เมื่อวันอังคารที่ผ่านมา Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 4 รายการซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday
ที่อาจจะถูกนำไปใช้ในการโจมตีโดยผู้ไม่หวังดี เพื่อกำหนดเป้าหมายไปยังลูกค้าที่ใช้บริการ Azure cloud และยกระดับสิทธิ์จนเข้ายึดระบบที่มีช่องโหว่เหล่านั้นได้จากระยะไกล

นักวิจัยจาก Wiz เรียกช่องโหว่พวกนี้รวมกันว่า OMIGOD ซึ่งช่องโหว่เหล่านี้จะส่งผลกระทบต่อ software agent ที่ชื่อว่า Open Management Infrastructure ซึ่ง Software Agent จะถูกติดตั้ง และเรียกใช้งานอัตโนมัติ โดยผู้ใช้งานไม่รู้ตัว

CVE-2021-38647 (CVSS score: 9.8) - Open Management Infrastructure Remote Code Execution Vulnerability
CVE-2021-38648 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) - Open Management Infrastructure Elevation of Privilege Vulnerability

Open Management Infrastructure (OMI) เป็นโอเพ่นซอร์สที่เทียบเท่ากับ Windows Management Infrastructure (WMI) แต่ออกแบบมาสำหรับระบบ Linux และ UNIX เช่น CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux และ Ubuntu

ลูกค้า Azure บนเครื่อง Linux รวมถึงผู้ใช้บริการเหล่านี้มีความเสี่ยงที่จะถูกโจมตี

Azure Automation
Azure Automatic Update
Azure Operations Management Suite (OMS)
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

 

 

 

 

 

 

 

 

 

"เมื่อผู้ใช้เปิดใช้งานบริการดังกล่าว OMI จะถูกติดตั้งอย่างเงียบๆ บนเครื่อง VM (Virtual Machine) ของพวกเขา โดยทำงานด้วยสิทธิพิเศษสูงสุดเท่าที่เป็นไปได้" Nir Ohfeld นักวิจัยด้านความปลอดภัยของ Wiz กล่าว

"นอกเหนือจากลูกค้า Azure cloud แล้ว ลูกค้า Microsoft รายอื่นๆ จะได้รับผลกระทบ เนื่องจากสามารถติดตั้ง OMI บนเครื่อง Linux ได้ และมักใช้ในองค์กร" Ohfeld กล่าวเสริม

เนื่องจาก OMI ทำงานเป็น Root ที่มีสิทธิ์สูงสุด ช่องโหว่ดังกล่าวอาจถูกโจมตีโดยผู้ไม่หวังดีจากภายนอก หรือผู้ใช้ที่มีสิทธิ์ต่ำเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องเป้าหมาย และยกระดับสิทธิ์ของตนเอง และทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ในการติดตั้งการโจมตีอื่นๆอีกต่อไป

ช่องโหว่ 4 รายการที่สำคัญที่สุดคือช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เกิดจากพอร์ต HTTPS ที่ถูกเปิดไว้ เช่น 5986, 5985 หรือ 1270 ทำให้ผู้ไม่หวังดีสามารถที่จะเข้าถึง Azure ของเป้าหมายได้ และเริ่มเคลื่อนย้ายตนเองเข้าสู่เครือข่ายของเหยื่อ

"ด้วยแพ็กเก็ตเดียว ผู้ไม่หวังดีสามารถเป็น Root บนเครื่องจากระยะไกลได้โดยเพียงแค่ลบ Authentication Header มันง่ายมาก" "นี่เป็นช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เราสามารถเห็นได้ในตำราเรียนตั้งแต่ในยุค 90 เป็นเรื่องผิดปกติอย่างมากที่ยังสามารถเห็นมันเกิดขึ้นกับ Endpoints นับล้าน ในปี 2021" Ohfeld กล่าว

