนมัติ ผู้ใช้งานจะได้รับการแจ้งเตือนเมื่อมีการประกาศ Patch ใหม่ออกมา

ที่มา : hackread

ก่อนหน้านี้ Apple ได้พบช่องโหว่ในระบบปฏิบัติการ macOS High Sierra ที่ส่งผลให้สามารถได้สิทธิ์ root ได้โดยไม่ต้องใช้รหัสผ่าน ทำให้ Apple ต้องรีบออกอัพเดต macOS เพื่อแก้ปัญหานี้ไปตั้งแต่เมื่อวันที่ 28 พฤศจิกายนที่ผ่าน โดยใช้เวลาเพียงแค่ 24 ชั่วโมงหลังจากมีการพบช่องโหว่

ช่องโหว่นี้ได้รับรหัส CVE-2017-13872 และมีผลกระทบกับ macOS high Sierra 10.13 และ macOS high Sierra 10.13.1 เท่านั้น ไม่ส่งผลกระทบต่อ macOS Sierra 10.12.6 และเวอร์ชันก่อนหน้า

Apple ได้แนะนำให้ผู้ใช้อัพเดตทันที และตรวจสอบว่ามีการอัพเดต Security Update 2017-001
เรียบร้อยแล้วหรือไม่ โดยการ :
1. เปิด Terminal ซึ่งอยู่ใน Utilities folder ของ Applications
2. พิมพ์ what /usr/libexec/opendirectoryd กด Return
3. หากมีการติดตั้ง Security Update 2017-001 เรียบร้อยแล้วหมายเลขเวอร์ชันจะเปลี่ยนดังนี้
opendirectoryd-483.1.5 ใน macOS High Sierra 10.13
opendirectoryd-483.20.7 ใน macOS High Sierra 10.13.1

หากผู้ใช้งานต้องการใช้งาน Root User Account บน Mac จะต้องทำการ Enable Root User ใหม่อีกครั้ง และทำการเปลี่ยนรหัสผ่านของ Root หลังจากการอัพเดต

ที่มา: zdnet

Cisco ได้ปรับปรุงแก้ไขช่องโหว่ใน WebEx Network Recording Player สำหรับรูปแบบการบันทึกไฟล์แบบ Advanced Recording Format(ARF) และ WebEx Recording Format(WRF) ซึ่งช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ Remote เข้ามาควบคุมเครื่องได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ ประกอบด้วย
• Cisco WebEx Business Suite (WBS30) client builds รุ่นก่อน T30.20
• Cisco WebEx Business Suite (WBS31) client builds รุ่นก่อน T31.14.1
• Cisco WebEx Business Suite (WBS32) client builds รุ่นก่อน T32.2
• Cisco WebEx Meetings with client builds รุ่นก่อน T31.14
• Cisco WebEx Meeting Server builds รุ่นก่อน 2.7MR

ทั้งนี้แนะนำให้ผู้ใช้งานทำการอัพเดทผลิตภัณฑ์ของตัวเองให้เป็นเวอร์ชั่นล่าสุด

ที่มา: us-cert

Adobe ต้องออก Patch มาอุดช่องโหว่ที่มีคนกำลังใช้โจมตีผู้ใช้งาน Flash กันอยู่ โดยหนึ่งในช่องโหว่นี้ถูกรายงานโดยทีมงาน IT Security ของ Huawei ซึ่ง Adobe เองก็ได้เปิดเผยว่าช่องโหว่นี้กำลังถูกใช้โจมตีผู้ใช้งานบางกลุ่มแบบ Targeted Attack อยู่ และแนะนำให้ผู้ใช้งาน Adobe Flash ทุกคนทำการอัพเดตโดยทันที

ในครั้งนี้เป็นการ Patch เพื่ออุดช่องโหว่ถึง 19 ช่องด้วยกัน โดยมีทั้งช่องโหว่ Type Confusion, Integer Overflow, Use-after-free() และ Memory Corruption

