Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.

Zomato เว็บไซต์สำหรับการแนะนำร้านอาหารชื่อดังในอินเดีย ถูกแฮกข้อมูลของผู้ใช้งาน เช่น ชื่อผู้ใช้, อีเมล์ รหัสผ่านของลูกค้ากว่า 17 ล้านบัญชีนั้น ถูกขโมยออกไป Deepinder Goyal, CEO ของ Zomato
ได้ออกมาอธิบายว่าเกิดอะไรขึ้นว่า
- เริ่มต้นจากเหตุการณ์ที่ 000webhost ซึ่งเป็นเว็บโฮสติ้งฟรี ถูกแฮกเมื่อเดือนพฤศจิกายนปี 2015 ทำให้ข้อมูลผู้ใช้ และรหัสผ่านรั่วไหลออกมา โดยมีรหัสผ่านเป็น plaintext (ไม่มีการเข้ารหัส)
- หนึ่งในนักพัฒนาของ Zomato มีการใช้งาน 000webhost เช่นกันทำให้ข้อมูลของเขารั่วไหลออกไป
- นักพัฒนารายนั้นใช้อีเมล์ และรหัสผ่านเดียวกันกับบัญชีของ Github ที่ใช้เก็บโค้ดของ Zomato และไม่ได้เปิดใช้งาน 2 factor authentication
- ทำให้แฮกเกอร์สามารถ Login เข้าสู่ระบบ Github ของนักพัฒนานั้นได้และทำการรีวิวซอสโค้ดบางส่วนของ Zomato ได้
- จากจุดนี้แฮกเกอร์ยังไม่สามารถเข้าถึงฐานข้อมูลของ Zomato เนื่องจากระบบได้ทำการจำกัดไอพีที่สามารถเข้าถึงระบบต่างๆ ไว้
- แฮกเกอร์จึงทำการสแกนหาช่องโหว่จากโค้ดที่สามารถเข้าถึงได้ และพบกับช่องโหว่ Remote Code Execution ที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ในภายหลัง
จากเหตุการณ์ข้างต้นเป็นตัวอย่างที่ผู้ใช้งานอินเตอร์เน็ต ไม่ควรที่จะใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์หรือบริการอื่นๆ
และควรใช้โปรแกรมจำพวก Password Manager ในการจดจำรหัสผ่านเพื่อเพิ่มความปลอดภัย

ที่มา : Zomato,ZomatoHacked

Checkpoint พบช่องโหว่ใน Media Player ยอดนิยมต่างๆไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio ในการอ่าน subtitle ทำให้ตกเป็นเหยื่อของแฮ็คเกอร์ได้หากไปโหลด subtitle จากแหล่งที่ไม่น่าเชื่อถือมา
Subtitle ของหนังหรือรายการทีวีใดๆที่ถูกเขียนโดยใครก็ได้และปล่อยให้ download ในแหล่ง download subtitle ต่างๆ อาจกลายเป็นแหล่งการโจมตีของแฮ็คเกอร์ได้ เมื่อมีการพบว่า Application ที่เป็นตัวเล่นไฟล์ media ต่างๆ ไม่ว่าจะเป็น VLC, Kodi (XBMC), Popcorn Time และ Stremio
โดยการทดสอบจะเริ่มจากการเปิด VDO ใดๆใน Media Player ต่างๆ จากนั้นก็ทำการ load subtitle ที่ฝัง code อันตรายไว้ จากนั้นก็รอให้ code อันตรายนั้นๆทำงาน
สิ่งที่เราทำได้มีเพียงการ patch media player ให้เป็น version ใหม่ล่าสุดอยู่เสมอก็พอจะช่วยป้องกันการโจมตีแบบนี้ได้ครับ โดยหลังจากที่ทั้ง 4 เจ้าได้รับการแจ้งเตือนช่องโหว่ดังกล่าว ตอนนี้ก็ได้มีการออก patch มาแก้กันทั้ง 4 เจ้าแล้ว

