บริษัทด้านความปลอดภัย Duo ได้ทำการเผยแพร่ช่องโหว่ของ Two-factor-authentication หรือการพิสูจน์ตัวตนโดยใช้ 2 ปัจจัยหลักของกูเกิล หลังจากได้ทำการแจ้งไปยังฝ่ายความปลอดภัยตั้งแต่ช่วงเดือนกรกฎาคมปีที่แล้ว และได้รับการแก้ไขในวันที่ 21 ที่ผ่านมา โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้อย่างสมบูรณ์หากมีการเปิดใช้งาน Application-Specific-Passwords (ASPs) และมีการใช้การเข้าระบบอัตโนมัติไว้

ตามหลักของการใช้ ASPs ผู้ใช้งานจำเป็นต้องสร้างคีย์ขึ้นมาหนึ่งตัวเพื่อใช้กับแอพพลิเคชันต่างๆ และตัวแอพพลิเคชันนั้นจะทำการใช้คีย์นี้เพื่อพิสูจน์ตัวตนกับทางเซิร์ฟเวอร์ โดยประเด็นหลักอยู่ที่การเข้าระบบอัตโนมัติที่สามารถข้ามผ่าน Two-factor-authentication ได้ และสามารถเข้าถึงบัญชีผู้ใช้ได้เลย โดยในการศึกษาต่อนั้นได้ทำการจำลองสถานการณ์ที่คีย์ของ ASPs หลุด โดยทำการแก้ไขรูปแบบจากการใช้ EncryptedPasswd ซึ่งเป็นคีย์ของ ASPs ที่ถูกเข้ารหัสโดย RSA 1024-bit มาเป็นพารามิเตอร์ Passwd (อ้างอิงจาก ClientLogin API) ก็จะทำให้ได้รับ token ที่สามารถใช้ในการยืนยันตัวตนได้ ซึ่งช่องโหว่ในส่วนนี้ยังพบในฟังก์ชันล็อกอินอัตโนมัติของเบราว์เซอร์เช่นกัน

โดยในขณะนี้ทางกูเกิลได้ทำการแก้ไขแล้ว ทั้งจากการปัญหาการล็อคอินอัตโนมัติ หากมีการพยายามจะล็อกอินผ่านช่องทาง MergeSession หรืออื่น ๆ ก็จะมีการบังคับให้กรอกบัญชีผู้ใช้ รหัสผ่าน และระบบของ Two-factor-authentication ดังเดิม

ที่มา : Blognone

ไมโครซอฟท์ออกเตือนช่องโหว่ร้ายแรงหมายเลข MS12-020 ซึ่งเกี่ยวข้องกับ Remote Desktop Protocol (RDP) โดยมีผลต่อวินโดวส์ทุกรุ่น (ตั้งแต่ XP SP3 รวมถึง Windows Server 2003 เป็นต้นมา)
ช่องโหว่นี้ถูกจัดระดับความรุนแรงเป็น Critical โดยแฮ็กเกอร์สามารถรันโค้ดจากระยะไกลผ่านช่องโหว่ตัวนี้ได้เลย (กรณีที่เปิด RDP เอาไว้ ซึ่งค่า default คือไม่เปิด) ตอนนี้ไมโครซอฟท์ยังไม่พบโค้ดที่อาศัยช่องโหว่นี้ แต่ก็เตือนให้ผู้ใช้ทุกคนอัพเดตกันโดยด่วน สำหรับผู้ใช้วินโดวส์ทั่วไป สามารถอัพเดทแพตช์ได้จาก Windows Update แต่สำหรับคอมพิวเตอร์องค์กรที่ต้องรอแอดมินตรวจสอบความเข้ากันได้ของแพตช์กับซอฟต์แวร์ในองค์กร อาจจะกลายเป็นช่องโหว่ให้แฮ็กเกอร์ฉกฉวย ดังนั้นไมโครซอทฟ์จึงเตือนให้แอดมินรีบอัพเดตแพตช์นี้ให้กับคอมพิวเตอร์ขององค์กรโดยเร็ว นอกจากช่องโหว่ตัวนี้แล้ว ไมโครซอฟท์ยังออกแพตช์อื่นๆ รวม 6 ตัวในวันนี้ ซึ่งครอบคลุมไปถึง Visual Studio และ Expression Design ด้วย