สำหรับการตรวจสอบความปลอดภัยนั้น ผู้ใช้งาน Windows หรือ Mac จะต้องใช้ Flash รุ่น 20.0.0.267 หรือ 18.0.0.324 จึงจะถือว่าปลอดภัย ส่วนผู้ใช้งาน Google Chrome ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย ในขณะที่ผู้ใช้งาน MS Edge และ MS IE 11 บน Windows 10 จะต้องใช้งานรุ่น 20.0.0.267 จึงจะปลอดภัย ส่วนผู้ใช้งาน MS IE 10 และ IE 11 บน Windows 8.x ต้องอัพถึงรุ่น 20.0.0.267 จึงจะปลอดภัย และผู้ใช้งาน Linux ต้องอัพถึงรุ่น 11.2.202.559 ถึงจะปลอดภัย

ที่มา : theregister

นักวิจัยด้านความปลอดภัยจาก Perfect Privacy ได้ออกมาประกาศค้นพบช่องโหว่ที่มีความรุนแรงสูงบนระบบเครือข่าย VPN ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึง IP จริงของผู้ใช้งานในระบบได้ ซึ่งจากการทดสอบบริการ VPN ชื่อดัง 9 เครือข่าย พบว่า มีถึง 5 เครือข่ายที่เสี่ยงถูกแฮ็คเกอร์ขโมยข้อมูล IP ของผู้ใช้บริการ

การจะแฮ็คหมายเลข IP ของผู้ใช้ผ่านช่องโหว่ดังกล่าว จำเป็นต้องเคลียร์เงื่อนไขพิเศษหลายรายการ โดยนักวิจัยด้านความปลอดภัยระบุว่า ถ้าผู้ให้บริการ VPN เปิดใช้งาน Port Forwarding ( ซึ่งส่วนใหญ่จะเปิด ) บนชื่อบัญชีของผู้ใช้ และแฮ็คเกอร์รู้หมายเลข IP ปลายทางของการทำ VPN จะทำให้แฮ็คเกอร์สามารถสืบกลับไปหา IP ต้นทางซึ่งเป็น IP จริงของผู้ใช้ได้ทันที

การสืบหมายเลข IP จริงจาก IP ปลายทางหลัง VPN
สำหรับแฮ็คเกอร์แล้ว IP ปลายทางหลังจาก VPN นั้นหาได้ง่ายมากผ่านทาง Public IRC, การเชื่อมต่อ Torrent หรือจะทำ Site Hijacking ก็ได้ เช่น หลอกล่อให้ผู้ใช้งานเข้าไปยังเว็บไซต์ที่ถูกไฮแจ็ค ก็สามารถได้หมายเลข IP ปลายทางทันที ซึ่งเมื่อแฮ็คเกอร์ได้หมายเลข IP นี้มาแล้ว แฮ็คเกอร์จำเป็นต้องมีชื่อบัญชีบนบริการ VPN เช่นเดียวกับของผู้ใช้เพื่อใช้สืบกลับไปหา IP จริง หลังจากนั้น แฮ็คเกอร์สามารถทำให้ผู้ใช้ VPN เข้าถึง Resource บน VPN Server เครื่องเดียวกับของตนได้ แฮ็คเกอร์ก็จะทราบหมายเลข IP จริงของผู้ใช้ผ่านทาง Routing Table ภายในและการตั้งค่า Port Forwarding ทันที

สำหรับผู้ที่ใช้บริการ OpenVPN, PPTP หรือ IPSec อยู่ ต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น เนื่องจากบริการเหล่านี้ต่างวางโครงสร้างอยู่บน OSI Model และช่องโหว่ที่ค้นพบอยู่บน Layer ที่ต่ำกว่า ซึ่งทีมนักวิจัยให้คำแนะนำ ดังนี้

ใช้หมายเลข IP หลายๆ หมายเลข
เปิดการเชื่อมต่อที่เข้ามาที่ IP1 และออกไปที่ IP2 – IPx
ทำ Port Forwarding ที่ IP2 – IPx แทนที่จะเป็น IP1
อย่าใช้ Man-in-the-Middle IP สำหรับการทำ Port Forwarding

ที่มา : HACKREAD

Wesley Weinberg นักวิจัยด้านความปลอดภัยของ Synack ได้อออกมาเปิดเผยการค้นพบรายการช่องโหว่บน Facebook ซึ่งช่วยให้เขาสามารถเข้าถึงข้อมูลสำคัญที่เก็บอยู่ในเซิฟเวอร์ของ Instagram ได้ทันที
Weinberg อ้างว่า เขาถูกข่มขู่โดย Facebook ทันทีหลังจากที่เขาเปิดเผยรายการช่องโหว่และการตั้งค่าที่ผิดพลาดบน Facebook ซึ่งช่วยให้เข้าถึงข้อมูลสำคัญต่างๆ ที่เก็บอยู่บนเซิฟเวอร์ของ Instagram ได้ ซึ่งข้อมูลเหล่านั้นประกอบด้วย

