นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.

Echo Duan นักวิเคราะห์ภัยคุกคามบนโทรศัพท์มือถือจากบริษัท Trend Micro ได้เปิดเผยรายละเอียดของช่องโหว่บนแอปพลิเคชันยอดนิยม SHAREit สำหรับ Android ที่มียอดดาวน์โหลดมากกว่าหนึ่งพันล้าน หลังจากผู้พัฒนาแอปพลิเคชันไม่ได้ทำการแก้ไขช่องโหว่หลังจากรับรายงานช่องโหว่ไปแล้วนานกว่าสามเดือน

ตามรายงานจาก Duan ระบุว่าช่องโหว่บนแอปพลิเคชัน SHAREit สำหรับ Android ซึ่งเป็นแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ที่จะอนุญาตให้ผู้ใช้แชร์ไฟล์กับเพื่อนหรือระหว่างอุปกรณ์ส่วนตัวได้ โดยช่องโหว่จะเปิดโอกาสให้ผู้ประสงค์ร้ายสามารถใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายบนสมาร์ทโฟนที่ติดตั้งแอป SHAREit โดยผู้โจมตีที่ทำการ Person-in-the-middle ในเครือข่ายสามารถส่งคำสั่งที่เป็นอันตรายไปยังแอพ SHAREit และเรียกใช้โค้ดที่กำหนดเองหรือติดตั้งแอปของผู้ประสงค์ร้ายได้

นอกจากนี้แอปยังมีความเสี่ยงต่อการโจมตีแบบ Man-in-the-Disk ที่ผู้โจมตีสามารถลบแก้ไขหรือแทนที่ข้อมูลในตำแหน่งพื้นที่เก็บข้อมูลของโทรศัพท์ที่แชร์ข้อมูลกับแอปอื่นๆ ได้

เนื่องจาก Duan ได้รายงานช่องโหว่ไปยังผู้พัฒนาแอปพลิเคชันให้ทำการแก้ไขช่องโหว่ดังกล่าว แต่หลังจากเวลาผ่านไปสามเดือนผู้พัฒนาแอปพลิเคชันยังไม่ได้ทำการแก้ไขช่องโหว่ Duan จึงตัดสินใจเผยเเพร่รายละเอียดของช่องโหว่สู่สาธารณะ

ทั้งนี้การประกาศบนเว็บไซต์ของบริษัทผู้พัฒนาแอปพลิเคชัน SHAREit ได้อ้างว่าแอปของพวกเขาถูกใช้โดยผู้ใช้มากกว่า 1.8 พันล้านคนในกว่า 200 ประเทศทั่วโลก โดยช่องโหว่นี้จะไม่ส่งผลกระทบต่อแอป SHAREit สำหรับ iOS ซึ่งทำงานบน Codebase อื่น

ที่มา : zdnet

โดยปกติในอุปกรณ์ที่ใช้ iOS นั้น หากผู้ใช้งานมีการตั้งค่า Fraudulent Website Warning ไว้ในแอป Safari เมื่อผู้ใช้งานพยายามจะเข้าเว็บไซต์ใด Safari จะทำการส่งข้อมูลที่เกี่ยวข้องกับการเข้าถึงแบบไม่สามารถระบุตัวตนได้ไปยังบริการ Safe Browsing ของ Google เพื่อตรวจสอบความเป็นอันตรายของการเข้าถึงดังกล่าว ผู้ใช้งานจะได้รับการแจ้งเตือนเป็นหน้าสีแดงหากผลลัพธ์ออกมาว่าเว็บไซต์ที่ผู้ใช้งานกำลังจะเข้าถึงนั้นเป็นอันตราย

อย่างไรก็ตามแม้ว่าข้อมูลที่ Safari ส่งให้กับ Safe Browsing จะอยู่ในสถานะที่ปราศจากข้อมูลส่วนบุคคลหรือข้อมูลที่บ่งชี้พฤติกรรมการใช้งานได้ Google ก็ยังคงทราบหมายเลขไอพีแอดเดรสของอุปกรณ์ที่ส่งข้อมูลมาอยู่ดี

