Improper Microsoft Patch for Reverse RDP Attacks Leaves 3rd-Party RDP Clients Vulnerable

Microsoft ยังทำการเเก้ไขเเพตซ์ CVE-2019-0887 (RCE RDP) ได้ไม่สมบูรณ์อาจเสี่ยงต่อผู้ไม่หวังดีใช้ช่องโหว่เพื่อทำการโจมตี

Microsoft ออกมายอมรับการแพตซ์แก้ไขช่องโหว่ CVE-2019-0887 ช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกลบน Remote Desktop Services (RDP) ที่ได้ทำการปล่อยเเพตซ์การเเก้ไขไปเมื่อกรกฎาคม ปี 2019 นั้นไม่สมบูรณ์ เนื่องจากพบว่านักวิจัยได้ทำการค้นพบการ bypass แพตซ์ด้วยเครื่องหมาย “/” และ “\” หลังได้รับรายงาน Microsoft จึงได้ทำการอัพเดตเเพต์การเเก้ไขช่องโหว่ใหม่ในเดือนกุมภาพันธ์ 2020 ถูกติดตามเป็น CVE-2020-0655

นักวิจัยจาก Check Point เปิดเผยว่า Microsoft ได้ทำการแก้ไขปัญหาด้วยการเพิ่ม API ฟังก์ชั่น “PathCchCanonicalize” นักวิจัยยังค้นพบว่าการเเก้ไขช่องโหว่นั้นยังไม่สมบูรณ์และยังอาจมีความเสี่ยงจากผู้ไม่หวังดีใช้ช่องโหว่ Path Traversal Attack ซึ่งผู้ไม่หวังดีใช้ประโยชน์จาก Clipboard Redirection ในขณะที่เชื่อมต่อกับเซิร์ฟเวอร์ RDP ที่ถูกบุกรุกผู้ไม่หวังดีสามารถใช้ Clipboard RDP ที่ใช้ร่วมกันเพื่อส่งไฟล์ที่เป็นอันตรายไปยังคอมพิวเตอร์ของผู้ใช้

นักวิจัยจาก Check Point ยังกล่าวอีกว่าช่องโหว่ CVE-2019-0887 นี้มีผลกับการเชื่อมต่อ RDP เฉพาะบน Windows เท่านั้นไม่มีผลกับ macOS

ขณะนี้ยังไม่มีการอัพเดตการเเก้ไขช่องโหว่ดังกล่าวจาก Microsoft

ที่มา: thehackernews

Microsoft May 2020 Patch Tuesday fixes 111 vulnerabilities

Microsoft Patch Tuesday ประจำเดือนพฤษภาคมทำการเเก้ไขช่องโหว่ 111 รายการ

Microsoft ได้เปิดตัวเเพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคมซึ่งในเดือนนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ 111 รายการแบ่งเป็นช่องโหว่ระดับ Critical จำนวน 16 รายการ และระดับ Important จำนวน 96 รายการใน 12 ผลิตภัณฑ์ได้เเก่ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET และ Power BI

ช่องโหว่ที่น่าสนใจและสามารถเป็นช่องทางให้โจมตีนำไปใช้ในอนาคตได้เเก่

ช่องโหว่ CVE-2020-1023 , CVE-2020-1024 และ CVE-2020-1102 เป็นช่องโหว่การเรียกใช้โค้ดทำการระยะไกลใน Microsoft SharePoint
ช่องโหว่ CVE-2020-1067 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Windows OS
ช่องโหว่ CVE-2020-1064 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน MSHTML
ช่องโหว่ CVE-2020-1096 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Edge PDF
ช่องโหว่ CVE-2020-1051, CVE-2020-1174, CVE-2020-1175 และ CVE-2020-1176 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Jet Database Engine
ทั้งนี้ผู้ใช้งาน Windows 10, Windows RT 8.1 สามารถทำการอัพเดตได้ผ่าน Windows Update สำหรับผู้ใช้งาน Windows 7, Windows Server 2008 R2 หรือ Windows Server 2008 จำเป็นต้องซื้อ Extended Security Update (ESU) ก่อนทำการอัพเดต

ที่มา : zdnet

Microsoft ทำการแก้ไข 3 ช่องโหว่ ‘Zero-day’ และ 15 ช่องโหว่ระดับ ‘Critical’ ในรายงานแพตช์ประจำเดือนเมษายน

