สำนักงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกแจ้งเตือนถึงช่องโหว่ระดับ Critical ในผลิตภัณฑ์กล้อง CCTV ของ Honeywell หลายรุ่น ที่อาจทำให้มีการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต หรือสามารถเข้าควบคุมบัญชีผู้ใช้ได้

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยที่ชื่อ Souvik Kanda และมีหมายเลข CVE-2026-1670 โดยปัญหาด้านความปลอดภัยนี้ถูกจัดเป็นประเภทการขาดการยืนยันตัวตนสำหรับฟังก์ชันที่สำคัญ และได้รับคะแนนความรุนแรงระดับ Crtical สูงถึง 9.8

ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตน สามารถเปลี่ยน Email Address สำรอง ที่เชื่อมโยงกับบัญชีของอุปกรณ์ได้ ซึ่งนำไปสู่การเข้าควบคุมบัญชี และการเข้าถึงภาพจากกล้องโดยไม่ได้รับอนุญาต

CISA ระบุว่า "ผลิตภัณฑ์ที่ได้รับผลกระทบมีช่องโหว่จากการเปิดเผย API endpoint ที่ไม่มีการยืนยันตัวตน ซึ่งอาจทำให้ผู้โจมตีสามารถเปลี่ยน Email Address สำรองสำหรับการ forgot password ได้"

ตามประกาศเตือนด้านความปลอดภัย ช่องโหว่ CVE-2026-1670 ส่งผลกระทบต่ออุปกรณ์รุ่นต่าง ๆ ดังต่อไปนี้

I-HIB2PI-UL 2MP IP 6.1.22.1216
SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0
PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0
25M IPC WDR_2MP_32M_PTZ_v2.0

Honeywell เป็นผู้จัดหาอุปกรณ์รักษาความปลอดภัย และระบบกล้อง CCTV รายใหญ่ระดับโลก โดยมีกล้อง CCTV และผลิตภัณฑ์ที่เกี่ยวข้องหลากหลายรุ่นที่ถูกนำไปติดตั้งใช้งานในภาคการพาณิชย์, อุตสาหกรรม และโครงสร้างพื้นฐานระดับ Critical ทั่วโลก

บริษัทมีผลิตภัณฑ์กล้องหลายรุ่นที่สอดคล้องกับมาตรฐาน NDAA (National Defense Authorization Act) ซึ่งเหมาะสำหรับการนำไปติดตั้งใช้งานในหน่วยงานรัฐบาลสหรัฐฯ และบริษัทคู่สัญญาของรัฐบาลกลาง

สำหรับกลุ่มผลิตภัณฑ์เฉพาะรุ่นที่ระบุไว้ในประกาศเตือนของ CISA นั้น เป็นผลิตภัณฑ์ระบบกล้อง CCTV ระดับกลางที่ใช้งานในสภาพแวดล้อมของธุรกิจขนาดเล็กถึงขนาดกลาง, สำนักงาน และคลังสินค้า ซึ่งบางแห่งอาจเป็นส่วนหนึ่งของสถานที่ที่มีความสำคัญระดับ Critical

CISA ระบุว่าเมื่อวันที่ 17 กุมภาพันธ์ที่ผ่านมา ยังไม่มีรายงานการโจมตีจริงต่อสาธารณะที่มุ่งเป้าหมายไปที่ช่องโหว่ดังกล่าวโดยเฉพาะ

อย่างไรก็ตาม ทางหน่วยงานแนะนำให้ลดการเชื่อมต่ออุปกรณ์ของระบบควบคุมเข้ากับเครือข่ายให้เหลือน้อยที่สุด โดยให้แยกอุปกรณ์เหล่านี้ไว้หลัง Firewall และใช้วิธีการเข้าถึงจากระยะไกลที่ปลอดภัย เช่น การใช้โซลูชัน VPN ที่อัปเดตแล้ว ในกรณีที่จำเป็นต้องเชื่อมต่อจากระยะไกล

ปัจจุบัน Honeywell ยังไม่ได้ออกประกาศเตือนอย่างเป็นทางการเกี่ยวกับ CVE-2026-1670 แต่ขอแนะนำให้ผู้ใช้งานติดต่อทีมสนับสนุนของบริษัทเพื่อขอคำแนะนำในการติดตั้งแพตช์เพื่อแก้ไขปัญหา

