Apple ออกอัปเดตฉุกเฉิน แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการแฮ็กเครื่อง Mac และ Apple Watch

Apple ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีไปยังอุปกรณ์ Mac และ Apple Watch

ในคำแนะนำด้านความปลอดภัยที่ออกมาเมื่อวันจันทร์จาก Apple มีการระบุว่าทาง Apple ได้รับทราบถึงรายงานของช่องโหว่ด้านความปลอดภัยนี้แล้ว และยังคาดว่าอาจมีการนำไปใช้ในการโจมตีจริง นักวิจัยที่ไม่ได้ระบุชื่อเป็นผู้รายงานช่องโหว่ดังกล่าว และได้รับการแก้ไขจาก Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5 โดยช่องโหว่เกิดจาก out-of-bounds write issue (CVE-2022-22675) ใน AppleAVD (kernel extension สำหรับการถอดรหัสเสียง และวิดีโอ) ที่ทำให้แอปสามารถสั่งรันโค้ดได้ตามต้องการด้วยสิทธิ์ของ kernel

อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD

แม้ว่า Apple ได้เปิดเผยรายงานว่าคาดว่าน่าจะมีการโจมตีเกิดขึ้นจริงแล้ว แต่ก็ยังไม่มีข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

Apple ตั้งเป้าอัปเดตด้านความปลอดภัยบน Apple Watch และ Mac ให้กับผู้ใช้งานให้ได้มากที่สุด ก่อนที่ผู้โจมตีจะรู้รายละเอียดของ Zero-day และเริ่มนำมาปรับใช้ในการโจมตีส่วนอื่นๆ แม้ว่า Zero-day นี้ส่วนใหญ่จะใช้โจมตีได้แค่บางอุปกรณ์เท่านั้น แต่ทาง Apple ก็แนะนำให้ผู้ใช้งานรีบอัปเดต macOS และ watchOS โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

5 Zero-days ที่ถูกแพตช์ในปี 2022

ในเดือนมกราคม Apple ได้ทำการแพตช์ Zero-days อีกสองตัวที่ถูกใช้ในการโจมตีเป็นวงกว้าง โดยผู้โจมตีสามารถเรียกใช้โค้ดด้วยสิทธิ์เคอร์เนล (CVE-2022-22587) และเก็บข้อมูลการเข้าใช้งานเว็บไซต์, ข้อมูลประจำตัวผู้ใช้แบบเรียลไทม์ (CVE-2022-22594)

หนึ่งเดือนต่อมา Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-days (CVE-2022-22620) ใหม่ ซึ่งถูกใช้ในการแฮ็ก iPhone, iPad และ Mac ซึ่งสามารถทำให้เกิด OS crashes รวมถึงการสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Apple ที่ถูกโจมตีได้

ในเดือนมีนาคมก็มีการพบ Zero-days อีกสองตัวใน Intel Graphics Driver (CVE-2022-22674) และ AppleAVD media decoder (CVE-2022-22675) ใน macOS เวอร์ชันเก่า, watchOS 8.6 และ tvOS 15.5

Zero-days ทั้ง 5 นี้ส่งผลกระทบต่อ iPhone (iPhone 6s ขึ้นไป), Mac ที่ใช้ macOS Monterey และ iPad หลายรุ่น

ซึ่งตลอดปีที่ผ่านมา Apple ยังได้ออกแพตซ์แก้ไขช่องโหว่ Zero-days อีกจำนวนมากที่ถูกมุ่งเป้าโจมตีไปยังอุปกรณ์ iOS, iPadOS และ macOS

ที่มา: bleepingcomputer

Apple ออกแพตซ์อัปเดตเร่งด่วน ช่องโหว่ Zero-Day จำนวน 2 ช่องโหว่

Apple ออกแพตซ์อัปเดทด้านความปลอดภัย ซึ่งเกี่ยวกับช่องโหว่ Zero-day จำนวน 2 ช่องโหว่ ได้แก่