Microsoft ทำการแก้ไข 3 ช่องโหว่ ‘Zero-day’ และ 15 ช่องโหว่ระดับ ‘Critical’ ในรายงานแพตช์ประจำเดือนเมษายน

Microsoft ได้เปิดตัวแพตช์อัปเดตความปลอดภัยเดือนเมษายน 2020 โดย Microsoft แจ้งว่าได้ทำการแก้ไขช่องโหว่ 113 รายการในผลิตภัณฑ์ Microsoft โดยแบ่งออกเป็นช่องโหว่ระดับ Critical 15 รายการ, ช่องโหว่ระดับ Important 93 รายการ, ช่องโหว่ระดับ Moderate 3 รายการและช่องโหว่ระดับ Low อีก 2 รายการ

ทั้งนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ ‘Zero-day’ ด้วยกัน 3 รายการโดยพบว่ามีช่องโหว่ 2 รายการถูกใช้ในการโจมตีระบบแล้ว

รายละเอียดของช่องโหว ‘Zero-day’

CVE-2020-1020 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library ผู้โจมตีสามารถใช้ช่องโหว่เพื่อลอบรันโค้ดจากทางไกลได้ (RCE) แต่สำหรับ Windows 10 ผู้โจมตีจะสามารถเข้าโจมตีใน AppContainer Sandbox ด้วยสิทธิ์จำกัดและจะสามารถติดตั้งโปรแกรม, เรียกดู, เปลี่ยนแปลงหรือลบข้อมูลได้ รวมถึงสร้างบัญชีผู้ใช้ใหม่ที่มีสิทธิ์เต็มของผู้ใช้งาน อย่างไรก็ดีมีหลายทางที่ผู้โจมตีจะใช้ช่องโหว่ได้ เช่น หลอกให้เหยื่อเปิดไฟล์เอกสารที่สร้างขึ้นแบบพิเศษหรือดูผ่าน Windows Preview
CVE-2020-0938 (CVSS 7.8) - ช่องโหว่การรันโค้ดโจมตีระยะไกลของ Adobe Font Manager Library เช่นเดียวกันกับ CVE-2020-1020
CVE-2020-1027 (CVSS 7.8) - เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดขึ้นใน Windows Kernel
Microsoft ยังได้เปิดเผยว่าช่องโหว่ Zero-day ทั้ง 3 ได้รับการรายงานจากทีมความปลอดภัยของกูเกิลทั้งจาก Project Zero และ Threat Analysis Group (TAG) นอกจากนี้ยังมีช่องโหว่ระดับรายแรงและช่องโหว่อื่นๆ กว่า 100 รายการถูกแพตช์ในครั้งนี้เช่นกัน ผู้สนใจสามารถดูรายละเอียดเพิ่มเติมได้
แพตช์ความปลอดภัยที่เปิดให้อัพเดตคือ KB4549951 และ KB4549949 ผู้ใช้ควรติดตั้งการอัพเดตแพตช์ความปลอดภัยเพื่อลดความเสี่ยงของข้อมูลและระบบ

ที่มา: www.

Microsoft แก้ไขข้อบกพร่องการสแกนของ Windows Defender ด้วยอัพเดทแพตช์ใหม่

Microsoft ได้แก้ไขข้อผิดพลาดการทำงานของ Windows Defender ข้อผิดพลาดเกิดขึ้นจากการที่ Windows Defender Antivirus สแกนข้ามรายการที่สแกนเนื่องจากการยกเว้นหรือการตั้งค่าการสแกนเครือข่าย ทำให้การแจ้งเตือนของ Windows Defender เกิดข้อผิดพลาด

ข้อผิดพลาดเกิดจากการอัปเดตสแกนเนอร์ของ Windows Defender ที่ปิดใช้งานการสแกนเครือข่ายโดยอัตโนมัติสำหรับรุ่นที่ใหม่กว่าหลังจากที่เปิดการใช้งานมาแล้วก่อนหน้านี้

Microsoft แก้ไขปัญหาด้วยการเปิดตัวแพตช์อัพเดต KB4052623 ที่จะเพิ่มเวอร์ชันของเอ็นจินการสแกนเป็น 4.18.2003.8 และจะป้องกันการแจ้งเตือนของไฟล์ที่ถูกข้ามไม่ให้ปรากฏ ผู้ใช้ควรทำการอัปเดตแพตช์ KB4052623 ได้โดยอัตโนมัติผ่านทาง Windows Update แพตช์อัพเดต KB4052623 สามารถอัพเดตได้ใน Windows 10 (รุ่น Enterprise, Pro และ Home), Windows Server 2019 และ Windows Server 2016

