Trend Micro ประกาศแพตช์ 2 ช่องโหว่ Zero-day และ 3 ช่องโหว่ร้ายแรงที่โดนโจมตีจากแฮกเกอร์

Trend Micro ประกาศแพตช์ 2 ช่องโหว่ Zero-day และ 3 ช่องโหว่ร้ายแรงที่โดนโจมตีจากแฮกเกอร์

บริษัท Trend Micro ได้เปิดเผยว่าแฮกเกอร์ได้พยายามโจมตีผ่านช่องโหว่ Zero-day ถึง 2 รายการ CVE-2020-8467, CVE-2020-8468 และยังพบช่องโหว่ร้ายแรงอีก 3 รายการ ซึ่งทั้งหมดกระทบกับผลิตภัณฑ์ Antivirus อย่าง Apex One และ OfficeScan ล่าสุดทาง Trend Micro ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับการโจมตี อย่างไรก็ตามเมื่อปีก่อนแฮกเกอร์จากจีนได้ใช้ช่องโหว่ Zero-day บนผลิตภัณฑ์ OfficeScan ทำการแฮกบริษัท Mitsubishi Electric ของญี่ปุ่นมาแล้ว แต่ยังไม่เเน่ชัดว่าเป็นกลุ่มแฮกเกอร์เดียวกันหรือไม่

รายละเอียดช่องโหว่ Zero-day

CVE-2020-8467 (CVSS 9.1) - เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้การโจมตีระยะไกล (RCE) บนเครื่องที่ติดตั้งผลิตภัณฑ์ Trend Micro Apex One และ OfficeScan แต่การโจมตีจะเกิดขึ้นได้ผู้โจมตีพิสูจน์ตัวตนผู้ใช้ก่อน
CVE-2020-8468 (CVSS 8.0) - เป็นช่องโหว่ที่เกิดขึ้นกับ Agent ของผลิตภัณฑ์ Apex One และ OfficeScan โดยช่องโหว่การตรวจสอบความถูกต้องของการตรวจสอบเนื้อหาซึ่งอาจทำให้ผู้โจมตีสามารถจัดการคอมโพเนนต์ไคลเอ็นต์ของ Agent บางตัวได้เงื่อนไขการโจมตีของช่องโหว่นี้ต้องใช้การพิสูจน์ตัวตนผู้ใช้ก่อน

รายละเอียดช่องโหว่ร้ายแรง

CVE-2020-8470 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถเข้าไปลบไฟล์ DLL บนเซิร์ฟเวอร์ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตนได้
CVE-2020-8598 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่เกี่ยวกับไฟล์ DLL ที่ทำให้สามารถเข้าไปลอบรันโค้ดจากทางไกล (RCE) ในระดับสิทธิ์ของ SYSTEM โดยไม่ต้องผ่านการพิสูจน์ตัวตน
*CVE-2020-8599 (CVSS 10) - กระทบกับเซิร์ฟเวอร์ของ Apex One และ OfficeScan ผู้โจมตีสามารถใช้ช่องโหว่จากไฟล์ EXE ทำให้สามารถโจมตีระยะไกลและเข้าไปเขียนข้อมูลใน Path ที่ได้รับผลกระทบจากการติดตั้งและ Bypass การล็อกอินระดับ Root ได้โดยไม่ต้องพิสูจน์ตัวตน*

รุ่นผลิตภัณฑ์ที่ได้รับผลกระทบ

Apex One บน Windows เวอร์ชั่น 2019
OfficeScan บน Windows เวอร์ชั่น XG SP1 และ XG (non-SP)

การเเก้ไข

Trend Micro ได้เปิดให้อัปเดตแพตช์ตั้งแต่วันที่ 16 มีนาคม 2020 ที่ผ่านมาเเนะนำผู้ใช้รีบทำการอัปเดตแพตช์โดยด่วนเพราะช่องโหว่มีผลกระทบค่อนข้างรุนเเรง