หลังจากความตั้งใจของแอปเปิลเกี่ยวกับการพยายามเพิ่มความเป็นส่วนตัวของผู้ใช้งานซึ่งแสดงให้เห็นจากหลายฟีเจอร์ที่ถูกเพิ่มเข้ามาใน iOS หนึ่งในฟีเจอร์อีกหนึ่งอย่างที่กำลังจะเพิ่มเข้ามาใน iOS 14.5 นั้นคือการทำพร็อกซีให้กับแอป Safari ก่อนที่จะมีการส่งข้อมูลไปยัง Safe Browsing ซึ่งจะส่งผลให้หมายเลขไอพีแอดเดรสทั้งหมดที่ Safe Browsing จะเห็นนั้นเป็นหมายเลขไอพีเดียวกัน

ฟีเจอร์นี้ได้ถูกอิมพลีเมนต์ลงไปแล้วใน iOS 14.5 beta หลังจากที่ถูกค้นพบโดยผู้ใช้งาน Reddit ซึ่งใช้ชื่อบัญชีว่า jaydenkieran โดย Apple อาจมีจะมีการปล่อย iOS รุ่นใหม่นี้ในช่วงเดือนกุมภาพันธ์/มีนาคมที่จะถึงนี้

ที่มา: zdnet

นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

นักวิจัยจาก Snyk ออกบทความเผยแพร่การค้นพบพฤติกรรมอันตราย SDK โฆษณาใน iOS ชื่อ Mintegral SDK จากบริษัทโฆษณา Mobvista ประเทศจีนมีพฤติกรรมขโมยข้อมูลของผู้ใช้งานและขโมยการกดคลิกโฆษณาของ SDK โฆษณาตัวอื่น Mintegral SDK มีแอปใช้งานกว่า 1,200 แอป รวมยอดผู้ใช้งานกว่า 300 ล้านคนต่อเดือน

Snyk ระบุว่า Mintegral SDK เก็บข้อมูลของผู้ใช้งานผ่านการเก็บ URL request ที่เกิดขึ้นบนแอปที่ใช้ Mintegral SDK ซึ่งเป็นไปได้ที่จะมีข้อมูลส่วนบุคคลของผู้ใช้งานและข้อมูลสำคัญอื่นๆ ปนไปกับ URL request เหล่านั้น นอกจากนี้ยังมีการขโมยรายได้เมื่อผู้ใช้งานมีการกดโฆษณาบน SDK โฆษณาตัวอื่นมาเป็นรายได้ของ Mintegral SDK

ทั้งนี้ทาง Apple ระบุว่าได้ตรวจสอบรายงานของ Snyk เกี่ยวกับ Mintegral SDK แล้วและยังไม่พบหลักฐานว่า Mintegral SDK เป็นอันตรายต่อผู้ใช้งานในขณะนี้ โดย Mintegral SDK แถลงเพิ่มเติมว่าการเก็บข้อมูลที่ทำเป็นการทำเพื่อการทำโฆษณาให้เฉพาะเจาะจงกับผู้ใช้เท่านั้น ไม่ได้มีการละเมิด terms of service ของ Apple

ที่มา:

thehackernews.

ผู้ใช้ iOS โปรดระวัง! พบช่องโหว่ ‘Zero-day’ ในแอปพลิเคชัน Mail บน iOS ที่จะอนุญาติให้ผู้โจมตีสามารถทำการโจมตีเครื่องได้เมื่อเปิดอ่านอีเมล

ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัยทางไซเบอร์ ZecOps ได้เปิดเผยถึงช่องโหว่ ‘Zero-day’ ใหม่จำนวนสองรายการในอุปกรณ์ iPhone และ iPad มีผลกระทบกับผู้ใช้ iOS ตั้งเเต่ iOS เวอร์ชัน 6 จนถึง iOS เวอร์ชัน 13.4.1

ช่องโหว่ทั้งสองมีผลกระทบต่อแอปพลิเคชันเมลบน iPhone และ iPad อาจส่งผลทำให้ถูกโจมตีโดยผู้ไม่หวังดีที่ทำการโจมตีจากระยะไกล โดยใน iOS 12 ผู้โจมตีสามารถใช้วิธีการส่งอีเมลที่มีโค้ดอันตรายฝังอยู่ไปหาเหยื่อเพียงแค่เหยื่อคลิกเปิดอ่านอีเมลที่ถูกส่งมา ผู้โจมตีก็จะสามารถเข้าควบคุมระบบได้ แต่ในกรณี iOS 13 การโจมตีสามารถสำเร็จได้โดยที่เหยื่อไม่จำเป็นต้องกดเปิดอ่านอีเมลแต่อย่างใด

