ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก

ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k

ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้

ที่มา : thehackernews

 

ObliqueRAT เชื่อมโยงกับกลุ่มภัยคุกคามที่เริ่มโจมตีโดยมีรัฐบาลเป็นเป้าหมาย เน้นภูมิภาคเอเชียตะวันออกเฉียงใต้
นักวิจัยเปิดเผย Remote Access Trojan (RAT) ตัวใหม่ที่ดูเหมือนจะเป็นงานฝีมือของกลุ่มภัยคุกคามที่เชี่ยวชาญในการโจมตีรัฐบาล นักวิจัยของ Cisco Talos กล่าวว่ามัลแวร์ที่ถูกเรียกว่า ObliqueRAT กำลังถูกปล่อยในแคมเปญใหม่ที่มุ่งเน้นไปที่เป้าหมายในเอเชียตะวันออกเฉียงใต้ แคมเปญล่าสุดเริ่มขึ้นในเดือนมกราคม 2563 และกำลังดำเนินการอยู่อย่างต่อเนื่อง
อาชญากรไซเบอร์ที่อยู่เบื้องหลังโครงการนี้ใช้ฟิชชิ่งอีเมลเป็นจุดเริ่มต้นในการโจมตี อีเมลดังกล่าวแนบเอกสาร Microsoft Office ที่เป็นอันตราย ซึ่งจะทำการแพร่ RAT ตามมา
เอกสารแนบจะมีชื่อที่ไม่น่าสงสัย เช่น Company-Terms.

FireEye เปิดตัวชุดสคริปต์ปรับแต่ง Windows สำหรับงาน Offensive Security "Commando VM" โหลดฟรี!

FireEye ซึ่งเคยฝากผลงานไว้กับ Flare VM ซึ่งเป็นชุดสคริปต์สำหรับปรับแต่ง VM ให้เหมาะสมกับการตรวจสอบและวิเคราะห์ได้ทำการเปิดตัวชุดสคริปต์ที่สองภายใต้ชื่อ Commando VM โดยเป็นชุดสคริปต์ PowerShell ที่สามารถใช้เพื่อปรับแต่งระบบปฏิบัติการ Windows ให้เหมาะสมกับการทดสอบเจาะระบบหรืองานทางด้าน Offensive Security ได้

เมื่อติดตั้งสคริปต์ของ Commando VM ตัวสคริปต์จะทำการดาวโหลดและติดตั้งโปรแกรมกว่า 150 โปรแกรม ซึ่งรวมไปถึงชุดโปรแกรมทดสอบเจาะระบบที่มีเฉพาะระบบปฏิบัติการ Windows เช่น ชุดโปรแกรมที่เกี่ยวข้องกับการทำ Post Exploitation ในสภาพแวดล้อม Active Directory หรือชุด PowerShell สคริปต์รูปแบบต่างๆ

สคริปต์ Commando VM สามารถดาวโหลดได้ฟรีวันนี้ที่ https://github.

Dream Market เว็บไซต์ตลาดใต้ดิน ประกาศปิดตัวเดือนหน้า

Dream Market คือ dark web ที่ได้รับความนิยนเป็นอันดับต้นๆ ได้ออกมาประกาศว่าจะปิดตัวลงภายในวันที่ 30 เมษายน โดยการประกาศนั้นก็ได้เกิดขึ้นวันเดียวกับที่ทาง Europol, FBI และเจ้าหน้าที่ DEA ประกาศว่ามีการจับกุมและปิดเว็บไซต์ผิดกฎหมายใต้ดินที่เกี่ยวข้องกับยาเสพติดหลายรายการ

จากรายงานกล่าวว่าหน้าเว็บเพจของ Dream Market และหน้าการลงทะเบียน มีการแสดงข้อความว่า การดำเนินการทั้งหมดของเว็บไซต์จะถูกโอนไปยัง partner company ที่เป็น URL ใหม่ เหตุผลการปิดตัวครั้งนี้อาจจะสืบเนื่องจากก่อนหน้านี้มีรายงานว่าแฮกเกอร์ได้นำข้อมูลผู้ใช้งานหลายล้านรายการออกมาขาย และเว็บไซต์ดังกล่าวถูกโจมตีด้วย DDos มาแล้วหลายครั้ง

