มีการค้นพบการโจมตีด้วย CSS ส่งผลให้ระบบปฏิบัติการ iOS ทำการ restart หรือ respring (การเรียกใช้งานหน้าจอ Home ของ iPhone ใหม่อีกรอบ) และระบบปฏิบัติการ macOS ค้าง เพียงแค่เข้าไปชมเว็บไซต์ที่มี CSS และ HTML ที่เป็นอันตราย ผู้ใช้ Windows และ Linux ไม่ได้รับผลกระทบจากปัญหานี้

การโจมตีนี้ค้นพบโดย Sabri Haddouche นักวิจัยด้านความปลอดภัยของ Wire การโจมตีใช้จุดอ่อนในคุณสมบัติ webkit-backdrop- filter CSS การโจมตีนี้มีผลกับเบราว์เซอร์ทั้งหมดบน iOS เช่นเดียวกับ Safari และ Mail ใน macOS เพราะทั้งหมดใช้เครื่องมือการแสดงผล WebKit จากการทดสอบพบว่าหากเป็น iOS 12 อุปกรณ์จะทำการ reboot แต่ใน iOS 11.4.1 จะเกิดเพียงแค่การ respring และสำหรับ macOS การโจมตีจะทำให้เมล์และซาฟารีหยุดทำงานเป็นเวลาสองวินาทีและทำให้คอมพิวเตอร์ทำงานช้าลง

ทั้งนี้นักวิจัยได้มีการโพสต์ CSS และ HTML ที่ใช้ทดสอบดังกล่าวไว้ในหน้า GitHub ของเขา โดยผู้ที่สนใจจะต้องใช้ความระมัดระวังอย่างสูงในการทดสอบ เนื่องจากหากเผลอคลิกลิงค์ จะส่งผลทำให้ iOS เกิดปัญหาขึ้นหรือทำให้เกิดปัญหากับ Mac อย่างรวดเร็ว

ที่มา:bleepingcomputer

นักวิจัยค้นพบ Calisto มัลแวร์ใน macOS ซึ่งเป็นมัลแวร์ตั้งต้นของมัลแวร์ชื่อดัง Proton

นักวิจัยด้านมัลแวร์จาก Kaspersky Labเปิดเผยมัลแวร์ Calisto ซึ่งเน้นโจมตี macOS โดยเชื่อว่าน่าจะเป็นมัลแวร์ตั้งต้นของมัลแวร์ Proton ที่แพร่ระบาดในปี 2017
Proton เป็นมัลแวร์ที่โจมตีเครื่องคอมพิวเตอร์ที่ใช้ macOS เป็น remote access trojan (RAT) เมื่อคอมพิวเตอร์ดังกล่าวติดเชื้อแล้วจะทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ติดเชื้อได้เต็มรูปแบบ ชื่อของ Proton เริ่มเป็นที่รู้จักครั้งแรกในเดือนมีนาคม ปี 2017 เมื่อนักวิจัยจาก Sixgill เจอการซื้อขาย Proton ในเว็บบอร์ดแฮกเกอร์ใต้ดินด้วยราคาตั้งแต่ 1200 ดอลลาร์สหรัฐ (ประมาณ 40,000 บาท) ไปจนถึง 820,000 ดอลลาร์สหรัฐ (ประมาณ27ล้านบาท) หลังจากนั้นไม่นานในเดือนพฤษภาคม ปี 2017 มีการแฮกเว็บไซต์ HandBrake (โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์ส) และเปลี่ยนโปรแกรม HandBrake สำหรับ macOS เป็นไฟล์ที่ฝัง Proton ไว้ด้านในโปรแกรมตัวจริง และในเดือนตุลาคม ปี 2017 Proton แพร่ระบาดอีกครั้งด้วยการแฮกเว็บไซต์ Eltima Player แล้วฝังProton ไว้ด้านในโปรแกรมเช่นกัน

