พบการระบาดของมัลแวร์ กระทบผู้ใช้ส่วนใหญ่ในรัสเซียและตุรกีกว่า 400,000 คน ภายในช่วงระยะเวลา 12 ชั่วโมง จากการใช้ backdoor บน BitTorrent สัญชาติรัสเซีย ที่ชื่อว่า "MediaGet"

ไมโครซอฟท์เปิดเผยรายงานเชิงลึกเกี่ยวกับการทำงานของโทรจันตัวนี้ ที่มีชื่อว่า Dofoil หรือ Smoke Loader โดยจะถูกติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ผ่านทางไฟล์ชื่อ my.

SAP ได้ประกาศแพตช์รักษาความปลอดภัยของเดือนมีนาคม 2018 แล้วพร้อมทั้งแก้ไขช่องโหว่ที่มีความสำคัญระดับสูงและระดับปานกลางหลายรายการ รายละเอียดดังนี้

ช่องโหว่ที่มีความสำคัญระดับสูง
- CVE-2004-1308 (CVSS Base Score: 8.8 memory corruption)
- CVE-2005-2974 (denial of service)
- CVE-2005-3350 (remote code execution)

โดยช่องโหว่เหล่านี้เกิดขึ้นมานานมากพอสมควร จะมีผลกระทบกับ libtiff, giflib และ libpng ที่เป็น third-party open source libraries เกี่ยวกับการจัดการพวกไฟล์รูป TIFF, GIF และ PNG เป็นต้น
แนะนำให้ตรวจสอบและทำการอัปเดตแพตช์โดยด่วน

Ref : SECURITYWEEK

Adobe ประกาศแพตช์ด้านความปลอดภัยประจำเดือนมีนาคม 2018 โดยในแพตช์รอบนี้นั้นประกอบไปด้วยแพตช์ช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดอันตรายจากระยะไกลได้เพียงแค่ผู้ใช้งานมีการเปิดไฟล์ที่แฮกเกอร์สร้างขึ้นผ่านทางโปรแกรมที่มีช่องโหว่

ช่องโหว่ในรอบนี้นั้นส่งผลกระทบกับผลิตภัณฑ์ในระบบต่างๆ ต่อไปนี้
- Adobe Flash Player Desktop Runtime (28.0.0.161) และก่อนหน้าบน Windows, Macintosh และ Linux
- Adobe Flash Player for Google Chrome (28.0.0.161) และก่อนหน้าบน Windows, Macintosh, Linux และ Chrome OS
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (28.0.0.161) และก่อนหน้าบน Windows 10 and Windows 8.1

ผู้ใช้งานควรทำการอัปเดตโปรแกรมที่ระบุไว้ในข้างต้นให้เป็นเวอร์ชันล่าสุดที่มีการแพตช์ช่องโหว่แล้วคือเวอร์ชัน 29.0.0.113 โดยด่วน

Ref : JPCERT

โครงการซอฟต์แวร์ชื่อดังอย่าง Samba ได้ทำการปล่อยแพตช์ด้านความปลอดภัยเวอร์ชันใหม่เพื่ออุดช่องโหว่สำคัญสองตัวด้วยกัน โดยช่องโหว่ทั้งสองช่องโหว่จะทำให้ผู้โจมตีทำการโจมตีแบบ DoS รวมไปถึงทำการเปลี่ยนรหัสผ่านของผู้ใช้รายอื่นๆ รวมถึงของตัวผู้ดูแลระบบ ได้

ช่องโหว่ตัวแรก (CVE-2018-1050) มีผลกระทบกับ Samba ตั้งแต่เวอร์ชัน 4.0.0 เป็นต้นไป โดยเป็นผลลัพธ์ที่เกิดจากการไม่ตรวจสอบค่านำเข้าผ่านทาง RPC call ที่เหมาะสม ผู้โจมตีสามารถส่งคำสั่งมาทางช่องทางดังกล่าวเพื่อทำให้ระบบไม่สามารถใช้งานได้ได้ ในส่วนของช่องโหว่ตัวที่สอง (CVE-2018-1057) นั้น เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่ไม่ได้มีสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากพอสามารถเปลี่ยนรหัสผ่านของผู้ใช้งานอื่นๆ ได้ผ่านทาง LDAP โดยจะกระทบเฉพาะ Samba ที่มีการอิมพลีเมนต์ Active Directory เท่านั้น
Recommendation แพตช์ของทั้งสองช่องโหว่ของ Samba มาพร้อมกับเวอร์ชันใหม่ 4.7.6, 4.6.14, 4.5.16 แนะนำผู้ดูแลระบบให้ทำการอัปเดทเซิร์ฟเวอร์ที่มีความเสี่ยงในทันที

