VMware ออกแจ้งเตือนช่องโหว่ความปลอดภัย VMSA-2015-0004 เป็นช่องโหว่ระดับวิกฤติสองรายการ

ช่องโหว่ชุดแรกกระทบกับ VMware Workstation และ VMware Horizon Client จากการจัดการหน่วยความจำผิดพลาดทำให้โค้ดอันตรายในเครื่อง guest สามารถรันโค้ดในเครื่องแม่หรือโจมตีให้เครื่องแม่ทำงานต่อไม่ได้ (denial of service - DoS) ช่องโหว่ชุดนี้ค้นพบโดย Kostya Kortchinsky จาก Google Project Zero

ช่องโหว่อีกชุดเป็นของ VMware Workstation, VMware Player, และ VMware Fusion ที่ตรวจสอบคำสั่งผ่าน RPC ผิดพลาดทำให้ถูกโจมตีแบบ DoS ได้อีกเช่นกัน ซึ่งเวอร์ชั่นแก้ไขช่องโหว่เหล่านี้ได้เปิดให้ดาวน์โหลดแล้ว

ที่มา : blognone

Pedro Vilaca นักวิจัยความปลอดภัยค้นพบช่องโหว่บน Mac โดยช่องโหว่นี้สามารถ reflash ตัว BIOS และฝังโค้ดอันตรายเข้าไป โดยหากใช้วิธีนี้ โค้ดนี้จะฝังอยู่ใน flash memory ไม่ใช่ฮาร์ดดิสก์ ฉะนั้น แม้จะลง OS X ใหม่, ฟอร์แมต หรือเปลี่ยนฮาร์ดดิสก์ก็ไม่สามารถลบโค้ดดังกล่าวออกได้

ปกติ BIOS จะถูกตั้งค่าให้อ่านอย่างเดียวเพื่อป้องกันไม่ให้เปลี่ยนแปลงค่า แต่ Vilaca พบว่าช่วงที่ Mac ออกจากโหมด sleep การป้องกัน BIOS ที่เรียกว่า FLOCKDN จะถูกปิดชั่วคราว ทำให้สามารถ reflash ตัว BIOS ได้ และสามารถจัดการกับ EFI ซึ่งเป็นส่วนที่ควบคุมก่อนที่ OS X จะบู๊ตขึ้นมาได้ด้วย การติดตั้งโปรแกรมที่เป็นอันตรายสามารถทำผ่าน Safari เพื่อติดตั้ง EFI rootkit ได้โดยไม่ต้องเข้าถึงฮาร์ดแวร์ของเครื่อง พอเครื่องเข้าสู่โหมด sleep และถูกเปิดขึ้นมาอีกรอบ ก็ใช้ช่องโหว่เพื่อทำการ reflash ตัว BIOS ได้ทันที นักวิจัยพบว่า Mac รุ่นหลังจากกลางปี 2014 จะไม่พบปัญหานี้แล้ว แต่ Mac รุ่นเก่าที่มีช่องโหว่นี้ยังไม่มีอัพเดตอุดช่องโหว่แต่อย่างใด

ทางนักวิจัยให้คำแนะนำว่าอย่าให้ Mac เข้าสู่โหมด sleep จนกว่า Apple จะออกอัพเดตอุดช่องโหว่นี้ ส่วนผู้ใช้งานระดับสูง สามารถดาวน์โหลดซอฟต์แวร์ Thunderstrike ซึ่งจะทำการ dump ข้อมูลทั้งหมดของ BIOS บน Mac และนำมาตรวจสอบกับเฟิร์มแวร์ต้นฉบับของ Apple ว่าตรงกันหรือไม่ ตัวโปรแกรมนี้ไม่สามารถป้องกันการโจมตีได้ แต่สามารถตรวจสอบได้ นอกจากนี้ ถ้าพบโปรแกรมที่น่าสงสัยอย่าใส่รหัสผ่านให้เด็ดขาด เพราะหากใส่รหัสผ่านให้แล้วแอพสามารถสั่งให้ Mac สามารถเข้าสู่โหมด sleep ได้

ที่มา: ars technica

นักวิจัยด้านความปลอดภัยค้นพบ Ransomware ตัวใหม่ที่ใช้ชื่อว่า "Troldesh" ซึ่งถูกสร้างขึ้นในรัสเซีย ผู้ใช้งานคอมพิวเตอร์จำนวนมากทั่วโลกได้รับผลกระทบจาก Ransomware ตัวนี้

Troldesh จะแพร่กระจายผ่านทางไฟล์ที่แนบมากับ Spam email และจะทำการเข้ารหัสไฟล์ .xbtl ของเหยื่อทันที นอกจากนี้ Troldesh จะวางไฟล์ชื่อ 'README.txt' ซึ่งมีรายละเอียดการชำระเงินเพื่อปลดล็อกไว้ โดยแฮกเกอร์จะเรียกค่าไถ่ประมาณ $278 หรือ $250 ในการแลกเปลี่ยนคีย์สำหรับถอดรหัส