ที่มา : bleepingcomputer

 

 

มีการพบเห็นการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่เกี่ยวข้องกับภาษี โดยมีการมุ่งเป้าไปที่ธุรกิจประกันภัย และการเงินโดยใช้ลิงก์ GitHub ในข้อความอีเมลฟิชชิ่งเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย และส่งมัลแวร์ Remcos RAT โดยวิธีการนี้กำลังได้รับความนิยมในกลุ่มแฮ็กเกอร์ (more…)

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

American Airlines ได้แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลล่าสุดหลังจากผู้โจมตีสามารถเข้าถึงการควบคุมบัญชีอีเมลของพนักงาน และยังเข้าถึงข้อมูลส่วนบุคคลที่สำคัญได้ โดยทางสายการบินส่งจดหมายแจ้งเตือนลูกค้าเมื่อวันศุกร์ที่ 16 กันยายน 2565 โดยระบุว่ายังไม่มีหลักฐานว่าข้อมูลที่ถูกขโมยออกไปถูกนำไปใช้ในทางที่ไม่ดี โดยเหตุการณ์เกิดขึ้นในวันที่ 5 กรกฎาคม 2565 หลังจากที่ทราบถึงการเข้าควบคุมบัญชีอีเมลของพนักงาน American Airlines ได้รีบจัดการกับบัญชีอีเมลที่ได้รับผลกระทบทันที และจ้างบริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ (Forensic) เพื่อตรวจสอบรายละเอียดของเหตุการณ์ที่เกิดขึ้น

ทางสายการบินแจ้งกับลูกค้าที่ได้รับผลกระทบว่า "ในเดือนกรกฎาคม 2565 เราพบว่ามีบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงบัญชีอีเมลของพนักงาน American Airlines ได้จำนวนหนึ่ง"
"เมื่อพบเหตุการณ์ดังกล่าว เราได้รีบจัดการกับบัญชีอีเมลที่เกี่ยวข้อง และได้ให้บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เข้าดำเนินการสืบสวนทางนิติเวชเพื่อระบุลักษณะ และขอบเขตของเหตุการณ์การโจมตีที่เกิดขึ้น”
ข้อมูลส่วนบุคคลที่ถูกเปิดเผย และถูกเข้าถึงได้โดยผู้โจมตี ประกอบไปด้วยชื่อพนักงาน และลูกค้า วันเกิด ที่อยู่ทางไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล หมายเลขใบอนุญาตขับขี่ หมายเลขหนังสือเดินทาง และ/หรือข้อมูลทางการแพทย์บางอย่าง
สายการบินระบุว่าจะให้ลูกค้าที่ได้รับผลกระทบเป็นสมาชิก ของ Experian's IdentityWorks ฟรี 2 ปี เพื่อช่วยในการตรวจจับ และแก้ไขปัญหาการโจรกรรมข้อมูลประจำตัว

American Airlines กล่าวเพิ่มเติมว่า "แม้ว่าเราจะไม่มีหลักฐานว่าข้อมูลส่วนบุคคลของลูกค้าถูกนำไปใช้ในทางที่ผิด แต่ขอแนะนำให้คุณลงทะเบียนเพื่อรับการตรวจสอบเฝ้าระวัง"
"นอกจากนี้ลูกค้าควรระมัดระวังการถูกใช้ข้อมูลมาหลอกลวง ซึ่งรวมถึงการตรวจสอบใบแจ้งยอดบัญชีของคุณอยู่เป็นประจำ"

