Apple ออกเเพตช์แก้ไขช่องโหว่ Zero-day สามรายการ มีการถูกใช้โจมตีจริงแล้ว

Apple ประกาศเปิดตัวแพตช์อัปเดตความปลอดภัยสำหรับ iOS เพื่อแก้ไขช่องโหว่แบบ Zero-day สามช่องโหว่พร้อมรายงานว่ามีการพบการใช้ช่องโหว่ในการโจมตีจริงแล้ว

ช่องโหว่เเรกถูกติดตามด้วยรหัส CVE-2021-1782 เป็นช่องโหว่ “Race condition” ซึ่งทำให้ผู้โจมตีสามารถเพิ่มระดับสิทธิ์ในเคอร์เนล สำหรับช่องโหว่อีกสองช่องโหว่คือ CVE-2021-1870 และ CVE-2021-1871 เป็นช่องโหว่ “logic issue” ใน WebKit ที่อาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกใช้โค้ดที่เป็นอันตรายภายในเบราว์เซอร์ Safari ของผู้ใช้ได้

ทั้งนี้ช่องโหว่ Zero-days ทั้งสามถูกรายงานไปยัง Apple โดยนักวิจัยนิรนามและแพตช์อัปเดตความปลอดภัยพร้อมใช้งานแล้วใน iOS 14.4 ผู้ใช้งาน iOS ควรทำการอัปเดต iOS ให้เป็น 14.4 เพื่อเเก้ไขช่องโหว่และเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet, thehackernews

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือตั้งเป้าโจมตีนักวิจัยด้านความปลอดภัยด้วยมัลแวร์ผ่านการ Social Engineering

Google ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวเกาหลีเหนือซึ่งได้กำหนดเป้าหมายการโจมตีไปยังนักวิจัยความปลอดภัยทางไซเบอร์ โดยการชักชวนให้เข้าร่วมในการวิจัยช่องโหว่ ซึ่งการโจมตีดังกล่าวได้รับการตรวจพบโดยทีม Google Threat Analysis Group (TAG) ซึ่งเป็นทีมรักษาความปลอดภัยของ Google ที่เชี่ยวชาญในการตามล่ากลุ่มภัยคุกคาม

ตามรายงานของ TAG ระบุว่ากลุ่มแฮกชาวเกาหลีเหนือได้ใช้เทคนิค Social engineering attack ในการโจมตีกลุ่มเป้าหมาย โดยการสร้างโปรไฟล์บนเครือข่าย Social ต่าง ๆ เช่น Twitter, LinkedIn, Telegram, Discord และ Keybase เพื่อติดต่อกับนักวิจัยด้านความปลอดภัยโดยใช้รูปและที่อยู่ของบุคคลปลอม หลังจากการสร้างความน่าเชื่อถือเบื้องต้นกลุ่มเเฮกเกอร์จะเชิญชวนให้นักวิจัยทำการช่วยเหลือในการวิจัยเกี่ยวกับช่องโหว่ ซึ่งภายในโครงการวิจัยช่องโหว่นั้นจะมีโค้ดที่เป็นอันตราย ซึ่งถูกสั่งให้ติดตั้งมัลแวร์บนระบบปฏิบัติการของนักวิจัยที่ตกเป็นเป้าหมาย จากนั้น มัลแวร์ทำหน้าที่เป็นแบ็คดอร์ในการรับคำสั่งระยะไกลจากเซิร์ฟเวอร์ Command and Control (C&C) ของกลุ่มแฮกเกอร์

ตามรายงานเพิ่มเติมระบุว่ามัลแวร์ที่ถูกติดตั้งนี้มีความเชื่อมโยงกับ Lazarus Group ซึ่งเป็นกลุ่มแฮกเกอร์ปฏิบัติการที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ นอกจากการแจกจ่ายโค้ดที่เป็นอันตรายแล้วในบางกรณีกลุ่มเเฮกเกอร์ได้ขอให้นักวิจัยด้านความปลอดภัยเยี่ยมชมบล็อกผลงานการวิจัยของกลุ่มคือ blog[.]br0vvnn[.]io ซึ่งภายในบล็อกมีโค้ดที่เป็นอันตรายซึ่งทำให้คอมพิวเตอร์ของนักวิจัยด้านความปลอดภัยติดไวรัสหลังจากเข้าถึงเว็บไซต์

ทั้งนี้ผู้ที่สนใจรายละเอียดของข้อมูลและ IOC ของกลุ่มเเฮกเกอร์ดังกล่าวสามารถดูเพิ่มเติมได้ที่: blog.