ที่มา : Helpnetsecurity

Ransomware WannaCry เป็นตัวที่ดัดแปลงมาจาก NSA Tool ที่ชื่อว่า Eternal Blue สำหรับการโจมตีช่องโหว่ใน service SMB (port 445) และฝัง Backdoor ที่ชื่อว่า DoublePulsar นั่นหมายความว่า WannaCry มีการดัดแปลงเครื่องมือจาก NSA จำนวน 2 ตัวจากที่มีการปล่อยออกมาทั้งหมด แต่ตัวใหม่ที่ชื่อว่า EternatRocks มีการนำเครื่องมือจาก NSA มาดัดแปลง 7 ตัวด้วยกัน
EternalRocks มีการใช้งานเครื่องมือ 2 ตัวจาก NSA ในการเก็บข้อมูลรายละเอียด SMB คือ SMBTOUCH และ ARCHITOUCH จากนั้นใช้เครื่องมือต่างๆของ NSA ไม่ว่าจะเป็น ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, และ ETERNALSYNERGY ทั้งหมด 4 ตัวในการโจมตี สุดท้ายจะทำการฝัง backdoor ที่ชื่อว่า DOUBLEPULSA ต่ออีกที ซึ่ง EternalRocks ไม่มีการฝัง malware content แต่อย่างใด นั่นหมายความว่า ณ ปัจจุบัน EternalRocks ผลกระทบยังไม่รุนแรงเท่า WannaCry และ EternalRocks ไม่มี kill switch domain feature แต่อย่างใด นั่นหมายความว่าจะไม่มีการตรวจสอบ domain ใดๆ ก่อนเริ่มการทำงาน ซึ่ง EternalRocks จะเริ่มจากการฝังตัวเข้าไปในเครื่อง จากนั้น download Tor Client และติดต่อไปยัง C&C Server (Command & Control Server) ต่ออีกที ซึ่งจะใช้เวลาประมาณ 24 ชม. กว่า C&C Server จะตอบกลับมา เพื่อทำการพยายาม bypass Sandbox และไม่ให้ตรวจจับจาก Security Researcher ได้ (โดยปกติ Sandbox ระดับ enterprise ต่างๆ มักจะเข้าไปแก้ไข code ของ malware ตอน Runtime ให้เปลี่ยน sleep ต่างๆกลายเป็น 0 เพื่อปิดการหน่วงเวลาของ Malware ต่างๆ ที่ทำงานตามเวลาที่กำหนดหรือ Logic Bomb)
หลังจาก stage แรกผ่านไป stage ที่ 2 จะเริ่มทำการติดตั้งโดยการ download shadowbrokers.

นักวิจัยจาก modzero พบว่าชุดโปรแกรมไดร์ฟเวอร์เสียง Conexant HD Audio Driver ของค่าย HP นั้นมีการแอบติดตั้งโปรแกรม Keylogger หรือโปรแกรมแอบดักการพิมพ์คีย์บอร์ดคอมพิวเตอร์ ไว้ในเครื่องผู้ใช้ด้วยในชื่อ MicTray.

หากใครยังจำกันได้ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา Wikileaks ได้มีการนำข้อมูลซึ่งอ้างว่าเป็นเครื่องมือสำหรับสอดแนมและโจมตีที่ถูกพัฒนาและใช้โดย CIA ภายใต้ชื่อ "Vault7" ออกมาปล่อยออกสู่สาธารณะ หนึ่งในข้อมูลที่ถูกปล่อยนั้นมีช่องโหว่อันตรายร้ายแรงบน Cisco IOS และ IOS ที่อยู่ใน Cluster Management Protocol (CMP) อยู่ด้วน ช่องโหว่ดังกล่าวได้รับแพตช์แล้วเมื่อช่วงวันจันทร์ที่ผ่านมา
ผลของช่องโหว่รหัส CVE-2017-3881 ทำให้ผู้โจมตีสามารถร้นโค้ดที่เป็นอันตรายาจากระยะไกลได้ผ่านทางการสร้างแพ็คเกต CMP ที่ออพชั่นพิเศษในระหว่างที่พยายามจะทำการสร้างการเชื่อมต่อกับอุปกรณ์
นอกเหนือจากนั้น Cisco ยังมีการออกแพตช์สำหรับ Cisco WebEx Meetings Server ที่มีช่องโหว่ที่ทำให้มีการรั่วไหลของข้อมูลอีกด้วย แนะนำให้ทำการอัพเดตทั้งสองช่องโหว่เพื่อลดความเสี่ยงที่จะถูกโจมตีครับ
ที่มา : Cisco
ที่มา : Cisco

