Microsoft’s February 2020 Patch Tuesday Fixes 99 Flaws, IE 0day

ไมโครซอฟต์ออกแพตช์ประจำเดือนกุมภาพันธ์ 2020
ไมโครซอฟต์ได้แก้ไขข้อบกพร่อง 99 รายการซึ่งรวมไปถึงช่องโหว่ 0 day ใน Internet Explorer (IE) ในแพตช์ประจำเดือนกุมภาพันธ์ 2020 มีช่องโหว่ระดับ Critical 10 ช่องโหว่ ระดับ Important 87 ช่องโหว่และระดับ Moderate 2 ช่องโหว่
ในการแก้ไขครั้งนี้ยังรวมไปถึงการแก้ไขช่องโหว่ CVE-2020-0674 ช่องโหว่ 0 day ใน Internet Explorer (IE) ซึ่งมีการพบการโจมตีแล้ว
ผู้ใช้ควรอัปเดทติดตั้งความปลอดภัยโดยเร็วที่สุดเพื่อป้องกันวินโดว์จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
นอกเหนือจากช่องโหว่ IE CVE-2020-0674 แล้วไมโครซอฟต์ระบุว่ามีการเปิดเผยช่องโหว่อื่นอีกสามช่องโหว่ต่อสาธารณชนแต่ยังไม่พบการโจมตีช่องโหว่เหล่านี้ ได้แก่ CVE-2020-0683 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer CVE-2020-0686 ช่องโหว่ยกระดับสิทธิ์ใน Windows Installer และ CVE-2020-0706 ช่องโหว่การเปิดเผยข้อมูลใน Microsoft Browser

ที่มา : bleepcomputer

Microsoft warns about Internet Explorer zero-day, but no patch yet

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.

Internet Explorer scripting engine becomes North Korean APT’s favorite target in 2018

Script engine ของ Internet Explorer เป็นเป้าหมายที่ได้รับความสนใจจากกลุ่มผู้โจมตีทางไซเบอร์ของเกาหลีเหนือในปีนี้ หลังจากที่แฮกเกอร์ได้ใช้ช่องโหว่ zero-day ทั้งใหม่และเก่าเพื่อเป็นเครื่องมือในการโจมตี

DarkHotel กลุ่มผู้โจมตีทางไซเบอร์ที่ McAfee และผู้เชี่ยวชาญจากหลายๆ องค์กรเชื่อว่าน่าจะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเคยถูกระบุในรายงานของ Kaspersky เมื่อปี 2014 ว่าเป็นกลุ่มที่ทำการโจมตีระบบ WiFi ของโรงแรมมากกว่า 100 แห่งเพื่อทำการแพร่กระจายมัลแแวร์ ล่าสุดกลุ่มดังกล่าวก็ได้ลงมืออีกครั้งในปีนี้ผ่านการใช้ช่องโหว่ของ VBScript engine ของ Internet Explorer 2 ตัว ได้แก่ CVE-2018-8174 ในเดือนเมษายน และ CVE-2018-8373 ในเดือนสิงหาคม ซึ่งทั้งสองช่องโหว่ได้รับการแพทช์โดย Microsoft ไปเรียบร้อยแล้ว และที่เพิ่งถูกรายงานออกมาล่าสุดจาก Qihoo 360 Core ได้ระบุว่ากลุ่มนี้มีการใช้วิธีการโจมตีใหม่ผ่านช่องโหว่ของ IE Script เก่า 2 ตัว คือ CVE-2017-11869 และ CVE-2016-0189

ทั้งนี้ Internet Explorer เป็นจุดที่ค่อนข้างน่ากังวลมากด้านความปลอดภัย เนื่องจากถูกพัฒนามานานมากแล้ว ทำให้ Code บางส่วนอาจจะไม่ปลอดภัยในปัจจุบัน Microsoft เองก็ได้เล็งเห็นถึงจุดนี้ ในเดือนกรกฎาคมปี 2017 จึงได้ปิดความสามารถการรัน VBScript อัตโนมัติบน IE เวอร์ชั่นใหม่ๆ การปรับปรุงในครั้งนั้นอาจจะช่วยป้องกันให้ผู้โจมตีไม่สามารถรัน VBScript ที่เป็นอันตรายบนเครื่อง Windows 10 ผ่าน IE ได้ แต่ก็ไม่สามารถหยุดการโจมตีจากกลุ่ม DarkHotel ซึ่งได้เปลี่ยนวิธีการใหม่เป็นการแนบ Code ไปในเอกสาร Word เพื่อทำการเรียกหน้าเว็บผ่าน IE Frame แทน

ที่มา : zdnet

Stealthy new malware snatching credit cards from retailers’ POS systems

ทีมคอมพิวเตอร์ช่วยเหลือฉุกเฉินสหรัฐอเมริกาให้ความร่วมมือกับหน่วยสืบราชการลับและนักวิจัยที่ Trustwave ได้ออกแจ้งเตือนเกี่ยวกับมัลแวร์ตัวใหม่ที่ติดตั้งบน Point-of-Sale (POS) เรียกว่า "backoff" ซึ่งมันจะขโมยข้อมูลบัตรเครดิตออกมาจากหน่วยความจำของคอมพิวเตอร์ที่ติดมัลแวร์
เครื่อง POS เป็นเป้าหมายใหญ่สำหรับแฮกเกอร์ที่ใช้มัลแวร์ backoff ในการเก็บข้อมูลจากบัตรเครดิตและข้อมูลการทำธุรกรรมอื่นๆ และส่งข้อมูลไปยังเซิร์ฟเวอร์ระยะไกล ที่ควบคุมโดยผู้บุกรุก เพื่อสร้างบัตรเครดิตปลอมหรือขายข้อมูล นอกจากนี้ยังมีฟังก์ชั่น Keylogger ที่บันทึกการกดคีย์บนเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ และจะติดตั้ง Stub ที่เป็นอันตรายใน Internet Explorer

ที่มา : ars technica

New IE Zero-day vulnerability exploited in the wild, infects with malware

นักวิจัยระบบรักษาความปลอดภัยที่ FireEye Labs เตือนช่องโหว่ใน Internet Explorer ที่ใช้ประโยชน์จาก zero-day ในการโจมตี Watering Hole Attack ซึ่งผู้เข้าชมเว็บไซต์อันตรายที่มีมัลแวร์ฝังอยู่ อาจทำให้ติดมัลแวร์ได้

ช่องโหว่ที่มีการรั่วไหลของข้อมูล มีผลกระทบกับ windows IE8 บน Windows XP และ IE9 บน windows 7

อีกช่องโหว่หนึ่งเป็นช่องโหว่ของการเข้าถึงหน่วยความจำที่ออกแบบมาเพื่อทำงานใน IE 7 และ IE 8 บน Windows XP และ Windows 7 นักวิจัยยังพบว่าช่องโหว่นี้มีผลกระทบกับ IE 7,IE 8,IE 9 และ IE 10 อีกด้วย

หลังจากโจมตีสำเร็จ shellcode ที่ถูกใช้ในช่องโหว่ดังกล่าวจะทำการรันไฟล์ rundll3d.exe และ ทำการแทรกโค๊ดที่เป็นอันตรายลงไป จากนั้นทำการดาวน์โหลด แล้วรันไฟล์ที่มีมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตี

ที่มา : ehackingnews