OMI เป็นเพียงตัวอย่างหนึ่งของ Software Agent ที่แอบติดตั้งโดยผู้ใช้งานไม่รู้ตัว สิ่งสำคัญคือต้องทราบว่า Software Agent เหล่านี้ไม่ได้มีเพียงใน Azure แต่ใน Amazon Web Services และ Google Cloud Platform ก็อาจมีเช่นเดียวกัน

คำแนะนำ

ในตอนนี้ Azure ไม่สามารถ Update OMI ให้ผู้ใช้งานที่ติดตั้ง Version ที่มีช่องโหว่ได้ แต่ผู้ใช้งานสามารถแก้ไขได้โดยดาวน์โหลด Package Repository ของ Microsoft และดำเนินการ Update OMI โดย การติดตั้ง OMI Version ใหม่ รายละเอียดสามารถเข้าไปอ่านเพิ่มเติมได้ใน

ที่มา : msrc.

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.

เมื่อวันพฤหัสที่ 10 มิถุนายน 2564 ที่ผ่านมานี้ นักวิจัยได้พบกลุ่มจารกรรมทางไซเบอร์กลุ่มใหม่ ที่อยู่เบื้องหลังปฏิบัติการการโจมตีหน่วยงานทางการทูตและบริษัทโทรคมนาคมในแอฟริกาและตะวันออกกลาง ตั้งแต่ปี 2017 เป็นอย่างน้อย โดยมีชื่อแคมเปญว่า “BackdoorDiplomacy” เป็นการใช้ประโยชน์จากช่องโหว่ที่เปิดเผยทางอินเทอร์เน็ต เช่น เว็บเซิร์ฟเวอร์ เพื่อทำการแฮ็กข้อมูลทางไซเบอร์ต่าง ๆ รวมถึงการทำ Lateral Movement ไปยังเครื่องอื่น ๆ ภายในเครือข่ายเพื่อฝัง backdoor ที่ชื่อว่า “Turian” ที่มีความสามารถในรวมข้อมูลของระบบ จับภาพหน้าจอ ขโมยข้อมูลที่สำคัญ (more…)

ช่องโหว่ทั้งหมดในส่วนของ GPU Display Driver ผู้ไม่หวังดีจำเป็นจะต้องเข้ามาถึงเครื่องได้ก่อน (local) จึงจะสามารถทำการโจมตีได้ ซึ่งประกอบด้วย

CVE-2021-1074 (คะแนน 7.5/10): ปัญหาอยู่ในตัว Installer ของ driver รุ่น R390 สำหรับ Windows ผู้ไม่หวังดีที่สามารถเข้ามาถึงเครื่องได้ (local) สามารถแทรกไฟล์อันตรายลงไปแทนที่ไฟล์ปกติ เพื่อใช้รันคำสั่งอันตราย, ยกระดับสิทธิ์, DoS หรือเปิดเผยข้อมูลสำคัญได้
CVE-2021-1075 (คะแนน 7.3/10): ปัญหาอยู่ในส่วน kernel (nvlddmkm.

ช่องโหว่ดังกล่าวคือ CVE-2021-28133 โดยปกติผู้ใช้งานสามารถเลือกที่จะแชร์หน้าจอเฉพาะส่วนที่ต้องการ, แอพพลิเคชั่นที่ต้องการ หรือเลือกที่จะแชร์หน้าจอทั้งหมด แต่ช่องโหว่ดังกล่าวนี้จะแสดงข้อมูลของแอพพลิเคชั่นอื่นๆ ให้ผู้เข้าร่วมคนอื่นเห็นเป็นช่วงเวลาสั้นๆ หากแอพพลิเคชั่นดังกล่าวถูกเปิดซ้อนบนแอพพลิเคชั่นที่ถูกแชร์อยู่

