Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงใน Cisco Umbrella Virtual Appliance (VA) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ดูแลระบบได้จากระยะไกล

Fraser Hess จาก Pinnacol Assurance พบช่องโหว่ (หมายเลข CVE-2022-20773) ในกลไกการพิสูจน์ตัวตน SSH แบบใช้คีย์ของ Cisco Umbrella VA

Cisco Umbrella ให้บริการด้านความปลอดภัยบนคลาวด์ กับองค์กรกว่า 24,000 แห่ง ในการรักษาความปลอดภัย DNS ต่อการโจมตีจากฟิชชิ่ง มัลแวร์ และแรนซัมแวร์ โดยการตั้งเครื่อง virtual machine ไว้ภายในองค์กรเพื่อช่วยในการทำ DNS Forwarders ที่จะบันทึก เข้ารหัส และรับรองความถูกต้องของข้อมูล DNS

ช่องโหว่นี้เกิดจาก static SSH host key ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ด้วยการโจมตีแบบ man-in-the-middle ในการเชื่อมต่อระหว่าง SSH กับ Umbrella VA" Cisco กล่าว

หากโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึง credentials ของผู้ดูแลระบบ เปลี่ยนค่าคอนฟิค หรือ reload VA ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Umbrella VA สำหรับ Hyper-V และ VMWare ESXi เวอร์ชันก่อนหน้า 3.3.2

(more…)

Microsoft ได้เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคม หรือ Microsoft Patch Tuesday December 2020 โดยในเดือนธันวาคมนี้ Microsoft ได้ทำการแก้ไขช่องโหว่เป็นจำนวน 58 รายการในผลิตภัณฑ์ และบริการมากกว่า 10 รายกายของ Microsoft

แพตช์ที่ได้รับการแก้ไขจำนวน 22 รายการถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) และส่งผลกระทบต่อผลิตภัณฑ์ของ Microsoft เช่น Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 และ CVE-2020-17142 ) และ SharePoint (CVE-2020-17118 และ CVE-2020-17121)

ช่องโหว่ที่สำคัญอีกประการหนึ่งที่ได้รับการแก้ไขของเดือนธันวาคมนี้คือ CVE-2020-17095 ซึ่งเป็นช่องโหว่ของ Hyper-V ที่อนุญาตให้ผู้โจมตีสามารถเพิ่มสิทธิ์จากการเรียกใช้โค้ดใน Guest ของ Hyper-V และจะนำสู่การเรียกใช้โค้ดบนโฮสต์ Hyper-V โดยการส่งผ่านแพ็กเก็ต vSMB ที่ไม่ถูกต้อง

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: zdnet

RegretLocker มัลแวร์เรียกค่าไถ่ตัวใหม่จะเข้ารหัสไฟล์ในดิสก์ของ Hyper-V ด้วยผ่านการ Mount และเข้าไปเข้ารหัส

ตามทฤษฎี Cryptovirology ซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มักจะมีจุดอ่อนอยู่ในระหว่างที่มันกำลังเข้ารหัส เนื่องจากหากมันถูกตรวจจับได้และถูกขัดจังหวะ มัลแวร์จะไม่สามารถทำตามภารกิจได้อย่างสมบูรณ์ การพัฒนามัลแวร์เรียกค่าไถ่โดยส่วนใหญ่จึงเน้นไปที่การพัฒนาให้มัลแวร์สามารถทำงานได้เงียบและเร็วที่สุด ซึ่งหนึ่งในแนวทางนั้นคือการไม่เข้ารหัสไฟล์ที่มีขนาดใหญ่เพื่อไม่ให้เสียเวลา

อย่างไรก็ตามนักวิจัยด้านความปลอดภัย Vitali Kremez ได้มีการพูดถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ RegretLocker ซึ่งเขาได้ทำการวิเคราะห์ไปหลังจากมีการตรวจพบว่า RegretLocker จะไม่ข้ามไฟล์ตระกูล VHD และ VHDX ซึ่งเป็นไฟล์ดิสก์ของ virtual machine ในแพลตฟอร์ม Hyper-V แต่จะทำการ mount ไฟล์ดิสก์ดังกล่าวและเข้าไปเข้ารหัสไฟล์ใน virtual machine ด้วย

ในกระบวนการดังกล่าว RegretLocker มีการเรียกใช้ API ของระบบในกลุ่ม Windows Virtual Storage API อย่าง OpenVitualDIsk, AttachVirtualDisk และ GetVirturalDiskPhysicalPath ในการ mount ไฟล์ดิสก์ให้กลายเป็นพาร์ติชันจำลอง จากนั้นมัลแวร์จะเข้าถึงไฟล์ที่อยู่ภายในและทำการเข้ารหัสตามปกติ วิธีการในลักษณะนี้จะทำให้ความเร็วในการเข้ารหัสมีมากกว่าการเข้ารหัสไฟล์ฮาร์ดดิสก์ทั้งไฟล์ และสร้าง impact ได้มากกว่าการข้ามไฟล์เหล่านี้ไปด้วย

แม้ในขณะนี้มัลแวร์เรียกค่าไถ่ RegretLocker จะไม่ใช่กลุ่มที่มีความ active ในการแพร่กระจายสูง แต่เทคนิคในลักษณะนี้ก็อาจถูกนำไปใช้โดยมัลแวร์เรียกค่าไถ่สายพันธุ์อื่นเช่นเดียวกัน

ที่มา: bleepingcomputer