Felix Krause นักวิจัยด้านความปลอดภัยจาก Fastlane Tools ได้มีการเปิดเผยเทคนิคใหม่ซึ่งใช้ API ของ macOS ในการถ่ายรูปหรือ live stream จากหน้าจอผู้ใช้งานและใช้ OCR เพื่อขโมยข้อมูล

CGWIndowListCreateImage ซึ่งเป็น API ตัวปัญหานั้นสามารถถูกเรียกได้จากแอปแม้ว่าจะถูกควบคุมโดยใช้ sandbox ไว้อยู่ หลักจากที่ข้อมูลที่เก็บอยู่ในลักษณะของมีเดียแล้ว Krause ได้สาธิตการใช้ OCR (optical character recognition) เพื่อวิเคราะห์แล้วดึงข้อมูลตัวอักษรออกมาจากมีเดียได้

Krause ได้ดำเนินการแจ้งเรื่องนี้แก่ Apple แล้ว แต่อย่างไรก็ตาม Apple ยังไม่มีทีท่าที่จะทำการแก้ไข โดย Krause ยังให้คำแนะนำแก่ Apple เพิ่มเติมว่า Apple เคยกำหนดให้มีการขออนุญาตจากผู้ใช้งานก่อนที่จะมีการพยายามถ่ายภาพหน้าจอใดๆ รวมไปถึงมีการแจ้งเตือนด้วย

Recommendation ยังไม่มีวิธีการป้องกันและแก้ไขใดๆ จากเทคนิคการโจมรูปแบบนี้
Affected Platform macOS

ที่มา : Bleepingcomputer

นักวิจัยด้านการแฮ็กระบบปฏิบัติการ iOS ของ Apple ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ macOS ที่สามารถทำควบคุมระบบได้

รายละเอียด ได้รับการเผยแพร่ในวันแรกของปี 2018 โดยนักวิจัยที่ใช้ชื่อว่า Siguza (s1guza) ผู้บุกรุกที่สามารถเข้าถึงระบบ สามารถใช้ประโยชน์จากช่องโหว่นี้ในการรันโค้ด และทำให้ตนเองได้รับสิทธิ์ root บนระบบได้ ซึ่งผู้เชี่ยวชาญได้ระบุว่าช่องโหว่ดังกล่าวเป็น "zero day"

ช่องโหว่ Local Privilege Escalation (LPE) เป็นช่องโหว่ที่ส่งผลต่อ IOHIDFamily ซึ่งเป็นส่วนขยายที่อยู่ใน kernel เกี่ยวข้องกับเรื่องการแสดงผลหน้าจอให้ใช้งานง่ายขึ้น หรือ Human Interface Devices(HID) เช่น หน้าจอสัมผัสหรือปุ่ม ช่องโหว่ถูกพบโดยบังเอิญในระหว่างที่พยายามหาวิธีการที่จะแฮ็ก iOS kernel และได้พบว่ามี
class บางอย่างที่ถูกใช้ในส่วนขยาย IOHIDFamily ซึ่งพบได้เฉพาะบน macOS อย่างเช่น IOHIDSystem มีช่องโหว่อยู่

ช่องโหว่ที่เขาค้นพบนี้มีผลกระทบต่อ macOS ทุกเวอร์ชั่นและทำให้เกิดการอ่าน / เขียนได้โดยพลการใน kernel การโจมตีนี้ยังยับยั้งความสามารถด้านความปลอดภัยของระบบอย่าง System Integrity Protection(SIP) และ Apple Mobile File Integrity(AMFI) อีกด้วย โดยได้มีการตั้งชื่อให้กับช่องโหว่นี้ว่า "IOHIDeous" ทั้งนี้ Siguza ได้รายงานผลการค้นพบของเขาต่อ Apple เรียบร้อยแล้ว ซึ่งน่าจะมีการออก Patch มาให้อัพเดทในเร็ววันนี้

ที่มา: securityweek

iTerm2 เป็นแอปพลิเคชันที่มีความนิยมในหมู่ผู้ใช้ macOS เพราะมีความสามารถหลากหลายกว่า Terminal ที่ติดตั้งมากับระบบ โปรแกรมเวอร์ชัน 3.0.0 มีฟีเจอร์ที่ใช้ในการตรวจสอบลิงค์เพิ่มเข้ามา เพื่อจะตรวจสอบว่าข้อมูลดังกล่าวเป็นลิงค์ และมีอยู่จริงหรือไม่ โดยส่งข้อมูลดังกล่าวผ่าน DNS request เช่นเดียวกับการนำเมาส์ไปชี้ที่ username, password, API key หรือข้อมูลสำคัญที่เป็นความลับ ก็มีโอกาสที่ข้อมูลเหล่านั้นจะหลุด และรั่วไหลออกไปได้ผ่าน DNS request เช่นเดียวกัน ซึ่งไม่ได้มีการเข้ารหัสระหว่างการส่ง อย่างไรก็ตามใน version 3.1.1 ได้ทำการนำฟีเจอร์นี้ออกไปแล้ว

ทั้งนี้ผู้ที่ใช้งานเวอร์ชั้น 3.0.0 และ 3.0.12 อยู่ อย่างน้อยที่สุดควรจะอัพเดตให้เป็นเวอร์ชั่น 3.0.13 ซึ่งได้มีการเพิ่มให้สามารถทำการปิดฟีเจอร์ DNS lookups โดยไปที่ Preferences ⋙ Advanced ⋙ Semantic History และเลือกเป็น NO

ที่มา:bleepingcomputer

นักวิจัยด้านความปลอดภัยและอดีตพนักงาน NSA ประกาศช่องโหว่ 0day บน macOS High Sierra

