Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

โครงการ VideoLAN ได้เปิดตัว VLC Media Player เวอร์ชัน 3.0.12 สำหรับ Windows, Mac และ Linux ในสัปดาห์ที่ผ่านมา โดยใน VLC Media Player เวอร์ชันล่าสุดนี้ได้ทำการปรับปรุงคุณสมบัติและแก้ไขความปลอดภัยมากมายอีกทั้งยังเป็นการอัปเกรดที่สำคัญสำหรับผู้ใช้ Mac เนื่องจากในเวอร์ชันนี้มีการรองรับ Apple Silicon และแก้ไขความผิดเพี้ยนของเสียงใน macOS

นอกจากการแก้ไขข้อบกพร่องและการปรับปรุงแล้ว VLC Media Player 3.0.12 ยังแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมากที่ถูกรายงานโดย Zhen Zhou จากทีมรักษาความปลอดภัยของบริษัท NSFOCUS ซึ่งค้นพบช่องโหว่ Buffer overflow ที่อาจทำให้ซอฟต์แวร์เกิดข้อขัดข้องหรืออาจนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ของผู้ใช้ที่ตกเป็นเป้าหมาย ซึ่งผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้ได้โดยการสร้างไฟล์สื่อที่ออกแบบมาเป็นพิเศษและหลอกให้ผู้ใช้เปิดไฟล์ด้วย VLC

ทั้งนี้ผู้ใช้ VLC Media Player ควรทำการอัปเดตเวอร์ชันให้เป็น VLC 3.0.12 เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

นักวิจัยพบช่องโหว่ Zero Day บนระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple สามารถหลอกระบบปฏิบัติการให้รันคำสั่งอันตรายได้
Patrick Wardle นักวิจัยด้าน MacOS เปิดเผยช่องโหว่ดังกล่าวเมื่อวันจันทร์ (3 มิถุนายน 2019) ว่าในระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple มีฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) ซึ่งอนุญาตให้ใช้งานเฉพาะโปรแกรมที่ได้รับอนุญาต (Trusted Apps) ซึ่ง Patrick Wardle พบว่ามีช่องโหว่ในการตรวจสอบว่าโปรแกรมที่ได้รับอนุญาตนั้นถูกดัดแปลงมาหรือไม่ ในกรณีที่เขาดัดแปลงโปรแกรมที่ได้รับอนุญาตให้เป็นโปรแกรมอันตราย เขาจะสามารถใช้ฟังก์ชันจำลองการคลิกเมาส์ดังกล่าวเพื่อเข้าถึงข้อมูลสำคัญได้ เช่น เปิดไมโครโฟน หรือเข้าถึงข้อมูลพิกัด GPS ของเครื่อง
Patrick Wardle ได้แสดง proof-of-concept การโจมตีด้วยช่องโหว่ดังกล่าวด้วยการดัดแปลงโปรแกรม VLC ซึ่งเป็นหนึ่งในโปรแกรมที่ได้รับอนุญาตให้ใช้ฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) และสาธิตการโจมตีด้วยการจำลองการคลิกเมาส์โดยไม่ต้องมี user's interaction ทั้งนี้หากผู้โจมตีต้องการโจมตีอย่างแนบเนียนก็จะสามารถสั่งให้มีการจำลองการคลิกเมาส์เฉพาะเวลาที่เครื่องอยู่ในโหมด sleep ได้
ช่องโหว่ดังกล่าวถูกรายงานต่อ Apple แล้วแต่ยังไม่ได้รับการยืนยันว่าจะแก้ไขหรือไม่ โดย Patrick Wardle ระบุว่าการใช้ช่องโหว่ดังกล่าวถือเป็นการโจมตีขั้นที่สองที่ผู้โจมตีต้องสามารถควบคุมเครื่องได้ก่อน หรือสามารถลงโปรแกรมที่ถูกดัดแปลงไว้ได้แล้ว

ที่มา :thehackernews.

นักวิจัยด้านความปลอดภัยชาวอิตาเลียนจาก Mobile World แจ้งเตือนหลังจากมีการค้นพบช่องโหว่ใหม่ซึ่งกระทบเกือบทุกอุปกรณ์ของแอปเปิล โดยเป็นผลมาจากตัวอักษรเพียงตัวอักษรเดียวซึ่งเมื่อถูกเปิดด้วยแอปพลิเคชันบางประเภทที่อยู่บนอุปกรณ์แล้ว อาจทำให้อุปกรณ์ค้างจนหรือปิดตัวเองได้

ตัวอักษรดังกล่าวนั้นเป็นตัวอักษรในภาษาอินเดียซึ่งเรียกว่า Telugu ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีเพียงแค่ทำการส่งตัวอักษรไปยังช่องทางต่างๆ โดยหากทำการส่งตัวอักษรไปซ้ำๆ กันหลายครั้ง ระบบปลายทางที่รับตัวอักษรดังกล่าวจะค้างและทำการรีบูตตัวเองทันที

ในขณะนี้แอปพลิเคชันที่คาดว่าได้รับผลกระทบได้แก่ WhatsApp, Facebook Messenger, Outlook for iOS, และ Gmail ทางแอปเปิลได้รับทราบถึงการมีอยู่ของช่องโหว่ดังกล่าวแล้ว โดยจะมีการแก้ไขใน iOS 11.3 ซึ่งจะถูกปล่อยในช่วงฤดูใบไม้ผลิ

Recommendation
ในส่วนของการป้องกันสำหรับผู้ใช้งานทั่วไปนั้น หากผู้ใช้งานค้นพบพฤติกรรมที่ผิดปกติ เช่น ระบบมีการรีบูตตัวเองหรือแอปที่ใช้งานอยู่นั้นปิดตัวเองโดยอัตโนมัติ ให้พยายามระบุหาข้อความซึ่งอาจมีตัวอักษร Telegu นี้ผสมอยู่แล้วดำเนินการลบการสนทนาหรือข้อความนั้นออกโดยทันที

ที่มา : thehackernews

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

นักวิจัยจาก Emsi Software พบ ransomware มัลแวร์เรียกค่าไถ่รูปแบบใหม่ที่พัฒนาด้วย Javascript ตัวแรกของโลกชื่อว่า Ransom32 ซึ่งมาในรูปแบบของ WinRaR self-extracting ที่มีนามสกุลไฟล์ .exe เมื่อทำงานจะถูกติดตั้งไว้ที่ %AppData%\Chrome Browser\ และทำงานบน Chrome Browser ได้โดยใช้เทคโนโลยีของเฟรมเวิร์ค NW.js ในการทำงาน เนื่องจาก Ransom32 พัฒนาจาก Javascript เป้าหมายจึงไม่ใช่แค่ระบบปฏิบัติการ Windows เท่านั้น แต่รวมไปถึงระบบปฎิบัติการอื่นอาจจะส่งผลกระทบด้วยเช่น Mac OSX หรือ Linux เป็นต้น

โดยไฟล์ที่ถูกเข้ารหัสจาก Ransom32 นี้จะถูกเข้ารหัสด้วยอัลกอริทึม AES ขนาด 128bit สำหรับการหลีกเลี่ยงการติด ransomware ดังกล่าวคือ ไม่เปิดไฟล์ที่น่าสงสัยจากอีเมล, ไม่โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ เป็นต้น

ที่มา : threat post