Adobe Fixes 43 Critical Acrobat and Reader Flaws

Adobe ได้ทำการแก้ไขช่องโหว่ที่มีสำคัญและร้ายแรง 75 รายการ ครอบคลุม Acrobat Reader DC, Adobe Flash Player, Adobe Coldfusion และ Creative Cloud Desktop

แพทช์ที่ออกมาเป็นการแก้ไขช่องโหว่ระดับร้ายแรง (Critical) 43 รายการใน Acrobat Reader ซึ่งรวมถึงแก้ไข ข้อผิดพลาด zero-day ที่ 0patch ได้ปล่อยแพทช์ชั่วคราวออกมาก่อนหน้านี้ ข้อผิดพลาดดังกล่าวทำให้ผู้โจมตีสามารถขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่านที่อยู่ในรูปแบบของค่า hash นอกจากนี้ยังมีช่องโหว่อื่นๆ เช่น
- CVE-2018-19725 และ CVE-2019-7041 เป็นช่องโหว่ที่ทำให้ผู้ใช้งานสามารถเพิ่มระดับสิทธิ์ตัวเองได้ (Privilege Escalation)
- CVE-2019-7030 เป็นช่องโหว่ที่ทำให้มีการเปิดเผยข้อมูล

นอกจากนี้ยังมีช่องโหว่อื่นๆ อย่างเช่น ช่องโหว่ที่ทำให้สามารถสั่งรันคำสั่งได้ตามต้องการ และช่องโหว่ที่เกี่ยวกับการจัดการหน่วยความจำของข้อมูล (buffer, out of bound และ use-after-free) โดยเวอร์ชันที่ได้รับผลกระทบ ได้แก่ Acrobat DC และ Acrobat Reader DC Continuous (เวอร์ชั่น 2019.010.20069 และรุ่นก่อนหน้า) Acrobat และ Acrobat Reader Classic 2017 (เวอร์ชั่น 2017.011.30113 ขึ้นไป) และ Acrobat DC และ Reader DC Classic 2015 (รุ่น 2015.006.30464 และรุ่นก่อนหน้า) ทั้งบน Windows และ macOS

รวมทั้งช่องโหว่ใน ColdFusion (CVE-2019-7091) ส่งผลให้มีการเปิดเผยข้อมูลโดยไม่ตั้งใจ และช่องโหว่อื่นที่ได้รับการแก้ไข ได้แก่ ช่องโหว่การยกระดับสิทธิ์ (CVE-2019-7093) ใน Creative Cloud Desktop (รุ่น 4.7.0.400 และรุ่นก่อนหน้า), ช่องโหว่การเปิดเผยข้อมูล (CVE-2019-7090) ใน Adobe Flash (รุ่น 32.0.0.114 และก่อนหน้า บน Desktop Runtime, Google Chrome, Microsoft Edge และ IE 11)

แนะนำให้ผู้ใช้งานทำการอัพเดตแพทช์ที่ออกมาประจำเดือนกุมภาพันธ์นี้ เพื่อแก้ไขช่องโหว่ที่เกิดขึ้น

ที่มา: threatpost.

Microsoft February 2019 Patch Tuesday Includes Fixes for 70 Vulnerabilities

Microsoft ออกแพตช์ประจำเดือนกุมภาพันธ์ 2019 แก้ไขช่องโหว่ 70 รายการ โดยที่ 18 รายการถูกจัดอยู่ในระดับ Critical การอัพเดตครั้งนี้รวมถึงการแก้ไขช่องโหว่ zero-day ใน Adobe Flash Player และช่องโหว่ที่เป็นที่รู้จักอีกหลายรายการ อย่างเช่น

ช่องโหว่ 'PrivExchange' ของ Microsoft Exchange เป็นปัญหาใน Exchange Web Services (EWS) สำหรับการแจ้งเตือนแบบพุชเพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบในเซิร์ฟเวอร์ที่ถูกโจมตี

ช่องโหว่การเปิดเผยข้อมูลใน Internet Explorer (CVE-2019-0676) ช่องโหว่นี้ถูกค้นพบโดย Google Project Zero หากเหยื่อเข้าชมเว็บไซต์ที่เป็นเพจอันตราย ผู้โจมตีจะสามารถตรวจสอบการมีอยู่ของไฟล์บนฮาร์ดไดรฟ์ของเหยื่อได้