ในวันที่ 20 กรกฏาคม 2018 นักวิจัยด้านมัลแวร์จาก Kaspersky Lab ได้เปิดเผยการค้นพบมัลแวร์ชื่อ Calisto ซึ่งน่าจะเป้นมัลแวร์ตั้งต้นในการพัฒนามัลแวร์ Proton มัลแวร์ Calisto ถูกพัฒนาตั้งแต่ปี 2016 และถูกอัพโหลดขึ้นเว็บไซต์ VirusTotal (เว็บไซต์ให้บริการตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย) ตั้งแต่ปี 2016 ทั้งนี้ไฟล์ที่มี Calisto ไม่ถูกแจ้งว่าเป็นไฟล์อันตรายมาตลอดจนกระทั้งเมื่อนักวิจัยไปเจอในเดือนพฤษภาคม ปี 2018
ในผลวิเคราะห์ Calisto จากนักวิจัยด้านมัลแวร์จาก Kaspersky Lab กล่าวว่า Calisto เป็น remote access trojan (RAT) เช่นกัน โดยมีความสามารถหลายอย่าง เช่น ทำให้ผู้โจมตีล็อกอินเข้าเครื่อง macOS ที่ติดเชื้อได้จากระยะไกล เปิดระบบ screen sharing สร้าง root account ลับให้มัลแวร์ใช้ ขโมยไฟล์แล้วส่งไปยังเซิร์ฟเวอร์ที่ควบคุม

ทั้งนี้ Calisto ยังอยู่ระหว่างการพัฒนาและไม่มีอันตรายเท่ากับ Proton นอกจากนี้ Calisto และถูกพัฒนาออกมาก่อนที่ Apple ออก SIP (System Integrity Protection) ซึ่ง SIP ออกแบบมาให้มัลแวร์ไม่สามารถเปลี่ยนแปลงไฟล์และการตั้งค่าของระบบที่สำคัญได้ ถึงแม้ว่าจะเข้าถึงระบบในระดับ root ก็ตาม ผู้ใช้ macOS ที่เปิดการใช้จึง SIP จะปลอดภัยจาก Calisto
ทั้งนี้เพื่อความปลอดภัยจาก Calisto Proton และมัลแวร์ในกลุ่มเดียวกัน

ผู้ใช้ macOS ควรจะ อัปเดต OS ให้เป็นปัจจุบันอยู่เสมอ ไม่ปิดการใช้งาน SIP ใช้ software จากแหล่งน่าเชื่อถือเท่านั้น เช่น จาก App Store ติดตั้ง antivirus software ที่มีการอัปเดตเป็นปัจจุบัน

ที่มา securityaffairs

Felix Krause นักวิจัยด้านความปลอดภัยจาก Fastlane Tools ได้มีการเปิดเผยเทคนิคใหม่ซึ่งใช้ API ของ macOS ในการถ่ายรูปหรือ live stream จากหน้าจอผู้ใช้งานและใช้ OCR เพื่อขโมยข้อมูล

CGWIndowListCreateImage ซึ่งเป็น API ตัวปัญหานั้นสามารถถูกเรียกได้จากแอปแม้ว่าจะถูกควบคุมโดยใช้ sandbox ไว้อยู่ หลักจากที่ข้อมูลที่เก็บอยู่ในลักษณะของมีเดียแล้ว Krause ได้สาธิตการใช้ OCR (optical character recognition) เพื่อวิเคราะห์แล้วดึงข้อมูลตัวอักษรออกมาจากมีเดียได้

Krause ได้ดำเนินการแจ้งเรื่องนี้แก่ Apple แล้ว แต่อย่างไรก็ตาม Apple ยังไม่มีทีท่าที่จะทำการแก้ไข โดย Krause ยังให้คำแนะนำแก่ Apple เพิ่มเติมว่า Apple เคยกำหนดให้มีการขออนุญาตจากผู้ใช้งานก่อนที่จะมีการพยายามถ่ายภาพหน้าจอใดๆ รวมไปถึงมีการแจ้งเตือนด้วย

Recommendation ยังไม่มีวิธีการป้องกันและแก้ไขใดๆ จากเทคนิคการโจมรูปแบบนี้
Affected Platform macOS

ที่มา : Bleepingcomputer

นักวิจัยด้านการแฮ็กระบบปฏิบัติการ iOS ของ Apple ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ macOS ที่สามารถทำควบคุมระบบได้

รายละเอียด ได้รับการเผยแพร่ในวันแรกของปี 2018 โดยนักวิจัยที่ใช้ชื่อว่า Siguza (s1guza) ผู้บุกรุกที่สามารถเข้าถึงระบบ สามารถใช้ประโยชน์จากช่องโหว่นี้ในการรันโค้ด และทำให้ตนเองได้รับสิทธิ์ root บนระบบได้ ซึ่งผู้เชี่ยวชาญได้ระบุว่าช่องโหว่ดังกล่าวเป็น "zero day"

