Hackers Scanning for Vulnerable Microsoft Exchange Servers, Patch Now!

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพตช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควร Update ทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา : bleepingcomputer

Google Patches Chrome Browser Zero-Day Bug, Under Attack

Chrome ออกแพตช์อุตช่องโหว่ 0 Day

หลังจากออก Chrome รุ่น 80 ไม่นาน ก็มีการออกรุ่น 80.0.3987.122 ตามมาทันที โดยเป็นการแก้ไขช่องโหว่ทั้งหมด 3 ช่องโหว่ เป็นความรุนแรง High ทั้งหมด โดยช่องโหว่ที่สำคัญคือ CVE-2020-6418 เป็นช่องโหว่ type of confusion bug กระทบทุกรุ่นจนกระทั่งรุ่น 80.0.3987.122 เป็นช่องโหว่ใน JavaScript และ Web Assembly engine ที่ชื่อว่า V8

ในปัจจุบันมีการโจมตีช่องโหว่นี้เกิดขึ้นแล้ว ผู้ใช้งานควรทำการ Update Chrome เป็นรุ่น 80.0.3987.122

ที่มา : threatpost

US Govt Warns of Ransomware Attacks on Pipeline Operations

รัฐบาลสหรัฐประกาศเตือน Ransomware โจมตีท่อส่งปิโตรเลียม

สำนักงานด้านความมั่นคงปลอดภัยของสหรัฐ (CISA) ได้แจ้งเตือนให้องค์กรที่สำคัญต่างๆ ที่เป็นกลุ่มโครงสร้างพื้นฐานที่สำคัญของประเทศเกี่ยวการโจมตี Ransomware ล่าสุด ซึ่งส่งผลกระทบต่อโรงงานอัดก๊าซธรรมชาติในส่วนของสินทรัพย์การควบคุมและการสื่อสารในเครือข่ายเทคโนโลยีปฎิบัติการ (OT)

ผู้โจมตีใช้ Spearphishing เพื่อเข้าถึงเครือข่ายเทคโนโลยีสารสนเทศ (IT) ของโรงงานอัดก๊าซธรรมชาติ ตามด้วยการเข้าถึงยังเครือข่าย OT จากนั้นใช้ Ransomware เพื่อเข้ารหัสเครือข่าย IT และ OT การโจมตีดังกล่าวไม่ส่งผลกระทบใดๆ ต่อตัว programmable logic controllers (PLCs) บนเครือข่ายเนื่องจาก Ransomware กระทบแต่อุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows แต่การ Reset ระบบกลับมาใช้เวลาประมาณ 2 วัน ส่งผลกระทบให้ต้องปิดการทำงานของท่อส่งปิโตรเลียม สูญเสียผลผลิตและรายได้

ในประกาศเตือนดังกล่าว CISA ได้เสนอมาตรการบรรเทาผลการปฎิบัติการรวมถึงการบรรเทาผลกระทบด้านเทคนิคและสถาปัตยกรรมให้กับองค์กรในอุตสาหกรรมทุกประเภทเพื่อลดความเสี่ยงที่ต้องรับมือกับการโจมตี Ransomware โดยนำเสนอบทเรียนจากเหตุการณ์ดังกล่าวว่าโรงงานอัดก๊าซธรรมชาติแห่งนั้นสามารถหาอุปกรณ์มาทดแทนรวมถึงสามารถกู้คืนระบบจาก backup ได้

สามารถอ่านรายละเอียดของประกาศดังกล่าวได้จาก www.

World Health Organization Warns of Coronavirus Phishing Attacks

WHO เตือนการโจมตีฟิชชิงอ้างข้อมูลไวรัสโคโรน่า

อาชญากรปลอมตัวเป็นองค์กรอนามัยโลกเพื่อขโมยเงินหรือข้อมูลสำคัญด้วยการส่งเมลฟิชชิ่งเพื่อขอให้เป้าหมายส่งข้อมูลที่เป็นชื่อผู้ใช้งานหรือรหัสผ่านและอาจมีการขอให้เปิดไฟล์มัลแวร์ที่แนบมาเพื่อติดตั้ง payloads ยังอุปกรณ์ของเป้าหมาย
แนวทางป้องกันหากคุณได้รับเมลจากองค์กร WHO ควรตรวจสอบความถูกต้องก่อนตามขั้นตอนด้านล่าง
1 ตรวจสอบชื่อที่อยู่อีเมลที่ส่งว่าอยู่ในลักษณะ ชื่อบุคคล@who.

Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.

แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว

แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว

ช่องโหว่ CVE-2020-0618 เป็นช่องโหว่ใน Microsoft SQL Server Reporting Services ซึ่งเป็นส่วนสำหรับการออกรายงานใน Microsoft SQL Server ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่สามารถเข้าสู่ระบบสามารถโจมตีด้วยการรันคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution หรือ RCE) ช่องโหว่นี้กระทบ Microsoft SQL Server รุ่น 2012, 2014 และ 2016 โดยได้รับการแก้ไขไปในแพตช์ประจำเดือนกุมภาพันธ์ 2020 ที่ผ่านมา

ซึ่งในขณะนี้มีการเผยแพร่โค้ด Proof of Concept (POC) สำหรับใช้โจมตีช่องโหว่ดังกล่าวสู่สาธารณะแล้วรวมถึงพบการแสกนเพื่อหาเครื่อง Microsoft SQL Server ที่มีช่องโหว่ดังกล่าวแล้ว

ทั้งนี้ Kevin Beaumont (@GossiTheDog) นักวิจัยด้านความปลอดภัยให้ความเห็นว่าช่องโหว่ดังกล่าวอาจกระทบไปจนถึง Microsoft SQL Server 2008 ซึ่งหมดระยะการสนับสนุนจึงไม่ได้แพตช์อีกด้วย

ที่มา : mdsec

Emotet Now Spreads via Wi-Fi

พบ Emotet สายพันธุ์ใหม่แพร่กระจายผ่าน WiFi

Emotet ตัวใหม่ถูกพบว่าสามารถกระจายผ่านการเชื่อมต่อ WiFi นอกเหนือจากการแพร่ผ่านอีเมลอย่างที่เคยทำในอดีต นักวิจัยจาก Binary Defense ระบุ Emotet ใช้ประโยชน์จาก wlanAPI interface ในการแพร่กระจายไปยังอุปกรณ์ที่เชื่อมต่อกับเครือข่าย WiFi ที่ไม่ปลอดภัย

Emotet ถูกค้นพบ Trend Micro ในชื่อ TrojanSpy.

SAP Releases 13 Security Notes on February 2020 Patch Day

SAP ออกคำแนะนำด้าน Security 13 รายการ

Security Patch Day ของ SAP เดือนกุมภาพันธ์ 2563 มีการประกาศคำแนะนำด้าน Security ใหม่ 13 รายการ และอัปเดตคำแนะนำในอดีต 2 รายการ

คำแนะนำด้าน Security ใหม่ 13 รายการนี้มีความสำคัญ High 3 รายการ มีความสำคัญ Medium 10 รายการ โดยรายการที่ถูกอัปเดตในอดีตมีความสำคัญระดับ Hot New 1 รายการและ Medium อีก 1 รายการ
Hot News ดังกล่าว (คะแนน CVSS 9.8) เป็นการอัปเดตใน SAP Business Client ให้รองรับ Chromium ซึ่งเปิดตัวครั้งแรกใน Patch Day ใน เดือนเมษายน 2018
ช่องโหว่ความสำคัญ High แรกระบุถึงช่องโหว่ของ Denial of Service (DoS) ใน SAP Host Agent (CVE-2020-6186, คะเเนน CVSS 7.5) ปัญหานี้ส่งผลกระทบต่อการ Authentication ผู้ใช้งาน โดย SAP Host Agent มีการจัดการการโจมตีแบบ brute force ด้วยการหน่วงเวลา ซึ่งช่องโหว่ดังกล่าวเกิดจากการที่สามารถรองรับ Authentication พร้อมๆกันได้จำกัด ทำให้ผู้ที่เข้าสู่ระบบปกติ ไม่ได้ทำการโจมตี อาจเข้าสู่ระบบไม่ได้หากพยายามเข้าสู่ระบบในระหว่างที่มีผู้โจมตีกำลังโจมตี
ช่องโหว่ความสำคัญ High อีกสองช่องโหว่เป็นแก้ช่องโหว่ใน SAP Landscape Management (CVE-2020-6191 และ CVE-2020-6192 ทั้งคู่มีคะเเนน CVSS 7.2) ซึ่งเป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้
ผู้ดูแลระบบ SAP ควรตรวจสอบและอัปเดตแพตช์เพื่อความปลอดภัย

