Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-4135 เป็นช่องโหว่ที่มีระดับความรุนแรงสูง ที่เกิดจาก Heap-based buffer overflow บน GPU component ที่จะทำให้โปรแกรมเกิดข้อผิดพลาด และผู้ไม่หวังดีสามารถรันโค้ดที่เป็นอันตรายได้หากโจมตีสำเร็จ

ช่องโหว่นี้ถูกพบโดย Clement Lecigne จาก Threat Analysis Group เมื่อวันที่ 22 พฤศจิการยนที่ผ่านมา และในการการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 8 นับตั้งแต่ต้นปี ของ Google โดยช่องโหว่ zero-day 7 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation – February 14th, 2022
CVE-2022-1096 - Type confusion in V8 – March 25th, 2022
CVE-2022-1364 - Type confusion in V8 – April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC – July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022
CVE-2022-3075 - Insufficient data validation in Mojo - August 30th, 2022
CVE-2022-3723 - Type confusion in V8 - October 27th, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 107.0.5304.121 สำหรับ macOS และ Linux และเวอร์ชั่น 107.0.5304.121/.122 สำหรับ Windows เพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

Browser อื่น ๆ ที่อยู่บน Chromium-based เช่น Microsoft Edge, Brave, Opera และ Vivaldi แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันที่ได้รับการแก้ไขแล้วก่อนการใช้งานเช่นเดียวกัน

ที่มา : thehackernews

 

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบการโจมตีรูปแบบใหม่ และเฟรมเวิร์ก C2 ที่ชื่อว่า "Alchimist" ซึ่งดูเหมือนจะถูกใช้ในการโจมตีที่มุ่งเป้าไปยังระบบปฏิบัติการ Windows, Linux และ Mac OS

เฟรมเวิร์ก และไฟล์ทั้งหมดถูกเขียนขึ้นด้วยภาษาโปรแกรมมิ่งที่ชื่อว่า GoLang ซึ่งเป็นภาษาที่ทำให้ความเข้ากันได้ของโปรแกรมในแต่ละระบบปฏิบัติการต่าง ๆ ทำได้ง่ายขึ้นมาก

Alchimist มี web-based interface ที่ใช้ภาษาจีน ซึ่งคล้ายกันกับ Manjusaka ที่เป็นเฟรมเวิร์กที่ถูกใช้หลังการโจมตี (post-exploitation) ที่พึ่งถูกพบเมื่อเร็ว ๆ นี้ ซึ่งกำลังเป็นที่นิยมในกลุ่มแฮ็กเกอร์ชาวจีน

นักวิจัยของ Cisco Talos พบว่าทั้ง 2 เฟรมเวิร์คนั้นมีความคล้ายกัน แต่ก็มีความแตกต่างทางเทคนิคมากพอที่จะสรุปได้ว่าผู้เขียนเฟรมเวิร์คทั้งสองตัวต่างคนต่างพัฒนาเฟรมเวิร์กเหล่านี้

วิธีการสร้างการโจมตี

Alchimist ช่วยให้ผู้โจมตีมีเฟรมเวิร์กที่ใช้งานได้ง่าย ซึ่งช่วยให้สามารถสร้าง และกำหนดค่าเพย์โหลดที่ติดตั้งบนอุปกรณ์ที่ถูกโจมตี เพื่อบันทึกภาพหน้าจอจากระยะไกล สั่งรัน commands ต่าง ๆ และดำเนินการเรียกใช้ shellcode จากระยะไกลได้

เฟรมเวิร์กนี้ยังสนับสนุนการสร้าง mechanisms เพื่อติดตั้ง 'Insekt' (RAT) บนอุปกรณ์ของเหยื่อ และช่วยในการสร้าง PowerShell (สำหรับ Windows) และ wget (สำหรับ Linux) สำหรับการปรับใช้ RAT

 

เพย์โหลดของ Insekt สามารถกำหนดค่าได้บนอินเทอร์เฟซของ Alchimist โดยใช้พารามิเตอร์ต่าง ๆ เช่น C2 IP/URL แพลตฟอร์ม (Windows หรือ Linux) โปรโตคอล (TLS, SNI, WSS/WS)

 

