0patch ออกแพตช์อย่างไม่เป็นทางการสำหรับช่องโหว่ Zero-day บน Windows ที่เปิดเผยข้อมูล NTLM credentials

พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer

ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้

(more…)

Microsoft แก้ไขปัญหา Remote Desktop ที่เกิดจากการอัปเดต Windows Server

Microsoft แจ้งว่า Patch Tuesday ประจำเดือนตุลาคม 2024 จะแก้ไขปัญหา Remote Desktop ในเครือข่ายองค์กรหลังจากติดตั้งการอัปเดตด้านความปลอดภัย Windows Server ประจำเดือนกรกฎาคม 2024 (more…)

CISA เพิ่มช่องโหว่ของ Progress WhatsUp Gold และ MSHTML ลงใน Known Exploited Vulnerabilities แคตตาล็อก

CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และนักวิจัยด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง

(more…)

Beware: Experts Reveal New Details on Zero-Click Outlook RCE Exploits

ผู้เชี่ยวชาญเผยรายละเอียดใหม่ของช่องโหว่ Zero-Click Outlook RCE

ข้อมูลทางเทคนิคเกี่ยวกับช่องโหว่ด้านความปลอดภัยสองรายการที่ได้รับการแก้ไขแล้วใน Microsoft Windows ซึ่งอาจถูกใช้ร่วมกันจากผู้โจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอีเมล Outlook โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

Ben Barnea นักวิจัยด้านความปลอดภัยจาก Akamai ผู้ค้นพบช่องโหว่ ยืนยันในรายงานที่แชร์กับ The Hacker News ว่า "ผู้โจมตีจากอินเทอร์เน็ตสามารถเชื่อมโยงช่องโหว่ทั้งสองเข้าด้วยกันเพื่อสร้างช่องโหว่ Remote Code Execution (RCE) แบบ zero-click ที่สมบูรณ์บนไคลเอ็นต์ Outlook ได้"

รายการช่องโหว่ด้านความปลอดภัย ซึ่ง Microsoft ได้แก้ไขไปเมื่อเดือนสิงหาคม และตุลาคม 2023 ตามลำดับ

CVE-2023-35384 (CVSS score: 5.4) - ช่องโหว่ Windows HTML Platforms Security Feature Bypass
CVE-2023-36710 (CVSS score: 7.8) - ช่องโหว่ Windows Media Foundation Core Remote Code Execution

นักวิจัยจาก Akamai ระบุว่า CVE-2023-35384 เป็นการ bypass ช่องโหว่ด้านความปลอดระดับ Critical ที่ Microsoft แก้ไขไปในเดือนมีนาคม 2023 ช่องโหว่นั้นคือ CVE-2023-23397 (CVSS score: 9.8) ซึ่งเกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งอาจนำไปสู่การขโมยข้อมูล NTLM credentials และช่วยให้ผู้โจมตีสามารถใช้เพื่อโจมตีต่อได้

ช่วงต้นเดือนนี้ Microsoft, Proofpoint และ Palo Alto Networks Unit 42 ได้เปิดเผยว่า กลุ่มแฮ็กเกอร์ชาวรัสเซียที่รู้จักกันในชื่อ APT28 (หรือ Forest Blizzard) กำลังโจมตีโดยใช้ช่องโหว่ดังกล่าวหลายครั้ง เพื่อเข้าถึงบัญชีผู้ใช้บนเซิร์ฟเวอร์ Exchange โดยไม่ได้รับอนุญาต

น่าสังเกตว่า CVE-2023-35384 เป็นการ bypass แพตช์ครั้งที่สองต่อจาก CVE-2023-29324 ซึ่งถูกค้นพบโดย Barnea และถูกแก้ไขโดย Microsoft ในอัปเดตความปลอดภัยเดือนพฤษภาคม 2023