ทั้งนี้จากรายงานล่าสุดพบว่า ทีมที่เป็นผู้ดูแลเว็บไซต์ Dream Market ได้มีการโพสต์บน social network ของกลุ่ม dark web ว่า สาเหตุที่ทำการปิดตัวเป็นเพราะว่าเว็บไซต์ถูกเรียกค่าไถ่เป็นเงิน $400,000 เพื่อแลกกับการหยุดโจมตีด้วย DDoS

ที่มา : zdnet

Fecebook เปิดตัวการตั้งค่าใหม่ "Whitehat Settings" ช่วยชีวิต Penetester ง่ายขึ้นเยอะ!

Facebook เปิดตัวการตั้งค่าใหม่ภายใต้ชื่อ Whitehat Settings ซึ่งการตั้งค่านี้มีส่วนช่วยให้การทดสอบความปลอดภัยเป็นไปได้ง่ายโดยอนุญาตให้ผู้ทดสอบสามารถข้ามผ่านกระบวนการรักษาความปลอดภัยในบางกรณีได้เมื่อทดสอบกับแอปภายใต้บริการของ Facebook (รวมไปถึง Instagram และ Messenger)

การตั้งค่า Whitehat Settings นี้อนุญาตให้ผู้ทดสอบปิดการใช้งานโปรโตคอล TLS 1.3, ตั้งค่า Proxy สำหรับรีเควสต์ที่เกี่ยวข้องกับ Platform API รวมไปถึงติดตั้งใบรับรอง (certificate) เองได้

ความจำเป็นหนึ่งของการที่ต้องปิดการใช้งานโปรโตคอล TLS 1.3 และกลับมาไปใช้งาน TLS 1.2 ส่วนหนึ่งเนื่องจากโปรแกรมยอดนิยม อาทิ Burp Suite และ Carles นั้นยังไม่รองรับการใช้งานโปรโตคอล TLS 1.3

การตั้งค่า Whitehat Settings จะไม่ถูกเปิดเป็นค่าเริ่มต้น หากต้องการใช้งานการตั้งค่านี้ ผู้ใช้งานจะต้องเข้าไปเปิดการใช้งานฟีเจอร์นี้ในเว็บของ Facebook เองหลังจากนั้นจึงตัวเลือก Whitehat Settings จึงจะปรากฎในหน้าส่วน Setting ของแอป ทั้งนี้แอปจะมีการแสดงแบนเนอร์เพื่อแจ้งให้กับผู้ใช้งานเมื่อมีการใช้งานฟีเจอร์นี้อยู่ด้วย

ที่มา : thehackernews

iOS 12.2 มาแล้วพร้อมแพตซ์ด้านความปลอดภัยให้กับช่องโหว่กว่า 50 รายการ

Apple ประกาศแพตช์ด้านความปลอดภัยให้กับหลายอุปกรณ์เมื่อคืนนี้ตามเวลาประเทศไทย สำหรับแพตช์ที่มาพร้อมกับ iOS 12.2 นั้นมีส่วนช่วยในการอุดช่องโหว่ด้านความปลอดภัยกว่า 50 รายการ โดยกว่า 15 รายการมาจากช่องโหว่ใน Safari ซึ่งเกี่ยวข้องกับคอมโพเนนต์ WebKit

นอกจาก iOS 12.2 แล้ว Apple ยังมีการปล่อยเวอร์ชันใหม่ ได้แก่ macOS 10.14.4, tvOS 12.2, Xcode 10.2, watchOS 5.1.3 รวมไปถึงไคลเอนต์ของ iTunes และ iCloud บน Windows ด้วย
ผู้ใช้งานสามารถทำการดาวโหลดเวอร์ชันใหม่พร้อมแพตช์ด้านความปลอดภัยได้จากช่องทางแบบ OTA ของอุปกรณ์ได้ตั้งแต่วันนี้เป็นต้นไป