ช่องโหว่ SMBv2 Remote Code Execution (CVE-2019-0630) ช่องโหว่นี้อาจทำให้ถูกโจมตีด้วยการส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ SMBv2 ที่เป็นเป้าหมาย ทำให้สามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) ผ่านบัญชีผู้ใช้ที่ผ่านการ Authenticated แล้วได้

ช่องโหว่ DHCP (CVE-2019-0626) เป็นช่องโหว่ Memory Corruption ทำให้ผู้โจมตีส่งแพ็คเก็ตที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ DHCP หากสำเร็จจะช่วยให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตราย (Remote code execution) บนเซิร์ฟเวอร์ที่ถูกโจมตี

ผู้ใช้งานและผู้ดูแลระบบควรทำการอัปเดตเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว โดยสามารถดูรายละเอียดเพิ่มเติมของช่องโหว่ต่างๆ ได้จากที่มา

ที่มา : bleepingcomputer

GandCrab ransomware campaign targets Italy using steganography

Matthew Rowan ผู้เชียวชาญด้านความปลอดภัยจาก Bromium พบการใช้ steganography ในการซ่อน GandCrab ransomware มาในรูปภาพมาริโอ้

การเข้ารหัสในไฟล์รูปภาพ (steganography) นี้ถูกใช้ในการซ่อนชุดคำสั่ง PowerShell ไว้ในโค้ดสีเขียวและสีน้ำเงิน ของรูปภาพมาริโอ้ โดยเทคนิคนี้ทำให้ยากต่อการตรวจจับโดยอุปกรณ์ความปลอดภัยอย่าง Firewall หรือ Anti-virus

โดยผู้เชียวชาญขี้ว่าการโจมตีพุ่งป้าไปยังผู้ใช้งานในประเทศอิตาลี แต่ดูเหมือนว่าแคมเปญนี้อาจกำลังขยายตัวไปสู่ส่วนอื่นของโลก

ที่มา : securityaffairs

Adobe Reader Zero-Day Micropatch Stops Malicious PDFs from Calling Home

0patch ได้เผยแพร่ micropatch เพื่อแก้ไขช่องโหว่ zero-day ใน Adobe Reader ที่ส่งผลให้ผู้ไม่หวังดีสามารถสร้างไฟล์ PDF ที่เป็นอันตราย เพื่อส่งข้อมูลชื่อผู้ใช้งาน และค่า hash ของรหัสผ่านสำหรับเข้าสู่ระบบจาก NTLM กลับมาผ่าน SMB ได้

ช่องโหว่นี้ถูกค้นพบและได้รับการเปืดเผยโดย Alex Inführ ช่องโหว่นี้คล้ายกับช่องโหว่ Bad-PDF (CVE-2018-4993) ที่รายงานโดย CheckPoint ในเดือนเมษายนปีที่ผ่านมา มีผลกับ Adobe Acrobat Reader DC เวอร์ชันล่าสุด (19.010.20069) และคาดว่าจะมีผลกับเวอร์ชั่นก่อนหน้าด้วย

ล่าสุด 0patch ได้ออก micropatch เพื่อแก้ไขช่องโหว่ดังกล่าว โดยผู้ที่ต้องการดาวน์โหลดจะต้องเข้าไปยัง 0patch.

Latest iOS 12.1.4 Update Patches 2 Zero-Day and FaceTime Bugs

Apple ได้ออกแพทช์ iOS 12.1.4 เพื่อแก้ไขข้อผิดพลาดของ Group FaceTime ที่ส่งผลให้ผู้ใช้ Apple สามารถได้ยินหรือมองเห็นอีกฝ่ายก่อนที่จะรับสายผ่านเมื่อมีการโทรแบบกลุ่มบน FaceTime

ปัญหาของ Facetime (CVE-2019-6223) ดังกล่าว ถูกค้นพบโดย Grant Thompson อายุ 14 ปี จากโรงเรียนมัธยม Catalina Foothills ในขณะที่เขาพยายามที่จะติดต่อกับเพื่อนของเขาผ่าน FaceTime ข้อผิดพลาดดังกล่าวได้ถูกรายงานไปยัง Apple หนึ่งสัปดาห์ก่อนที่จะมีรายงานข่าวออกมา ส่งผลให้ Apple จำเป็นที่จะต้องปิดการใช้งานโทรกลุ่มของ FaceTime ชั่วคราว