ZecOps ได้ทำการตรวจพบว่าการโจมตีนี้มีบุคคลสำคัญตกเป็นเป้าหมายในการโจมตีแล้วหลายคน เช่น บุคคลที่มีชื่อเสียงจาก Fortune 500 ในอเมริกาเหนือ, ผู้บริหารเครือข่ายโทรศัพท์ในญี่ปุ่น, บุคคลสำคัญในเยอรมัน, นักข่าวในยุโรป, MSSP จากซาอุดิอาระเบียและอิสราเอล

Apple ได้รับทราบปัญหาแล้วตั้งเเต่เมื่อวันที่ 19 กุมภาพันธ์ และ Apple ได้ทำการเผยแพร่แพตช์การแก้ไขสำหรับช่องโหว่นี้ในวันที่ 15 เมษายนด้วยการเปิดตัว iOS 13.4.5 เบต้า แนะนำให้ผู้ใช้ ควรงดใช้แอปพลิเคชันเมลที่ติดตั้งมาพร้อมเครื่อง โดยเปลี่ยนไปใช้แอปพลิเคชันเมลอื่นๆ เช่น Gmail หรือ Outlook ก่อนจนกว่าจะมีแพตช์การแก้ไขเพื่อความปลอดภัยจากการถูกโจมตีจากผู้ไม่หวังดี

ที่มา: zdnet

Apple ได้จ่ายเงินรางวัล $75,000 ให้แก่ Bug Hunter ที่ค้นพบช่องโหว่การแฮก iPhone และ MacBook

Apple ได้จ่ายเงินรางวัล $75,000 ในโครงการ Bug Bounty ให้กับนักวิจัยด้านความปลอดภัย Ryan Pickren ที่เปิดเผยช่องโหว่ที่ใช้สอดแแนมโดยใช้กล้องไอโฟนและไมโครโฟนบน iPhone และ MacBook โดยไม่ได้รับอนุญาตหลังจากเข้าเยี่ยมชมเว็บไซต์ที่เป็นอันตราย

การโจมตีนี้ใช้ช่องโหว่ที่เกี่ยวเนื่องกัน ได้แก่ CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 และ CVE-2020-9787 ที่เป็นช่องโหว่บน iOS หรือ macOS

การเเฮกจะเกิดเมื่อเยี่ยมชมเว็บไซต์โดยใช้ Safari บน iOS หรือ macOS จะทำให้เกิดการอนุญาตให้เว็บไซต์ที่เป็นอันตรายหรือเว็บไซต์ปลอมที่แฮกเกอร์เตรียมไว้และดูเป็นเว็บไซต์ที่เชื่อถือ เพื่อเข้าถึงกล้องและไมโครโฟของอุปกรณ์ของผู้เยื่ยมชมโดยไม่ได้รับอนุญาต ช่องโหว่นี้เกิดใน Safari เวอร์ชัน 13.0.4 เวอร์ชันบน macOS และ iOS

ข้อเเนะนำในการใช้งานเพื่อความปลอดภัย
บริษัท Apple ได้รับแจ้งปัญหาและเปิดให้อัปเดตความปลอดภัยจากช่องโหว่แล้วใน Safari เวอร์ชัน 13.0.5 (28 มกราคม 2020) และ Safari 13.1 (24 มีนาคม 2563) บน iOS หรือ macOS ผู้ใช้งานควรรีบทำการอัพเดตแอพพลิเคชั่นเพื่อความปลอดภัย

ที่มา: bleepingcomputer, ryanpickren, hotforsecurity.

