Microsoft Exchange Online แจ้งเตือน Email ว่าเป็นมัลแวร์โดยผิดพลาด

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

American Airlines ยอมรับมีเหตุการณ์ข้อมูลรั่วไหล หลังจากอีเมลของพนักงานถูกเข้าควบคุม

American Airlines ได้แจ้งลูกค้าเกี่ยวกับเหตุการณ์ข้อมูลรั่วไหลล่าสุดหลังจากผู้โจมตีสามารถเข้าถึงการควบคุมบัญชีอีเมลของพนักงาน และยังเข้าถึงข้อมูลส่วนบุคคลที่สำคัญได้ โดยทางสายการบินส่งจดหมายแจ้งเตือนลูกค้าเมื่อวันศุกร์ที่ 16 กันยายน 2565 โดยระบุว่ายังไม่มีหลักฐานว่าข้อมูลที่ถูกขโมยออกไปถูกนำไปใช้ในทางที่ไม่ดี โดยเหตุการณ์เกิดขึ้นในวันที่ 5 กรกฎาคม 2565 หลังจากที่ทราบถึงการเข้าควบคุมบัญชีอีเมลของพนักงาน American Airlines ได้รีบจัดการกับบัญชีอีเมลที่ได้รับผลกระทบทันที และจ้างบริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ (Forensic) เพื่อตรวจสอบรายละเอียดของเหตุการณ์ที่เกิดขึ้น

ทางสายการบินแจ้งกับลูกค้าที่ได้รับผลกระทบว่า "ในเดือนกรกฎาคม 2565 เราพบว่ามีบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงบัญชีอีเมลของพนักงาน American Airlines ได้จำนวนหนึ่ง"
"เมื่อพบเหตุการณ์ดังกล่าว เราได้รีบจัดการกับบัญชีอีเมลที่เกี่ยวข้อง และได้ให้บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เข้าดำเนินการสืบสวนทางนิติเวชเพื่อระบุลักษณะ และขอบเขตของเหตุการณ์การโจมตีที่เกิดขึ้น”
ข้อมูลส่วนบุคคลที่ถูกเปิดเผย และถูกเข้าถึงได้โดยผู้โจมตี ประกอบไปด้วยชื่อพนักงาน และลูกค้า วันเกิด ที่อยู่ทางไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล หมายเลขใบอนุญาตขับขี่ หมายเลขหนังสือเดินทาง และ/หรือข้อมูลทางการแพทย์บางอย่าง
สายการบินระบุว่าจะให้ลูกค้าที่ได้รับผลกระทบเป็นสมาชิก ของ Experian's IdentityWorks ฟรี 2 ปี เพื่อช่วยในการตรวจจับ และแก้ไขปัญหาการโจรกรรมข้อมูลประจำตัว

American Airlines กล่าวเพิ่มเติมว่า "แม้ว่าเราจะไม่มีหลักฐานว่าข้อมูลส่วนบุคคลของลูกค้าถูกนำไปใช้ในทางที่ผิด แต่ขอแนะนำให้คุณลงทะเบียนเพื่อรับการตรวจสอบเฝ้าระวัง"
"นอกจากนี้ลูกค้าควรระมัดระวังการถูกใช้ข้อมูลมาหลอกลวง ซึ่งรวมถึงการตรวจสอบใบแจ้งยอดบัญชีของคุณอยู่เป็นประจำ"