ที่มา : net-security

หน้า Facebook ปลอมของพลเรือเอก James Stavridis ซึ่งเป็นผู้บัญชาการสูงสุดของ NATO และเป็นผู้นำในภารกิจ Libyan เพื่อรวบรวมข้อมูลส่วนตัวและความเคลื่อนไหวของกลุ่มเพื่อนของพลเรือเอกดังกล่าว โดยมีเจ้าหน้าที่ของกองทัพระดับอาวุโสของอังกฤษ, เจ้าหน้าที่กระทรวงกลาโหมและเจ้าหน้าที่รัฐอื่นๆถูกหลอกให้รับเป็นเพื่อนกับพลเรือเอก James Stavridis และคาดการว่าการกระทำนี้เป็นฝีมือของแฮ้กเกอร์ของจีนเพื่อเก็บข้อมูลความเคลื่อนไหวของ NATO  เนื่องจากการสืบหาข้อมูลกับไปยังตัวแฮ้กเกอร์พบว่าอยู่ในประเทศจีน และโจมตีเฉพาะเวลาการทำงานขององค์กรรัฐเท่านั้น (9.00 – 17.00)

ที่มา : thehackernews

เว็ปไซด์ Dropbox ถูกเหล่า spammer และ malware-writers ใช้เป็นฐานในการส่ง spam โดยการใช้ฟังก์ชั่นหนึ่งของ Dropbox ที่ให้ผู้ใช้สามารถสร้างโฟลเดอร์สาธารณะขึ้นมาบนเวปไซด์ได้ ซึ่งจะทำให้ Dropbox กลายเป็นผู้ให้บริการโฮสติ้งเวปไซด์ฟรี โดย Dropbox นั้นก็เหมือนผู้ให้บริการทั่วไปบนโลก internet ที่มีฟังก์ชั่น URL shortening ที่ทำให้ไม่สามารถคาดเดาได้ว่า จริงๆแล้วลิ้งค์นั้นๆจะนำผู้ใช้งานไปที่ไหน
Symantec ได้ระบุว่าพบ url ของ Dropbox ได้ถูกใช้ในการ spam มากกว่า 1,200 ลิ้งค์ภายใน 48 ชม.ที่ผ่านมา เหล่า Scammers ได้อัพโหลด image links ขึ้นบน Dropbox และ images ได้ใช้โค้ด html ธรรมดาในการ redirect ผู้ใช้ไปยังเว็ปไซด์ร้าน Canadian Pharma ซึ่งเป็น scam เว็ปไซด์

ที่มา : threatpost

ทีมจาก VUPEN (ซึ่งเป็นทีมเดียวกันกับทีมที่สามารถหาช่องโหว่ของ Google Chromeได้) ได้ประสบความสำเร็จในการหาช่องทางโจมตีของบัคบน Internet Explorer(IE) 9 บน Window 7 โดยการใช้บัค 2 อย่าง บัคอย่างที่หนึ่งคือ Heap Overflow Bug และบัคอย่างที่ 2คือ บัคใน browser protect mode
บัค Heap Overflow นั้นพบว่ามีผลกระทบกับ IE ตั้งแต่เวอร์ชั่น 6 – 10 โดย และบัคในส่วนของ IE’s protect mode โดยมีความคล้ายคลึงกับ Sand box ใน Google Chrome ซึ่งบัคนี้ทำให้เกิดอาการ memory corruption flaw ใน protect โหมด และทำให้ทีมนี้สามารถ bypass  ASLR และ DEP บน Windows ได้ซึ่งบัคนี้ยังสามารถใช้ได้บน IE 10 บน Window 8 อีกด้วย จากบัคนี้ทำให้ VUPEN ได้รับคะแนน TippingPoint และหลังจากนั้นจะส่งรายละเอียดเกี่ยวกับบัคนี้ไปให้ Microsoft

ที่มา : threatpost

เว็บโฮสติ้ง Linode ถูกแฮกโดยแฮกเกอร์ไม่ทราบชื่อที่เข้ามาแฮกข้อมูล Account ของลูกค้าที่ใช้สกุลเงิน Bitcoin (ซึ่งเป็นสกุลเงินอิเล็กทรอนิกส์บนโลกอินเทอร์เนต) ซึ่งทำการขโมยเงินออกไปกว่า 70,000 ดอลล่าร์ ทั้งนี้ทางเว็บ Linode ได้ออกมายืนยันถึงการแฮกดังกล่าวว่ามีข้อมูลลูกค้าทั้งหมด 8 รายที่ถูกขโมยเงินไป