Barnea ระบุว่า "เราพบวิธีการ bypass การแก้ไขช่องโหว่เดิมของ Outlook ซึ่งทำให้เราสามารถบังคับให้ไคลเอ็นต์เชื่อมต่อกับเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม และดาวน์โหลดไฟล์ที่เป็นอันตราย"

CVE-2023-35384 เช่นเดียวกับ CVE-2023-29324 มีต้นตอมาจากปัญหาการวิเคราะห์เส้นทางโดยฟังก์ชัน MapUrlToZone ซึ่งสามารถถูกโจมตีได้โดยการส่งอีเมลที่มีไฟล์อันตรายหรือ URL ไปยังไคลเอ็นต์ Outlook

Microsoft ระบุในประกาศเตือนว่า "มีช่องโหว่ที่ทำการ bypass ความปลอดภัยเกิดขึ้นเมื่อแพลตฟอร์ม MSHTML ไม่สามารถตรวจสอบ Security Zone ที่ถูกต้องของ request สำหรับ URL ที่เจาะจงได้ ซึ่งอาจทำให้ผู้โจมตีสามารถหลอกให้ผู้ใช้เข้าถึง URL ใน Internet Security Zone ที่มีข้อจำกัดน้อยกว่าที่ตั้งใจไว้"

ด้วยวิธีนี้ ช่องโหว่ดังกล่าวไม่เพียงแต่ใช้เพื่อขโมยข้อมูล NTLM credentials เท่านั้น แต่ยังสามารถเชื่อมโยงกับช่องโหว่ CVE-2023-36710 เพื่อดาวน์โหลดไฟล์เสียงที่ปรับแต่งพิเศษ ซึ่งเมื่อเล่นอัตโนมัติผ่านฟีเจอร์เสียงเตือนของ Outlook จะสามารถทำให้เกิดการเรียกใช้โค้ด zero-click บนเครื่องของเหยื่อได้

โดย CVE-2023-36710 ส่งผลกระทบต่อ Audio Compression Manager (ACM) component ซึ่งเป็นเฟรมเวิร์กมัลติมีเดียของ Windows รุ่นเก่าที่ใช้สำหรับจัดการตัวแปลงสัญญาณเสียง (audio codecs) ช่องโหว่นี้เกิดจาก integer overflow ที่เกิดขึ้นเมื่อเล่นไฟล์ WAV

เพื่อลดความเสี่ยง แนะนำให้องค์กรควรดำเนินการดังนี้

ควรใช้วิธีการ Microsegmentation เพื่อบล็อกการเชื่อมต่อ SMB ออกไปยัง public IP
ปิดการใช้งาน NTLM
เพิ่มผู้ใช้เข้าไปในกลุ่มความปลอดภัย Protected Users ซึ่งจะป้องกันการใช้ NTLM เป็นกลไกลการยืนยันตัวตน

ที่อยู่ : thehackernews

Microsoft แนะนำวิธีการเปิดใช้งานการป้องกันช่องโหว่ Windows Kernel (CVE-2023-32019) ด้วยตัวเอง[EndUser]

Microsoft ออกอัปเดตเพื่อแก้ไขช่องโหว่การเปิดเผยข้อมูลใน Windows Kernel ที่ส่งผลกระทบต่อระบบที่ใช้ Windows หลายเวอร์ชัน รวมถึง Windows 10, Windows Server และ Windows 11 ซึ่งเป็นส่วนหนึ่งของการอัปเดตด้านความปลอดภัยประจำเดือนมิถุนายน 2023

CVE-2023-32019 (คะแนน CVSS 4.7/10 ระดับความรุนแรงปานกลาง) เป็นช่องโหว่ที่ทำให้ Hacker ที่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึง heap memory ของ process พิเศษที่ทำงานบนระบบ ซึ่งช่องโหว่นี้ได้ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ Google Project Zero (more…)