บุคคลที่ได้รับผลกระทบ
Andrea Koos ผู้จัดการอาวุโสฝ่ายสื่อสารองค์กรของ American Airlines ปฏิเสธที่จะเปิดเผยว่ามีข้อมูลลูกค้า และพนักงานจำนวนเท่าใดที่ได้รับผลกระทบ
Andrea Koos ยังระบุอีกว่า "อเมริกันแอร์ไลน์ตระหนักถึงแคมเปญฟิชชิ่งที่นำไปสู่การเข้าถึง Inbox ของพนักงานโดยไม่ได้รับอนุญาต แต่มีข้อมูลส่วนบุคคลของลูกค้า และพนักงานจำนวนน้อยมากที่อยู่ในบัญชีอีเมลเหล่านั้น"
"ปัจจุบันยังไม่มีหลักฐานว่าข้อมูลส่วนบุคคลใด ๆ ถูกนำไปใช้ในทางที่ไม่ถูกต้อง บริษัทถือว่าการรักษาความปลอดภัยของข้อมูลมีความสำคัญสูงสุด และเราให้การสนับสนุนลูกค้า และพนักงานให้ใช้ความระมัดระวังมากขึ้น และกำลังใช้มาตรการป้องกันทางเทคนิคเพิ่มเติมเพื่อป้องกันไม่ให้เกิดเหตุการณ์ในลักษณะนี้อีกในอนาคต
American Airlines เคยได้รับผลกระทบจากการถูกเข้าถึงข้อมูลในเดือนมีนาคม 2564 เมื่อ SITA ยักษ์ใหญ่ด้านเทคโนโลยีสารสนเทศทางอากาศระดับโลก ยืนยันว่าแฮ็กเกอร์เจาะเซิร์ฟเวอร์ และเข้าถึงระบบ Passenger Service System (PSS) ที่ใช้โดยสายการบินหลายแห่งทั่วโลก รวมถึง American Airlines

ที่มา: bleepingcomputer

พนักงานของบริษัท Yandex ทำการขายข้อมูลการเข้าถึงกล่องข้อความในบริการอีเมลของผู้ใช้

Yandex บริษัทผู้ให้บริการอินเทอร์เน็ต, อีเมลและบริการค้นหาของรัสเซียได้ประกาศถึงการตรวจพบการละเมิดข้อมูล โดยพนักงานคนหนึ่งของบริษัทได้ทำการขายข้อมูลที่ทำการเข้าถึงบัญชีอีเมลของผู้ใช้หลายพันรายการโดยไม่ได้รับอนุญาต

เหตุการณ์ดังกล่าวบริษัทได้ระบุว่าผู้ดูแลระบบหนึ่งในสามคนที่มีสิทธิ์การเข้าถึงที่จำเป็นเพื่อให้การสนับสนุนด้านเทคนิคสำหรับบริการ Yandex.

ทำความรู้จักอีเมลหลอกลวงแบบ Sextortion และ “You Are Hacked!”

บทนำ

อีเมลหลอกลวง (email scam) มีประวัติศาสตร์อยู่คู่กับอินเตอร์เน็ตมาอย่างช้านาน หลายๆ คนคงจะเคยได้ยินเรื่องเกี่ยวกับอีเมลหลอกลวงที่ส่งมาจากคนต่างชาติว่าคุณได้รับมรดกจำนวนหลายล้านดอลลาร์สหรัฐฯ จากญาติห่างๆ คุณเพียงต้องจ่ายเงินค่าดำเนินการเพียงไม่กี่ดอลลาร์สหรัฐฯ เพื่อรับมรดกเหล่านั้น (Advance-fee scam) หรือจะเป็นอีเมลหลอกลวงที่บอกว่าฉันรู้ความลับว่าคุณแอบเข้าเว็บไซต์หนังโป๊ ถ้าไม่อยากให้ใครรู้ต้องจ่ายเงินมาแลกกับการไม่เปิดเผยความลับเหล่านั้น (Sextortion)