ช่องโหว่ Local Privilege Escalation (LPE) เป็นช่องโหว่ที่ส่งผลต่อ IOHIDFamily ซึ่งเป็นส่วนขยายที่อยู่ใน kernel เกี่ยวข้องกับเรื่องการแสดงผลหน้าจอให้ใช้งานง่ายขึ้น หรือ Human Interface Devices(HID) เช่น หน้าจอสัมผัสหรือปุ่ม ช่องโหว่ถูกพบโดยบังเอิญในระหว่างที่พยายามหาวิธีการที่จะแฮ็ก iOS kernel และได้พบว่ามี
class บางอย่างที่ถูกใช้ในส่วนขยาย IOHIDFamily ซึ่งพบได้เฉพาะบน macOS อย่างเช่น IOHIDSystem มีช่องโหว่อยู่

ช่องโหว่ที่เขาค้นพบนี้มีผลกระทบต่อ macOS ทุกเวอร์ชั่นและทำให้เกิดการอ่าน / เขียนได้โดยพลการใน kernel การโจมตีนี้ยังยับยั้งความสามารถด้านความปลอดภัยของระบบอย่าง System Integrity Protection(SIP) และ Apple Mobile File Integrity(AMFI) อีกด้วย โดยได้มีการตั้งชื่อให้กับช่องโหว่นี้ว่า "IOHIDeous" ทั้งนี้ Siguza ได้รายงานผลการค้นพบของเขาต่อ Apple เรียบร้อยแล้ว ซึ่งน่าจะมีการออก Patch มาให้อัพเดทในเร็ววันนี้

ที่มา: securityweek

iTerm2 เป็นแอปพลิเคชันที่มีความนิยมในหมู่ผู้ใช้ macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่ติดตั้งมากับระบบ โปรแกรมเวอร์ชัน 3.0.0 มีฟีเจอร์ที่ใช้ในการตรวจสอบลิงค์เพิ่มเข้ามา เพื่อจะตรวจสอบว่าข้อมูลดังกล่าวเป็นลิงค์ และมีอยู่จริงหรือไม่ โดยส่งข้อมูลดังกล่าวผ่าน DNS request เช่นเดียวกับการนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุด และรั่วไหลออกไปได้ผ่าน DNS request เช่นเดียวกัน ซึ่งไม่ได้มีการเข้ารหัสระหว่างการส่ง อย่างไรก็ตามใน version 3.1.1 ได้ทำการนำฟีเจอร์นี้ออกไปแล้ว

ทั้งนี้ผู้ที่ใช้งานเวอร์ชั้น 3.0.0 และ 3.0.12 อยู่ อย่างน้อยที่สุดควรจะอัพเดตให้เป็นเวอร์ชั่น 3.0.13 ซึ่งได้มีการเพิ่มให้สามารถทำการปิดฟีเจอร์ DNS lookups โดยไปที่ Preferences ⋙ Advanced ⋙ Semantic History และเลือกเป็น NO

ที่มา:bleepingcomputer

นักวิจัยด้านความปลอดภัยและอดีตพนักงาน NSA ประกาศช่องโหว่ 0day บน macOS High Sierra

Patrick Wardle นักวิจัยด้านความปลอดภัยและอดีตพนักงาน (แฮกเกอร์) ของ NSA ได้มีการประกาศการค้นพบช่องโหว่แบบ local บน macOS ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลจาก Keychain ซึ่งเป็นฟีเจอร์เก็บรหัสผ่านบน macOS โดยไม่ต้องอาศัยรหัสผ่านเพื่อเข้าถึงได้

Patrick ได้ทำการทดสอบช่องโหว่ดังกล่าวกับ macOS ในรุ่นล่าสุดที่พึ่งเปิดตัว "High Sierra" ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวใช้ได้จริง Patrick ยังกล่าวเพิ่มเติมว่าช่องโหว่นี้สามารถใช้งานได้กับ macOS ในรุ่นเก่าๆ ได้อีกด้วย

Patrick กล่าวเพิ่มเติมว่า เขาได้ทำการแจ้งไปยังแอปเปิลเกี่ยวกับรายละเอียดของช่องโหว่ดังกล่าวแล้ว อย่างไรก็ตามแอปเปิลยังไม่ได้มีประกาศว่าจะมีการแพตช์หรือไม่แพตช์ช่องโหว่นี้ ซึ่งอาจเป็นไปได้ว่าแพตช์อาจมาในอัพเดตต่อไปๆ ของระบบปฏิบัติการ

ดูวีดิโอแสดงการทดสอบช่องโหว่ได้ที่ https://player.