Apple Bulletin HT213219: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 บน iOS และ iPadOS แนะนำให้อัปเดทเป็นเวอร์ชัน 15.4.1
Apple Bulletin HT213220: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 และ ช่องโหว่ kernel data leakage CVE-2022-22674 บน macOS Monterey แนะนำให้อัปเดทเป็นเวอร์ชัน 12.3.1
โดย iOS, iPadOS หรือ macOS เวอร์ชันก่อนหน้านี้จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว หรืออีกกรณีหนึ่งก็คือยังไม่มีการออกอัปเดทสำหรับเวอร์ชันเหล่านั้นออกมา

Apple ยังไม่ได้ประกาศเกี่ยวกับเวอร์ชันอื่นๆ ที่ยังไม่ได้รับการอัปเดต ดังนั้นผู้ใช้งานจึงยังไม่สามารถมั่นใจได้ว่าเวอร์ชันเหล่านั้นจะไม่ได้รับผลกระทบ ต้องรอการอัปเดตจากทาง Apple ต่อไป

ในรายการอัปเดตของ Apple รายการที่ HT201222 ระบุถึงการอัปเดต tvOS 15.4.1 และ watchOS 8.5.1 แต่เป็นที่น่าสังเกตว่าการอัปเดตเหล่านี้ "ยังไม่มีระบุเลข CVE ของช่องโหว่"

(more…)

มัลแวร์ตัวใหม่บน MAC Computers “UpdateAgent” ถูกใช้โจมตีผ่าน Adware

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

Microsoft เปิดเผยรายละเอียดช่องโหว่ความปลอดภัยบน macOS ที่ทำให้ Attacker เข้าถึงข้อมูลของผู้ใช้งานได้

 

 

Microsoft ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยบน macOS ที่ถูกแพตช์ไปเมื่อเร็ว ๆ นี้ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้เกิดการเปิดเผยข้อมูลของผู้งานได้

 

ช่องโหว่นี้ได้รับหมายเลข CVE-2021-30970 โดยเกิดจากปัญหาทางด้าน Logic ของระบบ Transparency, Consent and Control (TCC) ซึ่งเป็นฐานข้อมูลส่วนที่ทำงานเกี่ยวกับการเก็บข้อมูลการตั้งค่า Privacy และการปกป้องไฟล์ และข้อมูลของแอพพลิเคชันต่าง ๆ โดยหน้าต่าง Security & Privacy ในหน้าการตั้งค่าแอปพลิเคชั่นบนระบบปฏิบัติการ macOS นั้นทำงานเป็น Front-end ของ TCC

 

ทีมนักวิจัยของ Microsoft 365 Defender ได้รายงานช่องโหว่นี้ให้กับ Apple ในเดือนกรกฎาคม 2021 โดยเรียกช่องโหว่นี้ว่า “powerdir” ซึ่ง Apple ได้รับทราบและแก้ไขปัญหานี้ในการอัปเดต macOS เวอร์ชัน 11.6 และ 12.1 ที่ถูกปล่อยในเดือนธันวาคมที่ผ่านมา

 

ทาง Apple ได้แก้ไข Policy เพื่อให้การเข้าถึงฐานข้อมูล TCC นั้นสามารถทำได้จากแอปพลิเคชันที่มีสิทธิ์ในการเข้าถึง Disk เต็มรูปแบบ (Full Disk Access) เท่านั้น แต่อย่างไรก็ตามมันยังมีความเป็นไปได้ที่จะดัดแปลงการโจมตีให้แอปพลิเคชันที่ไม่พึงประสงค์นั้นสามารถใช้งานการตั้งค่า Privacy เพื่อขโมยข้อมูลจากเครื่องได้ ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงไมโครโฟนเพื่ออัดเสียงการสนทนา หรือจับภาพหน้าจอของผู้ใช้งานได้

 

“พวกเราค้นพบว่ามันเป็นไปได้ที่จะทำการเปลี่ยน Home Directory ของผู้ใช้งานและทำการฝังฐานข้อมูล TCC ปลอมลงไป ซึ่ง TCC ปลอมที่ว่านั้นเก็บข้อมูลประวัติการยินยอมคำขอต่าง ๆ ของแอปพลิเคชัน” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

“ถ้าโจมตีที่ระบบที่ยังไม่ถูกแพตช์ ช่องโหว่นี้จะทำให้ผู้บุกรุกสามารถสร้างการโจมตีอื่น ๆ ได้ โดยใช้ข้อมูลส่วนตัวของผู้ใช้งานที่ได้มา”

