นักวิจัยพบแคมเปญ Malvertising ใหม่ที่ใช้โหว่แบบ Zero-day ใน WebKit เพื่อรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ไม่เหมาะสม

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.

Google Chrome เตรียมปล่อยแพตช์ช่องโหว่เพิ่มอีก 2 หลังจากพบการใช้ช่องโหว่เพื่อโจมตี

Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

พบช่องโหว่ Zero-day ใน Chrome จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Google ประกาศรายละเอียดช่องโหว่ Zero-day ใน Windows เร่งด่วน พบการโจมตีแล้ว ยังไม่มีการแพตช์ในขณะนี้

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

Google ประกาศฟีเจอร์ใหม่เพื่อจัดการกับ URL Spoofing ใน Google Chrome เวอร์ชั่น 86

Google เตรียมพร้อมเผยแพร่ฟีเจอร์ใหม่ที่จะช่วยให้ผู้ใช้งานสามารถสังเกตความพยายามในการปลอมแปลง URL (URL spoofing) ซึ่งมักเป็นเทคนิคที่ถูกใช้ในการหลอกลวงใน Google Chrome เวอร์ชัน 86

จาการวิจัยโดย Google และมหาวิทยาลัยอิลลินอยส์ ในแคมเปญ Urbana-Champaign พบว่า 60% ของผู้ใช้ที่ถูกหลอกลวงให้ไปยัง URL ที่ทำให้เข้าใจผิดคิดว่าเป็นแบรนด์หรือชื่อที่ถูกต้อง โดยเพื่อป้องกันการโจมตีลักษณะดังกล่าวผู้พัฒนาเว็บเบราว์เซอร์ได้เริ่มทดสอบวิธีการต่างๆ เช่นการแสดงเฉพาะส่วนที่โดเมนได้ทำการลงทะเบียนหรือการไฮไลต์ในแถบ Address Bar แทนที่จะแสดง URL แบบเต็ม

ทั้งนี้ Google ได้วางเเผนเพื่อทำการทดสอบฟีเจอร์ดังกล่าวเพื่อเตรียมความพร้อมสำหรับการใช้งานใน Google Chrome เวอร์ชั่น 86 ที่จะได้รับการเปิดตัวในเดือนตุลาคมที่จะถึงนี้ โดยใน Chrome 86 จะแสดงเฉพาะชื่อโดเมนตามค่าเริ่มต้นและ URL แบบเต็มเมื่อผู้ใช้วางเมาส์ใน Address Bar หรืออีกวิธีหนึ่งคือผู้ใช้สามารถคลิกขวาที่ URL และเลือก “Always show full URLs” หากผู้ใช้งานไม่ชอบฟีเจอร์ที่เพิ่มเข้ามานี้

สำหรับผู้ที่สนใจอยากเข้าร่วมการทดสอบนี้ Google เปิดให้ผู้ใช้ทดสอบและสามารถติดตั้งใน Google Chrome เวอร์ชั่น Canary หรือ Dev โดยสามารถเปิดใช้านได้ใน chrome://flags เพื่อเปิดใช้งานฟีเจอร์ดังกล่าว

ที่มา: securityweek.

Google แก้ไขช่องโหว่บนเบราว์เซอร์ Google Chrome

Google เปิดให้อัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Google Chrome ก่อนเวอร์ชั่น 80.0.3987.149 ช่องโหว่ค้นพบโดย David Manouchehri นักล่าเงินรางวัลและเป็นผู้ค้นพบช่องโหว่ CVE-2020-6422 ที่เป็นช่องโหว่ Use After Free (UAF) ใน WebGL และรับเงินรางวัล $8,500 จากโคงการ bug bounty ของ Google

รายละเอียดช่องโหว่

CVE-2020-6422 เป็นช่องโหว่โจมตีจากระยะไกล (REC) ที่จะอนุญาติให้ผู้โจมตีฯ heap ทำให้เกิด heap corruption ผ่าน HTML ที่ผู้โจมตีสร้างขึ้น

