พนักงานขององค์กร FS-ISAC ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ทำให้ข้อมูลการเข้าสู่ระบบ(Credentials) โดนขโมย และถูกใช้ในการโจมตีพนักงานคนอื่นต่อไป

เหตุการณ์เกิดขึ้นหลังจากมีพนักงานคนหนึ่งดันไปเปิดอีเมลล์ที่เป็นอันตราย ทำให้ credentials ของเครื่องตนเองหลุดออกไป ผู้โจมตีจึงฉวยโอกาสสร้างอีเมลล์ที่แนบ PDF ซึ่งฝังลิงก์อันตราย แล้วส่งต่อไปยังพนักงานคนอื่นๆได้

แต่การโจมตีดังกล่าวก็ไม่สามารถสร้างผลกระทบได้มากนัก เนื่องจากมีพนักงานหลายคนที่ได้รับอีเมลล์ดังกล่าว สังเกตเห็นและได้แจ้งถึงการพบอีเมลล์ที่น่าสงสัย จึงสามารถจำกัดผลกระทบได้อย่างรวดเร็ว

จะเห็นได้ว่าการปลูกฝังจิตสำนึกด้านความปลอดภัยทางเทคโนโลยีให้แก่พนักงาน อย่างเช่นการจัด Awareness Training นั้น สามารถช่วยป้องกันและจำกัดความเสียหายที่อาจจะเกิดขึ้นจากการโจมตีได้ องค์กรหรือบริษัทจึงควรตระหนัก และไม่มองข้ามความสำคัญในข้อนี้ไป

ที่มา : scmagazine

Bitdefender ได้ปล่อยโปรแกรม Decrypter สำหรับช่วยถอดรหัสให้ผู้ตกเป็นเหยื่อของการติด ransomware ชนิด GandCrab ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามารถดาวน์โหลดโปรแกรมได้ผ่านทางเว็ปไซต์ของ NoMoreRansom ซึ่ง Bitdefender เป็นสมาชิกอยู่

ransomware GandCrab พบครั้งแรกเมื่อปลายเดือนมกราคมที่ผ่านมา แพร่กระจายอย่างรวดเร็วผ่านการใช้ Exploit kits และอีเมลสแปม โดยไมโครซอฟท์กล่าวว่า GandCrab กลายเป็น ransomware ที่มีการแพร่กระจายมากที่สุดเป็นอันดับ 3 ในปีนี้ การตรวจสอบว่าไฟล์สามารถถอดรหัสได้หรือไม่ จำเป็นต้องใช้ ransom note ที่ปรากฎอยู่บนเครื่องหลังจากถูกเข้ารหัส และไฟล์ที่ถูกเข้ารหัสจำนวน 5 ไฟล์เพื่ออัพโหลดไปยัง Bitdefender เพื่อตรวจสอบ

Bitdefender กล่าวว่า Decrypter สามารถทำงานได้กับ GandCrab ในทุกเวอร์ชั่น แต่ก็มีผู้ใช้ และนักวิจัยด้านความปลอดภัยหลายรายที่รายงานปัญหาเกี่ยวกับขั้นตอนการถอดรหัส ซึ่งอาจจะมีข้อบกพร่องได้ เนื่องจากเป็น decrypter รุ่นแรก อย่างไรก็ตามหากพบปัญหา Bitdefender แนะนำให้ผู้ใช้ลองศึกษาเอกสารคู่มือก่อน และหากยังไม่สามารถแก้ปัญหาได้ สามารถส่งไปแจ้งตามอีเมลล์ที่ได้ระบุไว้ในเอกสารได้

เว็ปไซต์ : https://www.