ที่มา: Zdnet

Slack Bug Allowed Automating Account Takeover Attacks

พบช่องโหว่บน Slack อนุญาตให้ผู้โจมตีสามารถครอบครองบัญชีได้อัตโนมัติ

Evan Custodio นักวิจัยด้านความปลอดภัยบนเว็บและนักล่าเงินรางวัลได้เผยช่องโหว่บน Slack ให้ทีมรักษาความปลอดภัยของเว็บไซต์ HackerOne bug Bounty เมื่อวันที่ 14 พฤศจิกายน

ช่องโหว่เป็นข้อบกพร่องด้านความปลอดภัยที่อนุญาตให้ผู้โจมตีทำการครอบครองบัญชีโดยอัตโนมัติหลังจากขโมย Cookie Session โดยใช้การร้องขอ HTTP Smuggling CL.TE

HTTP Request Smuggling เป็นการโจมตีซึ่งอาศัยปัญหาของเว็บแอปพลิเคชันซึ่งตีความ HTTP Request ที่เข้ามาแตกต่างกันระหว่างคอมโพเนนต์ซึ่งเป็น Frontend และ Backend การโจมตี HTTP Request Smuggling อาศัยการควบคุมการตั้งค่าในเฮดเดอร์ Transfer-Encoding (TE) และ Content-Length (CL) เพื่อให้เกิดเงื่อนไขที่เหมาะสมให้การโจมตีสำเร็จได้

ดังนั้นการโจมตีบน https://slackb.

Attackers use a new CoronaVirus Ransomware to cover Kpot Infostealer infections

ผู้โจมตีใช้ CoronaVirus Ransomware เพื่อปกปิด Kpot Password-Stealer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Malware Hunter Team ตรวจพบ Ransomware ที่เรียกว่า CoronaVirus เผยแพร่ผ่านเว็บไซต์ WiseCleaner ในแคมเปญนี้ผู้โจมตีจะใช้ประโยชน์จากความสนใจในการแพร่ระบาดของโรค Coronavirus (COVID-19) โดยจะแฝงมัลแวร์ Coronavirus Ransomware และมัลแวร์ที่ชื่อว่า Kpot Password-Stealer ในการโจมตี

เว็บไซต์ WiseCleaner ถูกระบุว่าเป็นที่เเพร่กระจายไฟล์ชื่อ WSHSetup.

State-sponsored hackers are now using coronavirus lures to infect their targets

แฮกเกอร์ที่รัฐสนับสนุนกำลังใช้ coronavirus เพื่อหลอกลวงให้เป้าหมายของพวกเขาติดเชื้อมัลแวร์

แฮกเกอร์ที่รัฐสนับสนุน (APT) ของรัฐบาลจีน เกาหลีเหนือ และรัสเซียถูกจับได้โดยใช้อีเมลที่มีธีม COVID-19 เพื่อทำให้เหยื่อติดมัลแวร์

รัสเซีย
กลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐกลุ่มแรกที่ใช้การหลอกลวงโดย coronavirus คือกลุ่ม Hades ที่เชื่อว่ามีการปฏิบัติการนอกรัสเซีย และมีส่วนเกี่ยวข้องกับ APT28 (Fancy Bear) iและเป็นหนึ่งในกลุ่มที่แฮก DNC ในปี 2016

QiAnXin บริษัทรักษาความปลอดภัยไซเบอร์พบว่าแฮกเกอร์ Hades ดำเนินการเเคมเปญในกลางเดือนกุมภาพันธ์ เมื่อพวกเขาซ่อน C# backdoor trojan ในเอกสารที่มีข่าวล่าสุดเกี่ยวกับ COVID-19 เอกสารถูกส่งไปยังเป้าหมายในยูเครน ซึ่งปลอมเป็นอีเมลที่มาจากศูนย์สาธารณสุขของกระทรวงสาธารณสุขของประเทศยูเครน

เกาหลีเหนือ
กลุ่มแฮกเกอร์เกาหลีเหนือซ่อนมัลแวร์ไว้ในเอกสารที่ระบุรายละเอียดการตอบสนองของเกาหลีใต้ต่อการแพร่ระบาดของ COVID-19 เชื่อว่าเอกสารดังกล่าวมีเป้าหมายเป็นเจ้าหน้าที่ของเกาหลีใต้ โดยเอกสารนั้นเต็มไปด้วย BabyShark ซึ่งเป็นสายพันธุ์มัลแวร์ที่เคยใช้โดยกลุ่มแฮกเกอร์เกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky

จีน
แคมเปญมัลแวร์ส่วนใหญ่ที่ใช้ธีม coronavirus มาจากประเทศจีน พบการโจมตีครั้งเเรกที่เกิดขึ้นโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์เวียดนาม VinCSS ตรวจพบกลุ่มแฮกที่ได้รับการสนับสนุนจากรัฐของจีน (ชื่อ Mustang Panda) แพร่กระจายอีเมลด้วยไฟล์แนบ RAR ที่อ้างว่าส่งข้อความเกี่ยวกับการระบาดของโรค coronavirus จากนายกรัฐมนตรีเวียดนาม เมื่อเหยื่อหลงเชื่อโหลดและแตกไฟล์ก็จะติดโทรจัน

ที่มา : Zdnet

Microsoft March 2020 Patch Tuesday Fixes 115 Vulnerabilities

Patch Tuesday เดือนมีนาคม 2020 ของ Microsoft แก้ไข 115 ช่องโหว่

ด้วยการเปิดตัวการอัพเดทความปลอดภัยมีนาคม 2020 Microsoft ได้เปิดตัวแก้ไขสำหรับ 115 ช่องโหว่ในผลิตภัณฑ์ Microsoft จากช่องโหว่ 115 ช่องโหว่เหล่านี้ 24 ช่องโหว่ถูกจัดให้อยู่ในประเภท Critical, 88 ช่องโหว่ถูกจัดให้อยู่ในประเภท Important, และ 3 ช่องโหว่ถูกจัดให้อยู่ในประเภท Moderate ผู้ใช้ควรติดตั้งการอัพเดทความปลอดภัยเหล่านี้โดยเร็วที่สุด เพื่อป้องกัน Windows จากความเสี่ยงด้านความปลอดภัยที่ถูกเปิดเผยแล้ว
การขโมยซอร์สโค้ดด้วยช่องโหว่รหัส CVE-2020-0872 มีชื่อว่า "Remote Code Execution Vulnerability in Application Inspector" สามารถใช้งานโดยผู้โจมตี เพื่อขโมยซอร์สโค้ดของไฟล์ที่เปิดใน Application Inspector
มีช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Application Inspector เวอร์ชัน v1.0.23, หรือก่อนหน้านี้ เมื่อเครื่องมือแสดง Snippet โค้ดจากซอร์สไฟล์ของบุคคลที่สามไปยังเอาต์พุต HTML ผู้โจมตีสามารถส่งส่วนของรายงานที่มี Snippet โค้ดไปยังเซิร์ฟเวอร์ภายนอก ในการโจมตีช่องโหว่นี้ ผู้โจมตีต้องโน้มน้าวให้ผู้ใช้เรียกใช้ Application Inspector ในซอร์สโค้ดที่มีส่วนประกอบของบุคคลที่สามที่เป็นอันตราย
Weaponized ไฟล์ LNK และเอกสาร Word
สองช่องโหว่ใหม่ได้รับการแก้ไขในครั้งนี้ที่อาจทำให้ผู้โจมตีสามารถสร้างไฟล์. LNK หรือเอกสาร Word ที่สร้างขึ้นเป็นพิเศษ ซึ่งสามารถทำการประมวลผลโค้ดได้เมื่อถูกเปิด
ช่องโหว่แรกคือ CVE-2020-0684 และมีชื่อว่า "LNK Remote Code Execution Vulnerability" และช่วยให้ให้ผู้โจมตีสร้างไฟล์ LNK ที่เป็นอันตรายซึ่งสามารถเรียกใช้โค้ดได้
ช่องโหว่ที่สองคือ CVE-2020-0852 และมีชื่อว่า "Microsoft Word Remote Code Execution Vulnerability" ช่องโหว่นี้จะทำให้ผู้โจมตีสามารถสร้างเอกสาร Word ที่เป็นอันตรายซึ่งดำเนินการเรียกใช้โค้ดได้ง่ายเพียงเปิดเอกสารเหล่านั้น ช่องโหว่นี้ใช้งานได้ใน preview pane ของ Outlook

ที่มา : bleepingcomputer