 

 

หรือกล่าวได้ว่า หากผู้บุกรุกสามารถเข้าถึง Disk ได้อย่างเต็มรูปแบบ และสามารถเข้าถึงฐานข้อมูล TCC ได้ ผู้บุกรุกจะสามารถแก้ไขสิทธิ์และอนุญาตให้แอปพลิเคชันต่าง ๆ ทำงานด้วยการกำหนดค่าที่ผู้ใช้ไม่ได้ยินยอมได้

 

ช่องโหว่ CVE-2021-30970 ยังเป็นช่องโหว่ที่ 3 ที่เกี่ยวข้องกับการ Bypass TCC ที่ถูกค้นพบหลังจากช่องโหว่ CVE-2020-9934 และ CVE-2020-27937 ซึ่งทั้งสองช่องโหว่นี้ได้รับการแก้ไขโดย Apple แล้ว อีกทั้งในเดือนพฤษภาคม 2021 Apple ยังได้แก้ไขช่องโหว่ Zero-day ในส่วนเดียวกัน (CVE-2021-30713) ซึ่งสามารถทำให้ผู้บุกรุกได้รับสิทธิ์การเข้าถึง Disk เต็มรูปแบบ การจับภาพหน้าจอ และสิทธิ์อื่น ๆ ที่ผู้ใช้งานไม่ได้อนุญาต

 

“นี่แสดงให้เห็นว่าแม้แต่ macOS และระบบปฏิบัติการอื่น ๆ รวมถึงแอปพลิเคชันต่าง ๆ นั้นได้รับการเสริมความแข็งแกร่งเพิ่มขึ้นในแต่ละเวอร์ชัน และบริษัทต่าง ๆ อย่าง Apple นักวิจัยด้านความปลอดภัย หรือชุมชนด้านความปลอดภัยใหญ่ ๆ จะต้องทำงานร่วมกันอย่างต่อเนื่อง เพื่อค้นหาและปิดช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

ที่มา: thehackernews

พบช่องโหว่ zero-day บน macOS ที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายได้

นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใหม่ใน macOS Finder ของ Apple ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งบน Mac ที่ใช้ macOS เวอร์ชันใดก็ได้จนถึง Big Sur รุ่นล่าสุด

Zero-days เป็นช่องโหว่ที่เปิดเผยต่อสาธารณะ ซึ่งยังไม่ได้รับการแก้ไขโดยเจ้าของผลิตภัณฑ์ ในบางกรณีก็มีรายงานว่าถูกใช้ในการโจมตีจริงเรียบร้อยแล้ว หรือได้รับการพิสูจน์แล้วว่าสามารถโจมตีได้จริง ช่องโหว่นี้ถูกพบโดย Park Minchan นักวิจัยด้านความปลอดภัยอิสระ เกิดจากวิธีที่ macOS ประมวลผลไฟล์ inetloc ซึ่งทำให้เรียกใช้คำสั่งที่ผู้โจมตีฝังไว้โดยไม่ตั้งใจ และไม่มีคำเตือนหรือข้อความแจ้ง

บน macOS Internet location files ที่มีนามสกุล .inetloc เป็นบุ๊กมาร์กทั้งระบบที่สามารถใช้เปิดแหล่งข้อมูลออนไลน์ได้ (news://, [ftp://|ftp:], afp://) หรือไฟล์ในเครื่อง (file://) ช่องโหว่ใน macOS Finder ช่วยให้ไฟล์ที่มีนามสกุลเป็น inetloc สามารถรันคำสั่งใดก็ได้ และไฟล์เหล่านี้สามารถฝังอยู่ภายในอีเมลได้ ซึ่งหากผู้ใช้คลิกที่ไฟล์ประเภทนี้ที่แนบมาในอีเมล คำสั่งที่ฝังอยู่ภายในอีเมลเหล่านั้นก็จะทำงานทันทีโดยไม่ต้องขึ้น prompt หรือคำเตือนแก่ผู้ใช้งาน