Ref : The Hacker News

สัปดาห์ที่ผ่านมา มีการแจ้งเตือนว่า Windows Server, Redis และ Apache Solr กำลังตกเป็นเป้าหมายในการโจมตีและติดตั้งมัลแวร์ coinminer เป็นจำนวน การโจมตีดังกล่าวนั้นสามารถแยกออกได้เป็น 2 รูปแบบ

** รูปแบบการโจมตีที่พุ่งเป้า Redis และ Windows Server **

จากรายงาน Imperva ได้ตั้งชื่อสำหรับแคมเปญนี้ว่า RedisWannaMine โดยแฮกเกอร์จะอาศัยช่องโหว่ของ Redis ที่เป็นเวอร์ชั่นเก่าๆ ที่ได้รับหมายเลขช่องโหว่ CVE-2017-9805 เพื่อโจมตีเซิร์ฟเวอร์ผ่านทางอินเตอร์เน็ต เมื่อเข้าถึงเครื่องเหยื่อสำเร็จแล้ว แฮกเกอร์จะทำการติดตั้งมัลแวร์ ReddisWannaMine หลังจากนั้นก็จะทำการรัน coinminer นอกจากนี้ ReddisWannaMine ยังสามารถแพร่กระจายตัวเองด้วยการสแกนหาเครื่องเหยื่อที่มีการใช้งาน SMB เพื่อโจมตีผ่านช่องโหว่อีกด้วย

** รูปแบบการโจมตีที่พุ่งเป้า Apache Solr **

ทีม ISC SANS กล่าวว่ายังมี Apache Solr ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้อีกด้วย โดยโจมตีผ่านทางช่องโหว่ Apache Solr ที่ไม่ได้ทำการอัพเดทแพทช์หมายเลข CVE-2017-12629 แต่การทำงานก็ไม่ได้ต่างจาก ReddisWannaMine มากนัก โดยจะเน้นไปที่ใช้เครื่องเหยื่อที่ติดไวรัสเพื่อขุดเหมือง ทาง ISC SANS ได้ระบุถึงเครื่อง เซิร์ฟเวอร์ ที่ได้รับผลกระทบโดยประมาณ 1,777 ราย เกิดขึ้นในช่วง วันที่ 28 กุมภาพันธ์ และวันที่ 8 มีนาคม ที่ผ่านมา

ที่มา : bleepingcomputer

Kaspersky เปิดเผยการโจมตีในรูปแบบ APT ของมัลแวร์ Slingshot โดยใช้ช่องโหว่บนเราเตอร์ของ Mikrotik ในการโจมตี ซึ่งคาดว่าเริ่มมีการแพร่กระจายตั้งแต่ช่วงปี 2012 แต่ไม่มีใครสามารถตรวจจับได้ โดยมีผู้ได้รับผลกระทบกว่าหลายแสนรายในตะวันออกกลางและแอฟริกา

กลุ่มแฮกเกอร์ใช้ส่วนหนึ่งของมัลแวร์ที่เรียกว่า Slingshot เพื่อฝังเข้าไปยังเครื่องของเหยื่อ โดยทาง Kaspersky ค้นพบว่าผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่บนเราเตอร์ของ Mikrotik ในการแพร่กระจายสปายแวร์ไปยังเครื่องเป้าหมาย โดยทาง Kaspersky ได้พุ่งเป้าไปที่ WikiLeaks Vault 7 CIA Leaks ซึ่งเผยให้เห็นถึงการใช้ ChimayRed ที่มีอยู่ใน GitHub เพื่อเจาะเข้าสู่อุปกรณ์ Mikrotik

เมื่อสามารถเจาะเราเตอร์สำเร็จแฮกเกอร์จะวางไฟล์อันตรายแทนที่ไฟล์ DLL (dynamic link libraries) บนเครื่องของเหยื่อ เมื่อผู้ใช้เรียกใช้งานซอฟต์แวร์ WinBox Loader จะมีการโหลดไฟล์ดังกล่าวลงในหน่วยความจำหลักของเครื่องเป้าหมาย และเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์จากระยะไกลเพื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย

Slingshot มัลแวร์จะทำงานโดยอาศัย 2 โมดูลหลักๆ ได้แก่ Cahnadr และ GollumApp

Cahnadr หรือสามารถเรียกอีกชื่อหนึ่งว่า NDriver จะทำหน้าที่ในการหลบเลี่ยงการถูกตรวจจับ, การทำ Rootkit และการดักฟังข้อมูลต่างๆ รวมถึงยังทำการติดตั้งโมดูลอื่นๆ เพิ่มเติมและทำการเชื่อมต่อระบบเครือข่ายได้อีกด้วย

GollumApp จะทำการสอดส่องพฤติกรรมของผู้ใช้งาน, ทำการ Capture หน้าจอ, รวบรวมข้อมูลที่เกี่ยวข้องกับระบบเครือข่าย, รวบรวมรหัสผ่านที่บันทึกเอาไว้ใน Web Browser, บันทึกการพิมพ์ข้อมูลต่างๆ และเชื่อมต่อกับ Command & Control (C&C) Server เพื่อรับคำสั่งใหม่ๆ ในภายหลัง โดย GollumApp นี้ทำงานในระดับ Kernel ทำให้สามารถสร้าง Process ใหม่ๆ ภายใต้สิทธิ์ระดับ SYSTEM ได้ ทำให้ผู้โจมตีเข้ายึดครองเครื่องของเหยื่อได้โดยสมบูรณ์

ที่มา : thehackernews

เมื่อสองวันที่ผ่านมา Microsoft ตรวจพบการแพร่กระจายตัวที่รวดเร็วของ Cryptocurrency-Mining Malware ซึ่งมีเครื่องที่ตกเป็นเหยื่อเกือบ 500,000 เครื่องในช่วงเวลา 12 ชั่วโมง แต่ทาง Microsoft ก็ได้ทำการหยุดการแพร่ได้สำเร็จก่อนที่จะกระจายตัวไปมากกว่านี้ Malware ดังกล่าวชื่อว่า Dofoil หรือที่รู้จักกันในชื่อ Smoke Loader ทำการติดตั้งตัวโปรแกรมที่ใช้ขุดเหรียญดิจิตอล (Cryptocurrency Miner Program) ลงบนเครื่องของเหยื่อเพื่อขุดเหรียญ Electroneum เมื่อวันที่ 6 มีนาคม 2018 ที่ผ่านมา โปรแกรม Window Defender ของ Microsoft ตรวจพบเหตุการณ์พฤติกรรมของ Dofoil มากกว่า 80,000 ครั้ง ซึ่งเป็นเหตุการณ์สำคัญสำหรับแผนกวิจัยที่ "Microsoft Windows Defender Research Department" และในอีก 12 ชั่วโมงต่อมาก็พบอีกกว่า 400,000 เหตุการณ์ที่บันทึกได้

ทีมนักวิจัยพบว่าเหตการณ์เหล่านี้ที่แพร่กระจายอย่างรวดเร็ว ผ่านประเทศรัสเซีย ตุรกี และยูเครน กำลังขนตัวติดตั้งโปรแกรมขุดเหรียญไปด้วย ซึ่งจะหลอกตัวโปรแกรมตรวจจับว่าเป็นไฟล์ไบนารีของ Windows อย่างไรก็ตามทาง Microsoft ไม่ได้ออกมาชี้แจงถึงสาเหตุว่าทำไมถึงมีการกระจายตัวไปมากขนาดนี้ Dofoil จะใช้แอพพลิเคชันที่ปรับแต่งขึ้นมาเพื่อให้สามารถขุดเหรียญได้หลายชนิด แต่ในครั้งนี้ถูกโปรแกรมมาเพื่อขุดเหรียญ Electroneum เท่านั้น สืบเนื่องจากข้อมูลของนักวิจัย Dofoil จะใช้เทคนิค code injection เก่าเรียกว่า "Process Hollowing" เป็นการสร้างกระบวนการทำงานปลอมขึ้นมาเพื่อหลอกเครื่องมือตรวจจับว่าเครื่องยังทำงานปกติอยู่ ต่อมาไฟล์ explorer.

นักวิจัยด้านความปลอดภัย Tal Be’ery และ Amichai Shulman ได้สาธิตอีกมุมหนึ่งของฟีเจอร์ Cortana ซึ่งสามารถช่วยให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมเครื่องได้แม้เครื่องดังกล่าวจะอยู่ในสถานะที่มีการล็อคหน้าจอ