วันนี้ทีมตอบสนองการโจมตีและภัยคุกคามจะมาเตือนภัยอีเมลหลอกลวงในรูปแบบ Sextortion ที่พัฒนาให้น่าเชื่อถือมากขึ้น และแพร่ระบาดมาถึงประเทศไทยแล้ว
Sextortion คืออะไร
Sextortion หรือการแบล็คเมลล์ทางเพศออนไลน์ ได้แก่ การหลอกให้เหยื่อส่งภาพลับส่วนตัวไปให้แล้วขู่ว่าจะเปิดเผย อ้างว่าแอบส่งมัลแวร์เข้ามายังเครื่องของเหยื่อเพื่อขโมยข้อมูลภาพลับหรือประวัติการเข้าถึงเว็บไซต์ต่างๆ หรือ อ้างว่าสามารถแฮกเครื่องเหยื่อมาอัดคลิประหว่างที่เหยื่อเข้าเว็บโป๊แล้วอ้างว่าจะเปิดเผย และการแบล็คเมล์อื่นๆ ที่เกี่ยวกับเรื่องส่วนตัว ซึ่งเหยื่อที่หลงเชื่อและกลัวเสียหน้าที่การงานจะยินยอมจ่ายค่าไถ่ดังกล่าวให้กับคนร้าย ซึ่งในปี 2018 นี้มี Sextortion ที่มีการพัฒนาให้น่าเชื่อถือขึ้นแพร่ระบาด 2 รูปแบบ คือ อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง และ อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
รายละเอียดเกี่ยวกับภัยคุกคาม
ภัยรูปแบบที่ 1 อ้างว่าสามารถแฮกรหัสผ่านของเหยื่อได้โดยมีข้อพิสูจน์เป็นการระบุรหัสผ่านที่เหยื่อใช้งานจริง
เมื่อวันที่ 12 กรกฏาคม ปี 2018 ที่ผ่านมา บล็อก Krebs on Security ได้ออกบทความ Sextortion Scam Uses Recipient’s Hacked Passwords เพื่อเตือนเกี่ยวกับอีเมลหลอกลวงในรูปแบบนี้ โดยเหยื่อจะได้รับอีเมลจากบุคคลที่ไม่รู้จัก เนื้อหาภายในอีเมลจะขึ้นต้นว่า

“I’m aware that <substitute password formerly used by recipient here> is your password,” (ฉันทราบว่า “รหัสผ่านนี้” เป็นรหัสผ่านของคุณ) โดยลักษณะของอีเมลทั้งหมดดังรูป

อีเมลดังกล่าวมีใจความว่าผู้โจมตีนี้ทราบรหัสผ่านของเหยื่อ และได้แอบติดตามเหยื่อมานานแล้วด้วยการติดตั้ง keylogger และอัดวิดีโอผ่านเว็บแคมของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีจะทำการส่งอีเมลเหล่านี้อย่างอัตโนมัติและใช้รหัสผ่านของเหยื่อที่เคยรั่วไหลออกมาจากบริการต่างๆ เช่น กรณีข้อมูลอีเมลและรหัสผ่านของ LinkedIn รั่วไหลกว่า 160 ล้านคนในปี 2016 เป็นต้น เมื่อเหยื่อยังคงใช้รหัสผ่านดังกล่าวซ้ำในบริการอื่นๆ ก็จะเกิดความเชื่อถือและหลงโอนเงินให้กับผู้โจมตี
ภัยรูปแบบที่ 2 อ้างว่าสามารถแฮกอีเมลของเหยื่อได้โดยมีข้อพิสูจน์เป็นการส่งอีเมลจากอีเมลของเหยื่อหาตัวเหยื่อเอง
เมื่อวันที่ 12 ตุลาคม 2018 ที่ผ่านมา เว็บไซต์ Bleeping Computer ได้เผยแพร่บทความ New Sextortion Scam Pretends to Come from Your Hacked Email Account โดยผู้โจมตีจะสร้างอีเมลที่มีใจความว่าสามารถแฮกอีเมลของเหยื่อได้แล้ว ทำการปลอมแปลงผู้ส่งอีเมลเป็นตัวเหยื่อเอง และส่งอีเมลปลอมหาตัวเหยื่อ ทำให้เหยื่อหลงเชื่อว่าอีเมลดังกล่าวมาจากอีเมลของตัวเองจริงๆ และถูกแฮกแล้วจริง โดยภัยในรูปแบบที่ 2 นี้มีรายงานการค้นพบครั้งแรกในประเทศเนเธอร์แลนด์ ในวันที่ 11 ตุลาคม 2018