Patrick Wardle นักวิจัยด้านความปลอดภัยและอดีตพนักงาน (แฮกเกอร์) ของ NSA ได้มีการประกาศการค้นพบช่องโหว่แบบ local บน macOS ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลจาก Keychain ซึ่งเป็นฟีเจอร์เก็บรหัสผ่านบน macOS โดยไม่ต้องอาศัยรหัสผ่านเพื่อเข้าถึงได้

Patrick ได้ทำการทดสอบช่องโหว่ดังกล่าวกับ macOS ในรุ่นล่าสุดที่พึ่งเปิดตัว "High Sierra" ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวใช้ได้จริง Patrick ยังกล่าวเพิ่มเติมว่าช่องโหว่นี้สามารถใช้งานได้กับ macOS ในรุ่นเก่าๆ ได้อีกด้วย

Patrick กล่าวเพิ่มเติมว่า เขาได้ทำการแจ้งไปยังแอปเปิลเกี่ยวกับรายละเอียดของช่องโหว่ดังกล่าวแล้ว อย่างไรก็ตามแอปเปิลยังไม่ได้มีประกาศว่าจะมีการแพตช์หรือไม่แพตช์ช่องโหว่นี้ ซึ่งอาจเป็นไปได้ว่าแพตช์อาจมาในอัพเดตต่อไปๆ ของระบบปฏิบัติการ

ดูวีดิโอแสดงการทดสอบช่องโหว่ได้ที่ https://player.

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

มาอีกเป็นโขยง ข้อมูลหลุดโครงการ UCL/Raytheon, Imperial ของ CIA ถูกปล่อยบน WikiLeaks แล้ว

วิกิลีคส์ได้มีการเผยแพร่โครงการพัฒนาทางไซเบอร์ของ CIA ในโปรเจค Vault 7 อีกครั้ง โดยในครั้งนี้มีโครงการใหญ่ทั้งหมด 2 โครงการได้แก่โครงการ UCL/RayTheon และ Imperial ซึ่งทั้งสองเป็นโครงการที่เกี่ยวข้องกับการประดิษฐ์และพัฒนามัลแวร์เช่นเดียวกัน

สำหรับโครงการแรกหรือ UCL/RayTheon อ้างอิงจากวิกิลีคส์ เป็นเอกสารจากผู้รับเหมาของ CIA ชื่อ Raytheon Blackbird Technologies โดย UCL นั้นมีชื่อเต็มว่าโครงการ UMBRAGE Component Library โครงการ UCL/RayTheon เป็นโครงการที่ RayTheon ทำการวิจัยและเสนอแนวความคิดในการพัฒนามัลแวร์รวมไปถึงการโจมตีกับทาง CIA โดยที่มาทั้งจากการวิเคราะห์มัลแวร์ที่มีการแพร่กระจายอยู่แล้วและการทำทดลองลับเอง เพื่อเพิ่มศักยภาพของโครงการพัฒนามัลแวร์ของ CIA

สำหรับโครงการที่สองหรือ Imperial นั้น เป็นโครงการที่ประกอบไปด้วยมัลแวร์ 3 ประเภทที่พร้อมใช้งานด้วยกัน แยกเป็น

- มัลแวร์ Achilles เป็นมัลแวร์ที่พุ่งเป้าไปที่การฝังตัวเป็นโทรจันในตัวติดตั้งโปรแกรมของ MacOS (ไฟล์ .dmg)
- มัลแวร์ Aeris เป็นมัลแวร์ที่ทำงานบน Debian, RHEL, Solaris, FreeBSD และ CentOS โดยมีฟังก์ชันหลากหลาย อาทิ ขโมยหรือดักฟังข้อมูลบนระบบที่มีการติดตั้ง
- มัลแวร์ SeaPea เป็นมัลแวร์ในลักษณะ Rootkit บน MacOS โดยเน้นไปที่การฝังตัวในระยะยาว สามารถรันได้บน Mac OS X รุ่น 10.6 และ 10.7

หากใครสนใจข้อมูลเพิ่มเติมของมัลแวร์รวมไปถึงการทำงานในเชิงลึกสามารถดาวโหลดไฟล์ได้จากแหล่งที่มา

ที่มา : securityweek

มีคนแจ้งช่องโหว่ว่าพบวิธีการหนีออกจาก Parallel Desktop ซึ่งเป็น Virtual Machine (คล้ายๆกับ VMWare, Virtualbox) ใน MacOS ซึ่งจากการตรวจสอบได้ผลดัง VDO ด้านล่าง
จาก VDO จะเห็นว่าน่าจะออกมาจาก Parallel Desktop ได้จริงๆ แต่เมื่อลองดูการทำงานแบบละเอียดของ Script แล้วพบการทำงานของ script จะเป็นดังนี้

1. script สร้างไฟล์ command ขึ้นมา
2. script ใช้การแชร์ application ของ Parallel Desktop กับ mac ให้เป็นประโยชน์ โดยการเปิดไฟล์ command ที่สร้างโดยใช้ application ที่ share ระหว่าง mac กับ guest ภายใน parallel desktop
3. จากนั้นจึงทำการเรียกใช้งาน application ปกติ

ซึ่งจากการทำงานดังกล่าวจะเห็นว่ามันไม่ใช่เป็นการโจมตีช่องโหว่แต่อย่างใด เป็นการเน้นลูกเล่นการใช้งาน Application Sharing ระหว่างเครื่อง Host กับ Guest เสียมากกว่า
วิธีป้องกันคือการหยุด share application ระหว่าง Windows กับ Mac

ที่มา: exploit-db