C2 Address จะถูกกำหนดไว้ในฮาร์ดโค้ด และมี self-signed certificate ซึ่งสร้างขึ้นในระหว่างการคอมไพล์ โดย C2 จะส่งคำสั่ง Ping 10 ครั้งทุกวินาที และหากความพยายามในการเชื่อมต่อทั้งหมดไม่สำเร็จ มัลแวร์จะลองใหม่อีกครั้งหลังจากผ่านไปหนึ่งชั่วโมง

Insekt RAT

เซิร์ฟเวอร์ Alchemist C2 จะส่งคำสั่งเพื่อดำเนินการ ซึ่งเป็นการฝัง Insekt ที่ใช้ดำเนินการบนระบบ Windows และ Linux ที่ถูกโจมตี

พฤติกรรมที่เป็นอันตรายที่ Insekt สามารถทำได้:

รับข้อมูลขนาดไฟล์
รับข้อมูลระบบปฏิบัติการ
เรียกใช้คำสั่งโดยผ่าน cmd.

Apple ได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการบน iOS และ macOS รวมถึง Zero-Day ที่กำลังถูกนำมาใช้ในการโจมตีอย่างแพร่หลายในปัจจุบัน

ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-32917 (CVSS: 8.4) เป็นข้อผิดพลาดภายใน OS kernel ที่ทำให้ malicious app สามารถรันโค้ดที่เป็นอันตรายได้ด้วยสิทธิของ Kernel privileges

และนอกจากช่องโหว่ดังกล่าว ทาง Apple ก็ยังได้มีการออกแพตช์อัปเดตความปลอดภัยของช่องโหว่อื่น ๆ อีก 7 รายการ ดังนี้

CVE-2022-22587 (IOMobileFrameBuffer) – Malicious Application สามารถรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22594 (WebKit Storage) - เว็บไซต์สามารถเข้าถึงข้อมูลที่มีความสำคัญของผู้ใช้งานได้
CVE-2022-22620 (WebKit) – การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-22674 (Intel Graphics Driver) – Application สามารถอ่านข้อมูลในหน่วยความจำของ Kernel ได้
CVE-2022-22675 (AppleAVD) – Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege
CVE-2022-32893 (WebKit) - การเข้าใช้งานเว็ปไซต์ที่เป็นอันตรายที่ถูกสร้างขึ้นเป็นพิเศษ อาจทำให้ถูกสั่งรันโค้ดที่เป็นอันตรายได้ตามต้องการ
CVE-2022-32894 (Kernel) - Application สามารถรันโค้ดได้ตามต้องการโดยใช้สิทธิ Kernel privilege

คำแนะนำ

Apple ได้ออกแพตช์อัปเดตเพื่อแก้ไขปัญหาดังกล่าวเรียบร้อยแล้ว โดยมีรายละเอียดดังนี้

Patch iOS 16 : สำหรับ iPhone 8 ขึ้นไป

Patch iOS 15.7 : สำหรับ iPhone 6s ขึ้นไป และ iPod touch 7 generation

Patch iPadOS 15.7 : สำหรับ iPad Pro ทุกรุ่น, iPad Air 2 ขึ้นไป, iPad 5th generation ขึ้นไป และ iPad mini 4 ขึ้นไป

Patch macOS Big Sur 11.7 และ macOS Monterey 12.6 : อุปกรณ์ Mac ที่มีการใช้งาน Big sur และ Monterey

ที่มา : thehackernews , cybersecurity

Apple ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีไปยังอุปกรณ์ Mac และ Apple Watch

ในคำแนะนำด้านความปลอดภัยที่ออกมาเมื่อวันจันทร์จาก Apple มีการระบุว่าทาง Apple ได้รับทราบถึงรายงานของช่องโหว่ด้านความปลอดภัยนี้แล้ว และยังคาดว่าอาจมีการนำไปใช้ในการโจมตีจริง นักวิจัยที่ไม่ได้ระบุชื่อเป็นผู้รายงานช่องโหว่ดังกล่าว และได้รับการแก้ไขจาก Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5 โดยช่องโหว่เกิดจาก out-of-bounds write issue (CVE-2022-22675) ใน AppleAVD (kernel extension สำหรับการถอดรหัสเสียง และวิดีโอ) ที่ทำให้แอปสามารถสั่งรันโค้ดได้ตามต้องการด้วยสิทธิ์ของ kernel

อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD

แม้ว่า Apple ได้เปิดเผยรายงานว่าคาดว่าน่าจะมีการโจมตีเกิดขึ้นจริงแล้ว แต่ก็ยังไม่มีข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

Apple ตั้งเป้าอัปเดตด้านความปลอดภัยบน Apple Watch และ Mac ให้กับผู้ใช้งานให้ได้มากที่สุด ก่อนที่ผู้โจมตีจะรู้รายละเอียดของ Zero-day และเริ่มนำมาปรับใช้ในการโจมตีส่วนอื่นๆ แม้ว่า Zero-day นี้ส่วนใหญ่จะใช้โจมตีได้แค่บางอุปกรณ์เท่านั้น แต่ทาง Apple ก็แนะนำให้ผู้ใช้งานรีบอัปเดต macOS และ watchOS โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

5 Zero-days ที่ถูกแพตช์ในปี 2022

ในเดือนมกราคม Apple ได้ทำการแพตช์ Zero-days อีกสองตัวที่ถูกใช้ในการโจมตีเป็นวงกว้าง โดยผู้โจมตีสามารถเรียกใช้โค้ดด้วยสิทธิ์เคอร์เนล (CVE-2022-22587) และเก็บข้อมูลการเข้าใช้งานเว็บไซต์, ข้อมูลประจำตัวผู้ใช้แบบเรียลไทม์ (CVE-2022-22594)

หนึ่งเดือนต่อมา Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-days (CVE-2022-22620) ใหม่ ซึ่งถูกใช้ในการแฮ็ก iPhone, iPad และ Mac ซึ่งสามารถทำให้เกิด OS crashes รวมถึงการสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Apple ที่ถูกโจมตีได้

ในเดือนมีนาคมก็มีการพบ Zero-days อีกสองตัวใน Intel Graphics Driver (CVE-2022-22674) และ AppleAVD media decoder (CVE-2022-22675) ใน macOS เวอร์ชันเก่า, watchOS 8.6 และ tvOS 15.5

Zero-days ทั้ง 5 นี้ส่งผลกระทบต่อ iPhone (iPhone 6s ขึ้นไป), Mac ที่ใช้ macOS Monterey และ iPad หลายรุ่น

ซึ่งตลอดปีที่ผ่านมา Apple ยังได้ออกแพตซ์แก้ไขช่องโหว่ Zero-days อีกจำนวนมากที่ถูกมุ่งเป้าโจมตีไปยังอุปกรณ์ iOS, iPadOS และ macOS

ที่มา: bleepingcomputer

Apple ออกแพตซ์อัปเดทด้านความปลอดภัย ซึ่งเกี่ยวกับช่องโหว่ Zero-day จำนวน 2 ช่องโหว่ ได้แก่

Apple Bulletin HT213219: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 บน iOS และ iPadOS แนะนำให้อัปเดทเป็นเวอร์ชัน 15.4.1
Apple Bulletin HT213220: ช่องโหว่ในการทำงานของ Kernel code CVE-2022-22675 และ ช่องโหว่ kernel data leakage CVE-2022-22674 บน macOS Monterey แนะนำให้อัปเดทเป็นเวอร์ชัน 12.3.1
โดย iOS, iPadOS หรือ macOS เวอร์ชันก่อนหน้านี้จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว หรืออีกกรณีหนึ่งก็คือยังไม่มีการออกอัปเดทสำหรับเวอร์ชันเหล่านั้นออกมา

Apple ยังไม่ได้ประกาศเกี่ยวกับเวอร์ชันอื่นๆ ที่ยังไม่ได้รับการอัปเดต ดังนั้นผู้ใช้งานจึงยังไม่สามารถมั่นใจได้ว่าเวอร์ชันเหล่านั้นจะไม่ได้รับผลกระทบ ต้องรอการอัปเดตจากทาง Apple ต่อไป