พบกลุ่มแรนซัมแวร์ใหม่ที่มีชื่อว่า “Avaddon” กำลังใช้กลยุทธ์การโจมตี DDoS เพื่อกดดันให้เหยื่อจ่ายค่าไถ่

Brett Callow นักวิเคราะห์ภัยคุกคามของ Emsisoft ได้เผยเเพร่ถึงกลุ่มแรนซัมแวร์ Avaddon ที่ใช้กลยุทธ์การโจมตีแบบปฏิเสธการให้บริการ (Distributed Denial of Service - DDoS) เพื่อบังคับให้เหยื่อทำการติดต่อและเจรจาเรื่องค่าไถ่

ตามรายงานที่เปิดเผยพบว่าในเดือนตุลาคมปี 2020 พบกลุ่มปฏิบัติการแรนซัมแวร์ SunCrypt และ RagnarLocker ได้เริ่มใช้การโจมตีแบบ DDoS กับเครือข่ายหรือเว็บไซต์ของเหยื่อที่ถูกเข้ารหัส ซึ่งเป็นกลยุทธ์ใหม่ในการบังคับให้เหยื่อเปิดการเจรจาจ่ายค่าไถ่

โดยปกติแล้วผู้ที่ตกเป็นเหยื่อการโจมตีด้วยแรนซัมแวร์จำนวนมากจะกู้คืนจากการสำรองข้อมูลและจะไม่ทำการติดต่อผู้โจมตี อย่างไรก็ตามนักวิเคราะห์ภัยคุกคามได้พบกลุ่มแรนซัมแวร์ Avaddon ได้ใช้การโจมตี DDoS เพื่อทำลายเว็บไซต์หรือเครือข่ายของเหยื่อจนกว่าเหยื่อจะติดต่อพวกเขาและเริ่มเจรจา

Callow กล่าวอีกว่าไม่น่าแปลกใจเลยที่เห็นกลุ่มแรนซัมแวร์พยายามรวมเอาการโจมตีแรนซัมแวร์และการโจมตี DDoS เข้าด้วยกัน เนื่องจากในบางกรณีอาจช่วยโน้มน้าวให้บางบริษัทที่ตกเป็นเหยื่อเชื่อว่าการจ่ายเงินอย่างรวดเร็วเป็นทางเลือกที่ดีที่สุด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่าง ๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์

Kirk Sayre นักวิจัยด้านความปลอดภัยได้เปิดเผยถึงการค้นพบแคมเปญฟิชชิ่งที่ใช้คำสั่ง Finger เพื่อดาวน์โหลดและติดตั้งมัลแวร์ MineBridge บนอุปกรณ์ของผู้ที่ตกเป็นเหยื่อ

คำสั่ง "Finger" เป็นยูทิลิตี้ที่ช่วยให้ผู้ใช้สามารถเรียกดูรายชื่อและข้อมูลเกี่ยวกับผู้ใช้ได้จากระยะไกล ซึ่งในเดือนกันยายน 2020 ทีผ่านมา ได้มีนักวิจัยด้านความปลอดภัยออกรายงานถึงการค้นพบวิธีใช้ Finger เป็น Living-off-the-Land binaries (LOLBINS) เพื่อดาวน์โหลดมัลแวร์จากคอมพิวเตอร์ระยะไกล

FireEye ได้ออกรายงานเกี่ยวกับมัลแวร์ MineBridge หลังจากพบแคมเปญฟิชชิ่งจำนวนมากที่กำหนดเป้าหมายไปยังองค์กรในเกาหลีใต้ โดยใช้อีเมลฟิชชิ่งที่มีเอกสาร Word ที่เป็นอันตรายและมีเนื้อหาเป็นประวัติย่อของผู้สมัครงาน เมื่อเหยื่อคลิกที่ปุ่ม "Enabled Editing" หรือ "Enable Content" โค้ดมาโครที่อยู่ภายในเอกสารที่เป็นอันตรายจะทำงาน และจะมีการใช้คำสั่ง Finger เพื่อดาวน์โหลด Certificate ที่เข้ารหัส Base64 จากเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้าย จากนั้น Certificate ที่ถูกดาวน์โหลดจะถูกถอดรหัสและจะถูกเรียกใช้เพื่อดาวน์โหลดมัลแวร์ MineBridge และ DLL ที่เป็นอันตรายของ MineBridge บนเครื่องของผู้ที่ตกเป็นเหยื่อ