สำหรับเทศกาล Patch Tuesday ของ Microsoft ในเดือนนี้นั้น Microsoft ได้มีการประกาศแพตช์ด้านความปลอดภัยให้กับหลายผลิตภัณฑ์ ทั้งหมด 55 ช่องโหว่ รวมไปถึงแพตช์ฉุกเฉินสำหรับช่องโหว่ Microsoft Malware Protection Engine ที่พึ่งถูกค้นพบโดย Google Project Zero ตามรายละเอียดดังต่อไปนี้
สำหรับรายการแพตช์ทั่วไป ผลิตภัณฑ์ที่จำเป็นต้องมีการอัพเดตแพตช์ได้แก่ Internet Explorer, Microsoft Edge, Microsoft Windows (ทั้งแบบเดสทอปก์และแบบเซิร์ฟเวอร์), Microsoft Office และ .NET Framework โดยมีช่องโหว่ร้ายแรงอยู่ที่ช่องโหว่ของ Microsoft Office ที่ทำให้ผู้โจมตีสามารถรรันโค้ดที่เป็นอันตรายได้จากระยะไกลผ่านไฟล์ EPS และพบการโจมตีช่องโหว่นี้แล้ว รวมไปถึงช่องโหว่ยกระดับสิทธิ์ใน Windows Kernel ซึ่งก็ตรวจพบการใช้ช่องโหว่นี้ในการโจมตีแล้วเช่นเดียวกัน
นอกเหนือจากรายการแพตช์ทั่วไปแล้ว Microsoft ยังได้มีการออกแพตช์ด้านความปลอดภัยฉุกเฉินสำหรับช่องโหว่ใน Microsoft Malware Protection Engine ซึ่งถูกค้นพบโดยทีมแฮกเกอร์จาก Google Project Zero ด้วย แนะนำให้อัพเดตทุกๆ แพตช์โดยด่วนที่สุดครับ
ที่มา : Microsoft

แพตช์ด้านความปลอดภัยสำหรับผลิตภัณฑ์ของ Adobe ประจำเดือนพฤกษาคม 2017 ได้ถูกประกาศออกมาแล้วเมื่อวานที่ผ่านมา โดยในรอบนี้นั้นมีซอฟต์วแวร์ที่จำเป็นต้องมีการอัพเดตอยู่สองรายการได้แก่ Adobe Flash Player และ Adobe Experience Manager Forms
สำหรับ Adobe Flash Player นั้น แพตช์ที่ออกมาจะปกป้องผู้ใช้งานจาก 7 ช่องโหว่ใหญ่ซึ่งกระทบทุกๆ ระบบปฏิบัติการตั้งแต่ Windows, Mac, Linux ไปจนถึง Chrome OS ผู้ใช้งานสามารถเข้าไปตรวจสอบเวอร์ชันปัจจุบันที่ใช้อยู่ได้ที่ http://www.

โปรแกรม PuTTY ได้ถูกปล่อยเวอร์ชันใหม่ในเวอร์ชัน 0.69 เมื่อช่วงปลายเดือนเมษายนที่ผ่านมา โดยในรุ่นล่าสุดนั้น PuTTY ได้ถูกแก้ไขช่องโหว่ DLL Hijacking บนแพลตฟอร์มของวินโดวส์ ที่ผู้โจมตีสามารถสร้างไฟล์ DLL ด้วยชื่อเฉพาะที่เป็นอันตรายและให้มีการโหลดขึ้นมาทำงานทันทีที่ PuTTY เริ่มการทำงานได้

นอกเหนือจากนั้นยังมีการแก้ปัญหาการรองรับการทำงานบน Kerberos ที่พบในเวอร์ชันก่อนหน้าพร้อมทั้งปัญหาทั่วไปอื่นๆ ด้วย
สำหรับผู้ที่ต้องการอัพเดตเป็นเวอร์ชันใหม่ แนะนำให้ทำการดาวน์โหลดจากแหล่งที่เชื่อถือได้และตรวจสอบความสมบูรณ์ของไฟล์ด้วยทุกครั้งเพื่อลดความเสี่ยงที่จะถูกโจมตีหรือถูกขโมยจากโปรแกรมที่ถูกดัดแปลง

ที่มา : chiark

นักวิจัยด้านความปลอดภัย Pali Rohár ได้ค้นพบช่องโหว่ซึ่งถูกเรียกว่า Riddle ซึ่งเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีทำการ MITM ได้อันเนื่องมาจากความบกพร่องในการตรวจสอบคุณสมบัติด้านความปลอดภัยของการเชื่อมต่อ ช่องโหว่ Riddle ได้ถูกแพตช์ไปแล้วโดยใน MySQL 5.5.55

Again Riddle เป็นช่องโหว่ที่ถูกค้นพบอีกครั้งบน MySQL 5.5.55 โดยเป็นช่องโหว่ในลักษณะเดียวกันกับ Riddle คือ หากไฟล์ libmyclient.