Apple ดำเนินการ patch แต่ไม่ได้กำหนดหมายเลข CVE

แม้ว่าทาง Apple ได้แก้ไขปัญหาเบื้องต้นไปแล้วโดยไม่มีการระบุหมายเลข CVE แต่ตามที่ Minchan ค้นพบในภายหลัง การแก้ไขช่องโหว่นี้ของ Apple ได้แก้ไขข้อบกพร่องเพียงบางส่วนเท่านั้น เนื่องจากยังคงสามารถโจมตีได้โดยการเปลี่ยนโปรโตคอลที่ใช้ในการรันคำสั่งที่ฝังจาก file:// เป็น FiLe:// เนื่องจาก macOS เวอร์ชันที่อัปเดต (จาก Big Sur) ได้บล็อกเฉพาะคำนำหน้าที่เขียนในรูปแบบ file:// เท่านั้น (คำนำหน้าใน com.

Apple แก้ไขช่องโหว่ Zero-day บน IOS ที่ถูกใช้ในการติดตั้งสปายแวร์ NSO บน iPhone

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

Adobe ปล่อย Update Patch Tuesday สำหรับเดือน พฤษภาคม 2021

โดยมีการแก้ไขช่องโหว่หลายรายการที่ครอบคลุมทั้ง 12 ผลิตภัณฑ์ รวมไปถึงช่องโหว่ Zero-day ที่ส่งผลกระทบกับ Adobe Reader

มีรายงานว่า พบการใช้ประโยชน์จากช่องโหว่โจมตีไปยังกลุ่มเป้าหมายที่เป็นผู้ใช้ Adobe Reader บน Windows (CVE-2021-28550) ช่วยให้แฮ็คเกอร์สามารถเรียกใช้โค้ดแปลกปลอมโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) บนระบบเป้าหมายได้
ส่งผลกระทบกับ Windows และ macOS เวอร์ชัน Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 และ Acrobat Reader 2017

รายการแอปพลิเคชันอื่นๆ ที่มีการอัปเดต ได้แก่
Adobe Experience Manager

Adobe InDesign

Adobe Illustrator

Adobe InCopy

Adobe Genuine Service

Adobe Acrobat and Reader

Magento

Adobe Creative Cloud Desktop Application

Adobe Media Encoder

Adobe After Effects

Adobe Medium

Adobe Animate

โดยมี 10 ช่องโหว่ที่มีความรุนแรงระดับ Critical และ 4 ช่องโหว่ที่มีความรุนแรงระดับ Important ถูกพบใน Adobe Acrobat and Reader และช่องโหว่ระดับ Critical จำนวน 5 รายการ (CVE-2021-21101-CVE-2021-21105) ใน Adobe Illustrator ซึ่งอาจนำไปสู่การดำเนินการเรียกใช้คำสั่ง หรือโค้ดที่อาจจะเป็นอันตรายด้วย User ที่ใช้งานอยู่ในตอนนั้น

ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch Tuesday โดยรวมแล้วทั้งหมด 43 รายการ

แนะนำให้ผู้ใช้ทำการรีบอัปเดตแพตช์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีระบบที่ไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัย

ที่มา : thehackernews

แจ้งเตือน “XcodeSpy” มัลแวร์ชนิดใหม่ที่พุ่งเป้าโจมตีในลักษณะ Supply-chain attack กับนักพัฒนาแอปพลิเคชัน iOS

นักวิจัยจากบริษัท SentinelOne บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์บนโปรเจกต์ Xcode ที่ถูกเรียกว่า “XcodeSpy” ซึ่งกำลังกำหนดเป้าหมายไปยังนักพัฒนาแอปพลิเคชัน iOS เพื่อทำการโจมตีในลักษณะ Supply-chain attack และเพื่อติดตั้งแบ็คดอร์บนระบบปฏิบัติการ macOS บนคอมพิวเตอร์ของผู้พัฒนา

Xcode เป็นเครื่องมือสำหรับการพัฒนาแอปพลิเคชัน (Integrated Development Environment - IDE) ที่สร้างโดย Apple ซึ่ง Xcode จะช่วยให้นักพัฒนาสามารถสร้างแอปพลิเคชันที่ทำงานบน macOS, iOS, tvOS และ watchOS