ปัญหาดังกล่าวถูกทดสอบบนเวอร์ชั่น 5.4.3 และ 5.5.4 ทั้งบน Windows และ Linux มีการเปิดเผยว่าช่องโหว่ดังกล่าวได้รับการแจ้งไปตั้งแต่เมื่อวันที่ 2 ธันวาคม ปีที่แล้ว และปัจจุบันช่องโหว่ดังกล่าวก็ยังไม่มีการปล่อยแพทช์ออกมา โดย zoom แจ้งว่ารับทราบถึงปัญหาดังกล่าวแล้ว และกำลังอยู่ในขั้นตอนดำเนินการแก้ไข แม้ว่าข้อมูลดังกล่าวจะถูกแสดงเพียงแค่ระยะเวลาสั้นๆ แต่หากมีการอัดวิดีโอไว้ ก็จะสามารถเปิดย้อนกลับมาเพื่อดูได้

ที่มา: thehackernews

นักวิจัยด้านความปลอดภัย Julien Voisin ประกาศการค้นพบโค้ดสำหรับโจมตีช่องโหว่ (Exploit) สำหรับช่องโหว่ Spectre ในเว็บไซต์ VirusTotal โดยการโจมตีช่องโหว่ Spectre นั้นสามารถทำให้ผู้โจมตีเข้าถึงข้อมูลที่อยู่ในหน่วยความจำได้อย่างอิสระ

ทีม Intelligent Response ได้เคยมีการพูดช่องโหว่ Spectre และ Meltdown เมื่อปี 2018 สามารถอ่านบทความของเราได้ที่นี่ i-secure

จากการตรวจสอบ Exploit ที่อยู่ใน VirusTotal นั้น Voision พบ Exploit สำหรับระบบ Linux และ Windows ซึ่งเมื่อทำการใช้งานแล้วโดยบัญชีผู้ใช้ที่มีสิทธิ์ต่ำ ผู้ใช้ที่มีสิทธิ์ต่ำดังกล่าวจะสามารถดึงค่าแฮช LM/NT และ Kerberos ticket ใน Windows และข้อมูลใน /etc/shadow สำหรับระบบ Linux ได้ทันที

การวิเคราะห์ยังบ่งชี้ถึงที่มาของทั้งสอง Exploit โดยทั้งสอง Exploit มีที่มาจากโปรแกรม Canvas ของ Immunity ซึ่งเป็นโปรแกรมรวม Exploit คล้ายกับ Metasploit แต่มี Private exploit ที่ทาง Immunity มีการพัฒนาขึ้นเองอยู่ด้วย ที่มาของ Exploit ทั้งสองนั้นมาจากการรั่วไหลของ Canvas 7.26 ซึ่งเกิดขึ้นในช่วงเดือนธันวามคมที่ผ่านมา ซึ่งก็สอดคล้องกับงานวิจัยของ Immunity ที่เคยสาธิตการใช้งาน Canvas เพื่อโจมตีช่องโหว่ Spectre และขโมยข้อมูล Kerberos ticket มาตามวีดิโอ vimeo

 

ที่มา: bleepingcomputer

ผู้เชี่ยวชาญจาก Qualys ได้เปิดเผยถึงช่องโหว่ที่สำคัญในเครื่องมือ Sudo ที่จะช่วยให้ผู้โจมตีระบบปฏิบัติการ Unix สามารถยกระดับสิทธิ์เป็น Root โดยช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-3156 หรือที่เรียกว่า Baron Samedit

Sudo เป็นเครื่องมือบนระบบปฏิบัติการ Unix ที่ช่วยจำกัดสิทธิ์ของผู้ใช้งานอยู่ในระดับปกติให้สามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบที่มีสิทธิ์ Root บนระบบได้ อีกทั้ง Sudo ยังสามารถใช้เพื่อรันคำสั่งในบริบทของผู้ใช้งานอื่น ๆ ได้ ตามการคอนฟิกที่อยู่ใน /etc/sudoers

ช่องโหว่ CVE-2021-3156 เป็นช่องโหว่ Heap Buffer Overflow ที่นำไปสู่การยกระดับสิทธิ์เป็น Root ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านของผู้ใช้ โดยช่องโหว่นี้จะกระทบกับระบบปฏิบัติการ Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) และ Fedora 33 (Sudo 1.9.2) และคาดว่าเวอร์ชันของ Sudo ที่ได้รับผลกระทบคือ 1.9.0 – 1.9.5p1 และ 1.8.2 – 1.8.31p1