ทั้งนี้เพื่อเป็นการป้องกันการตกเป็นเหยื่อ ผู้ใช้ควรระมัดระวังในการเปิดเอกสารที่แนบมากับอีเมล หรือคลิกลิงก์ในอีเมลจากผู้ส่งที่ไม่รู้จัก

ที่มา: bleepingcomputer

TikTok รวบรวม MAC addresses โดยใช้ประโยชน์จากช่องโหว่ของ Android

ตามรายงานจาก The Wall Street Journal ที่ได้ทำการตรวจสอบ TikTok พบว่า TikTok ใช้ช่องโหว่บางอย่างเพื่อหลีกเลี่ยงการปกป้องความเป็นส่วนตัวใน Android และเพื่อรวบรวมที่จะสามารถระบุตัวตนที่ไม่ซ้ำกันได้จากอุปกรณ์มือถือหลายล้านเครื่อง ซึ่งเป็นข้อมูลที่จะช่วยให้แอปพลิเคชันติดตามผู้ใช้ทางออนไลน์โดยไม่ได้รับอนุญาต

The Wall Street Journal กล่าวว่า TikTok ใช้ช่องโหว่ในการรวบรวม MAC addresses เป็นเวลาอย่างน้อย 15 เดือนและการรวบรวมข้อมูลถูกหยุดลงในเดือนพฤศจิกายน 2020 หลังจากบริษัท ByteDance ตกอยู่ภายใต้การตรวจสอบอย่างเข้มงวดในกรุงวอชิงตันดีซี โดย MAC addresses ถือเป็นข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ภายใต้ COPA (Children's Online Privacy Protection Act) ซึ่งเป็นตัวระบุเฉพาะที่พบในอุปกรณ์สื่อสารที่เปิดใช้งานอินเทอร์เน็ตทั้งหมดรวมถึงอุปกรณ์ที่ใช้ระบบ Android และ iOS ซึ่งข้อมูล MAC addresses สามารถใช้เพื่อกำหนดเป้าหมายในการโฆษณาไปยังผู้ใช้ที่เฉพาะเจาะจงหรือติดตามบุคคลที่ใช้งานได้

TikTok ได้ออกมาโต้แย้งต่อการค้นพบของ The Wall Street Journal โดยกล่าวว่า TikTok เวอร์ชันปัจจุบันไม่ได้รวบรวม MAC addresses แต่จากการตรวจสอบพบว่าบริษัทได้รวบรวมข้อมูลดังกล่าวมาหลายเดือนแล้ว

ทั้งนี้ iOS ของ Apple จะบล็อก third party ไม่ให้อ่าน MAC addresses ซึ่งเป็นส่วนหนึ่งของคุณสมบัติความเป็นส่วนตัวที่เพิ่มเข้ามาในปี 2013 แต่บน Android การใช้ช่องโหว่เพื่อรวบรวมข้อมูล MAC addresses ยังคงอยู่และสามารถใช้ประโยชน์จากช่องโหว่ได้ ถึงแม้ว่าการตรวจสอบจะพบว่า TikTok ไม่ได้รวบรวมข้อมูลจำนวนมากผิดปกติและโดยทั่วไปแล้วจะแจ้งล่วงหน้าเกี่ยวกับการรวบรวมข้อมูลผู้ใช้แต่ WSJ พบว่าบริษัทแม่ ByteDance ยังดำเนินการรวบรวมข้อมูลจากผู้ใช้อยู่

ที่มา: securityweek

SAP เผยเเพร่คำแนะนำด้านความปลอดภัย 10 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021