ที่มา: bleepingcomputer

Microsoft เตือนภัยผู้ใช้ Windows ระวังตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ Zero-day

Microsoft ได้ออกประกาศเตือนความปลอดภัยในระบบปฏิบัติการ Windows หลังพบผู้บุกรุกใช้ 2 ช่องโหว่ zero-day ใหม่สามารถเรียกใช้การโจมตีระยะไกล (RCE) ในไลบรารี Adobe Manager

รายละเอียดช่องโหว่โดยย่อ
2 ช่องโหว่ zero-day ใหม่นี้อยู่ใน Adobe Type Manager Library (atmfd.

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

เบราว์เซอร์จะเริ่มต้นบล็อกการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 ในเดือนนี้

เว็บเบราว์เซอร์ อาทิ Firefox และ Google Chrome จะเริ่มแสดงข้อความแจ้งเตือนหากผู้ใช้งานมีการพยายามเข้าถึงเว็บไซต์ผ่านโปรโตคอล HTTPS เวอร์ชั่นเก่าในเดือนนี้ สืบเนื่องมาจากความพยายามในการผลักดันให้เว็บไซต์พยายามใช้โปรโตคอลใหม่ ที่มีความปลอดภัยสูงกว่า

บริษัท Netcraft เปิดเผยว่าเว็บไซต์กว่า 850,000 แห่งยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ซึ่งมีกำหนดการลบออกจากเบราว์เซอร์หลักส่วนใหญ่ในปลายเดือนนี้ TLS 1.0 และ 1.1 ต่างเป็นที่รู้จักกันในเรื่องของช่องโหว่และปํญหาในการโจมตี ซึ่งอาจนำไปสู่การดักอ่านข้อมูลเข้ารหัสได้

ด้วยเหตุนี้เองเจ้าตลาดยักษ์ใหญ่อย่าง Microsoft, Google, Apple และ Firefox จึงเป็นแกนนำผลักดันการยกเลิกใช้โปรโตคอลดังกล่าวมาระยะหนึ่งแล้ว โดยเริ่มต้นจากการแสดง Not Secure มาตั้งแต่ปีที่แล้วหลัง TLS 1.3 ออกมาในปี 2018 และในปลายเดือนนี้เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนที่ซ่อนอยู่ เพื่อแสดงข้อผิดพลาดเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 ทันที

ที่มา : zdnet

Browsers to block access to HTTPS sites using TLS 1.0 and 1.1 starting this month

