DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้
นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11
(more…)
วันที่ 24 พฤษภาคม ที่ผ่านมา มีนักพัฒนาได้สังเกตเห็น “CTX” และ “PHPass” ที่เป็น Library ของ Python และ PHP มีการเปลี่ยนแปลงบางอย่างเพื่อใช้ขโมย AWS credentials ของนักพัฒนาซอฟต์แวร์ โดย library ดังกล่าวได้ถูกดาวน์โหลดไปแล้วมากกว่า 3 ล้านครั้งตลอดช่วงเวลาที่ผ่านมา จึงทำให้กลุ่มนักพัฒนารู้สึกวิตกกังวลจากผลกระทบจาก Hijacking บน Software supply chain นี้
แฮ็กเกอร์ที่อยู่เบื้องหลังการ Hijacking ในครั้งนี้ได้ออกมาอธิบายเหตุผลของการดำเนินการในครั้งนี้ว่า เขาทำไปเพื่อเป็นการฝึกหา Bug และไม่ได้มีเจตนาร้ายใด ๆ
ซึ่งอันที่จริงแล้ว แฮ็กเกอร์ที่ว่านี้เป็นนักวิจัยความปลอดภัยชื่อว่า Yunus Aydin หรือ Sock Puppets ที่อยู่ในอีสตันบูล โดยได้รับการยืนยันข้อเท็จจริงจาก BleepingComputer โดยเขาได้บอกเหตุผลของการขโมย AWS credentials ว่าต้องการให้เห็นถึงผลกระทบสูงสุด ของการโจมตีในรูปแบบนี้
“CTX” ที่เป็น Python library พบว่าถูกโจมตีครั้งแรกจาก Reddit เมื่อมีผู้ใช้ชื่อว่า jimtk ได้สังเกตว่า Library ที่ซึ่งไม่อัพเดทมานานกว่า 8 ปีมีเวอร์ชันใหม่ออกมาอย่างกระทันหัน และมีการดึงข้อมูลจำพวก environment variables และ AWS secret keys ส่งออกไปยังปลายทางบน Heroku
ยังมี Ethical hacker อีกคน ชื่อว่า สมเทพ สังวาลย์ ที่ได้สังเกตเห็นเช่นกันว่า หนึ่งใน PHP framework “PHPass” ก็ได้ถูกดัดแปลงเพื่อขโมย AWS secret keys ในลักษณะเดียวกัน และส่งไปยังปลายทางเดียวกัน
BleepingComputer ได้สังเกตว่า ภายในเวอร์ชันที่แก้ไขของ “CTX” นั้น ชื่อของผู้เขียน “author” ได้รับการแก้ไข โดยมีการระบุชื่อของ “Yunus AYDIN แทนที่ Robert Ledger ที่เป็นผู้ดูแล Library คนเดิม แต่ว่าที่อยู่อีเมลของบัญชียังคงอยู่เหมือนเดิม
ในระหว่างที่ Yunus AYDIN อ้างว่าเป็นการทำไปเพื่องานวิจัยทั้งหมด แต่ผู้ที่ได้รับผลกระทบจากพฤติกรรมเหล่านี้อาจจะไม่ได้มองแบบเดียวกัน
POC และ Bug Bounty Exercises ส่วนใหญ่ที่กำหนดเป้าหมายไปที่ Open source libraries จะใช้โค้ดแบบง่าย ๆ เช่น การพิมพ์ข้อความว่า “you are hacked!” บนระบบของเป้าหมาย หรือการดึงเฉพาะข้อมูลพื้นฐานออกไป เช่น User IP Address, hostname และ working directory
นักวิจัยสามารถใช้ข้อมูลนี้เพื่อพิสูจน์ว่าพวกเขาเจาะระบบได้สำเร็จ และได้รับรางวัลจากโครงการ bug bounty และต้องเปิดเผยข้อมูลอย่างตรงไปตรงมา
แต่ในกรณีของ “CTX” และ “PHPass” เวอร์ชันที่ถูก Hijacking นั้นไม่ได้หยุดอยู่แค่การ POC แต่การกระทำครั้งนี้ยังได้ขโมย environment variables และ AWS credentials ไปด้วย จึงทำให้เกิดข้อสงสัยในเจตนาของ hijacker
การขโมยข้อมูลสำคัญที่ถูกเก็บไว้ใน environment variables เช่น รหัสผ่าน หรือ API keys เป็นการข้ามเส้น โดยเฉพาะอย่างยิ่งเมื่อมีการ hijacking library ยอดนิยมอย่าง ‘ctx’ และ ‘PHPass’
ทาง Aydin ได้กล่าวว่า การวิจัยทั้งหมดของเขาไม่ได้เป็นปฏิบัติการที่เป็นอันตรายแต่อย่างใด และเขาได้มีการส่งรายงานไปที่ HackerOne เพื่อแสดงถึงผลกระทบที่อาจจะเกิดขึ้นแล้ว โดยต้องการแสดงให้เห็นว่าการโจมตีง่าย ๆ นี้ ส่งผลต่อผู้ใช้ และบริษัทกว่า 10 ล้านคนได้ยังไง และข้อมูลทั้งหมดที่เขาได้รับจะถูกลบ และไม่ได้นำไปใช้งานต่อแต่อย่างใด