SAP ออกแพตช์ด้านความปลอดภัย 10 รายการและรายละเอียดการอัปเดตอื่นๆ อีก 7 รายการใน SAP Security Patch Day ประจำเดือนมกราคม 2021 โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่แรก CVE-2021-21465 (CVSSv3 9.9/10) เป็นช่องโหว่ SQL Injection และการตรวจสอบข้อมูลในผลิตภัณฑ์ SAP Business Warehouse (Database Interface) ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 782
ช่องโหว่ที่สอง CVE-2021-21466 (CVSSv3 9.1/10) เป็นช่องโหว่ Code Injection ที่อยู่ในผลิตภัณฑ์ SAP Business Warehouse and SAP BW/4HANA ซึ่งจะมีผลกับ SAP Business Warehouse เวอร์ชัน 700, 701, 702, 711, 730, 731, 740, 750, 782 และ SAP BW4HANA เวอร์ชัน 100, 200

สำหรับช่องโหว่ที่มีสำคัญอีก 3 รายการคือการอัปเดตสำหรับการแก้ไขช่องโหว่ที่ถูกเผยแพร่ไปแล้วก่อนหน้านี้คือช่องโหว่ในเบราว์เซอร์ Google Chromium ที่ถูกใช้ในผลิตภัณฑ์ Business Client ซึ่งมีคะแนน CVSSv3 10/10, ช่องโหว่การเพิ่มสิทธิ์ใน NetWeaver Application Server สำหรับ Java (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในเดือนพฤศจิกายน 2020 และช่องโหว่ Code Injection ในผลิตภัณฑ์ Business Warehouse (CVSSv3 9.1/10) ที่ถูกเผยแพร่ไปแล้วในธันวาคม 2020

ทั้งนี้ผู้ใช้งาน SAP ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

สามารถตรวจสอบแพตช์ต่าง ๆ ได้ที่ wiki.

Microsoft Sysmon now detects malware process tampering attempts

Microsoft ปล่อยเครื่องมือ Sysmon เวอร์ชั่น 13 เพิ่มความสามารถในการตรวจจับการโจมตีที่พยายามแทรกคำสั่งอันตรายลงไปในโปรเซสปกติที่มีการทำงานอยู่บนเครื่อง (Tampering) ไม่ว่าจะเป็นการโจมตีด้วยเทคนิค Process Hollowing หรือ Process Herpaderping

การแทรกคำสั่งอันตรายลงไปในโปรเซสบนเครื่อง จะช่วยให้สามารถหลบหลีกการตรวจจับจากอุปกรณ์ความปลอดภัยบนเครื่องได้ เนื่องจากหากไม่มีการตรวจสอบเชิงลึก จะเสมือนว่าเป็นการทำงานตามปกติของโปรเซสนั้นๆ แต่ใน Sysmon ที่ปล่อยออกมาใหม่นี้จะเพิ่มการตรวจจับการโจมตีในลักษณะนี้เพิ่มขึ้นมา โดยผู้ดูแลระบบจะต้องทำการเพิ่ม “ProcessTampering” ลงไปในไฟล์ configuration ของ Sysmon หากตรวจพบจะมีการเขียน event log ที่ Applications and Services Logs/Microsoft/Windows/Sysmon/Operational โดยใช้ “Event 25 - Process Tampering”

อย่างไรก็ตามจากแหล่งข่าวได้ระบุว่า จากการทดสอบพบว่าจะมีการตรวจจับที่ผิดพลาด โดยจับการทำงานตามปกติของโปรแกรม Web Browser ไม่ว่าจะเป็น Chrome, Opera, Firefox, Fiddler, Microsoft Edge รวมทั้งโปรแกรมสำหรับติดตั้งอื่นๆ อีกหลายตัว ซึ่งไม่ใช่การโจมตี นอกจากนั้นยังได้มีการทดสอบกับมัลแวร์ TrickBot และ BazarLoader ตัวล่าสุด แต่กลับไม่พบข้อมูลการตรวจจับ

ที่มา: bleepingcomputer

Adobe ออกแพตช์แก้ไขช่องโหว่ระดับ Critical จำนวน 7 รายการ ในการอัปเดตแพตช์ความปลอดภัยประจำเดือนมกราคม 2021

Adobe ออกแพตช์แก้ไขช่องโหว่ที่สำคัญและมีความรุนแรงระดับ Critical จำนวน 7 รายการในผลิตภัณฑ์ Adobe Photoshop, Illustrator, Animate, Bridge, InCopy, Captivate และ Campaign Classic

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Photoshop คือ CVE-2021-21006 เป็นช่องโหว่ Heap-based buffer overflow ที่จะทำให้ผู้ประสงค์ร้ายสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต โดยช่องโหว่จะส่งผลกระทบกับ Adobe Photoshop สำหรับ Windows และ macOS