ซอร์สโค้ดของเว็บไซต์ Instagram
SSL Certificate และ Private Key สำหรับ Instagram
Key ที่ใช้สำหรับเซ็น Authentication Cookie
รายละเอียดข้อมูลส่วนตัวของผู้ใช้และพนักงานของ Instagram
ข้อมูลการพิสูจน์ตัวตนของเซิฟเวอร์อีเมล
Key อื่นๆ สำหรับฟังก์ชันที่สำคัญของ Instagram

สิ่งที่ Weinberg ค้นพบ คือ บั๊ค Remote Code Execution (RCE) บน Session Cookie สำหรับใช้จำ Username/Password ของผู้ใช้งาน ซึ่งช่วยให้ Weinberg สามารถโจมตีเพื่อบังคับให้เซิฟเวอร์คายข้อมูลการพิสูจน์ตัวตนในฐานข้อมูลออกมาได้ หนึ่งในข้อมูลเหล่านั้นคือ Credential ของพนักงาน Instagram และ Facebook ถึงแม้ว่ารหัสผ่านที่ได้มาจะถูกเข้ารหัสด้วย “bcrypt” ก็ตาม แต่ Weinberg ก็สามารถแฮกรหัสผ่านที่ไม่แข็งแรงได้หลายรายการภายในเวลาไม่กี่นาที
Weinberg ยังไม่หยุดแค่นั้น เขาพยามมองหาความผิดพลาดบน Configuration File ที่เขาค้นพบบนเซิฟเวอร์ Instagram และเขาก็สามารถเข้าถึงข้อมูลแทบทั้งหมดได้โดยไม่คาดคิดมาก่อน ข้อมูลเหล่านั้นประกอบด้วย API Key สำหรับใช้ต่อกับ Service อื่นๆ, รูปภาพที่ผู้ใช้ Instagram อัพโหลดขึ้นไป, ข้อมูลเนื้อหาต่างๆ บนเว็บไซต์ Instagram, ข้อมูล Credential ของ Email Server, iOS/Android app signing keys
นอกจากนี้ Facebook ได้ออกมายืนยันแล้วว่า มีช่องโหว่ Remote Code Execution บนโดเมน sensu.

Juniper ได้ทำ Internal Code Review และตรวจพบโค้ดแปลกปลอมที่ถูกฝังอยู่ใน Juniper ScreenOS ซึ่งเป็นระบบปฏิบัติการของ Juniper NetScreen Firewall โดยรุ่นที่ตรวจพบคือ ScreenOS 6.2.0r15 ถึง 6.2.0r18 และ 6.3.0r12 ถึง 6.3.0r20 ซึ่งทาง Juniper ก็ได้ทำการออก Critical Patch มาแล้ว พร้อมแจ้งให้ผู้ใช้งานทั้งหมดทำการอุดช่องโหว่โดยด่วน

ช่องโหว่ที่เกิดจากโค้ดแปลกปลอมนี้ เปิดช่องโหว่ร้ายแรงด้วยกัน 2 จุด ได้แก่ เปิดให้ผู้โจมตีทำ SSH หรือ Telnet เข้ามาได้ และสามารถ Monitor VPN Traffic และทำการถอดรหัสข้อมูลเหล่านี้ได้ โดยปัจจุบันนี้ไม่มีวิธีที่ผู้ใช้งานจะทำการตรวจสอบได้ว่าองค์กรของตนเองเคยถูกโจมตีไปแล้วหรือไม่ และช่องโหว่ทั้งสองนี้ปรากฎตัวมาตั้งแต่เดือนกันยายน ปี 2012 แล้ว จึงแนะนำให้รีบ Patch โดยด่วน

ส่วนเทคนิคที่ใช้ในการฝังโค้ดที่ไม่ได้รับอนุญาตนี้มีชื่อว่า FEEDTROUGH ซึ่งสามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.