Browsers จะทำการบล็อคการเข้าถึงเว็บไซต์ HTTPS ที่ใช้ TLS 1.0 และ 1.1 เริ่มต้นในเดือนนี้
มากกว่า 850,000 เว็บไซต์ยังคงใช้โปรโตคอล TLS 1.0 และ 1.1 ที่ล้าสมัยจะไม่สามารถเข้าถึงได้จาก Browsers หลักส่วนใหญ่ในปลายเดือนนี้ Netcraft ระบุ
เว็บไซต์กว่า 850,000 นั้นใช้ HTTPS แต่ในเวอร์ชันที่ไม่ปลอดภัย เว็บไซต์เหล่านั้นใช้ HTTPS ผ่าน certificates การเข้ารหัสที่สร้างขึ้นบนโปรโตคอล TLS 1.0 และ TLS 1.1 ซึ่งเป็นโปรโตคอลที่เก่าเเก่ เปิดตัวในปี 1996 และ 2006 ตามลำดับ โปรโตคอลเหล่านี้ใช้อัลกอริธึมการเข้ารหัสที่ไม่ปลอดภัย และมีความเสี่ยงต่อการโจมตีเพื่อถอดรหัสต่างๆ เช่น BEAST, LUCKY 13, SWEET 32, CRIME และ POODLE การโจมตีเหล่านี้ช่วยให้ผู้โจมตีสามารถถอดรหัส HTTPS และเข้าถึง plaintext บน web traffic ของผู้ใช้ เวอร์ชันใหม่ของโปรโตคอลเหล่านี้เปิดตัวในปี 2008 (TLS 1.2) และ 2017 (TLS 1.3) ซึ่งทั้งสองอย่างนี้ ถือว่าดีกว่าและปลอดภัยกว่าการใช้งาน TLS 1.0 และ TLS 1.1
การถอดถอนการใช้งาน TLS 1.0 และ TLS 1.1 ถูกประกาศตั้งแต่เมื่อสองปีที่แล้ว หลังจากการเปิดตัว TLS 1.3 ในฤดูใบไม้ผลิปี 2018 ผู้ผลิตเบราว์เซอร์สี่ราย ได้แก่ Apple, Google, Mozilla และ Microsoft และประกาศร่วมกันในเดือนตุลาคม 2018 ว่ามีแผนที่จะยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 ในต้นปี 2020 ขั้นตอนแรกของการถอดถอนการใช้งานนี้เริ่มขึ้นเมื่อปีที่แล้ว เมื่อเบราว์เซอร์เริ่มติดฉลากไซต์ที่ใช้ TLS 1.0 และ TLS 1.1 ด้วยตัวบ่งชี้ "Not Secure" ในแถบที่อยู่ URL และไอคอนแม่กุญแจ เป็นการบอกใบ้แก่ผู้ใช้ว่าการเชื่อมต่อ HTTPS นั้นไม่ปลอดภัยอย่างที่คิด ปลายเดือนนี้เบราว์เซอร์จะเปลี่ยนจากการแสดงคำเตือนที่ซ่อนอยู่ เป็นแสดง errors เต็มหน้าจอเมื่อผู้ใช้เข้าถึงเว็บไซต์ที่ใช้ TLS 1.0 หรือ TLS 1.1 การแสดง errors เต็มหน้าจอเหล่านี้ มีกำหนดการที่จะเปิดตัวในการเปิดตัว Chrome 81 และ Firefox 74 ซึ่งมีกำหนดเวลาปลายเดือนมีนาคม 2020 นี้ Safari ก็มีกำหนดถอดถอนการใช้งาน TLS 1.0 และ 1.1 ในเดือนนี้เช่นกัน Microsoft จะดำเนินการตามความเหมาะสมในช่วงปลายเดือนเมษายนด้วยการเปิดตัว (the Chromium-based) Edge 82

ที่มา : zdnet

 

Microsoft discloses security breach of customer support database

Microsoft ตั้งค่าผิด ข้อมูลลูกค้าถูกเปิดเผย

Microsoft เปิดเผยรายละเอียดเกี่ยวกับเหตุการณ์ฐานข้อมูลของลูกค้ารั่วไหล เกิดจากการตั้งค่าผิดพลาด ซึ่งเกิดขึ้นเมื่อช่วง 5 ธันวาคม - 31 ธันวาคม 2019 และได้มีแจ้งรายงานไปยัง Microsoft โดย Bob Diachenko นักวิจัยด้านความปลอดภัย โดยข้อมูลดังกล่าวเป็นของลูกค้าที่เคยใช้บริการ customer support

การรั่วไหลของข้อมูลเกิดบน Elasticsearch 5 Server ซึ่งข้อมูลใน Server ทั้งห้าเป็นข้อมูลที่ซ้ำกันเพื่อสำรองซึ่งกันและกัน มีประมาณ 250 ล้านรายการ เช่น ที่อยู่อีเมล, ที่อยู่ IP และรายละเอียดต่างๆ แต่ข้อมูลบันทึกส่วนใหญ่ไม่มีข้อมูลผู้ใช้ส่วนบุคคล

สำหรับกรณีนี้ Microsoft ได้เริ่มแจ้งไปยังลูกค้าที่ได้รับผลกระทบถึงแม้ว่าจะไม่พบการใช้งานที่เป็นอันตรายของข้อมูล และได้กล่าวว่าเหตุการณ์ดังกล่าวเป็นผลมากจากการตั้ง Azure security rules ที่ไม่ถูกต้อง ซึ่งปรับใช้เมื่อวันที่ 5 ธันวาคม และตอนนี้ได้ทำการแก้ไขเรียบร้อยแล้วและเพิ่มมาตรการการรักษาความปลอดภัยและการตั้งค่าให้รัดกุมขึ้น