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Illustrator คือ CVE-2021-21007 เป็นช่องโหว่ที่เกิดจากข้อผิดพลาดขององค์ประกอบเส้นทางการค้นหาที่ไม่มีการควบคุม (Uncontrolled search path element) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตได้ ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Illustrator สำหรับ Windows

ช่องโหว่ที่สำคัญที่ได้รับการแก้ไขบนผลิตภัณฑ์ Adobe Bridge คือ CVE-2021-21012 และ CVE-2021-21013 เป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Bridge สำหรับ Windows เวอร์ชัน 11 และก่อนหน้า

นอกจากนี้ Adobe ยังแก้ไขช่องโหว่ที่สำคัญใน Adobe Animate (CVE-2021-21008), Adobe InCopy (CVE-2021-21010) และ Adobe Captivate (CVE-2021-21011)

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตและติดตั้งแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: zdnet | threatpost

 

Bitdefender ปล่อยเครื่องมือถอดรหัสให้ใช้ฟรีสำหรับมัลแวร์เรียกค่าไถ่ที่ชื่อว่า “DarkSide”

Bitdefender ปล่อยเครื่องมือถอดรหัสให้ใช้ฟรีสำหรับมัลแวร์เรียกค่าไถ่ที่ชื่อว่า “DarkSide”

มัลแวร์เรียกค่าไถ่ตัวนี้ถูกจัดว่าเป็นมัลแวร์เรียกค่าไถ่ประเภท Human-Operated Ransomware ซึ่งเป็นประเภทเดียวกับมัลแวร์เรียกค่าไถ่ที่เป็นที่รู้จักอย่างเช่น Maze, REvil และ Ryuk เป็นต้น พบว่าถูกใช้ในการโจมตีครั้งแรกในช่วงเดือนสิงหาคมปีที่แล้ว แม้ว่าจะสามารถถอดรหัสไฟล์ได้ แต่มีความเป็นไปได้สูงว่าไฟล์เหล่านั้นจะถูกลักลอบส่งออกไปภายนอกก่อนที่จะเริ่มกระบวนการเข้ารหัส ทำให้ผู้ไม่หวังดียังคงมีไฟล์เหล่านั้นอยู่

ผู้สนใจสามารถดาวน์โหลดได้จาก > bitdefender.

Microsoft ออกเเพตช์แก้ไขช่องโหว่จำนวน 83 รายการใน Patch Tuesday ประจำเดือนมกราคม 2021

Microsoft ประกาศออกแพตช์ความปลอดภัยประจำเดือนมกราคม 2021 หรือ Microsoft Patch Tuesday January 2021 โดยในเดือนมกราคม 2021นี้ Microsoft ได้ทำการแก้ไขช่องโหว่จำนวน 83 รายการ ซึ่งมีช่องโหว่จำนวน 10 รายการที่จัดว่าเป็นช่องโหว่ระดับ Critical และช่องโหว่จำนวน 73 รายการเป็นช่องโหว่ระดับ Important

สำหรับช่องโหว่ที่มีความสำคัญและได้รับแก้ไขในเดือนนี้คือ CVE-2021-1647 เป็นช่องโหว่ Zero-day ใน Microsoft Defender โดยช่องโหว่จะทำให้ผู้โจตีสามารถเรียกใช้โค้ดได้จากระยะไกล ซึ่งช่องโหว่ Zero-day นี้ได้รับการแก้ไขแล้วใน Microsoft Malware Protection Engine เวอร์ชัน 1.1.17700.4

ช่องโหว่ที่น่าสนใจอีกช่องโหว่คือ CVE-2021-1648 เป็นช่องโหว่การยกระดับสิทธ์ใน (Elevation of Privilege) ใน splwow64 ซึ่งได้เผยแพร่ต่อสาธารณะแล้วเมื่อวันที่ 15 ธันวาคมที่ผ่านมา โดยโปรเจกต์ Zero-Day Initiative ของ Trend Micro

ทั้งนี้ผู้ใช้ควรทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของผุ้ประสงค์ร้าย สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่ที่ได้รับการแก้ไขสามารถดูรายละเอียดได้จากแหล่งที่มา

ที่มา: zdnet | bleepingcomputer