ที่มา : securityweek

Sudo Bug Lets Non-Privileged Linux and macOS Users Run Commands as Root

ช่องโหว่ในคำสั่ง sudo ให้ผู้ใช้ Linux และ macOS ที่ไม่มีสิทธิพิเศษเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้
Joe Vennix แห่ง Apple security พบช่องโหว่ที่สำคัญประการหนึ่งในคำสั่ง sudo หากตั้งค่าบางอย่างไว้ อาจอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำหรือโปรแกรมที่เป็นอันตรายในการรันคำสั่งโดยพลการด้วยสิทธิ์ระดับผู้ดูแล ('root') บนระบบ Linux หรือ macOS
sudo เป็นหนึ่งใน utilities ที่สำคัญที่มีประสิทธิภาพและใช้กันอย่างแพร่หลาย มาพร้อมกับ core command ที่ติดตั้งไว้ล่วงหน้าบน macOS และเกือบทุกระบบปฏิบัติการบน UNIX หรือ Linux ซึ่ง sudo ได้รับการออกแบบ เพื่อให้ผู้ใช้เรียกใช้แอพหรือคำสั่ง ด้วยสิทธิ์ของผู้ใช้ที่แตกต่างกัน โดยไม่ต้อง switching environments ต่างๆ
Vennix ระบุว่าข้อบกพร่องสามารถถูกโจมตีได้เมื่อเปิดใช้งานตัวเลือก "pwfeedback" เท่านั้นในไฟล์การกำหนดค่า sudoers ซึ่ง pwfeedback เป็นคุณสมบัติที่ช่วยให้เห็น Visual Feedback คือเห็น * เมื่อผู้ใช้ป้อนรหัสผ่านใน terminal
คุณลักษณะ pwfeedback ไม่ได้ถูกเปิดใช้งานโดยค่าเริ่มต้นในเวอร์ชั่นต้นเเบบของ sudo หรือแพ็คเกจอื่น ๆ อย่างไรก็ตาม ลีนุกซ์บางรุ่น เช่น Linux Mint และ Elementary OS มีการเปิดใช้งานคุณลักษณะ pwfeedback ในไฟล์ sudoers เป็นค่าเริ่มต้น
เมื่อ pwfeedback ถูกเปิดใช้งาน ผู้ใช้ใดๆ ก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ เเม้ไม่มี sudo permissions ทำให้สามารถโจมตีเพื่อยกระดับสิทธิ์เป็น root ได้
คุณสามารถตรวจสอบได้ว่าคุณได้รับผลกระทบหรือไม่ โดยสามารถเรียกใช้ "sudo -l" command บน Terminal Linux หรือ macOS ของคุณ เพื่อค้นหาว่า "pwfeedback" ถูกเปิดใช้งานหรือไม่
หากเปิดใช้งาน, คุณสามารถปิดการใช้งานองค์ประกอบที่มีช่องโหว่ได้ โดยเปลี่ยน "Defaults pwfeedback" เป็น "Defaults !pwfeedback" ในไฟล์การกำหนดค่า sudoers เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
โดยคำสั่ง sudo รุ่นที่ได้รับผลกระทบคือรุ่น 1.7.1 ถึง 1.8.30 ซึ่ง Apple ได้ออกแพตช์ให้กับ macOS เพื่อแก้ไขช่องโหว่นี้แล้ว

ที่มา : thehackernews

Trend Micro Patches More Vulnerabilities in Anti-Threat Toolkit

Trend Micro แก้ไขช่องโหว่เพิ่มเติม ใน Anti-Threat Toolkit
Trend Micro ออกแพตช์ให้ช่องโหว่สำหรับ Anti-Threat Toolkit (ATTK) ที่เริ่มต้นแก้ไขในเดือนตุลาคม 2019 ซึ่งมีนักวิจัยพบวิธีการโจมตีเพิ่มเติมจากช่องโหว่เดิม
Trend Micro ATTK ช่วยให้ผู้ใช้ทำการสแกนทาง forensic ของระบบของพวกเขาเเละทำการ clean rootkit, ransomware, MBR และการติดเชื้อมัลแวร์ประเภทอื่นๆ ATTK ยังถูกใช้โดยผลิตภัณฑ์อื่น ๆ ของ Trend Micro รวมถึง WCRY Patch Tool เเละ OfficeScan Toolbox
นักวิจัย John Page นางแฝง hyp3rlinx ค้นพบเมื่อปีที่แล้วว่า ATTK ได้รับผลกระทบโดยช่องโหว่ที่อาจถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดต่างๆ ตามต้องการด้วยการยกระดับสิทธิ์ใช้งานโดยการสร้างไฟล์ที่เป็นอันตรายชื่อ cmd.