การอัปเดต iOS 12.1.4 นี้ ยังแก้ไขช่องโหว่ด้านความปลอดภัยอีก 3 ช่องโหว่ โดย 2 จาก 3 รายการถูกค้นพบและรายงานโดยนักวิจัยของ Google Project Zero และอีกรายการเกี่ยวข้องกับ FaceTime ด้วย

CVE-2019-7286: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตราย ยกระดับสิทธิ์สูงขึ้นบนอุปกรณ์
CVE-2019-7287: ปัญหาเกี่ยวกับหน่วยความจำที่อาจทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเรียกรันโค๊ดได้ด้วยสิทธิ์ kernel
CVE-2019-7288: ค้นพบโดยทีมรักษาความปลอดภัยของ Apple ข้อบกพร่องของ FaceTime ที่เกี่ยวกับ Live Photos

ผู้ใช้งานสามารถทำการอัพเดตอุปกรณ์ของตนเองได้แล้ว สำหรับ iPhone, iPad หรือ iPod ไปที่ Settings→ General → Software Update และ macOS ควรอัปเดตเป็น macOS Mojave 10.14.3 ได้ที่ 'System Preferences' คลิก 'Software Update' และทำการดาวน์โหลด

ที่มา : thehackernews

RunC Vulnerability Gives Attackers Root Access on Docker, Kubernetes Hosts

แจ้งเตือนช่องโหว่ใน runc กระทบ LXC, Docker และ Kubernetes รันโค้ดอันตรายทะลุถึงโฮสต์ได้

นักพัฒนาประจำโครงการ runc ซึ่งเป็น container runtime ให้กับโครงการ container หลายโครงการได้ออกมาประกาศการค้นพบช่องโหว่รหัส CVE-2019-5736 วันนี้ การโจมตีช่องโหว่นี้จะส่งผลให้ผู้โจมตีสามารถรันโค้ดอันตรายด้วยสิทธิ์ระดับสูงในระบบโฮสต์ได้ ช่องโหว่นี้ได้คะแนน CVSSv3 7.2 คะแนน

ช่องโหว่ดังกล่าวจะถูกโจมตีได้เมื่อมีการรัน container ที่ถูกสร้างขึ้นมาอย่างเฉพาะ โดย container ดังกล่าวนั้นจะเขียนทับไบนารีของ runc บนโฮสต์เพื่อรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root ได้

ช่องโหว่นี้จะไม่ถูกบล็อคโดยการตั้งค่าเริ่มต้นของ AppArmor และ SELinux บน Fedora หากมีการติดตั้ง moby-engine แต่จะถูกบล็อคหากการใช้งาน namepsace นั้นมีลักษณะที่รัดกุมพอ เช่น ไม่มีการ map โฮสต์เข้ากับ namspace ของ container

runc ถูกใช้เป็น container runtime ในหลายโครงการ อาทิ Docker, cri-o, containerd, Kubernetes และ Apache Mesos ซึ่งยืนยันแล้วว่าได้รับผลกระทบจากช่องโหว่

ผู้ใช้งานที่ได้รับผลกระทบควรดำเนินการอัปเดตซอฟต์แวร์ใดๆ ที่มีการใช้งาน runc เป็นเวอร์ชันล่าสุดที่มีการแพตช์แล้วโดยด่วน

ที่มา : bleepingcomputer

Airbus Suffers Data Breach, Some Employees’ Data Exposed

Airbus ถูกแฮ็ก ข้อมูลพนักงานหลายรายรั่วสู่ภายนอก
Airbus บริษัทผลิตและประกอบเครื่องบินสัญชาติฝรั่งเศส ออกมาแถลงการณ์ยอมรับเมื่อวานนี้ว่า เกิดเหตุ Data Breach บนระบบสารสนเทศ “Commercial Aircraft Business” ส่งผลให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของพนักงานบริษัทบางส่วนได้

แม้ว่าทางบริษัทผลิตเครื่องบินยังไม่ได้ออกมาให้รายละเอียดเกี่ยวกับเหตุการณ์ดังกล่าว แต่ก็ได้ยืนยันว่าเหตุการณ์ Security Breach ครั้งนี้ไม่ได้ส่งผลกระทบต่อการดำเนินการเชิงพาณิชย์ ดังนั้นจึงไม่มีผลกระทบใด ๆ ต่อสายการผลิตเครื่องบิน

จากการตรวจสอบพบว่า แฮ็กเกอร์สามารถเข้าถึงข้อมูลบางส่วนของระบบ Commercial Aircraft Business ได้เมื่อต้นเดือนที่ผ่านมา ซึ่งส่วนใหญ่จะเป็นข้อมูลส่วนบุคคลของพนักงานบริษัทฯ ที่อาศัยอยู่ในยุโรป ขณะนี้กำลังค้นหาว่าแฮ็กเกอร์พุ่งเป้าที่ข้อมูลใดเป็นพิเศษหรือไม่ และสาเหตุของการแฮ็กเกิดขึ้นได้อย่างไร รวมไปถึงผลกระทบทั้งหมดที่เกิดขึ้นต่อบริษัทฯ เพื่อลดผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์ที่คล้ายกัน

นอกจากนี้ Airbus ยังได้เริ่มมาตรการป้องกันอย่างเร่งด่วนเพื่อเสริมการรักษาความมั่นคงปลอดภัยให้แข็งแกร่งยิ่งขึ้น รวมไปถึงเตรียมรับมือกับผลกระทบที่อาจจะเกิดขึ้นตามมา เพื่อให้มั่นใจว่าสามารถป้องกันแฮ็กเกอร์ออกจากระบบได้และจะไม่เกิดเหตุ Data Breach แบบนี้ขึ้นอีกในอนาคต นอกจากนี้ทางบริษัทฯ ยังได้ติดต่อกับหน่วยงานกำกับดูแลและหน่วยงานด้านกฏหมายที่เกี่ยวข้องเพื่อให้มั่นใจว่าการดำเนินการทุกอย่างสอดคล้องกับ GDPR

อ่านแถลงการณ์ของ Airbus ฉบับเต็มได้ที่ : www.

The State Bank of India Investigates Reported Massive Data Leak

ธนาคาร State Bank of India ข้อมูลรั่ว คาดตั้งค่าระบบสำคัญโดยไม่มีรหัสผ่าน

ธนาคารใหญ่สุดของอินเดีย "State Bank of India" ประกาศการสืบสวนหลังจากมีการตรวจพบการรั่วไหลของข้อมูลกว่าหนึ่งล้านรายการที่เกี่ยวข้องกับลูกค้าของธนาคาร โดยเป็นผลมาจากการตั้งค่าที่ไม่ถูกต้องของเซิร์ฟเวอร์ในนครมุมไบ

สาเหตุของการรั่วไหลของข้อมูลในครั้งนี้มีท่มาจากการตั้งค่าที่ไม่เหมาะสมของระบบ SBI Quick ซึ่งเกี่ยวข้องกับการส่งข้อมูลและการติดต่อกับลูกค้าซึ่งจะมีการร้องขอและบันทึกข้อมูลเพื่อยืนยันตัวตนเอาไว้ด้วย ซึ่งเชื่อว่าแฮกเกอร์ใช้ช่องทางนี้ในการเข้าถึงระบบของธนาคาร

ในขณะนี้ธนาคาร State Bank of India ได้เริ่มทำการสอบสวนและแจ้งเตือนให้แก่ผู้ใช้งานที่ได้รับผลกระทบแล้ว ในขณะเดียวกับเซิร์ฟเวอร์เจ้าปัญหาดังกล่าวก็ได้ถูกป้องกันและปรับปรุงการตั้งค่าใหม่ ผลการวิเคราะห์การโจมตีฉบับเต็มคาดว่าจะถูกเปิดเผยสู่สาธารณะในเร็ววันนี้

ที่มา: www.