หลังจากนั้นได้การพบอีเมลในรูปแบบที่ 2 ถูกแปลเป็นภาษาอื่นๆ เช่น ภาษาอังกฤษ ภาษาญี่ปุ่น ภาษาสเปน และภาษาอื่นๆ อีกมาก

อีเมลปลอมดังกล่าวมีใจความว่าผู้โจมตีได้แฮกอีเมลของเหยื่อสำเร็จเป็นเวลานานแล้ว มีข้อพิสูจน์เป็นอีเมลฉบับนี้ถูกส่งมาจากอีเมลของเหยื่อเอง และได้แอบติดตามเก็บข้อมูลต่างๆ ของเหยื่อ ผู้โจมตีขู่ว่าหากเหยื่อไม่ยอมจ่ายค่าไถ่ไปยัง BTC address ที่กำหนด ผู้โจมตีจะเผยแพร่ข้อมูลดังกล่าวให้กับรายชื่อผู้ติดต่อทั้งหมดของเหยื่อ

โดยผู้โจมตีสามารถปลอมแปลงอีเมลได้จากบริการส่งอีเมลปลอม ส่งอีเมลจาก mail server องค์กรของเหยื่อที่มีการตั้งค่าอย่างไม่ปลอดภัย เป็นต้น

ทั้งนี้ ณ วันที่เขียนบทความ (18 ตุลาคม 2018) ได้มีการพบภัยทั้งสองรูปแบบแพร่ระบาดในประเทศไทยแล้ว
Recommendation
ในกรณีที่เจอภัยคุกคามแบบที่ 1

ไม่หลงเชื่อและจ่ายค่าไถ่ตามที่มีการกล่าวอ้าง
ทำการเปลี่ยนรหัสผ่านซ้ำกับรหัสผ่านที่ถูกอ้างในอีเมลบนบริการทั้งหมดที่มี
สามารถตรวจสอบว่าตัวเองเคยได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหลต่อสาธารณะหรือไม่เพื่อตรวจสอบความเสี่ยงได้จาก https://haveibeenpwned.

Beware of Fake “Shipping Docs” Malspam Pushing the DarkComet RAT

นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.

วิเคราะห์ช่องโหว่ EFAIL: เมื่อการเข้ารหัสอีเมลไม่เป็นผล

สรุปย่อ
เมื่อสัปดาห์ที่ผ่านมา ทีมนักวิจัยซึ่งประกอบด้วยนักวิจัยจาก Münster University of Applied Sciences, Ruhr University Bochum และ KU Leuven ได้ร่วมกันเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อช่องโหว่ว่า EFAIL โดยช่องโหว่ดังกล่างนั้นเป็นช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของข้อมูลเมื่ออีเมลถูกเข้ารหัสด้วยเทคโนโลยีอย่าง OpenPGP และ S/MIME ซึ่งจำเป็นต้องอาศัยการดักจับและแก้ไขข้อมูลรวมไปถึงปัญหาในโปรแกรมอ่านอีเมลด้วยได้

เมื่อถูกโจมตีโดยช่องโหว่นี้นั้น ทันทีที่ผู้ใช้งานทำการเปิดอีเมลและถอดรหัสอีเมลที่ทำการเข้ารหัสด้วยวิธีการตามที่ระบุพร้อมทั้งมีปัจจัยที่จะทำให้ถูกโจมตีครบถ้วน ผู้โจมตีจะสามารถเข้าถึงข้อมูลซึ่งถูกเข้ารหัสได้ทันทีจากระยะไกล