บุคคลที่ได้รับผลกระทบ
Andrea Koos ผู้จัดการอาวุโสฝ่ายสื่อสารองค์กรของ American Airlines ปฏิเสธที่จะเปิดเผยว่ามีข้อมูลลูกค้า และพนักงานจำนวนเท่าใดที่ได้รับผลกระทบ
Andrea Koos ยังระบุอีกว่า "อเมริกันแอร์ไลน์ตระหนักถึงแคมเปญฟิชชิ่งที่นำไปสู่การเข้าถึง Inbox ของพนักงานโดยไม่ได้รับอนุญาต แต่มีข้อมูลส่วนบุคคลของลูกค้า และพนักงานจำนวนน้อยมากที่อยู่ในบัญชีอีเมลเหล่านั้น"
"ปัจจุบันยังไม่มีหลักฐานว่าข้อมูลส่วนบุคคลใด ๆ ถูกนำไปใช้ในทางที่ไม่ถูกต้อง บริษัทถือว่าการรักษาความปลอดภัยของข้อมูลมีความสำคัญสูงสุด และเราให้การสนับสนุนลูกค้า และพนักงานให้ใช้ความระมัดระวังมากขึ้น และกำลังใช้มาตรการป้องกันทางเทคนิคเพิ่มเติมเพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะนี้อีกในอนาคต
American Airlines เคยได้รับผลกระทบจากการถูกเข้าถึงข้อมูลในเดือนมีนาคม 2564 เมื่อ SITA ยักษ์ใหญ่ด้านเทคโนโลยีสารสนเทศทางอากาศระดับโลก ยืนยันว่าแฮ็กเกอร์เจาะเซิร์ฟเวอร์ และเข้าถึงระบบ Passenger Service System (PSS) ที่ใช้โดยสายการบินหลายแห่งทั่วโลก รวมถึง American Airlines

ที่มา: bleepingcomputer

Yandex บริษัทผู้ให้บริการอินเทอร์เน็ต, อีเมลและบริการค้นหาของรัสเซียได้ประกาศถึงการตรวจพบการละเมิดข้อมูล โดยพนักงานคนหนึ่งของบริษัทได้ทำการขายข้อมูลที่ทำการเข้าถึงบัญชีอีเมลของผู้ใช้หลายพันรายการโดยไม่ได้รับอนุญาต

เหตุการณ์ดังกล่าวบริษัทได้ระบุว่าผู้ดูแลระบบหนึ่งในสามคนที่มีสิทธิ์การเข้าถึงที่จำเป็นเพื่อให้การสนับสนุนด้านเทคนิคสำหรับบริการ Yandex.

บทนำ

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว
Sextortion คืออะไร
Sextortion หรือการแบล็คเมลล์ทางเพศออนไลน์ ได้แก่ การหลอกให้เหยื่อส่งภาพลับส่วนตัวไปให้แล้วขู่ว่าจะเปิดเผย อ้างว่าแอบส่งมัลแวร์เข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูลภาพลับหรือประวัติการเข้าถึงเว็บไซต์ต่างๆ หรือ อ้างว่าสามารถแฮกเครื่องเหยื่อมาอัดคลิประหว่างที่เหยื่อเข้าเว็บโป๊แล้วอ้างว่าจะเปิดเผย และการแบล็คเมล์อื่นๆ ที่เกี่ยวกับเรื่องส่วนตัว ซึ่งเหยื่อที่หลงเชื่อและกลัวเสียหน้าที่การงานจะยินยอมจ่ายค่าไถ่ดังกล่าวให้กับคนร้าย ซึ่งในปี 2018 นี้มี Sextortion ที่มีการพัฒนาให้น่าเชื่อถือขึ้นแพร่ระบาด 2 รูปแบบ คือ อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง และ อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
รายละเอียดเกี่ยวกับภัยคุกคาม
ภัยรูปแบบที่ 1 อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง
เมื่อวันที่ 12 กรกฏาคม ปี 2018 ที่ผ่านมา บล็อก Krebs on Security ได้ออกบทความ Sextortion Scam Uses Recipient’s Hacked Passwords เพื่อเตือนเกี่ยวกับอีเมลหลอกลวงในรูปแบบนี้ โดยเหยื่อจะได้รับอีเมลจากบุคคลที่ไม่รู้จัก เนื้อหาภายในอีเมลจะขึ้นต้นว่า

“I’m aware that <substitute password formerly used by recipient here> is your password,” (ฉันทราบว่า “รหัสผ่านนี้” เป็นรหัสผ่านของคุณ) โดยลักษณะของอีเมลทั้งหมดดังรูป