หลังจากที่ GitHub ถูกโจมตีด้วย DRDoS โดยใช้หลักการความแตกต่างระหว่าง request/response ที่ถูกส่งไปยังเซิร์ฟเวอร์ Memcached พร้อมกับการทำ IP spoofing ด้วยปริมาณข้อมูลถึง 1.3 Tbps ซึ่งเป็นสถิติของการโจมตี DDoS ที่ใหญ่ที่สุดของโลก เมื่อวันจันทร์ที่ผ่านมาสถิติกลับถูกทุบด้วยการโจมตีที่มีปริมาณใหญ่กว่าถึง 1.7 Tbps

สำหรับการโจมตีในครั้งนี้นั้นยังคงมีการใช้เซิร์ฟเวอร์ Memcached เพื่อทำการโจมตีแบบ DRDoS เช่นเดิม โดยเป้าหมายในครั้งเป็นผู้ให้บริการรายหนึ่ง อย่างไรก็ตามผลลัพธ์การโจมตีกลับไม่ได้ทำให้ระบบไม่สามารถให้บริการได้อันเนื่องมาจากการป้องกันและตอบสนองที่ดีพอ อ้างอิงจากรายงานของ Arbor Networks

เมื่อวันพุธที่ผ่านมา HackerNews มีการรายงานหลังจากที่ตรวจพบการเผยแพร่โปรแกรมสำหรับโจมตี DRDoS ใส่ระบบอื่นโดยการใช้เซิร์ฟเวอร์ Memcached อีกทั้งตัวโปรแกรมสำหรับโจมตีนั้นยังมีการแนบรายการของเซิร์ฟเวอร์ Memcached ที่สามารถใช้ในการโจมตีได้มาด้วยกว่า 17,000 รายการ

สคริปต์ที่มีการค้นพบนั้นมีอยู่ 2 เวอร์ชันคือเวอร์ชันที่ถูกพัฒนาด้วยภาษา C และอีกเวอร์ชันที่ถูกพัฒนามาจากภาษา Python โดยสำหรับสคริปต์โจมตีที่ถูกพัฒนาในภาษา Python มีการใช้บริการของ Shodan ในการหาเซิร์ฟเวอร์ Memcached ที่สามารถใช้โจมตีได้มาใช้งานด้วย

กลุ่มนักวิจัยจาก Corero Network Security ประกาศการค้นพบเทคนิคใหม่ที่ทำให้เหยื่อที่ถูกโจมตี DRDoS จากเซิร์ฟเวอร์ Memcached นั้นสามารถหยุดการโจมตีได้ทันที

Kill Switch ในรอบนี้นั้นคือการส่งคำสั่งเพื่อ flush ข้อมูลออกจากแคชของ Memcached เซิร์ฟเวอร์ด้วยการส่งคำสั่ง "shutdown\r\n" หรือ "flush_all\r\n" กลับไปที่เซิร์ฟเวอร์โดยตรงซึ่งอาจทำได้ผ่านโปรแกรม nc/netcat โดยใช้คำสั่ง nc x.x.x.x 11211 < "flush_all"

ที่มา : Theregister

แพตช์ประจำเดือนของแอนดรอยด์หรือ Android Security Bulletin ประจำเดือนมีนาคม 2018 ถูกประกาศออกมาแล้ว โดยภายในเดือนนี้นั้นมีช่องโหว่ระดับร้ายแรงสูงสุด (critical) จำนวน 11 จากทั้งหมด 37 ช่องโหว่ที่ถูกแพตช์ ซึ่งส่วนมากเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้ก็ยังหนีไม่พ้นที่จะมาจากตำแหน่งโดยกับที่ช่องโหว่ Stagefright เคยอยู่คือส่วนของ Media Framework การโจมตีช่องโหว่ดังกล่าวสามารถทำได้โดยการส่งไฟล์มีเดียที่ถูกสร้างแบบพิเศษไปให้ผู้ใช้งานเปิด เมื่อการโจมตีช่องโหว่สำเร็จ ผู้โจมตีจะสามารถรันโค้ดอันตรายได้ด้วยสิทธิ์เดียวกับโปรเซสที่ถูกโจมตี

ที่มา : Threatpost

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Devcore ได้มีการเปิดเผยการค้นพบช่องโหว่บนซอฟต์แวร์ Exim หลังจากมีการปล่อยแพตช์ช่องโหว่ดังกล่าวออกมา โดยแพตช์ดังกล่าวนั้นถูกยืนยันว่า *กระทบ Exim ทุกเวอร์ชัน* ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกลก่อนจะมีการพิสูจน์ตัวตน (Pre-auth Remote Code Execution)