ที่มา : ZDNet

Microsoft Office December Security Updates Fix Remote Execution Bugs

Microsoft Office ออกอัปเดตแก้ไขช่องโหว่รันคำสั่งจากระยะไกล
Microsoft Office ออกอัปเดตแพตช์รักษาความปลอดภัย 16 รายการ โดยช่องโหว่ที่สำคัญคือ CVE-2019-1462 ของ PowerPoint รุ่น 2010, 2013 และ 2016 ถ้าผู้โจมตีทำการโจมตีช่องโหว่ดังกล่าวสำเร็จ จะทำให้สามารถรันคำสั่งอันตรายได้ด้วยสิทธิ์ของผู้ที่ใช้งาน PowerPoint ซึ่งในกรณีที่ผู้ใช้งานมีสิทธิ์ administrative ผู้โจมตีก็จะได้สิทธิ์ในการควบคุมเครื่อง
นอกจากนี้ยังมีการแก้ไขช่องโหว่ในโปรแกรมตระกูล Microsoft Office อีกหลายรายการ ผู้ใช้งานและผู้ดูแลระบบสามารถดูรายละเอียดแพตช์รักษาความปลอดภัยทั้งหมดได้ที่ Support Microsoft

ที่มา : Microsoft Office December Security Updates Fix Remote Execution Bugs

Latest Microsoft Update Patches New Windows 0-Day Under Active Attack

 

ไมโครซอฟท์อัปเดตแพตช์ใหม่แก้ช่องโหว่ Zero day ที่กำลังถูกโจมตี

ด้วยแพตช์ล่าสุดมีการอัปเดตในวันที่ 10 ธันวาคม 2019 ไมโครซอฟท์ได้เตือนผู้ใช้หลายพันล้านคนเกี่ยวกับช่องโหว่ใหม่ใน Windows ที่ผู้โจมตีใช้ประโยชน์จากการทำงานร่วมกันกับ Chrome exploit เพื่อควบคุมคอมพิวเตอร์จากระยะไกล

การอัปเดตด้านความปลอดภัยของ Microsoft ในเดือนธันวาคมนั้นมีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ทั้งหมด 36 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงมากที่สุดอยู่ 7 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงสำคัญอยู่ 27 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงระดับปานกลางอยู่ 1 ช่องโหว่และมี 1 ช่องโหว่ที่มีความรุนแรงต่ำ

CVE-2019-1458 ซึ่งเป็นช่องโหว่ที่กำลังถูกโจมตี เป็นช่องโหว่ที่มีความรุนแรงสำคัญ เป็นช่องโหว่การเพิ่มระดับสิทธิการใช้งาน Win32k ซึ่ง Kaspersky พบว่ากำลังใช้โจมตีในการโจมตีที่ถูกตั้งชื่อว่า Operation WizardOpium ซึ่งผู้โจมตีใช้ช่องโหว่นี้ร่วมกับการหลีกเลี่ยงการตรวจจับจาก Chrome sandbox เพื่อยึดสิทธิ

แม้ว่า Google จะแก้ไขช่องโหว่ใน Chrome sandbox ที่ถูกใช้ร่วมกับ CVE-2019-1458 แล้ว แต่แฮกเกอร์มุ่งโจมตีเป้าหมายเป็นผู้ใช้งานเบราว์เซอร์เวอร์ชันที่มีช่องโหว่

ดังที่ The Hacker News รายงานเมื่อเดือนที่แล้ว Operation WizardOpium เกี่ยวข้องกับการโจมตีเว็บข่าวภาษาเกาหลี ที่ถูกบุกรุกแล้ววางโค้ดโจมตีเพื่อทำการแฮกคอมพิวเตอร์ของผู้ที่เข้าไปเยี่ยมชม โดยโค้ดโจมตีดังกล่าวจะโจมตี Chrome ตามด้วย CVE-2019-1458 ซึ่งโค้ดโจมตีนี้ทำงานบน Windows 7 และแม้แต่ใน Windows 10 บางรุ่น หากโจมตีสำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดอันตรายได้ใน kernel mode

ขณะนี้นักวิจัยไม่สามารถระบุว่า Operation WizardOpium คือผู้โจมตีหรือกลุ่มแฮกเกอร์ใด แต่พวกเขาพบความคล้ายคลึงกันบางอย่างคือโค้ดที่ใช้โจมตีคล้ายกับโค้ดของกลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus

แนะนำผู้ใช้ Windows และผู้ดูแลระบบให้อัปเดตแพตช์ความปลอดภัยล่าสุดเพื่อป้องกันการโจมตี โดยสามารถอ่านรายละเอียดช่องโหว่ทั้งหมดที่อัปเดในแพตช์นี้ได้จาก https://msrc-blog.