พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024

นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ

Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน

เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.

Zyxel ออกประกาศด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ถูกโจมตีในอุปกรณ์ CPE Series โดยแจ้งเตือนว่าไม่มีแผนที่จะออกแพตช์แก้ไข และแนะนำให้ผู้ใช้ย้ายไปใช้อุปกรณ์ที่ยังได้รับการสนับสนุน

VulnCheck ค้นพบช่องโหว่ทั้งสองรายการในเดือนกรกฎาคม 2024 แต่เมื่อสัปดาห์ที่ผ่านมา GreyNoise รายงานว่าได้เริ่มพบการพยายามในการโจมตีจริงแล้ว

ตามข้อมูลจากเครื่องมือสแกนเครือข่าย FOFA และ Censys พบว่าอุปกรณ์ Zyxel CPE Series กว่า 1,500 เครื่องที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้อุปกรณ์ที่อาจถูกโจมตีมีจำนวนมากขึ้น

ในโพสต์ใหม่วันนี้ VulnCheck ได้นำเสนอรายละเอียดทั้งหมดของช่องโหว่ทั้งสองรายการที่พบในการโจมตีที่มุ่งเป้าไปที่การเข้าถึงเครือข่ายในเบื้องต้น

CVE-2024-40891 เป็นช่องโหว่ที่สามารถทำให้ผู้ใช้งานที่ผ่านการยืนยันตัวตนแทรกคำสั่ง Telnet ได้ เนื่องจากการตรวจสอบคำสั่งที่ไม่เหมาะสมใน libcms_cli.

Netgear ได้แก้ไขช่องโหว่ระดับ Critical สองรายการที่ส่งผลกระทบต่อเราเตอร์ WiFi หลายรุ่น และขอให้ลูกค้าทำการอัปเดตเฟิร์มแวร์ของอุปกรณ์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

ช่องโหว่ด้านความปลอดภัยส่งผลกระทบต่อเราเตอร์ WiFi 6 หลายรุ่น (WAX206, WAX214v2, และ WAX220) และเราเตอร์รุ่น Nighthawk Pro Gaming (XR1000, XR1000v2, XR500)

แม้ว่า Netgear จะไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ทั้งสองรายการ แต่ก็ได้เปิดเผยว่า ผู้ไม่หวังดีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (PSV-2023-0039) และ bypass การยืนยันตัวตน (PSV-2021-0117) ในการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องมีการโต้ตอบจากผู้ใช้

บริษัทระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อสุดสัปดาห์ที่ผ่านมาว่า "Netgear แนะนำให้ดาวน์โหลด และอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด"

รายการรุ่นเราเตอร์ที่มีช่องโหว่ และเวอร์ชันเฟิร์มแวร์ที่มีการอัปเดตแพตช์ความปลอดภัย

ขั้นตอนการดาวน์โหลด และติดตั้งเฟิร์มแวร์เวอร์ชันล่าสุดสำหรับเราเตอร์ Netgear

1. ไปที่เว็บไซต์ NETGEAR Support : https://www.

AMD ออกมาตรการลดผลกระทบ และอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูง ที่สามารถถูกใช้เพื่อโหลด Microcode ของ CPU ที่เป็นอันตรายบนอุปกรณ์ที่ยังไม่ได้อัปเดตแพตช์

ช่องโหว่ด้านความปลอดภัย (CVE-2024-56161) มีสาเหตุมาจากความบกพร่องจากการตรวจสอบ Signature ที่ไม่เหมาะสมใน microcode patch loader ใน CPU ROM ของ AMD

ผู้ไม่หวังดีที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถใช้ช่องโหว่นี้ในการโจมตี โดยอาจส่งผลให้เกิดการสูญเสียการรักษาความลับ และความถูกต้องของข้อมูลในระบบของ guest ที่ทำงานภายใต้ AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP)

ตามแหล่งข้อมูลการพัฒนาของ AMD "SEV ทำหน้าที่แยก guest และ hypervisor ออกจากกัน ขณะที่ SEV-SNP เพิ่มการป้องกันความถูกต้องของหน่วยความจำ โดยสร้างสภาพแวดล้อมการทำงานที่แยกจากกัน เพื่อช่วยป้องกันการโจมตี hypervisor เช่น data replay, memory re-mapping และอื่น ๆ"