ที่มา : bleepingcomputer

เซิร์ฟเวอร์ ASUS Software Updates ถูกแฮก ใช้แพร่กระจายมัลแวร์กระทบผู้ใช้งานกว่าครึ่งล้านราย
กลุ่มนักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้มีการเปิดเผยแคมเปญการโจมตีใหม่ภายใต้ชื่อ Operation ShadowHammer หลังจากตรวจพบการแพร่กระจายของมัลแวร์ผ่านทางบริการ ASUS Software Updates ซึ่งถูกใช้โดยอุปกรณ์จาก ASUS เพื่อรับอัปเดตของโปรแกรมใหม่ โดยจากการประเมินเบื้องต้นนั้นคาดว่ามีผู้ดาวโหลดมัลแวร์ไปแล้วกว่า 500,000 ราย
การโจมตีแบบ Supply-chain attack นี้ถูกเปิดเผยขึ้นเมื่อเดือนมกราคมที่ผ่านมาที่งานสัมมนา SAS 2019 อย่างไรก็ตามการโจมตีถูกประเมินว่าเกิดขึ้นในช่วงเดือนมิถุนายนถึงเดือนพฤศจิกายน 2018
Kaspersky Lab ระบุว่าแคมเปญการโจมตีใน Operation ShadowHammer นั้นมีความซับซ้อนสูงและเชื่อกันว่าผู้อยู่เบื้องหลังการโจมตีอาจเป็นกลุ่มผู้โจมตีที่มีศักยภาพสูงระดับ APT เนื่องจากมัลแวร์ที่ถูกแพร่กระจายผ่านทางช่องทางของ ASUS Software Updates ถูกรับรองด้วยใบอนุญาตที่ถูกต้องของ ASUS ซึ่งหมายความว่าผู้โจมตีสามารถเข้าถึงกระบวนการรับรองโปรแกรมของ ASUS ด้วย
มัลแวร์ที่ถูกแพร่กระจายนั้นมีลักษณะการทำงานแบบโทรจันโดยจะมีการตรวจสอบ MAC address ของระบบที่มีการติดเชื้อเปรียบเทียบกับรายการ MAC address ที่ฝังมากับโปรแกรมของมัลแวร์ซึ่งคาดว่าเป็นเป้าหมายที่แท้จริงของแคมเปญการโจมตี หาก MAC address ของระบบที่ติดเชื้อนั้นอยู่ในรายการดังกล่าว มัลแวร์จะทำการติดต่อไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C) เพื่อดาวโหลดมัลแวร์อื่นมาติดตั้ง
Kaspersky Lab ยังเผยแพร่เครื่องมือสำหรับตรวจสอบว่าระบบที่ใช้งานอยู่นั้นมีโอกาสที่จะต้องเป็นเป้าหมายหรือไม่ด้วยการตรวจสอบจาก MAC address โดยในขณะนี้ทาง ASUS ได้ทำการตรวจสอบและเข้าขัดขวางแคมเปญการโจมตีดังกล่าวแล้ว

ที่มา : motherboard

Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Kromtech เผยผลการทดสอบความเร็วในการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีเป้าหมายโจมตีเซิร์ฟเวอร์ MongoDB ที่มีช่องโหว่ ค้นพบว่ามัลแวร์ใช้เวลาเพียงแค่ 3 ชั่วโมงในการค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอีก 13 วินาทีเพื่อลบฐานข้อมูล

ปัญหาหลักของเซิร์ฟเวอร์ MongoDB โดยส่วนมากนั้นมีที่มาจากการตั้งค่าที่ไม่ปลอดภัยซึ่งมักจะถูกตั้งค่ามาทันทีที่เริ่มติดตั้งและมีการใช้งาน บริการ Shodan ตรวจพบเซิร์ฟเวอร์ MongoDB กว่า 30,000 รายที่ยังคงมีความเสี่ยงที่จะถูกโจมตีและได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่