Hackers made $3M on Jenkins server in one of biggest mining ops ever

ทีมนักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ออกมาเปิดเผยถึงแคมเปญการโจมตีล่าสุดเพื่อแพร่กระจายมัลแวร์ Coinminer โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ Jenkins ที่มีช่องโหว่ด้านความปลอดภัย จากการประเมินเบื้องต้น ผู้ประสงค์สามารถสร้างรายได้กว่า 3 ล้านดอลลาร์สหรัฐฯ เมื่อแปลงจากสกุลเงิน Monero แล้ว แนะนำให้รีบแพตช์ช่องโหว่โดยด่วน

สำหรับช่องโหว่ที่ผู้ประสงค์ร้ายมุ่งโจมตีนั้นเป็นช่องโหว่รหัส CVE-2017-1000353 ซึ่งมีที่มาจากกระบวนการ serialization/deserialization อย่างไม่ปลอดภัยของ Jenkins CLI ทำให้ผู้ประสงค์ร้ายมีโอกาสในการสแกนหาเซิร์ฟเวอร์ Jenkins ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตและทำการทดลองโจมตีช่องโหว่ดังกล่าวเพื่อที่จะรันโค้ดที่เป็นอันตรายจากระยะไกลเพื่อควบคุมการทำงานของระบบเป้าหมายได้ ช่องโหว่ดังกล่าวส่งผลกระทบจนถึงเวอร์ชัน 2.56 สำหรับ main line release และจนถึงเวอร์ชัน 2.46.1 สำหรับ LTS release

Recommendation : โครงการ Jenkins ได้ออกมาคำแนะนำให้ผู้ใช้งานทำการอัปเกรด Jenkins เป็นเวอร์ชันล่าสุดก่อน (2.57 สำหรับ main line release และ 2.46.2 สำหรับ LTS release) จากนั้นให้ทำการปิดการเข้าถึงจากระยะไกลผ่านทาง CLI โดยเปลี่ยนขั้นตอนในการเข้าถึงเป็นโปรโตคอลอื่นๆ อาทิ HTTP หรือ SSH แทน

Affected Platform : Jenkins main line release จนถึงเวอร์ชัน 2.56 และ Jenkins LTS release จนถึงเวอร์ชัน 2.46.1

ที่มา : hackread

APT37 (Reaper): The Overlooked North Korean Actor

FireEye ได้มีการออกประกาศเพิ่มเติมวันนี้หลังจากมีกการตรวจพบการใช้ช่องโหว่ Adobe Flash Player (CVE-2018-4847) ในการโจมตีระบบเพื่อแพร่กระจายมัลแวร์ ในเบื้องต้นคาดว่าเป็นกลุ่มแฮกเกอร์จากเกาหลีเหนือที่มีจุดประสงค์เพื่อจารกรรรมและขโมยข้อมูล

APT37 หรือ Reaper ซึ่งเป็นชื่อเรียกของกลุ่มแฮกเกอร์โดย FireEye พุ่งเป้าโจมตีไปที่เกาหลีใต้ ญี่ปุ่น เวียดนามรวมไปถึงประเทศในกลุ่มตะวันออกกลาง โดยเน้นไปที่องค์กรหรือบรรษัทขนาดใหญ่ กระบวนการโจมตีเริ่มต้นจากการใช้เทคนิค social engineering แบบเจาะจงบุคคลรวมไปถึงโจมตีเว็บไซต์ที่เกี่ยวข้องกับเป้าหมายเพื่อแพร่กระจายมัลแวร์ ในส่วนของเทคโนโลยีนั้น APT37 มีการใช้ช่องโหว่ Adobe Flash Player (CVE-2018-4847) และช่องโหว่ของ Hangul Word Processor (HWP) เพื่อลักลอบรันโค้ดที่เป็นอันตรายหรือมัลแวร์ซึ่งจะฝังตัวอยู่ในระบบเป็นเวลานานเพื่อทยอยขโมยข้อมูลออกจากระบบ
Recommendation ในขณะนี้ยังไม่พบการโจมตีหรือการแพร่กระจายของมัลแวร์ในไทย แต่ทางไอ-ซีเคียวก็ขอแนะนำให้ผู้ใช้งานดำเนินการป้องกันการโดยการตรวจสอบความทันสมัยของโปรแกรมและแพตช์ด้านความปลอดภัยอย่างสม่ำเสมอ โดยควรมีการติดตามอัปเดตทุกครั้งเมื่อมีการประกาศจากผู้ผลิตซอฟต์แวร์

ที่มา : FireEye