 

การอัปเดตด้านความปลอดภัยของ Apple ในสัปดาห์นี้กล่าวถึงช่องโหว่มากมายใน macOS Catalina, iOS และ iPadOS, Safari และผลิตภัณฑ์ซอฟต์แวร์อื่น ๆ

macOS Catalina ได้รับแพตช์สำหรับช่องโหว่จำนวนมากที่สุดคือ 52 ส่วน ที่ได้รับผลกระทบมากที่สุดคือ tcpdump โดยมีช่องโหว่ทั้งหมด 32 ช่อง Apple แก้ไขข้อบกพร่องด้านความปลอดภัยโดยอัปเดตเป็น tcpdump เวอร์ชัน 4.9.3 และ libpcap เวอร์ชัน 1.9.1

Apple ยังได้แก้ไขข้อบกพร่องด้านความปลอดภัย 6 รายการใน OpenLDAP โดยอัปเดตเป็นรุ่น 2.4.28 รวมถึงช่องโหว่ 4 ช่องโหว่ในเคอร์เนลผ่านการปรับปรุงการจัดการหน่วยความจำ ส่วนประกอบอื่น ๆ ที่ได้รับการแก้ไข ได้แก่ ATS, Bluetooth, CallKit, CFNetwork Proxies, CUPS, FaceTime, libexpat และความปลอดภัย

ในขณะที่ช่องโหว่ส่วนใหญ่ส่งผลกระทบต่อ macOS Catalina 10.15 เท่านั้น แต่บางช่องโหว่มีผลกับ macOS High Sierra 10.13.6 และ macOS Mojave 10.14.6 เช่นกัน

การอัปเดตที่เผยแพร่สำหรับ iOS และ iPadOS ทำการแก้ไขทั้งหมด 14 ช่องโหว่ ส่วน bug ใน FaceTime ที่อาจนำไปสู่การโจมตีรูปแบบ arbitrary code execution นั้นได้รับการแก้ไขด้วยการเปิดตัว iOS 12.4.4 ซึ่งสำหรับ iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch รุ่นที่ 6

ข้อบกพร่องที่เหลือถูกแก้ไขใน iOS 13.3 และ iPadOS 13.3 สำหรับ iPhone 6s , iPad Air 2 , iPad mini 4 iPod touch 7 และรุ่นที่ใหม่กว่า ที่ส่งผลกระทบต่อ CallKit, CFNetwork Proxies, FaceTime, IOSurfaceAccelerator IOUSBDeviceFamily, Kernel, libexpat, Photos, security และ WebKit watchOS 6.1.1 (สำหรับ Apple Watch Series 1 และรุ่นที่ใหม่กว่า) รวมถึงโปรแกรมแก้ไขสำหรับ 10 ช่องโหว่ใน CallKit, CFNetwork Proxies, FaceTime, IOUSBDeviceFamily, เคอร์เนล, libexpat, security และ WebKit tvOS 13.3

Apple ยังกล่าวถึงข้อบกพร่องของ FaceTime ที่ Silvanovich ค้นพบใน watchOS 5.3.4
Safari 13.0.4 ได้ปล่อยแพทช์สำหรับสองช่องโหว่ใน WebKit ที่อาจนำไปสู่การโจมตี arbitrary code execution ขณะที่ Xcode 11.3 มาพร้อมกับการแก้ไขปัญหาใน ld64

ที่มา securityweek

Apple ได้ทำการปล่อยอัพเดตแพตช์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในหลายผลิตภัณฑ์ ได้แก่
• watchOS 5.2.1
• Safari 12.1.1
• Apple TV Software 7.3
• tvOS 12.3
• iOS 12.3 และ
• macOS Mojave 10.14.5, Security Update 2019-003 High Sierra, Security Update 2019-003 Sierra
ช่องโหว่ที่มีความรุนแรงสูงสุดที่ถูกแก้ไขในแพตช์นี้สามารถถูกผู้โจมตีใช้ควบคุมเครื่องได้จากระยะไกล ผู้โจมตีสามารถติดตั้งโปรแกรมอยู่กับสิทธิที่เกี่ยวข้องกับผู้ใช้ ดูการเปลี่ยนแปลงหรือลบข้อมูล หรือสร้างบัญชีใหม่ที่มีสิทธิผู้ใช้เต็มรูปแบบ แนะนำให้ผู้ใช้งานทำการอัปเดตแพตช์

ที่มา : us-cert