ที่มา : voiceofgreyhat

หลังจากเมื่อปีที่แล้ว Facebook เริ่มให้ใช้งาน Security Feature ที่เป็นลักษณะของการยืนยันตัวตนแบบ two-factor ไปแล้ว Christopher Lowson พบความล้มเหลวของ Security บน Facebook โดยได้อธิบายไว้บน Blog ของเขาดังนี้ เมื่อผู้ใช้งานล็อคอินเข้า Facebook จากเครื่องใหม่ จะมี Code ที่ส่งไปยังโทรศัพท์ซึ่งจะต้องนำ Code นี้ไปใส่เพื่อที่จะสามารถเข้าสู่บัญชี Facebook ได้ แต่หากทำงานกดเลือกไปที่ “I can’t get my code” และเลือกไปที่ “Skip this and stop asking me to enter codes” และหลังจากนั้นเข้าสามารถเลือกที่จะล็อคอินโดยที่ไม่ต้องใช้ Code เพื่อล็อคอินอีกต่อไป นั้นหมายความว่า การยืนยันตัวตนแบบ two-factor ไม่สามารถช่วยผู้ใช้งาน Facebook ปลอดภัยได้

ที่ีมา : thehackernews

ดูเหมือนความพยายามผลักดันให้ผู้ใช้ตั้งพาสเวิร์ดที่ยากต่อการแฮคจะไร้ผล เนื่องจากผลการศึกษาวิจัยล่าสุดบนคอมพิวเตอร์กว่า 2 ล้านเครื่องโดย Trustwave พบว่า ผู้ใช้ส่วนใหญ่ยังคงใช้าพสเวิร์ดว่า "password" และคำที่ใกล้เคียง ส่วนข้อแนะนำที่ให้ผู้ใช้ตั้งรหัสผ่านด้วยตัวอักษรตัวใหญ่ (upper-case) และตัวเลขผสมเข้าไป เพื่อให้การแฮคยากขึ้น ปรากฎว่า พาสเวิร์ดทีใช้หลักการนี้ในการตั้งก็คือ Password1

ผลการศึกษาดังกล่าวต้องการสะท้อนให้เห็นถึงปัญหาของระบบรักษาความปลอดภัยบนคอมพิวเตอร์ที่ส่วนใหญ่อยู่ที่ผู้ใช้ ไม่ว่าองค์กรธุรกิจจะมีไฟร์วอลล์กี่ตัว หรือระบบป้องกันการเจาะข้อมูลที่ฉลาดเป็นกรด แต่สุดท้ายก็ตกม้าตายด้วยพาสเวิร์ดง่ายๆ ที่เปรียบเสมือนกุญแจที่เจ้าของบ้างแขวนไว้หน้าประตู Trustwave เปิดเผยว่า จากพาสเวิร์ดบนคอมพิวเตอร์ 2.5 ล้านเครื่อง จะมีการใช้คำว่า password รวมอยู่ด้วยประมาณ 5% (ดูเหมือนน้อย แต่ความจริงมันหมายถึง 125,000 เครื่อง) ซึ่งเป็นคำที่คนทั่วไปเดาได้ไม่ยาก หรือแค่ใช้ซอฟต์แวร์ถอดพาสเวิร์ดอัตโนมัติที่ไม่ต้องเก่งนักก็ได้คำตอบแล้ว

ประเด็นที่น่าตกใจยิ่งกว่าก็คือ ด้วยคอมพิวเตอร์ราคา 1,500 เหรียญฯ (ประมาณ 45,000 บาท) กับซอฟต์แวร์พิเศษแค่ตัวเดียว Trustwave สามารถเจาะพาสเวิร์ดได้มากกว่า 200,000 รหัสได้อย่างง่ายดาย ผู้เชี่ยวชาญระบบรักษาความปลอดภัยกล่าวว่า ผู้ใช้จำเป็นต้องตั้งพาสเวิร์ดที่เดายาก หรือแทบจะเดาไม่ได้เลย แต่นี่คือสิ่งที่ผู้ใช้ทราบกันมานานหลายปีแล้ว อย่างไรก็ดี ผู้เชี่ยวชาญส่วนใหญ่เริ่มผลักดันผู้ใช้ให้ใช้ระบบป้องกันแบบชีวมาตร (biometric) อย่างเช่น ลายนิ้วมือ ในการแสดงตัว เพื่อใช้สิทธิ์เข้าถึงระบบ หรือวิธีทวนสอบอื่นๆ ที่ไม่ต้องใช้ความจำของมนุษย์แทน เพื่อแก้ปัญหาข้างต้นนี้ รายงานข่าวบางแห่งยังแนะนำด้วยว่า คุณผู้อ่านเว็บไซต์ arip ที่ใช้พาสเวิร์ด Password1 ควรรีบเปลี่ยนด่วน เพราะมันเป็นรหัสผ่านที่มีการพบมากที่สุด โอกาสโดนเจาะก็จะสูงสุดไปด้วย

ที่มา : arip