อีเมลดังกล่าวมีใจความว่าผู้โจมตีนี้ทราบรหัสผ่านของเหยื่อ และได้แอบติดตามเหยื่อมานานแล้วด้วยการติดตั้ง keylogger และอัดวิดีโอผ่านเว็บแคมของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีจะทำการส่งอีเมลเหล่านี้อย่างอัตโนมัติและใช้รหัสผ่านของเหยื่อที่เคยรั่วไหลออกมาจากบริการต่างๆ เช่น กรณีข้อมูลอีเมลและรหัสผ่านของ LinkedIn รั่วไหลกว่า 160 ล้านคนในปี 2016 เป็นต้น เมื่อเหยื่อยังคงใช้รหัสผ่านดังกล่าวซ้ำในบริการอื่นๆ ก็จะเกิดความเชื่อถือและหลงโอนเงินให้กับผู้โจมตี
ภัยรูปแบบที่ 2 อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
เมื่อวันที่ 12 ตุลาคม 2018 ที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เผยแพร่บทความ New Sextortion Scam Pretends to Come from Your Hacked Email Account โดยผู้โจมตีจะสร้างอีเมลที่มีใจความว่าสามารถแฮกอีเมลของเหยื่อได้แล้ว ทำการปลอมแปลงผู้ส่งอีเมลเป็นตัวเหยื่อเอง และส่งอีเมลปลอมหาตัวเหยื่อ ทำให้เหยื่อหลงเชื่อว่าอีเมลดังกล่าวมาจากอีเมลของตัวเองจริงๆ และถูกแฮกแล้วจริง โดยภัยในรูปแบบที่ 2 นี้มีรายงานการค้นพบครั้งแรกในประเทศเนเธอร์แลนด์ ในวันที่ 11 ตุลาคม 2018

หลังจากนั้นได้การพบอีเมลในรูปแบบที่ 2 ถูกแปลเป็นภาษาอื่นๆ เช่น ภาษาอังกฤษ ภาษาญี่ปุ่น ภาษาสเปน และภาษาอื่นๆ อีกมาก

อีเมลปลอมดังกล่าวมีใจความว่าผู้โจมตีได้แฮกอีเมลของเหยื่อสำเร็จเป็นเวลานานแล้ว มีข้อพิสูจน์เป็นอีเมลฉบับนี้ถูกส่งมาจากอีเมลของเหยื่อเอง และได้แอบติดตามเก็บข้อมูลต่างๆ ของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีสามารถปลอมแปลงอีเมลได้จากบริการส่งอีเมลปลอม ส่งอีเมลจาก mail server องค์กรของเหยื่อที่มีการตั้งค่าอย่างไม่ปลอดภัย เป็นต้น

ทั้งนี้ ณ วันที่เขียนบทความ (18 ตุลาคม 2018) ได้มีการพบภัยทั้งสองรูปแบบแพร่ระบาดในประเทศไทยแล้ว
Recommendation
ในกรณีที่เจอภัยคุกคามแบบที่ 1

ไม่หลงเชื่อและจ่ายค่าไถ่ตามที่มีการกล่าวอ้าง
ทำการเปลี่ยนรหัสผ่านซ้ำกับรหัสผ่านที่ถูกอ้างในอีเมลบนบริการทั้งหมดที่มี
สามารถตรวจสอบว่าตัวเองเคยได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหลต่อสาธารณะหรือไม่เพื่อตรวจสอบความเสี่ยงได้จาก https://haveibeenpwned.

นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.

สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

Bob Hodges ได้เปิดเผยถึงช่องโหว่ที่ทำให้เว็บไซต์ PwnedList.com โดนแฮ็กข้อมูลทั้งหมด 866 ล้าน Account ซึ่งมีความเสี่ยงที่ผุ้โจมตีจะสามารถ Dump ข้อมูลออกไป
PwnedList เป็นเว็บไซด์ที่ให้บริการตรวจสอบข้อมูล Email หรือ Username ของเราว่าถูกแฮ็กหรือไม่ เพื่อแจ้งเตือนผู้ใช้ได้ทันที

โดยช่องโหว่ที่ Hodges พบคือ Parameter Tampering ทำให้แฮ็กเกอร์สามารถแก้ไข Request เพื่อสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้

ทางเว็บไซด์มีการแก้ไขช่องโหว่แล้ว และประกาศว่าจะปิดให้บริการในวันที่ 16 พฤษภาคม 2559 เพื่อเป็นการแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว

ที่มา : KrebsonSecurity