ในรายการอัปเดตของ Apple รายการที่ HT201222 ระบุถึงการอัปเดต tvOS 15.4.1 และ watchOS 8.5.1 แต่เป็นที่น่าสังเกตว่าการอัปเดตเหล่านี้ "ยังไม่มีระบุเลข CVE ของช่องโหว่"

(more…)

ทีมข่าวกรองภัยคุกคาม Microsoft 365 เรียกมัลแวร์โทรจันใหม่นี้ว่า "UpdateAgent" icrosoft กล่าวว่า UpdateAgent ได้ผ่านการทำซ้ำหลายครั้งหรือมีการติดมัลแวร์ในอุปกรณ์หลายครั้ง ส่งผลให้มีความสามารถ "การเพิ่มความก้าวหน้าของความสามารถที่ซับซ้อน" โดยนับตั้งแต่รายงานการโจมตีครั้งแรกเมื่อเดือนกันยายน 2563 จนถึงปัจจุบัน

ความสามารถของ UpdateAgent คือ เข้าถึงการใช้สิทธิ์ของผู้ใช้ที่มีอยู่ในทางที่ผิดอย่างลับ ๆ และหลีกเลี่ยง macOS Gatekeeper ซึ่งเป็น feature ด้านความปลอดภัยบนระบบ macOS

มัลแวร์ UpdateAgent แพร่กระจายผ่านการดาวน์โหลด หรือป๊อปอัปโฆษณาที่ปลอมแปลงเป็นซอฟต์แวร์ที่ดูปกติ เช่น video applications, support agent เป็นต้น และพบว่ามัลแวร์ UpdateAgent สามารถใช้ประโยชน์จากโครงสร้างพื้นฐานของคลาวด์ เช่น Amazon S3 และ CloudFront เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์แล้วสามารถติดซ้ำได้อีกครั้ง ซึ่งรวมถึง Adware ในรูปแบบไฟล์ .DMG หรือ .ZIP

เมื่อติดมัลแวร์แล้ว มัลแวร์ Adload จะใช้วิธีการ ad injection และเทคนิค man-in-middle(MitM) เพื่อเปลี่ยนเส้นทางการใช้งานอินเทอร์เน็ตของผู้ใช้ให้ผ่านทางเซิฟเวอร์ของผู้โจมตี แล้วแทรกโฆษณาหลอกลวงในหน้าเว็บหรือผลลัพธ์ของเครื่องมือค้นหา เพื่อเพิ่มโอกาสในการติดมัลแวร์อื่นๆบนเครื่องๆได้อีก

นักวิจัยเตือนว่า "UpdateAgent มีเอกลักษณ์เฉพาะตัวด้วยการอัพเกรดเทคนิคในการพยายามฝังตัวอยู่บนเครื่องเหยื่ออย่างต่อเนื่อง ซึ่งบ่งชี้ว่าโทรจันนี้มีแนวโน้มที่จะใช้เทคนิคที่ซับซ้อนมากขึ้นในแคมเปญต่อไปในอนาคต"

ที่มา : thehackernews

 

 

Microsoft ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยบน macOS ที่ถูกแพตช์ไปเมื่อเร็ว ๆ นี้ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้เกิดการเปิดเผยข้อมูลของผู้งานได้

 

ช่องโหว่นี้ได้รับหมายเลข CVE-2021-30970 โดยเกิดจากปัญหาทางด้าน Logic ของระบบ Transparency, Consent and Control (TCC) ซึ่งเป็นฐานข้อมูลส่วนที่ทำงานเกี่ยวกับการเก็บข้อมูลการตั้งค่า Privacy และการปกป้องไฟล์ และข้อมูลของแอพพลิเคชันต่าง ๆ โดยหน้าต่าง Security & Privacy ในหน้าการตั้งค่าแอปพลิเคชั่นบนระบบปฏิบัติการ macOS นั้นทำงานเป็น Front-end ของ TCC

 

ทีมนักวิจัยของ Microsoft 365 Defender ได้รายงานช่องโหว่นี้ให้กับ Apple ในเดือนกรกฎาคม 2021 โดยเรียกช่องโหว่นี้ว่า “powerdir” ซึ่ง Apple ได้รับทราบและแก้ไขปัญหานี้ในการอัปเดต macOS เวอร์ชัน 11.6 และ 12.1 ที่ถูกปล่อยในเดือนธันวาคมที่ผ่านมา