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

มาอีกเป็นโขยง ข้อมูลหลุดโครงการ UCL/Raytheon, Imperial ของ CIA ถูกปล่อยบน WikiLeaks แล้ว

วิกิลีคส์ได้มีการเผยแพร่โครงการพัฒนาทางไซเบอร์ของ CIA ในโปรเจค Vault 7 อีกครั้ง โดยในครั้งนี้มีโครงการใหญ่ทั้งหมด 2 โครงการได้แก่โครงการ UCL/RayTheon และ Imperial ซึ่งทั้งสองเป็นโครงการที่เกี่ยวข้องกับการประดิษฐ์และพัฒนามัลแวร์เช่นเดียวกัน

สำหรับโครงการแรกหรือ UCL/RayTheon อ้างอิงจากวิกิลีคส์ เป็นเอกสารจากผู้รับเหมาของ CIA ชื่อ Raytheon Blackbird Technologies โดย UCL นั้นมีชื่อเต็มว่าโครงการ UMBRAGE Component Library โครงการ UCL/RayTheon เป็นโครงการที่ RayTheon ทำการวิจัยและเสนอแนวความคิดในการพัฒนามัลแวร์รวมไปถึงการโจมตีกับทาง CIA โดยที่มาทั้งจากการวิเคราะห์มัลแวร์ที่มีการแพร่กระจายอยู่แล้วและการทำทดลองลับเอง เพื่อเพิ่มศักยภาพของโครงการพัฒนามัลแวร์ของ CIA

สำหรับโครงการที่สองหรือ Imperial นั้น เป็นโครงการที่ประกอบไปด้วยมัลแวร์ 3 ประเภทที่พร้อมใช้งานด้วยกัน แยกเป็น

- มัลแวร์ Achilles เป็นมัลแวร์ที่พุ่งเป้าไปที่การฝังตัวเป็นโทรจันในตัวติดตั้งโปรแกรมของ MacOS (ไฟล์ .dmg)
- มัลแวร์ Aeris เป็นมัลแวร์ที่ทำงานบน Debian, RHEL, Solaris, FreeBSD และ CentOS โดยมีฟังก์ชันหลากหลาย อาทิ ขโมยหรือดักฟังข้อมูลบนระบบที่มีการติดตั้ง
- มัลแวร์ SeaPea เป็นมัลแวร์ในลักษณะ Rootkit บน MacOS โดยเน้นไปที่การฝังตัวในระยะยาว สามารถรันได้บน Mac OS X รุ่น 10.6 และ 10.7

หากใครสนใจข้อมูลเพิ่มเติมของมัลแวร์รวมไปถึงการทำงานในเชิงลึกสามารถดาวโหลดไฟล์ได้จากแหล่งที่มา

ที่มา : securityweek

มีคนแจ้งช่องโหว่ว่าพบวิธีการหนีออกจาก Parallel Desktop ซึ่งเป็น Virtual Machine (คล้ายๆกับ VMWare, Virtualbox) ใน MacOS ซึ่งจากการตรวจสอบได้ผลดัง VDO ด้านล่าง
จาก VDO จะเห็นว่าน่าจะออกมาจาก Parallel Desktop ได้จริงๆ แต่เมื่อลองดูการทำงานแบบละเอียดของ Script แล้วพบการทำงานของ script จะเป็นดังนี้

1. script สร้างไฟล์ command ขึ้นมา
2. script ใช้การแชร์ application ของ Parallel Desktop กับ mac ให้เป็นประโยชน์ โดยการเปิดไฟล์ command ที่สร้างโดยใช้ application ที่ share ระหว่าง mac กับ guest ภายใน parallel desktop
3. จากนั้นจึงทำการเรียกใช้งาน application ปกติ

ซึ่งจากการทำงานดังกล่าวจะเห็นว่ามันไม่ใช่เป็นการโจมตีช่องโหว่แต่อย่างใด เป็นการเน้นลูกเล่นการใช้งาน Application Sharing ระหว่างเครื่อง Host กับ Guest เสียมากกว่า
วิธีป้องกันคือการหยุด share application ระหว่าง Windows กับ Mac

ที่มา: exploit-db