ที่มา : ehackingnews

บริษัท ESET ผู้พัฒนาแอนดี้ไวรัสชื่อดัง NOD32 ได้แจ้งเตือนการค้นพบแอพพลิเคชั่นปลอมบน Play Store จำนวน 33 แอพ โดยหลอกว่าเป็นแอพที่เอาไว้โกงเกม Minecraft for Android แต่ที่จริงแล้วหลอกขโมยเงินผ่าน SMS มีผู้ตกเป็นเหยื่อดาวน์โหลดไปแล้วกว่า 3 ล้านคน ตัวแอพปลอมพวกนี้ไม่ได้ทำอันตรายกับเครื่อง ไม่ได้มีการขอสิทธิ์อะไรแปลกๆ แต่เมื่อติดตั้งแล้วจะแสดงหน้าจอป๊อบอัพหลอกว่าเครื่องติดไวรัสอันตราย แล้วหลอกให้ผู้ใช้ส่ง SMS ไปยังหมายเลขโทรศัพท์ที่คิดค่าบริการราคาแพง

ทาง ESET บอกว่าแอพเหล่านี้อยู่บน Play Store ตั้งแต่เดือนสิงหาคมปี 2014 และมีผู้ดาวน์โหลดไปแล้วน่าจะเกือบๆ 2.8 ล้านคน ปัจจุบันได้แจ้งให้ Google ถอดแอพพวกนี้ออกจาก Play Store แล้ว และถ้าใครลง Antivirus สแกนในเครื่อง จะตรวจจับว่าแอพพวกนี้ชื่อ “Android/FakeApp.

นักวิจัยด้านความปลอดภัยพบมัลแวร์รูปแบบใหม่ชื่อว่า “Rombertik” ที่มุ่งเน้นไปที่ความพยายามในการทำลายระบบคอมพิวเตอร์

Rombertik มีความซับซ้อนที่ออกแบบให้โจมตีเบราว์เซอร์ของผู้ใช้ เพื่อเข้าไปอ่านข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ โดยส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมการโจมตีคล้ายกับ Dyre แต่จะต่างกันตรงที่ถูกออกแบบเพื่อมุ่งเป้าไปยังข้อมูลของธนาคาร แต่ Rombertik จะรวบรวมข้อมูลที่สำคัญจากเว็บไซต์ โดยจะแพร่กระจายผ่านทาง Spam mail และ Phishing ซึ่งครั้งแรกจะมุ่งไปที่ Master Boot Record (MBR) ของฮาร์ดไดรฟ์คอมพิวเตอร์

อย่างไรก็ตามหาก Rombertik ไม่ได้เข้าถึง MBR ก็จะเริ่มจู่โจมไฟล์ข้อมูลต่างๆ ในโฟลเดอร์ของ Home ของผู้ใช้ โดยการเข้ารหัสคีย์ในลักษณะของ RC4 Random ซึ่งเมื่อ MBR หรือ Home folder ถูกเข้ารหัส ระบบจะทำการรีสตาร์ทและจะเข้าสู่ MBR จากนั้นก็จะวนเป็น Loop ต่อเนื่องไม่หยุด ซึ่งจะไม่สามารถหยุดวงจรของปัญหาดังกล่าวได้ และบนหน้าจอจะปรากฏคำว่า “Carbon crack attempt, failed” ครั้งแรกที่มัลแวร์นี้ถูกติดตั้งบนคอมพิวเตอร์ก็จะทำการ Unpack ตัวเอง ซึ่งไฟล์จะถูกออกแบบให้ถูกมองว่าเป็นไฟล์ถูกต้องตามปกติ ซึ่งประกอบด้วยไฟล์ภาพ 75 ไฟล์ และไฟล์ที่เป็นไฟล์หลอก 8000 ชุด

สิ่งที่น่ากังวลคือ Rombertik จะถูกปลุกให้ตื่นอยู่ตลอดเวลาและยังมีการเขียนข้อมูล 1 Byte ลงในเมมโมรีถึง 960 ล้านครั้ง ทำให้เกิดความซับซ้อนต่อการวิเคราะห์เครื่องมือในการแก้ไข ซึ่งจะต่างจากมัลแวร์อื่นๆ ที่จะฝังตัวและรอคอยเวลา

ที่มา : thehackernews

บริษัท Duo Security Research รายงานช่องโหว่ของระบบยืนยันตัวตนด้วยปัจจัยที่สอง (2-factor authentication) ของ PayPal ทำให้แอพพลิเคชั่น PayPal บนโทรศัพท์มือถือเข้าใจว่าได้รับโค้ดยืนยันถูกต้องแล้วจนกระทั่งสามารถโอนเงินได้สำเร็จ ปัญหาของระบบ 2-factor ของทาง PayPal คือทางบริษัทไม่ได้ยืนยันตัวตนของผู้ใช้ หรือยืนยันการสั่งโอนเงินด้วยการยืนยันด้วยปัจจัยที่สองเป็นโค้ดจาก SMS จริงๆ แต่การเปิดบริการ 2-factor ของ PayPal คือการเพิ่มข้อมูลผู้ใช้ว่าผู้ใช้คนใดต้องยืนยันตัวตนด้วยปัจจัยที่สองบ้าง จากนั้นเป็นหน้าที่ของตัวแอพพลิเคชั่นเองที่จะล็อกหน้าจอแอพพลิเคชั่นแล้วถามปัจจัยที่สองต่อไป