การอัปเดตความปลอดภัย

Google ยังระบุการเเก้ไขช่องโหว่ความปลอดภัยอีกจำนวน 13 รายการ และได้เปิดอัปเดต Chrome เวอร์ชั่น 80.0.3987.149 ที่สามารถใช้งานและดาวน์โหลดได้ใน Windows, Mac OS และ Linux

ที่มา : google-chrome-bugs

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Google Releases Security Updates for Chrome

Google ได้ปล่อยอัพเดท Google Chrome เวอร์ชัน 71.0.3578.98 สำหรับ Windows, Mac และ Linux แล้ว โดยเวอร์ชันนี้ได้ปิดช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้ามาควบคุมระบบ รวมทั้งมีความสามารถใหม่ๆ สำหรับอุปกรณ์ Google Pixel Slate ด้วย

The National Cybersecurity and Communications Integration Center (NCCIC) ซึ่งเป็นส่วนหนึ่งของหน่วยงานด้านความปลอดภัยระบบรักษาความปลอดภัยบนอินเทอร์เน็ตและเครือข่าย (CISA) แนะนำให้ผู้ใช้และผู้ดูแลระบบ ติดตามประกาศต่างๆ จาก Google และทำการอัพเดทเวอร์ชันใหม่อยู่เสมอ

ที่มา : us-cert

Google Chrome 62 Released for Linux, Mac, and Windows

Google มีการเปิดตัวเวอร์ชันใหม่สำหรับ Google Chrome ในรุ่น 62 ซึ่งนอกจากจะมีฟีเจอร์ใหม่ๆ จำนวนมาก Google Chrome ในเวอร์ชันนี้ยังมีการปรับปรุงและการเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ กว่าอีก 35 รายการ

ฟีเจอร์ใหม่ที่น่าสนใจคือ การรองรับ Fonts แบบ OpenType, การจับภาพ stream DOM และการแจ้งเตือน HTTP สำหรับเมื่อมีการใช้งานในโหมดระบุตัวตนและ Payment API สำหรับ iOS เป็นต้น ในส่วนของแพตช์ด้านความปลอดภัยนั้นมีแพตช์ที่มีความเสี่ยงสูงจำนวน 8 รายการ, ความเสี่ยงปานกลาง 7 รายการ และความเสี่ยงต่ำ 5 รายการ

แนะนำให้ผู้ใช้งานทำการดาวโหลดและติดตั้งเวอร์ชันล่าสุดในทันที

ที่มา : bleepingcomputer

Google Chrome Will Soon Warn You of Software That Performs MitM Attacks

Google Chrome 63 เพิ่มฟีเจอร์ด้านความปลอดภัยใหม่ที่จะตรวจจับเมื่อ third-party software ทำการโจมตี Man-in-the-Middle (MitM) เพื่อเข้าถึงทราฟิกหรือการเชื่อมต่ออินเทอร์เน็ตของผู้ใช้
การโจมตีแบบ MitM นี้จะเกิดขึ้นได้จากการที่มี Application บนเครื่องของผู้ใช้งานหรือเครื่องอื่นๆ ภายใน Local Network เดียวกันพยายามดักฟังและแก้ไขหรือเปลี่ยนแปลง Traffic ของผู้ใช้งาน
สำหรับการโจมตีแบบ MitM ส่วนที่ยากที่สุดคือจัดการกับทราฟิิกบน HTTPS ซึ่งการโจมตีลักษณะนี้มักไม่สามารถทำการ Rewrite การเชื่อมต่อที่เข้ารหัสของผู้ใช้งานได้อย่างสมบูรณ์ ทำให้เกิด SSL Error ที่ Google Chrome สามารถตรวจจับได้ ซึ่งฟีเจอร์ใหม่บน Chrome 63 สามารถทำการตรวจจับและแจ้งเตือนเหตุการณ์ลักษณะนี้ได้ชัดเจนมากขึ้น ทำให้ผู้ใช้งานรู้ตัวว่าการเชื่อมต่อของตนเองนั้นกำลังตกอยู่ในอันตราย
โดย Google จะทำการเปิดตัว Chrome 63 ในวันที่ 5 ธันวาคม โดยในระหว่างนี้ผู้ใช้สามารถดูตัวอย่างได้จาก Google Canary

ที่มา : bleepingcomputer