นักวิจัยจากบริษัท SentinelOne กล่าวว่าได้ค้นพบ iOS โปรเจกต์ที่มีชื่อว่า TabBarInteraction โดยโปรเจกต์ดังกล่าวเป็นโปรเจกต์ Xcode ที่ถูกต้องสำหรับผู้พัฒนาแอปพลิเคชัน จากการตรวจสอบโปรเจกต์โดยทีมนักวัยจัยพบว่าผู้ประสงค์ร้ายได้ทำการโคลนโปรเจกต์ TabBarInteraction ที่ถูกต้องและได้เพิ่มสคริปต์ 'Run Script' ที่เป็นอันตรายลงไปยังโปรเจกต์ เมื่อผู้พัฒนาแอปพลิเคชันสร้างโปรเจกต์ code จะเรียกใช้ Run Script โดยอัตโนมัติเพื่อทำการสร้างไฟล์ที่ชื่อว่าว่า .tag ใน /tmp และภายในไฟล์จะมีคำสั่ง mdbcmd เพื่อเปิด Reverse shell กลับไปที่เซิร์ฟเวอร์ของผู้ประสงค์ร้าย นอกจากนี้แบ็คดอร์ยังสามารถทำให้ผู้ประสงค์ร้ายเข้าถึงการอัปโหลดและดาวน์โหลดไฟล์, ดึงข้อมูลหรือดักฟังจากกล้อง, ไมโครโฟนและคีย์บอร์ดของผู้ที่ตกเหยื่อได้อีกด้วย

ทั้งนี้ผู้พัฒนาแอปพลิเคชันจากซอฟต์แวร์ Xcode ควรระมัดระวังในการใช้งานอย่างมาก และไม่ควรดึงโปรเจกต์จากผู้พัฒนาที่ไม่รู้จักหรือไม่รู้เเหล่งที่มา เพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer, hackread

นักวิจัยพบช่องโหว่ CVE-2021-3156 ใน Sudo กระทบกับ MacOS ด้วย

Matthew Hickey ผู้ร่วมก่อตั้ง Hacker House ได้ออกมาเปิดเผยบนทวิตเตอร์ถึงการทดสอบ PoC ของช่องโหว่ CVE-2021-3156 หรือที่เรียกว่า Baron Samedit บน MacOS ซึ่งเขาได้พบว่า MacOS ก็ได้รับผลกระทบเช่นเดียวกันกับระบบปฏิบัติการ Unix ตัวอื่นๆ

สืบเนื่องมาจากที่นักวิจัยจาก Qualys ได้เปิดเผยช่องโหว่ CVE-2021-3156 ซึ่งเป็นช่องโหว่ Heap-based buffer overflow ที่อยู่ภายในเป็นเครื่องมือ Sudo ที่ถูกใช้อย่างเเพร่หลายบนระบบปฏิบัติการ Unix ซึ่งช่องโหว่จะนำไปสู่การยกระดับสิทธิ์เป็น Root ได้ โดยที่ผู้โจมตีไม่จำเป็นต้องรู้รหัสผ่านของผู้ใช้

Hickey ได้ทดสอบช่องโหว่ CVE-2021-3156 บน MacOS และได้ทำการปรับเปลี่ยนโค้ดบน PoC ของช่องโหว่เล็กน้อย โดยการสั่งเขียนทับ argv[0] หรือสร้าง symlink ซึ่งจะทำให้ระบบปฏิบัติการ MacOS มีช่องโหว่เช่นเดียวกันกับระบบปฏิบัติการ Linux และยกระดับสิทธิ์เป็น Root ได้เช่นเดียวกัน

Hickey กล่าวอีกว่าช่องโหว่ CVE-2021-3156 นี้สามารถใช้ประโยชน์ได้ใน macOS เวอร์ชันล่าสุดได้ ถึงแม้ว่าจะใช้แพตช์ความปลอดภัยล่าสุดที่ Apple เปิดตัวเมื่อวันจันทร์ที่ผ่านมา ทั้งนี้ Hickey ได้รายงานข้อผิดพลาดเเก่ Apple แล้ว ซึ่ง Apple ปฏิเสธที่จะแสดงความคิดเห็นในขณะที่ตรวจสอบรายงาน ผู้ใช้งาน MacOS ควรทำการติดตามการอัปเดตแพตช์ความปลอดภัยจาก Apple อย่างต่อเนื่องและเมื่อทาง Apple ปล่อยแพตช์ความปลอดภัยเพื่อแก้ไขข้อบกพร่องดังกล่าวผู้ใช้ควรรีบทำการอัปเดตแพตช์อย่างเร่งด่วน

ที่มา: zdnet.