ช่องโหว่ EFAIL นั้นเกิดขึ้นจากปัญหาด้านความปลอดภัยหลายปัจจัย โดยในบล็อกนี้นั้นทีมตอบสนองการโจมตีและภัยคุกคามจะมาอธิบายปัญหาดังกล่าวซึ่งนำไปสู่การเกิดขึ้นของช่องโหว่ ข้อเท็จจริงของช่องโหว่ พร้อมทั้งวิธีการลดผลกระทบจากช่องโหว่ให้ได้ทำความเข้าใจกันครับ
รายละเอียดช่องโหว่
ช่องโหว่ EFAIL นั้นเกิดขึ้นได้เนื่องจากปัญหาด้านความปลอดภัยหลัก 2 ประการดังต่อไปนี้

ปัญหาจากการทำงานในโปรแกรมรับ-ส่งอีเมล (E-mail Client) ซึ่งทำให้เกิดการประมวลผลข้อมูลที่มาในรูปแบบของ HTML ในลักษณะที่เป็นอันตรายได้
ปัญหาในกระบวนการเข้ารหัสของ OpenPGP และ S/MIME ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมและกำหนดลักษณะของข้อมูลเมื่อถูกถอดรหัสออกมาแล้วด้วยการแก้ไขข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยไม่จำเป็นต้องถอดรหัสข้อมูลหรือรู้กุญแจหรือใบรับรองในการเข้ารหัสข้อมูลได้

ปัญหาจากการทำงานโปรแกรมรับ-ส่งอีเมล
สำหรับปัญหาแรกที่ทำให้เกิดช่องโหว่ EFAIL ได้นั้นมีที่มาจากโปรแกรมรับ-ส่งอีเมลที่เราใช้กันอยู่ทุกวันซึ่งแตกต่างกันไปในแต่ละโปรแกรม โดยพฤติกรรมของโปรแกรมที่ทำให้เกิดปัญหานั้นคือวิธีการในแสดงผล HTML ที่มากับอีเมล

ในโปรแกรมรับ-ส่งอีเมลบางโปรแกรมนั้น เมื่อผู้ใช้งานทำการเปิดอีเมลซึ่งมีเนื้อหาประกอบด้วยโค้ดในภาษา HTML โปรแกรมจะพยายามทำการแสดงผลตามโค้ด HTML ที่มีอยู่โดยอัตโนมัติ ซึ่งรวมไปถึงการพยายามดึงรูปจากแหล่งอื่นซึ่งถูกฝังมากับแท็กอย่าง <img>

ผู้โจมตีสามารถอาศัยพฤติกรรมของโปรแกรมในลักษณะนี้นั้นในการขโมยเนื้อหาที่อยู่อีเมล (ที่ยังไม่ถูกเข้ารหัส) ออกมาได้โดยการเพิ่มหรือแก้ไขโค้ด HTML ซึ่งมีอยู่แล้วในอีเมล โดยตัวอย่างหนึ่งในการแก้ไขเพื่อให้ขโมยข้อมูลออกมาได้ถูกแสดงตามรูปภาพด้านล่าง (เนื้อหาของอีเมลจะถูกเน้นเป็นตัวเข้ม)

หากสังเกตตามโค้ดซึ่งปรากฎตามรูปภาพด้านบน อาจจะสังเกตได้ว่าแท็ก <img> ไม่ได้ถูกใช้งานในการแสดงผลรูปภาพอย่างถูกต้อง เพราะในการใช้งานโดยทั่วไปนั้นพารามิเตอร์ src จะถูกชี้ไปยังไฟล์รูปภาพที่อยู่ในแหล่งอื่นๆ คำถามสำคัญก็คือหากผู้ใช้งานมีการเปิดอีเมลที่มีเนื้อหาตามรูปภาพด้านบนแล้วจะเกิดอะไรขึ้น?

ในกรณีที่อีเมลนี้ถูกเปิดด้วยโปรแกรมรับ-ส่งอีเมลซึ่งพยายามแสดงผลเนื้อหาที่อยู่ในรูปแบบของโค้ด HTML โดยอัตโนมัติ สิ่งที่จะเกิดขึ้นคือโปรแกรมรับ-ส่งอีเมลจะพยายามเรียกหารูปตามที่ระบุอยู่ในแท็ก HTML แต่จะระบุข้อมูลปลายทางตามรูปภาพด้านล่าง

จะสังเกตเห็นว่าเนื้อหาที่ถูกระบุอยู่ในอีเมลซึ่งก็คือส่วนที่เป็น Secret Meeting.