Nokoyawa ransomware ใช้ช่องโหว่ Zero Day บน Windows ในการโจมตี

Nokoyawa Ransomware ใช้ประโยชน์จากช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) บน Windows หมายเลข CVE-2023-28252 ซึ่งหากสามารถโจมตีผ่านช่องโหว่นี้ได้สำเร็จ จะสามารถยกระดับสิทธิ์ของผู้ใช้งานได้ โดยหลังจากช่องโหว่ถูกเผยแพร่ออกมา Microsoft ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ไปแล้วเมื่อวันที่ 11 เมษายน 2566 โดยมาพร้อมกับ Patch Tuesday ประจำเดือนเมษายน

ลักษณะการทำงาน

จากรายงานพบว่า กลุ่ม Nokoyawa Ransomware ซึ่งเป็นกลุ่มที่เชี่ยวชาญด้านการใช้ช่องโหว่ของไดรเวอร์ Common Log File System (CLFS) โดยตั้งแต่เดือนมิถุนายน 2565 เป็นต้นมาพบว่ามีการใช้ช่องโหว่ของ CLFS ที่ต่างกันถึง 5 รูปแบบ เป้าหมายของการโจมตีนี้คือบริษัทค้าปลีก และค้าส่ง บริษัทพลังงาน บริษัทการผลิต บริษัทการดูแลสุขภาพ และบริษัทการพัฒนาซอฟต์แวร์ เป็นต้น
การโจมตีด้วยช่องโหว่ CVE-2023-28252 จะสำเร็จได้ก็ต่อเมื่อ User ที่ดำเนินการมีสิทธิ์ในการรันโค้ดบนเครื่องเป้าหมายที่จะยกระดับสิทธิ์ได้
หลังจาก Nokoyawa Ransomware ถูกติดตั้ง จะมี Payload เพื่อดาวน์โหลด Cobal Strike มาติดตั้งบนเครื่องเป้าหมาย นอกจากนี้ยังมีการใช้งาน Mimikatz, Z0Miner และ Boxter บนเครื่องเป้าหมายอีกด้วยหากมีการติดตั้งไว้
ปัจจุบัน Microsoft ยังไม่ให้ข้อมูลรายละเอียดเกี่ยวกับการโจมตีด้วยช่องโหว่นี้ เพียงแต่แนะนำให้ผู้ใช้งานทำการอัปเดตแพตซ์
ผู้ใช้งานสามารถทำการตรวจสอบที่เครื่องได้เอง โดย Ransomware จะวางไฟล์บน Directory เหล่านี้
C:\Users\Public\.container*
C:\Users\Public\MyLog*.blf
C:\Users\Public\p_*

แนวทางการป้องกัน

Update Patch (Release 11 เมษายน 2566)
Update Endpoint ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
ควรพิจารณาใช้งาน Next-Gen AV และ EDR

IOC

ที่มา: kaspersky, trendmicro, securelist

CISA สั่งการให้หน่วยงานรัฐรีบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ Backup Exec ที่กำลังถูก Hacker นำมาใช้โจมตี

US Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ประกาศเพิ่มช่องโหว่ 5 รายการ โดยเป็นช่องโหว่ใน Veritas Backup Exec 3 รายการ ที่พบว่ากำลังถูก Hacker นำมาใช้ในการโจมตี ไปยังแคตตาล็อกของ Known Exploited Vulnerabilities (KEV) โดยพบว่าได้ถูกใช้ในการโจมตีเว็บเบราว์เซอร์ของ Samsung และสามารถเพิ่มสิทธิ์ใน Windows ได้ (more…)

กลุ่มแฮ็กเกอร์ Lapsus$ อ้างว่ามีข้อมูลซอร์สโค้ดที่ขโมยมาจาก Microsoft ขนาด 37GB

ในช่วงวันอาทิตย์ที่ผ่านมา กลุ่ม Lapsus$ ได้โพสต์ภาพแคปเจอร์หน้าจอบนช่องทาง Telegram ของพวกเค้า โดยระบุว่าสามารถแฮ็กเซิร์ฟเวอร์ Azure DevOps ของ Microsoft ได้และอ้างว่ามีซอร์สโค้ดของ Bing, Cortana และ Project ภายในอื่นๆ อีกหลายอย่าง

