นักวิจัยด้านความปลอดภัยและอดีตพนักงาน NSA ประกาศช่องโหว่ 0day บน macOS High Sierra

Patrick Wardle นักวิจัยด้านความปลอดภัยและอดีตพนักงาน (แฮกเกอร์) ของ NSA ได้มีการประกาศการค้นพบช่องโหว่แบบ local บน macOS ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงและขโมยข้อมูลจาก Keychain ซึ่งเป็นฟีเจอร์เก็บรหัสผ่านบน macOS โดยไม่ต้องอาศัยรหัสผ่านเพื่อเข้าถึงได้

Patrick ได้ทำการทดสอบช่องโหว่ดังกล่าวกับ macOS ในรุ่นล่าสุดที่พึ่งเปิดตัว "High Sierra" ซึ่งแสดงให้เห็นว่าช่องโหว่ดังกล่าวใช้ได้จริง Patrick ยังกล่าวเพิ่มเติมว่าช่องโหว่นี้สามารถใช้งานได้กับ macOS ในรุ่นเก่าๆ ได้อีกด้วย

Patrick กล่าวเพิ่มเติมว่า เขาได้ทำการแจ้งไปยังแอปเปิลเกี่ยวกับรายละเอียดของช่องโหว่ดังกล่าวแล้ว อย่างไรก็ตามแอปเปิลยังไม่ได้มีประกาศว่าจะมีการแพตช์หรือไม่แพตช์ช่องโหว่นี้ ซึ่งอาจเป็นไปได้ว่าแพตช์อาจมาในอัพเดตต่อไปๆ ของระบบปฏิบัติการ

ดูวีดิโอแสดงการทดสอบช่องโหว่ได้ที่ https://player.

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews

แจ้งเตือน Adware บน macOS "Mughthesec" อาจต้องลงเครื่องใหม่ลูกเดียว

นักวิจัยด้านความปลอดภัยจาก MalwareBytes "Thomas Reed" เปิดเผยการค้นพบ Adware ตระกูลใหม่บน macOS ชื่อ Mughthesec ซึ่งถูกพัฒนามาจากมัลแวร์รุ่นเก่าในตระกูล OperatorMac ที่เคยมีการแพร่กระจายมาแล้วในช่วงที่ผ่านมา

มัลแวร์ถูกพัฒนาให้มีความสามารถในการตรวจสอบว่ากำลังถูกวิเคราะห์อยู่หรือไม่ด้วยวิธีการอ้างอิงค่า MAC address จากระบบที่มีการแพร่กระจาย ไฟล์ของมัลแวร์ Mughthesec ยังถูกรับรองโดยใบรับรองของแอปเปิลที่ถูกต้องทำให้มันสามารถผ่านการตรวจสอบจากระบบ GateKeeper ได้

Mughthesec มีการแพร่ระบาดในรูปแบบของไฟล์ชื่อ Player.

มาอีกเป็นโขยง ข้อมูลหลุดโครงการ UCL/Raytheon, Imperial ของ CIA ถูกปล่อยบน WikiLeaks แล้ว

วิกิลีคส์ได้มีการเผยแพร่โครงการพัฒนาทางไซเบอร์ของ CIA ในโปรเจค Vault 7 อีกครั้ง โดยในครั้งนี้มีโครงการใหญ่ทั้งหมด 2 โครงการได้แก่โครงการ UCL/RayTheon และ Imperial ซึ่งทั้งสองเป็นโครงการที่เกี่ยวข้องกับการประดิษฐ์และพัฒนามัลแวร์เช่นเดียวกัน

สำหรับโครงการแรกหรือ UCL/RayTheon อ้างอิงจากวิกิลีคส์ เป็นเอกสารจากผู้รับเหมาของ CIA ชื่อ Raytheon Blackbird Technologies โดย UCL นั้นมีชื่อเต็มว่าโครงการ UMBRAGE Component Library โครงการ UCL/RayTheon เป็นโครงการที่ RayTheon ทำการวิจัยและเสนอแนวความคิดในการพัฒนามัลแวร์รวมไปถึงการโจมตีกับทาง CIA โดยที่มาทั้งจากการวิเคราะห์มัลแวร์ที่มีการแพร่กระจายอยู่แล้วและการทำทดลองลับเอง เพื่อเพิ่มศักยภาพของโครงการพัฒนามัลแวร์ของ CIA

สำหรับโครงการที่สองหรือ Imperial นั้น เป็นโครงการที่ประกอบไปด้วยมัลแวร์ 3 ประเภทที่พร้อมใช้งานด้วยกัน แยกเป็น

- มัลแวร์ Achilles เป็นมัลแวร์ที่พุ่งเป้าไปที่การฝังตัวเป็นโทรจันในตัวติดตั้งโปรแกรมของ MacOS (ไฟล์ .dmg)
- มัลแวร์ Aeris เป็นมัลแวร์ที่ทำงานบน Debian, RHEL, Solaris, FreeBSD และ CentOS โดยมีฟังก์ชันหลากหลาย อาทิ ขโมยหรือดักฟังข้อมูลบนระบบที่มีการติดตั้ง
- มัลแวร์ SeaPea เป็นมัลแวร์ในลักษณะ Rootkit บน MacOS โดยเน้นไปที่การฝังตัวในระยะยาว สามารถรันได้บน Mac OS X รุ่น 10.6 และ 10.7

หากใครสนใจข้อมูลเพิ่มเติมของมัลแวร์รวมไปถึงการทำงานในเชิงลึกสามารถดาวโหลดไฟล์ได้จากแหล่งที่มา

ที่มา : securityweek

มีคนแจ้งช่องโหว่ว่าพบวิธีการหนีออกจาก Parallel Desktop ซึ่งเป็น Virtual Machine (คล้ายๆกับ VMWare, Virtualbox) ใน MacOS ซึ่งจากการตรวจสอบได้ผลดัง VDO ด้านล่าง
จาก VDO จะเห็นว่าน่าจะออกมาจาก Parallel Desktop ได้จริงๆ แต่เมื่อลองดูการทำงานแบบละเอียดของ Script แล้วพบการทำงานของ script จะเป็นดังนี้

1. script สร้างไฟล์ command ขึ้นมา
2. script ใช้การแชร์ application ของ Parallel Desktop กับ mac ให้เป็นประโยชน์ โดยการเปิดไฟล์ command ที่สร้างโดยใช้ application ที่ share ระหว่าง mac กับ guest ภายใน parallel desktop
3. จากนั้นจึงทำการเรียกใช้งาน application ปกติ

ซึ่งจากการทำงานดังกล่าวจะเห็นว่ามันไม่ใช่เป็นการโจมตีช่องโหว่แต่อย่างใด เป็นการเน้นลูกเล่นการใช้งาน Application Sharing ระหว่างเครื่อง Host กับ Guest เสียมากกว่า
วิธีป้องกันคือการหยุด share application ระหว่าง Windows กับ Mac

ที่มา: exploit-db