Google Project Zero พาแกะ 3 ฟีเจอร์ใหม่ใน iMessage ของ iOS 14 ลดโอกาสโดน Zero-CLick Exploit ได้

Samuel Groß นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้มีการเผยแพร่งานวิจัยใหม่เกี่ยวกับฟีเจอร์ด้านความปลอดภัยใน iOS 14 ในส่วนของ iMessage ซึ่งตกเป็นเป้าหมายในการถูกโจมตีแบบ Zero-click อยู่บ่อยครั้ง โดยงานวิจัยนี้เกิดจากการทำ Reverse engineering กับกระบวนการทำงานของ iMessage ในเวลาเพียงแค่ 1 สัปดาห์

สำหรับฟีเจอร์แรกนั้นถูกเรียกว่าเซอร์วิส BlastDoor ซึ่งเป็นส่วนโมดูลใหม่สำหรับประมวลผลข้อมูลไบนารี อาทิ ไฟล์แนบ, ลิงค์และไฟล์รูปข้างใน Sandbox ซึ่งไม่สามารถเชื่อมต่อออกสู่เครือข่ายได้ ผลลัพธ์ของการแยกประมวลผลนี้ทำให้การจัดเรียงกันของหน่วยความจำนั้นแตกต่างออกไปและเพิ่มความเป็นไปได้ยากในการที่จะทำการโจมตีในลักษณะของ Memory corruption

ฟีเจอร์ส่วนที่สองนั้นถูกเรียกว่า Shared cache resliding โดยเป็นการปรับปรุงส่วนของ Shared cache ในหน่วยความจำ ส่วนของ Shared cache เป็นส่วนหนึ่งของหน่วยความจำที่มีการเก็บตำแหน่งของฟังก์ชันของระบบเอาไว้และจะถูกสุ่มภายใต้ฟีเจอร์ ASLR เฉพาะเมื่อมีการบูต เนื่องจากการสุ่มตำแหน่งโดย ASLR ไม่ได้เกิดขึ้นบ่อยนัก การโจมตีในบางเทคนิคสามารถนำไปสู่การระบุหาแอดเดรสใน Shared cache ซึ่งนำไปสู่การข้ามผ่านฟีเจอร์ ASLR ได้ ใน iOS 14 ปัญหาในส่วนนี้ถูกแก้โดยการเพิ่มเงื่อนไขในการสุ่มตำแหน่งของข้อมูลใน Shared cache สำหรับเซอร์วิสใดๆ เมื่อเซอร์วิสเริ่มทำงานแทน ซึ่งทำให้การข้ามผ่านฟีเจอร์ ASLR เป็นไปได้ยากขึ้นหรือแทบเป็นไปไม่ได้เลย

ฟีเจอร์ส่วนสุดท้ายยังคงอยู่ในแนวทางของการป้องกันการข้ามผ่านฟีเจอร์ ASLR ซึ่งมาในลักษณะของการ Brute force โดยใน iOS 14 นั้นเซอร์วิสอย่าง BlastDoor จะถูกตั้งค่าและควบคุมให้อยู่ในกลไกที่ชื่อ ExponentialThrottling ซึ่งจะทำการหน่วงเวลาของการรีสตาร์ทหากโปรเซสหรือเซอร์วิสมีการแครช ฟีเจอร์ ExponentialThrottling ถูกบังคับใช้เฉพาะกับกลไกที่สำคัญ ดังนั้นผลกระทบของเวลาที่ถูกหน่วงในแต่ละครั้งจะไม่กระทบต่อการใช้งานทั่วไป จากการตรวจสอบโดย Samuel เวลาหน่วงที่มากที่สุดหลังจากมีการแครชและจำนวนเวลาถูกเพิ่มไปเรื่อยๆ นั้นคือ 20 นาที

สำหรับใครที่สนใจทางด้าน Exploitation โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมของ macOS และ iOS สามารถอ่านรายละเอียดจากการ Reverse engineer ได้ที่ : googleprojectzero

ที่มา: zdnet