ทาง Duo Security ระบุว่าได้แจ้งปัญหานี้กับทาง PayPal ก่อนจะเปิดเผยช่องโหว่นี้ออกมา และทาง PayPal ก็ได้แก้ปัญหาเบื้องต้นเพื่อลดความเสี่ยงไปแล้ว และยังคงตามแก้ปัญหาต่อจนกว่าจะปิดช่องโหว่นี้ได้

ที่มา : blognone

ทีมงาน Baidu Antivirus ตรวจพบมัลแวร์สายพันธุ์ Ransomware ตัวใหม่ ที่มีชื่อว่า “Cryptowall” (ชื่อที่ตรวจพบ คือ Trojan.Win32.CryptoWall.

ทีมนักวิจัยความปลอดภัยจาก IBM ค้นพบช่องโหว่ของ Android ในส่วนที่เกี่ยวข้องกับการเก็บคีย์ (Android KeyStore service)

Android KeyStore เป็นเซอร์วิสของระบบปฏิบัติการ Android ให้แอพสามารถเก็บข้อมูลสำคัญ (เช่น คีย์ที่ใช้ถอดรหัสข้อมูล) ไว้ในพื้นที่ปลอดภัยของระบบ อย่างไรก็ตาม ทีมวิจัยพบบั๊กในโค้ดของ KeyStore ที่อาจถูกจู่โจมด้วยวิธี buffer overflow ได้

กูเกิลรับทราบปัญหานี้มานานแล้ว แต่กลับแพตช์แก้บั๊กนี้ให้เฉพาะ Android 4.4 KitKat เท่านั้น ในขณะที่ Android 4.3 ลงไปยังมีความเสี่ยงจากบั๊กนี้อยู่

อย่างไรก็ตาม ในทางปฏิบัติแล้ว การโจมตีด้วยบั๊กนี้อาจทำได้ยากพอสมควร เพราะ Android มีมาตรการความปลอดภัยอื่นๆ มาช่วยกรอง เช่น Data Execution Prevention (จำกัดพื้นที่ของโค้ดที่สามารถรันได้) และตัว KeyStore ถูกออกแบบมาให้ตายแล้วเกิดใหม่ (respawn) ทุกครั้งที่ใช้งาน เมื่อบวกกับฟีเจอร์การสุ่มพื้นที่หน่วยความจำในการรัน (Address Space Layout Randomization - ASLR) ผลคือผู้โจมตีต้องสุ่มหาตำแหน่งของ KeyStore ก่อนเสมอ

ที่มา : ars technica

ทีมนักวิจัยความปลอดภัยจาก IBM ค้นพบช่องโหว่ของ Android ในส่วนที่เกี่ยวข้องกับการเก็บคีย์ (Android KeyStore service)

Android KeyStore เป็นเซอร์วิสของระบบปฏิบัติการ Android ให้แอพสามารถเก็บข้อมูลสำคัญ (เช่น คีย์ที่ใช้ถอดรหัสข้อมูล) ไว้ในพื้นที่ปลอดภัยของระบบ อย่างไรก็ตาม ทีมวิจัยพบบั๊กในโค้ดของ KeyStore ที่อาจถูกจู่โจมด้วยวิธี buffer overflow ได้

กูเกิลรับทราบปัญหานี้มานานแล้ว แต่กลับแพตช์แก้บั๊กนี้ให้เฉพาะ Android 4.4 KitKat เท่านั้น ในขณะที่ Android 4.3 ลงไปยังมีความเสี่ยงจากบั๊กนี้อยู่

อย่างไรก็ตาม ในทางปฏิบัติแล้ว การโจมตีด้วยบั๊กนี้อาจทำได้ยากพอสมควร เพราะ Android มีมาตรการความปลอดภัยอื่นๆ มาช่วยกรอง เช่น Data Execution Prevention (จำกัดพื้นที่ของโค้ดที่สามารถรันได้) และตัว KeyStore ถูกออกแบบมาให้ตายแล้วเกิดใหม่ (respawn) ทุกครั้งที่ใช้งาน เมื่อบวกกับฟีเจอร์การสุ่มพื้นที่หน่วยความจำในการรัน (Address Space Layout Randomization - ASLR) ผลคือผู้โจมตีต้องสุ่มหาตำแหน่งของ KeyStore ก่อนเสมอ

ที่มา : ars technica