รูปแบบการโจมตีที่แฮกเกอร์ดำเนินการนั้น ทันทีที่แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้จากระยะไกล แฮกเกอร์จะทำการลบฐานข้อมูลรวมไปถึงไฟล์บันทึกการเข้าถึงต่างๆ เพื่อลบร่องรอยตัวเอง หลังจากนั้นแฮกเกอร์จะทำการสร้างฐานข้อมูลใหม่เพื่อแจ้งให้ผู้ใช้งานทราบและเรียงร้องค่าไถ่

Recommendation : การป้องกันในเบื้องต้นนั้น แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการตั้งค่าระบบตาม Security Best Practices (https://www.

นักวิจัยจาก Kaspersky Lab ได้มีการเปิดเผยข้อมูลว่าฟังก์ชันเดิมของ Prilex คือการปรับแต่ง Malware ด้วยฟังก์ชันพิเศษเพื่อขโมยข้อมูลบัตรจากระบบ POS หมายความว่าระบบ POS เมื่อติด Malware แล้วอาจถูกปรับแต่ง และทำให้บุคคลที่สามสามารถเข้ามาดักจับข้อมูลระหว่างทางได้ โดยช่วงระยะทางดังกล่าวคือตอนที่ลูกค้ามีการจ่ายเงินผ่านระบบ POS ที่ติด Malware ข้อมูลดังกล่าวจะถูกส่งไปให้กับ Hacker โดยอัตโนมัติ ในประเทศบราซิลกลุ่ม Hacker ได้มีการพัฒนาโคงสร้างของ Malware และสร้างบัตรปลอมขึ้นมา มีข้อผิดพลาดเกิดขึ้นในการพัฒนาตัว EMV( ระบบรักษาความปลอดภัยสำหรับการทำธุรกรรมทางการเงิน) ซึ่งนั่นทำให้ข้อมูลที่ผ่านกระบวนการยืนยันไม่ได้รับการยืนยัน และที่แน่ไปกว่านั้นคือบัตรปลอมเหล่านี้สามารถใช้ได้กับทุกระบบ POS ในบราซิล

นักวิจัยจาก Kaspersky Lab ระบุถึงรายละเอียดโครงสร้างตัว Prilex ว่ามี Java applet และแอพพลิเคชันชื่อว่า Daphne ซึ่งเขียนข้อมูลลงบนบัตรปลอม และจะประเมินจำนวนข้อมูลที่สามารถดึออกมาได้ Prilex ยังมีฐานข้อมูลที่เอาไว้เก็บรหัสของบัตรต่างๆ ข้อมูลจะถูกขายเป็นแพ็คเกจในบราซิล โดยปกติเมื่อมีการใช้บัตรที่ระบบ POS จะประกอบไปด้วย 4 ขั้นตอน Namely Initialization, Data Authentication, Cardholder Verification, และ Transaction มีเพียงแค่ขั้นตอนแรกและสุดท้ายที่จำเป็น สองอันตรงกลางสามารถข้ามขั้นตอนไปได้ เมื่อมีการใช้บัตรปลอมดังกล่าว ระบบ POS จะได้รับสัญญาณว่าข้ามขั้นตอน data authentication ได้ และตัวระบบไม่จำเป็นต้องมองหา Cryptographic Keys ของบัตร

Santiago Pontiroli นักวิจัยจาก Kaspersky ได้ออกมาบอกว่า Orilex ในเวลานี้เป็น Malware ที่รองรับการใช้งานของ Hacker แบบเต็มตัวเพราะมีหน้า UI ที่ออกแบบมาดี และมีไฟล์ต้นแบบในการสร้างโครงสร้างบัตรต่างๆ ทำให้กลายเป็นธุรกิจในตลาดมืด

ที่มา : hackread