AMD ได้ออกมาตรการลดผลกระทบ โดยกำหนดให้มีการอัปเดต Microcode บนแพลตฟอร์มที่ได้รับผลกระทบทั้งหมด เพื่อป้องกันการเรียกใช้ Microcode ที่เป็นอันตราย

แพลตฟอร์มบางส่วนยังต้องการการอัปเดตเฟิร์มแวร์ SEV สำหรับการตรวจสอบความถูกต้องของ SEV-SNP โดยผู้ใช้งานต้องอัปเดตระบบ BIOS และรีบูตเครื่องเพื่อเปิดใช้งานการตรวจสอบมาตรการลดผลกระทบ

เพื่อยืนยันว่าได้ติดตั้งมาตรการลดผลกระทบอย่างถูกต้อง ให้ตรวจสอบว่าเวอร์ชันของ Microcode ตรงกับเวอร์ชันที่ระบุในตารางด้านล่างนี้

ทีมความปลอดภัยของ Google ระบุว่า "เราได้แสดงให้เห็นถึงความสามารถในการสร้างแพตช์ Microcode ที่เป็นอันตรายได้ตามต้องการบน CPU ตั้งแต่ Zen 1 ถึง Zen 4 ช่องโหว่นี้เกิดจากการที่ CPU ใช้ฟังก์ชันแฮชที่ไม่ปลอดภัยในการตรวจสอบ Signature สำหรับการอัปเดต Microcode"

ช่องโหว่นี้สามารถถูกใช้โดยผู้ไม่หวังดีเพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ได้รับการป้องกันโดย AMD Secure Encrypted Virtualization เวอร์ชันล่าสุด (SEV-SNP) หรือเพื่อโจมตีระบบ Dynamic Root of Trust Measurement"

นักวิจัยด้านความปลอดภัยของ Google ซึ่งได้รับเครดิตในการค้นพบช่องโหว่ และรายงานช่องโหว่นี้ให้ AMD ทราบ ได้เผยแพร่ PoC สำหรับการโจมตี ซึ่งผ่านการทดสอบบน CPU AMD EPYC และ AMD Ryzen 9 โดยแสดงให้เห็นว่าผู้ไม่หวังดีสามารถสร้างแพตช์ Microcode ตามต้องการได้

PoC ของพวกเขาทำให้คำสั่ง RDRAND บนโปรเซสเซอร์ AMD Zen ที่มีช่องโหว่คืนค่าคงที่เป็น 4 เสมอ ซึ่งตั้งค่าสถานะ carry flag (CF) เป็น 0 ด้วยเช่นกัน ซึ่งแสดงให้เห็นถึงว่าค่าที่ส่งคืนไม่ถูกต้อง และทำให้มั่นใจว่าผู้ไม่หวังดีไม่สามารถใช้การโจมตีนี้ "เพื่อโจมตี Workloads การประมวลผลที่เป็นความลับที่ทำงานได้อย่างถูกต้อง"

สัปดาห์นี้ AMD ได้รับรายงานจาก Li-Chung Chiang ที่ NTU (National Taiwan University) ซึ่งอธิบายถึงการโจมตีแบบ side-channel ที่ใช้ cache-based ต่อ Secure Encrypted Virtualization (SEV) ที่ส่งผลกระทบต่อโปรเซสเซอร์ในศูนย์ข้อมูล (1st Gen ถึง 4th Gen AMD EPYC) และโปรเซสเซอร์แบบฝังตัว (AMD EPYC 3000/7002/7003/9004)

AMD แนะนำให้นักพัฒนาปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการโจมตีแบบ prime and probe (เช่น อัลกอริธึมที่ใช้เวลาเท่ากัน) หลีกเลี่ยงการใช้ข้อมูลที่ขึ้นอยู่กับ secret-dependent และปฏิบัติตามคำแนะนำเกี่ยวกับการโจมตีประเภท Spectre

ที่มา : bleepingcomputer