ต่อมาในช่วงวันจันทร์ กลุ่มแฮ็คเกอร์ได้โพสต์ข้อมูล torrent ไฟล์ ที่เป็นไฟล์ 7zip ขนาด 9 GB ที่มีซอร์สโค้ดมากกว่า 250 projects ที่อ้างว่าเป็นของ Microsoft โดยกลุ่ม Lapsus$ อ้างว่าข้อมูล 90% เป็นซอร์สโค้ดของ Bing และประมาณ 45% เป็นซอร์สโค้ดของ Bing Maps และ Cortana

(more…)

Microsoft Fixes RCE Flaws in Out-of-Band Windows Update

Microsoft ประกาศออกเเพตซ์ฉุกเฉิน 2 รายการที่จะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

Microsoft ประกาศออกเเพตซ์ด้านความปลอดภัยฉุกเฉินสองรายการ เพื่อเเก้ปัญหาช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ที่พบว่าจะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

ช่องโหว่ CVE-2020-17022 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเกิดจากวิธีการที่ Microsoft Windows Codecs Library จัดการกับวัตถุในหน่วยความจำ ซึ่งการใช้ช่องโหว่ให้ประสบความสำเร็จนั้นผู้โจมตีจำเป็นต้องทำให้แอปพลิเคชันทำการประมวลผลไฟล์ภาพที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่จะมีผลต่ออุปกรณ์ทั้งหมดที่ใช้ Windows 10 เวอร์ชัน 1709 หรือใหม่กว่าและไลบรารีเวอร์ชันที่มีช่องโหว่ ทั้งนี้ช่องโหว่นี้ถูกค้นพบและรายงานโดย Dhanesh Kizhakkinan จาก FireEye

ช่องโหว่ CVE-2020-17023 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Visual Studio JSON โดยเมื่อผู้ใช้เปิดไฟล์ 'package.

PoC for Windows VCF zero-day published online

นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดและรหัสการทดสอบการใช้โปรแกรม (PoC) สำหรับช่องโหว่ของ Windows ที่ยังไม่ได้แก้ไข ซึ่งทำให้ส่งผลกระทบต่อ Windows handles vCard files (VCFs) โดยช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีแล้วโดย John Page (@hyp3rlinx) นักวิจัยด้านความปลอดภัยรายงานไปยัง Microsoft ผ่านทางโปรแกรมการเปิดเผยช่องโหว่ Zero Day Initiative (ZDI) ของ Trend Micro

บริษัทไมโครซอฟท์เปิดเผยว่าเดือนตุลาคมมีการแก้ไขช่องโหว่ VCF และอัพเดท patch การรักษาความปลอดภัยในเร็วๆนี้ ทางผู้ผลิตระบบปฏิบัติวินโด้จะเปลี่ยนชื่อวินโด้เวอร์ชั่นใหม่เป็น Windows v.Next (ชื่อเวอร์ชันหลักถัดไปของระบบปฏิบัติการ Windows ปัจจุบันรู้จักกันในนาม 19H1 ซึ่งจะเปิดตัวในเดือนเมษายน 2019)

นักวิจัยด้านภัยคุกคามทางไซเบอร์สามารถสร้างไฟล์อันตราย VCF ที่จะแสดงการเชื่อมโยงที่เป็นอันตราย เมื่อผู้ใช้คลิกลิ้งจะทำให้เปิดใช้งานและเรียกใช้โค้ดที่เป็นอันตราย ซึ่งข่าวดีก็คือช่องโหว่นี้สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้ แต่ไม่สามารถใช้ประโยชน์จากการเรียกใช้โค้ดระยะไกลเนื่องจากต้องมีการตอบกลับจากผู้ใช้ก่อนเพื่อให้เป้าหมายเข้าไปที่หน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย แม้ว่าการโจมตีจะต้องอาศัยการโต้ตอบจากผู้ใช้

ที่มา: Zdnet