Cortana เป็น AI ที่มีความสามารถในการรับคำสั่งเสียงได้หลายภาษา โดยฟังก์ชันใหม่ของตัว Cortana ที่พูดถึงกันอย่างมากจะเป็นในส่วนของเวอร์ชัน Desktop และเวอร์ชัน Mobile คือการช่วยในส่วนของการสั่งเปิดแอพ แนะนำคูปองส่วนลด และช่วยการคำณวนแบบอย่างง่าย อย่างไรก็ตามเนื่องจากตัว Cortana เองถูกพัฒนาให้สามารถรับคำสั่งเสียงได้ตลอดเวลาแม้กระทั่งตอนที่มีการล็อกเครื่องอยู่ก็ตามและตัวซอฟต์แวร์ยังมีการอนุญาตให้เข้าเว็บได้โดยตรง จึงอาจทำให้ผู้โจมตีสั่งการ Cortana ให้ทำการเปิดเว็บเบราว์เซอร์ควบคู่ไปกับการใช้วิธีการอย่าง ARP poisoning ผ่านทางอุปกรณ์ USB เพื่อขโมยข้อมูลที่ไม่ถูกเข้ารหัสได้

ในการป้องกันเบื้องต้นนั้น ผู้ใช้งานควรทำการปิดฟังก์ชันการรับคำสั่งเสียงในตอนที่มีการล็อคเครื่องโดยเข้าไปที่ Settings> Cortana and disable the option “Use Cortana even when my device is locked และให้ทำการตั้งรหัสผ่านเมื่อมีการล็อกเครื่องเพื่อกันไม่ให้มีคนอื่นสามารถเปิดเครื่องได้ง่ายหรือเมื่อไม่อยู่ที่หน้าเครื่องเป็นเวลานาน และตั้งค่าให้มีการใส่รหัสผ่านเมื่อตัวเครื่องไม่มีการใช้งานในช่วงระยะเวลาที่กำหนด

ที่มา : hackread

พบ Malware ในระบบ POS (Point of Sale) ของร้านอาหาร Applebee กว่า 160 ร้าน ทำให้มีข้อมูลบัตรเครดิตของลูกค้ารั่วไหลออกไป

ทางด้าน RMH ซึ่งเป็นผู้ถือสิทธิ์แฟรนไชส์ โดยเป็นทั้งเจ้าของและผู้จัดการกว่า 160 สาขาได้ออกมาบอกว่าพบ Malware ระบาดอยู่ในระบบ POS ซึ่งทำให้ Hacker สามารถขโมยข้อมูลรายบุคคล เช่น ชื่อ เลขบัตร วันหมดอายุของบัตร เป็นต้น ร้าน Applebee ได้รับผลกระทบอยู่หลายวัน โดยช่วงแรกเกิดขึ้นประมาณ พฤศจิกายน หรือ ธันวาคม 2017 ตามรายงานจากเว็บไซต์ของ RHM

ทาง RHM เชื่อว่า Malware ดังกล่าวถูกออกแบบมาให้ดักจับข้อมูลบัตร และอาจส่งผลกระทบต่อระบบซื้อขายบางรายการสำหรับสาขาที่ติด Malware RHM ได้บอกกับทาง Threatpost ว่ามีการสืบสวนเรื่องนี้โดยได้รับความช่วยเหลือจากบริษัทด้านรักษาความปลอดภัยชั้นนำ และได้มีการรายงานเรื่องนี้ไปยังผู้บังคับใช้กฎหมาย โฆษกของ RHM บอกกับทาง Threatpost ว่าสามารถควบคุมเหตุการณ์ทันทีที่พบเมื่อวันที่ 13 กุมภาพันธ์ 2018 RHM ให้ข้อมูลเพิ่มเติมว่าได้ใช้งานตัวระบบ POS แยกจากเครือข่ายของทาง Applebee ต่างหาก และจะมีผลแค่กับสาขาที่ทาง RHM เป็นเจ้าของเท่านั้น POS Malware คือภัยคุกคามที่กำลังเพิ่มจำนวนขึ้นสำหรับผู้ที่ลงทุนในอุตสาหกรรมอย่างโรงพยาบาล

Fred Kneip, CEO ของบริษัท CyberGRX บอกกับทาง Threatpost ว่า RHM ได้แนะนำให้ลูกค้าตรวจสอบข้อมูลการใช้บัตรอยู่เสมอ แต่การป้องกัน POS Malware ที่ดีที่สุดต้องมาจากตัวผู้ค้าเอง

ที่มา : threatpost

ตรวจพบช่องโหว่หลายช่องโหว่ใน PHP ซึ่งเป็นภาษาการเขียนโปรแกรมที่ออกแบบมาเพื่อใช้ในแอ็พพลิเคชันบนเว็บที่มีเนื้อหา HTML ส่งผลให้แฮกเกอร์สามารถโจมตีรันโค้ดได้ เพื่อเปลี่ยนแปลงแก้ไขข้อมูล หรือสร้างบัญชีใหม่ได้โดยสิทธิ์ของผู้ใช้งานเต็บรูปแบบ รายละเอียดดังนี้