 

ทาง Apple ได้แก้ไข Policy เพื่อให้การเข้าถึงฐานข้อมูล TCC นั้นสามารถทำได้จากแอปพลิเคชันที่มีสิทธิ์ในการเข้าถึง Disk เต็มรูปแบบ (Full Disk Access) เท่านั้น แต่อย่างไรก็ตามมันยังมีความเป็นไปได้ที่จะดัดแปลงการโจมตีให้แอปพลิเคชันที่ไม่พึงประสงค์นั้นสามารถใช้งานการตั้งค่า Privacy เพื่อขโมยข้อมูลจากเครื่องได้ ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงไมโครโฟนเพื่ออัดเสียงการสนทนา หรือจับภาพหน้าจอของผู้ใช้งานได้

 

“พวกเราค้นพบว่ามันเป็นไปได้ที่จะทำการเปลี่ยน Home Directory ของผู้ใช้งานและทำการฝังฐานข้อมูล TCC ปลอมลงไป ซึ่ง TCC ปลอมที่ว่านั้นเก็บข้อมูลประวัติการยินยอมคำขอต่าง ๆ ของแอปพลิเคชัน” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

“ถ้าโจมตีที่ระบบที่ยังไม่ถูกแพตช์ ช่องโหว่นี้จะทำให้ผู้บุกรุกสามารถสร้างการโจมตีอื่น ๆ ได้ โดยใช้ข้อมูลส่วนตัวของผู้ใช้งานที่ได้มา”

 

 

หรือกล่าวได้ว่า หากผู้บุกรุกสามารถเข้าถึง Disk ได้อย่างเต็มรูปแบบ และสามารถเข้าถึงฐานข้อมูล TCC ได้ ผู้บุกรุกจะสามารถแก้ไขสิทธิ์และอนุญาตให้แอปพลิเคชันต่าง ๆ ทำงานด้วยการกำหนดค่าที่ผู้ใช้ไม่ได้ยินยอมได้

 

ช่องโหว่ CVE-2021-30970 ยังเป็นช่องโหว่ที่ 3 ที่เกี่ยวข้องกับการ Bypass TCC ที่ถูกค้นพบหลังจากช่องโหว่ CVE-2020-9934 และ CVE-2020-27937 ซึ่งทั้งสองช่องโหว่นี้ได้รับการแก้ไขโดย Apple แล้ว อีกทั้งในเดือนพฤษภาคม 2021 Apple ยังได้แก้ไขช่องโหว่ Zero-day ในส่วนเดียวกัน (CVE-2021-30713) ซึ่งสามารถทำให้ผู้บุกรุกได้รับสิทธิ์การเข้าถึง Disk เต็มรูปแบบ การจับภาพหน้าจอ และสิทธิ์อื่น ๆ ที่ผู้ใช้งานไม่ได้อนุญาต

 

“นี่แสดงให้เห็นว่าแม้แต่ macOS และระบบปฏิบัติการอื่น ๆ รวมถึงแอปพลิเคชันต่าง ๆ นั้นได้รับการเสริมความแข็งแกร่งเพิ่มขึ้นในแต่ละเวอร์ชัน และบริษัทต่าง ๆ อย่าง Apple นักวิจัยด้านความปลอดภัย หรือชุมชนด้านความปลอดภัยใหญ่ ๆ จะต้องทำงานร่วมกันอย่างต่อเนื่อง เพื่อค้นหาและปิดช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

ที่มา: thehackernews

นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใหม่ใน macOS Finder ของ Apple ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งบน Mac ที่ใช้ macOS เวอร์ชันใดก็ได้จนถึง Big Sur รุ่นล่าสุด

Zero-days เป็นช่องโหว่ที่เปิดเผยต่อสาธารณะ ซึ่งยังไม่ได้รับการแก้ไขโดยเจ้าของผลิตภัณฑ์ ในบางกรณีก็มีรายงานว่าถูกใช้ในการโจมตีจริงเรียบร้อยแล้ว หรือได้รับการพิสูจน์แล้วว่าสามารถโจมตีได้จริง ช่องโหว่นี้ถูกพบโดย Park Minchan นักวิจัยด้านความปลอดภัยอิสระ เกิดจากวิธีที่ macOS ประมวลผลไฟล์ inetloc ซึ่งทำให้เรียกใช้คำสั่งที่ผู้โจมตีฝังไว้โดยไม่ตั้งใจ และไม่มีคำเตือนหรือข้อความแจ้ง