ช่องโหว่ดังกล่าวนั้นเกิดขึ้นจากการคำนวณขนาดของ buffer เมื่อมีการถอดรหัสข้อมูลจากอัลกอริธึม Base64 ที่ผิดพลาด ส่งผลให้เกิดช่องโหว่แบบ one-byte heap overflow หรือ off-by-one ซึ่งอาจส่งผลให้เกิดการนำไปใช้งานเพื่อทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถทำการรันโค้ดได้จากระยะไกลจากปกติที่เกิดเพียงแค่การเขียนข้อมูลทับข้อมูลอื่นในหน่วยความจำ

Recommendation : ช่องโหว่ดังกล่าวส่งผลกระทบ Exim ในทุกๆ เวอร์ชัน แนะนำให้อัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้วคือ 4.90.1 หรือใหม่กว่าโดยด่วน

Affected Platform : Exim ทุกเวอร์ชัน

ที่มา : Andreafortuna

ผู้ใช้ Skype หลายรายแจ้งว่าหลังจากที่ล็อกอินเข้าโปรแกรม หน้าจอทางด้านขวามือที่ปกติจะแสดงหน้า home screen กลับแสดงหน้าเว็บไซต์สำหรับให้ดาวน์โหลดปลั๊กอิน Flash Player มาติดตั้ง โดยเมื่อคลิกปุ่มดาวน์โหลดจะได้รับไฟล์ที่น่าสงสัยว่าเป็นมัลแวร์เรียกค่าไถ่

ทาง Microsoft ยังไม่มีคำชี้แจงว่าการที่ผู้ใช้จำนวนหนึ่งพบหน้าโฆษณาที่พาไปยังลิงก์ดาวน์โหลดมัลแวร์นั้นเกิดจากสาเหตุใด โดยในเบื้องต้น ผู้ใช้ที่พบปัญหาดังกล่าวได้แนะนำว่าให้ตั้งค่าบล็อกเว็บไซต์โฆษณาที่แสดงผลใน Skype ได้แก่ apps.

NCR ได้มีการประกาศแจ้งเตือนการโจมตีเครื่องเอทีเอ็มที่กำลังมีการแพร่กระจายเพิ่มขึ้นในสหรัฐฯ โดยการโจมตีดังกล่าวเป็นการโจมตีที่พุ่งเป้าไปที่อุปกรณ์ DIP card reader ซึ่งทำหน้าที่ในการอ่านข้อมูลจากการ์ดที่ผู้ใช้งานนำเข้ามา

ผู้โจมตีทำการโจมตีอุปกรณ์ DIP card reader ด้วยการใช้วิธีการโจมตีที่เรียกว่า Deep Insert Skimmer ซึ่งเป็นการฝังอุปกรณ์สำหรับดักอ่านและเก็บข้อมูลเข้าไปผ่านทางช่องเสียบการ์ด การโจมตีลักษณะนี้เนื่องจากเป็นการฝังอุปกรณ์เพิ่มเติมเข้าไปข้างในตัวเครื่องจึงทำให้ผู้ใช้งานทั่วไปจะไม่สามารถตรวจสอบความผิดปกติเมื่อใช้งานได้ รวมไปถึงไม่สามารถที่จะถูกตรวจจับหรือขัดขวางการทำงานโดยอุปกรณ์ป้องกันการทำ skimming โดยทั่วไปได้

ในส่วนของการป้องกัน ตรวจสอบและแก้ไขปัญหานั้น NCR ได้มีการออกคู่มือในการตรวจสอบเครื่องเอทีเอ็มทางกายภาพซึ่งสามารถเข้าไปดาวโหลดได้ฟรีจากลิงค์แหล่งที่มาของข่าว นอกเหนือจากนั้นการติดตั้งอุปกรณ์เสริมจากผู้ผลิตอื่นๆ ที่มีการออกแบบมาเพื่อป้องกันการโจมตีแบบ Deep Insert Skimmer ก็อาจช่วยป้องกันได้เช่นเดียวกัน

ที่มา : NCR

Curesec Research Team บริษัทวิจัยด้านความปลอดภัย ได้มีการประกาศการค้นพบช่องโหว่จำนวน 3 ช่องโหว่บน pfsense เวอร์ชัน 2.3.2 โดยมีช่องโหว่ความร้ายแรงสูง
สำหรับช่องโหว่แรกเป็นช่องโหว่ CSRF ส่งผลให้ผู้โจมตีสามารถสร้างหรือลบการตั้งค่าของไฟร์วอลล์ได้ผ่านทางการส่งรีเควสต์ CSRF ไปที่หน้า easyrule.