ทั้งนี้ผู้ใช้ที่ต้องการตรวจสอบว่าระบบปฏิบัติการของท่านได้รับผลกระทบจากช่องโหว่หรือไม่ สามารถทดสอบโดยคุณต้องเข้าสู่ระบบในฐานะผู้ใช้ปกติ จากนั้นรันคำสั่ง "sudoedit -s '/'" โดยระบบที่มีช่องโหว่จะแสดงข้อผิดพลาดที่ขึ้นต้นด้วย "sudoedit” ส่วนระบบที่ไม่ได้รับผลกระทบจะเเสดงข้อผิดพลาดที่ขึ้นต้นด้วย "usage:" อย่างไรก็ตามผู้ใช้และผู้ดูแลระบบควรทำการอัปเดต Sudo ให้เป็นเวอร์ชัน 1.9.5p2 หรือมากกว่า เพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, zdnet

โครงการ VideoLAN ได้เปิดตัว VLC Media Player เวอร์ชัน 3.0.12 สำหรับ Windows, Mac และ Linux ในสัปดาห์ที่ผ่านมา โดยใน VLC Media Player เวอร์ชันล่าสุดนี้ได้ทำการปรับปรุงคุณสมบัติและแก้ไขความปลอดภัยมากมายอีกทั้งยังเป็นการอัปเกรดที่สำคัญสำหรับผู้ใช้ Mac เนื่องจากในเวอร์ชันนี้มีการรองรับ Apple Silicon และแก้ไขความผิดเพี้ยนของเสียงใน macOS

นอกจากการแก้ไขข้อบกพร่องและการปรับปรุงแล้ว VLC Media Player 3.0.12 ยังแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากที่ถูกรายงานโดย Zhen Zhou จากทีมรักษาความปลอดภัยของบริษัท NSFOCUS ซึ่งค้นพบช่องโหว่ Buffer overflow ที่อาจทำให้ซอฟต์แวร์เกิดข้อขัดข้องหรืออาจนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ของผู้ใช้ที่ตกเป็นเป้าหมาย ซึ่งผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้ได้โดยการสร้างไฟล์สื่อที่ออกแบบมาเป็นพิเศษและหลอกให้ผู้ใช้เปิดไฟล์ด้วย VLC

ทั้งนี้ผู้ใช้ VLC Media Player ควรทำการอัปเดตเวอร์ชันให้เป็น VLC 3.0.12 เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ไมโครซอฟต์ประกาศปล่อย Public preview ของโซลูชัน EDR สำหรับลินุกซ์เป็นส่วนหนึ่งของบริการ Microsoft Defender for Endpoint ภายใต้ Microsoft Defender Advanced Threat Protection (ATP) เมื่อกลางสัปดาห์ที่ผ่านมา

ฟีเจอร์หลักของ EDR แตกต่างกับ Antivirus โดยทั่วไปคือการให้ข้อมูลที่เป็นผลลัพธ์ของการ Detection แก่ผู้ใช้งานและเปิดช่องทางให้ผู้ใช้งานสามารถนำข้อมูลที่ประกอบกันเป็น Detection มาใช้ในลักษณะอื่นเพิ่มเติมได้ เช่น การระบุหาภัยคุกคามในลักษณะที่พิเศษที่มีอยู่ในระบบเป็นจำนวนมาก โซลูชันอย่าง EDR ยังมีฟีเจอร์สำคัญในการช่วยตอบสนองภัยคุกคามในลักษณะทั้ง containment, eradication และ recovery

โซลูชัน EDR สำหรับลินุกซ์นั้นรองรับดิสโทรลินุกซ์แบบเซิร์ฟเวอร์ได้แก่ RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS or higher LTS, SLES 12+, Debian 9+, และ Oracle Linux 7.2. ผู้ใช้งานที่สนใจทดสอบโซลูชันสามารถดูข้อมูลเพิ่มเติมได้จาก https://docs.