ในส่วนของวิธีการที่ Aydin ทำการ Hijacking นั้น เริ่มจากเขาได้ใช้บอทเพื่อรวบรวมข้อมูล open source registry ต่าง ๆ และขุดที่อยู่อีเมลของผู้ดูแลที่ถูกระบุไว้แต่ละแพคเกจใน registry และทุกครั้งที่บอทพบที่อยู่อีเมลที่ใช้ชื่อโดเมนที่กำหนดเอง ซึ่งหมดอายุแล้ว Aydin จะได้รับการแจ้งเตือน
ซึ่ง ‘ctx’ ที่ไม่ได้มีการอัพเดทมานานหลายปีได้เผยแพร่ Registry ไปยัง PyPI โดยใช้ที่อยู่อีเมลผู้ดูแลเป็น figlief@figlief[.]com
Aydin ได้อธิบายว่าหลังจากที่บอทพบ domain ดังกล่าวที่หมดอายุก็จะมีการแจ้งเตือนว่าโดเมนไม่ถูกต้อง ดังนั้น ถ้าเขาซื้อโดเมนนั้น เขาจะสามารถส่งอีเมลลืมรหัสผ่าน และเข้าครอบครองแพคเกจ นั้นได้ หลังจากลงทะเบียนชื่อโดเมน figlief[.]com ที่พร้อมใช้งานแล้ว และได้สร้างที่อยู่อีเมลของผู้ดูแลใหม่แล้ว เขาก็จะเริ่มต้นการรีเซ็ตรหัสผ่านบน PyPI สำหรับ ‘ctx’ project ได้สำเร็จ
ด้วยวิธีนี้เขาสามารถเข้าสู่บัญชีผู้ดูแล PyPI สำหรับแพคเกจ ‘ctx’ และเผยแพร่เวอร์ชันที่แก้ไขแล้วได้
การ Hijacking ผ่านโดเมนผู้ดูแลระบบที่หมดอายุนั้นไม่ใช่การโจมตีแบบใหม่ และนี่เป็นปัญหาที่ทราบกันดีอยู่แล้ว ซึ่งไม่เพียงแค่การลงทะเบียน open source เท่านั้น แต่ยังรวมถึงเว็บไซต์แทบทุกแห่งที่ผู้ใช้สามารถลงทะเบียนบัญชีด้วยที่อยู่อีเมลแบบชื่อโดเมนที่กำหนดเองได้ ซึ่งหากชื่อโดเมนหมดอายุในภายหลัง ก็อาจทำให้ผู้ไม่หวังดีสามารถลงทะเบียนชื่อโดเมน และเข้าสู่ระบบเพื่อรีเซ็ตรหัสผ่านได้
นอกจากนี้ กรณีศึกษาจากนักวิจัยจาก Microsoft และ North Carolina State University พบว่าโปรเจ็กต์ JavaScript หลายพันโปรเจ็กต์บน npm ก็มีที่อยู่อีเมลของผู้ดูแลที่ใช้ชื่อโดเมนที่หมดอายุ ซึ่งทำให้โปรเจ็กต์เหล่านี้เสี่ยงต่อการถูก Hijacks ด้วยเช่นกัน
ที่มา : bleepingcomputer.
บัญชี Airbnb อาจถูก Hijacking ได้โดยการใช้เบอร์โทรที่ถูกรีไซเคิลแล้วนำมาสมัครสมาชิก
SecurityWeek ได้รับการติดต่อจากผู้ใช้ที่มีชื่อว่า Maya ถึงเรื่องช่องโหว่ใน Airbnb ที่อาจทำให้ถูก Hijacking บัญชีได้จากการใช้เบอร์โทรศัพท์ที่ถูกรีไซเคิลแล้วนำมาสมัคสมาชิกบัญชี Airbnb ใหม่
ช่องโหว่ถูกค้นพบโดยบังเอิญจากสามีของเธอซึ่งได้ทำการที่จะสร้างบัญชี Airbnb โดยหลังจากป้อนหมายเลขโทรศัพท์ระหว่างขั้นตอนการลงทะเบียนบัญชี ซึ่งหลังจากการป้อนหมายเลขที่ได้รับซึ่งเป็นรหัส 4 หลักทาง SMS แล้วเข้าสู่บัญชี แต่สิ่งที่เขาได้รับคือการเข้าสู่บัญชีของเจ้าของหมายเลขโทรศัพท์คนก่อน โดยบัญชีที่พวกเขาเข้าถึงโดยบังเอิญเป็นของผู้หญิงคนหนึ่งจากนอร์ทแคโรไลนาซึ่งภายในบัญชีมีข้อมูลเช่น รูปถ่าย, ที่อยู่, อีเมล, หมายเลขโทรศัพท์และข้อมูลส่วนบุคคลอื่นๆ นอกจากนี้บัญชีนี้ยังคงมีบัตรเครดิตที่สามารถชำระเงินได้อยู่ทำให้สามารถจองห้องได้ในนามของผู้ใช้คนก่อนได้โดยใช้บัตรที่อยู่ภายในบัญชี
หลังจากพบช่องโหว่ Maya ได้ทำการติดต่อ Airbnb และอธิบายสิ่งที่พบเพื่อให้ Airbnb เเก้ไขช่องโหว่นี้ โดย Airbnb ได้ทำการเเก้ไขปัญหานี้แล้วและยังได้ระบุว่ามีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบจากช่องโหว่นี้
ที่มา: securityweek.
กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา (DHS) ได้ประกาศ "คำสั่งฉุกเฉิน" ซึ่งมีรายละเอียดและคำแนะนำเกี่ยวกับเหตุการณ์ DNS hijacking จากอิหร่าน
คำสั่งฉุกเฉินสั่งให้หน่วยงานของรัฐตรวจสอบ DNS records ว่ามีการแก้ไขที่ไม่ได้รับอนุญาตหรือไม่ สั่งให้เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบความถูกต้องหลายปัจจัย (multi-factor authentication) สำหรับบัญชีทั้งหมดที่สามารถจัดการ DNS records ได้ นอกจากนี้เอกสารของ DHS ยังเรียกร้องให้บุคลากรด้านไอทีของรัฐบาลตรวจสอบใบรับรอง Certificate Transparency (CT) ด้วย
รายงานระบุรายละเอียดเกี่ยวกับแคมเปญที่มีการประสานงานกันระหว่างกลุ่มที่หน่วยสืบราชการลับทางไซเบอร์เชื่อว่าเป็นการดำเนินการนอกอิหร่าน มีจัดการ DNS records สำหรับโดเมนของบริษัทเอกชนและหน่วยงานรัฐบาล โดยวัตถุประสงค์ของ DNS hijacks เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลทางเว็บของบริษัท และเซิร์ฟเวอร์อีเมลของหน่วยงานไปสู่เซิร์ฟเวอร์ที่เป็นอันตราย ซึ่งแฮกเกอร์ชาวอิหร่านจะทำการรวบรวมรายละเอียดการเข้าสู่ระบบของเหยื่อ
ตอนนี้เจ้าหน้าที่ DHS ต้องการทราบผลกระทบของเหตุการณ์นี้ในทุกหน่วยงานรัฐบาลของสหรัฐอเมริกาและให้หน่วยงานจัดทำแผนปฏิบัติการสี่ขั้นตอนที่มีรายละเอียดในเอกสารคำสั่ง
ที่มา: www.
นักวิจัยของบริษัท ReVuln(บริษัทที่หาช่องโหว่และนำช่องโหว่ที่พบไปขายให้กับเจ้าของโปรแกรมนั้นๆ) ที่ชื่อ Luigi Auriemma และ Donato Ferrante ได้ค้นพบช่องโหว่ในโปรแกรม NVIDIA mental ray(โปรแกรมที่ใช้ในเชื่อมต่อเครื่องคอมพิวเตอร์หลายๆเครื่องเข้าด้วยกันเพื่อใช้ในการ Render ภาพ) เวอร์ชั่น 3.11.1.10 ลงไป โดยช่องโหว่นี้เกิดจากการที่โปรแกรม NVIDIA mental ray เปิด Port TCP เอาไว้(Port 7520 ในเวอร์ชั่นที่ใหม่ที่สุด)เพื่อรองรับการเชื่อมต่อที่ร้องขอเข้ามา จากการเปิดโพรโตคอลนี้ไว้ทำให้ผู้โจมตีสามารถส่งแพ็คเกจที่ทำขึ้นมาเพื่อสั่งให้โหลด arbitrary DLLs บนเครื่องของเป้าหมาย และทำการควบคุมเครื่องคอมพิวเตอร์ที่ใช้ในการเรนเดอร์ที่เชื่อมต่ออยู่ทั้งหมดได้ ช่องโหว่นี้มีผลกระทบกับโปรแกรมทั้งเวอร์ชั่น 32 บิทและ 64 บิท ทางนักวิจัยยังไม่ได้รายงานช่องโหว่นี้ให้กับผู้ผลิตโปรแกรมและไม่ได้ให้เหตุผลว่าทำไมถึงไม่ส่งช่องโหว่นี้ให้กับผู้ผลิตโปรแกรม
ที่มา : net-security