บน macOS Internet location files ที่มีนามสกุล .inetloc เป็นบุ๊กมาร์กทั้งระบบที่สามารถใช้เปิดแหล่งข้อมูลออนไลน์ได้ (news://, [ftp://|ftp:], afp://) หรือไฟล์ในเครื่อง (file://) ช่องโหว่ใน macOS Finder ช่วยให้ไฟล์ที่มีนามสกุลเป็น inetloc สามารถรันคำสั่งใดก็ได้ และไฟล์เหล่านี้สามารถฝังอยู่ภายในอีเมลได้ ซึ่งหากผู้ใช้คลิกที่ไฟล์ประเภทนี้ที่แนบมาในอีเมล คำสั่งที่ฝังอยู่ภายในอีเมลเหล่านั้นก็จะทำงานทันทีโดยไม่ต้องขึ้น prompt หรือคำเตือนแก่ผู้ใช้งาน

Apple ดำเนินการ patch แต่ไม่ได้กำหนดหมายเลข CVE

แม้ว่าทาง Apple ได้แก้ไขปัญหาเบื้องต้นไปแล้วโดยไม่มีการระบุหมายเลข CVE แต่ตามที่ Minchan ค้นพบในภายหลัง การแก้ไขช่องโหว่นี้ของ Apple ได้แก้ไขข้อบกพร่องเพียงบางส่วนเท่านั้น เนื่องจากยังคงสามารถโจมตีได้โดยการเปลี่ยนโปรโตคอลที่ใช้ในการรันคำสั่งที่ฝังจาก file:// เป็น FiLe:// เนื่องจาก macOS เวอร์ชันที่อัปเดต (จาก Big Sur) ได้บล็อกเฉพาะคำนำหน้าที่เขียนในรูปแบบ file:// เท่านั้น (คำนำหน้าใน com.

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

โดยมีการแก้ไขช่องโหว่หลายรายการที่ครอบคลุมทั้ง 12 ผลิตภัณฑ์ รวมไปถึงช่องโหว่ Zero-day ที่ส่งผลกระทบกับ Adobe Reader

มีรายงานว่า พบการใช้ประโยชน์จากช่องโหว่โจมตีไปยังกลุ่มเป้าหมายที่เป็นผู้ใช้ Adobe Reader บน Windows (CVE-2021-28550) ช่วยให้แฮ็คเกอร์สามารถเรียกใช้โค้ดแปลกปลอมโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) บนระบบเป้าหมายได้
ส่งผลกระทบกับ Windows และ macOS เวอร์ชัน Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 และ Acrobat Reader 2017

รายการแอปพลิเคชันอื่นๆ ที่มีการอัปเดต ได้แก่
Adobe Experience Manager

Adobe InDesign

Adobe Illustrator

Adobe InCopy

Adobe Genuine Service

Adobe Acrobat and Reader

Magento

Adobe Creative Cloud Desktop Application

Adobe Media Encoder

Adobe After Effects

Adobe Medium

Adobe Animate

โดยมี 10 ช่องโหว่ที่มีความรุนแรงระดับ Critical และ 4 ช่องโหว่ที่มีความรุนแรงระดับ Important ถูกพบใน Adobe Acrobat and Reader และช่องโหว่ระดับ Critical จำนวน 5 รายการ (CVE-2021-21101-CVE-2021-21105) ใน Adobe Illustrator ซึ่งอาจนำไปสู่การดำเนินการเรียกใช้คำสั่ง หรือโค้ดที่อาจจะเป็นอันตรายด้วย User ที่ใช้งานอยู่ในตอนนั้น

ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch Tuesday โดยรวมแล้วทั้งหมด 43 รายการ

แนะนำให้ผู้ใช้ทำการรีบอัปเดตแพตช์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีระบบที่ไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัย

ที่มา : thehackernews