Exim-ergency! Unix mailer has RCE, DoS vulnerabilities

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

How the Pwnedlist Got Pwned

Bob Hodges ได้เปิดเผยถึงช่องโหว่ที่ทำให้เว็บไซต์ PwnedList.com โดนแฮ็กข้อมูลทั้งหมด 866 ล้าน Account ซึ่งมีความเสี่ยงที่ผุ้โจมตีจะสามารถ Dump ข้อมูลออกไป
PwnedList เป็นเว็บไซด์ที่ให้บริการตรวจสอบข้อมูล Email หรือ Username ของเราว่าถูกแฮ็กหรือไม่ เพื่อแจ้งเตือนผู้ใช้ได้ทันที

โดยช่องโหว่ที่ Hodges พบคือ Parameter Tampering ทำให้แฮ็กเกอร์สามารถแก้ไข Request เพื่อสอดส่องข้อมูลที่รั่วไหลออกมาจากแต่ละโดเมนได้

ทางเว็บไซด์มีการแก้ไขช่องโหว่แล้ว และประกาศว่าจะปิดให้บริการในวันที่ 16 พฤษภาคม 2559 เพื่อเป็นการแสดงความรับผิดชอบต่อเหตุการณ์ดังกล่าว

ที่มา : KrebsonSecurity

Ransomware Targets Healthcare Sector

สัปดาห์ที่ผ่านมาได้เกิดกรณี Ransomware โจมตีโรงพยาบาล เข้ารหัสอีเมล์และข้อมูลผู้ป่วย พร้อมเรียกค่าไถ่สูงถึง 3.6 ล้านเหรียญ หรือประมาณ 126 ล้านบาท

โรงพยาบาลที่ถูกโจมตีนี้คือโรงพยาบาลแห่งหนึ่งใน Hollywood เมือง California ทำให้ระบบเครือข่ายล่มไปเป็นเวลานานกว่า 1 สัปดาห์ และสูญเสียข้อมูล Email และข้อมูลผู้ป่วยไปจากการถูกเข้ารหัสด้วย Ransomware

ส่วนสาเหตุที่ทำให้การโจมตีครั้งนี้ประสบความสำเร็จก็คือ การที่ระบบเครือข่ายที่จัดเก็บข้อมูล Sensitive Data กับระบบเครือข่ายสำหรับใช้งานทั่วไปนั้นเชื่อมต่อเป็นระบบเดียวกัน รวมถึงไม่มีนโยบายการรักษาความปลอดภัยที่เพียงพอ อีกทั้งอุปกรณ์การแพทย์และอุปกรณ์อื่นๆ ในระบบนั้นก็ไม่มีการอัพเดตหรืออุดช่องโหว่แต่อย่างใด ทำให้ผู้โจมตีมีช่องทางที่หลากหลายมาก ในขณะที่ข้อมูลทั้งหมดของโรงพยาบาลนั้นล้วนเป็นข้อมูลสำคัญที่ส่งผลกระทบต่อการรักษาพยาบาลโดยตรงทั้งสิ้น ดังนั้นไม่ว่าข้อมูลส่วนใดจะสูญหายไป ความเสียหายก็จะเกิดขึ้นกับโรงพยาบาลอยู่ดี

ทาง McAfee ก็ได้แนะนำแนวทางป้องกันคือ การทำ Backup ให้กับข้อมูล Sensitive Data ทั้งหมดอยู่เสมอ เพื่อที่ถ้าหากถูกโจมตีขึ้นมาจริงๆ ยังกู้ข้อมูลกลับขึ้นมาเพื่อทำงานต่อได้ในเวลาไม่นานนัก

ที่มา : M Blog Central