Zhiniang Peng และ Chen Wu. จาก Information Security Lab & School of Computer Science & Engineering, South China University of Technology Guangzhou, China ได้พบช่องโหว่ Buffer Overflow ใน ScStoragePathFromUrl function ของ WebDAV service ของ Internet Information Services (IIS) 6.0 ที่ทำงานบน Microsoft Windows Server 2003 R2 ได้รับ CVE เป็น CVE-2017-7269 ซึ่งทำให้ Hacker สามารถยึดเครื่องหรือสั่งงานเครื่องจากระยะไกลได้เลย ทั้งนี้ Microsoft EOL (End Of Life) ของ Microsoft Windows Server 2003 R2 มาตั้งแต่ 7/14/2015 ทาง Microsoft ยังไม่มีการออก patch เพื่อแก้ไขช่องโหว่นี้

ทั้งนี้ทาง i-secure พร้อมรับมือภัยคุกคามนี้แล้วครับ สร้าง signature เพื่อทำการ block การโจมตีนี้แล้ว
ระบบที่ได้รับผลกระทบ: Internet Information Services (IIS) 6.0 ที่ทำงานบน Microsoft Windows Server 2003 R2
ผลกระทบ: Buffer Overflow (High Severity)
วิธีแก้ไข: ปิดการใช้งาน PROPFIND Method หรือใช้งาน Web Application Firewall ป้องกันการโจมตี หรือใช้งาน Microsoft Windows Server version ที่ใหม่กว่า

ที่มา : NVD

WhatsApp และ Telegram เป็นแอพยอดนิยมที่ใช้กันในยุโรปและอเมริกา ซึ่งแน่นอนว่าแอพแชตทั้งคู่นั้นเน้นเรื่อง Privacy ของผู้ใช้งานเป็นสำคัญ การพูดคุยกันระหว่าง user จะถูกเข้ารหัสอยู่ตลอดเพื่อให้การพูดคุยเหล่านั้นไม่ถูกดักฟังไม่ว่าจากรัฐบาลหรือแม้แต่ Hacker เองก็ตามที แต่แน่นอนว่า Security ไม่ความปลอดภัยอะไร 100% อยู่แล้ว ล่าสุด Checkpoint ตรวจสอบพบวิธีการยึด account ของผู้อื่นได้
WhatsApp และ Telegram ไม่ได้มีแต่ Application เท่านั้นยังมีบริการที่เป็นเว็บด้วยเช่นกัน ซึ่งให้บริการเปรียบเสมือนการใช้งานผ่าน Application โดย Checkpoint พบช่องโหว่ในบริการดังกล่าวที่ทำให้สามารถยึด account ใดๆของเหยื่อได้เมื่อเหยื่อเปิดไฟล์ที่ถูกสร้างมาพิเศษผ่านเว็บไซด์ จากนั้นจึงเข้า account ของเหยื่อเพื่อไป download ภาพหรือบทสนทาใดๆของเหยื่อก็ได้
แน่นอนว่าการโจมตีต้องมีการหลอกล่อเหยื่อด้วยเช่นกัน (Social Engineering) แต่เนื่องด้วย WhatsApp และ Telegram มีการเข้ารหัสไฟล์ในตอนที่ส่ง ทำให้เหยื่อไม่สามารถทราบหน้าตาตัวอย่างไฟล์ได้เลยก่อนที่จะเปิดไฟล์ยิ่งทำให้การหลอกล่อทำให้ง่ายขึ้น
ทาง Checkpoint ได้แจ้ง Security Team ของทั้ง 2 ที่ตั้งแต่ 7 มีนาคม 2017 ที่ผ่านมา และทางทีมงาน security ของทั้งคู่ได้จัดการแก้ไขให้เรียบร้อยแล้ว

ที่มา : checkpoint