ความเสี่ยงที่อยู่ในระดับสูงของหน่วยงานต่างๆ

รัฐบาล:

- หน่วยงานภาครัฐขนาดใหญ่และขนาดกลาง
- หน่วยงานรัฐบาลขนาดเล็ก

ธุรกิจ

- องค์กรธุรกิจขนาดใหญ่และขนาดกลาง
- หน่วยงานธุรกิจขนาดเล็ก

ส่วนผู้ใช้งานทั่วไปๆจัดอยู่ในระดับต่ำ

สรุปทางเทคนิค:

เวอร์ชั่น 7.2.3

- Bug #49876 (Fix LDAP path lookup on 64-bit distros).
- Bug #54289 (Phar::extractTo() does not accept specific directories to be extracted). Phar :: extractTo () ไม่ยอมรับไดเรกทอรีเฉพาะที่จะแยกออก
- Bug #65414 (deal with leading slash when adding files correctly). จัดการกับเครื่องหมาย / เมื่อเพิ่มไฟล์
- Bug #65414 (deal with leading slash while adding files correctly). จัดการกับเครื่องหมาย / ขณะที่เพิ่มไฟล์
- Bug #68406 (calling var_dump on a DateTimeZone object modifies it). เรียกใช้งาน var_dump ที่ DateTimeZone
- Bug #73725 (Unable to retrieve value of varchar(max) type). ไม่สามารถดึงข้อมูลค่าของ varchar (สูงสุด) ได้
- Bug #74519 (strange behavior of AppendIterator). พฤติกรรมแปลก ๆ ของ AppendIterator
- Bug #75729 (opcache segfault when installing Bitrix). opcache segfault เมื่อติดตั้ง Bitrix
- Bug #75838 (Memory leak in pg_escape_bytea()). หน่วยความจำรั่วไหลใน pg_escape_bytea ()
- Bug #75857 (Timezone gets truncated when formatted). เวลาไม่ถูกต้อง
- Bug #75864 ("stream_isatty" returns wrong value on s390x). stream_isatty ส่งคืนค่าผิดพลาดใน s390x
- Bug #75871 (use pkg-config where available). ใช้งาน pkg-config ได้
- Bug #75882 (a simple way for segfaults in threadsafe php just with configuration). กำหนดค่า segfaults ใน threadsafe php
- Bug #75893 (file_get_contents $http_response_header variable bugged with opcache). ตัวแปร $ http_response_header ถูกบีบอัดด้วย opcache
- Bug #75916 (DNS_CAA record results contain garbage).
- Bug #75928 (Argument 2 for DateTimeZone::listIdentifiers() should accept null). อาร์กิวเมนต์ 2 ควรใช้ค่า Null ได้
- Bug #75938 (Modulus value not stored in variable). ค่าโมดูไม่ได้เก็บไว้ในตัวแปร
- Bug #75981 (Prevent reading beyond buffer start in http wrapper). ป้องกันไม่ให้อ่านนอกเหนือจากบัฟเฟอร์ที่มีค่าเริ่มต้นใน http wrapper

เวอร์ชั่น 7.0.28

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

เวอร์ชั่น 5.6.34

- Bug #75981 (stack-buffer-overflow while parsing HTTP response). เกิดการ stack-buffer-overflow ในขณะที่มีการตอบกลับจาก HTTP

ระบบที่ได้รับผลกระทบ:

- PHP 7.2 ก่อนหน้า 7.2.3
- PHP 7.0 ก่อนหน้า 7.0.28
- PHP 5.0 ก่อนหน้า 5.6.34
- PHP 7.1 ก่อนหน้า 7.1.15

ข้อแนะนำ

- อัปเกรดเป็น PHP เวอร์ชันล่าสุดทันทีหลังจากการทดสอบที่เหมาะสม
- ตรวจสอบว่าไม่มีการปรับเปลี่ยนระบบโดยไม่ได้รับอนุญาตเกิดขึ้นในระบบก่อนที่จะใช้แพทช์
- ใช้หลักการสิทธิพิเศษน้อยที่สุดในทุกระบบและบริการ
- เตือนให้ผู้ใช้ไม่เข้าชมเว็บไซต์หรือทำตามลิงก์ที่มาจากแหล่งที่ไม่รู้จักหรือไม่น่าเชื่อถือ

ที่มา : cisecurity