Microsoft ได้เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคม หรือ Microsoft Patch Tuesday December 2020 โดยในเดือนธันวาคมนี้ Microsoft ได้ทำการแก้ไขช่องโหว่เป็นจำนวน 58 รายการในผลิตภัณฑ์ และบริการมากกว่า 10 รายกายของ Microsoft

แพตช์ที่ได้รับการแก้ไขจำนวน 22 รายการถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) และส่งผลกระทบต่อผลิตภัณฑ์ของ Microsoft เช่น Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 และ CVE-2020-17142 ) และ SharePoint (CVE-2020-17118 และ CVE-2020-17121)

ช่องโหว่ที่สำคัญอีกประการหนึ่งที่ได้รับการแก้ไขของเดือนธันวาคมนี้คือ CVE-2020-17095 ซึ่งเป็นช่องโหว่ของ Hyper-V ที่อนุญาตให้ผู้โจมตีสามารถเพิ่มสิทธิ์จากการเรียกใช้โค้ดใน Guest ของ Hyper-V และจะนำสู่การเรียกใช้โค้ดบนโฮสต์ Hyper-V โดยการส่งผ่านแพ็กเก็ต vSMB ที่ไม่ถูกต้อง

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: zdnet

จากการแจ้งเตือนของสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Agency - CISA) ที่ได้ออกแจ้งเตือนเกี่ยวกับ Supply chain attack ที่เกิดขึ้นกับซอฟแวร์ SolarWinds Orion และผลกระทบต่อหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ

โดยรายงานของสำนักข่าวรอยเตอร์ที่ได้รายงานถึงการบุกรุกเข้าไปในผลิตภัณฑ์ของ Microsoft ซึ่ง Microsoft ออกแถลงการณ์ยอมรับว่ามีการตรวจพบโทรจันในซอฟแวร์ SolarWinds Orion ที่อยู่ภายในเครือข่ายและ Microsoft ได้ทำการแก้ไขแล้ว ซึ่งหลังจากการแก้ไข Microsoft ไม่พบหลักฐานการเข้าถึงบริการการผลิตหรือข้อมูลลูกค้า ณ ตอนนี้ Microsoft ได้ถูกเข้าร่วมอยู่ในลิสต์ที่ถูกแฮกผ่านการอัปเดตแบ็คดอร์ผ่านซอฟแวร์ SolarWinds Orion โดยที่ก่อนหน้านี้ได้มีหน่วยงานของรัฐ, หน่วยงานโครงสร้างพื้นฐานที่สำคัญและองค์กรภาคเอกชนของสหรัฐฯ ถูกตกเป็นเหยื่อแล้ว เช่น กระทรวงการคลังสหรัฐฯ, โทรคมนาคมและสารสนเทศแห่งชาติของกระทรวงพาณิชย์สหรัฐ (NTIA), สถาบันสุขภาพแห่งชาติของกรมอนามัย (NIH), หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), กระทรวงการต่างประเทศสหรัฐฯ, สถาบันแห่งชาติและบริหารจัดการความปลอดภัยนิวเคลียร์ (NNSA), กระทรวงพลังงานสหรัฐ (DOE)

ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตแพตช์ความปลอดภัยของซอฟแวร์ SolarWinds Orion ให้เป็นเวอร์ชัน 2020.2.1 HF 2 เป็นการด่วนเพื่อป้องกันกลุ่มผู้ประสงค์ร้ายใช้ประโยชน์จากแบ็คดอร์ทำการโจมตีระบบ

ที่มา: zdnet

Microsoft ออกรายงานถึงผลการติดตามกลุ่มแฮกเกอร์ Bismuth หรืออีกชื่อคือ APT32 และ OceanLotus ที่มีการเชื่อมโยงกับรัฐบาลเวียดนามและปัจจุบันกำลังปฏิบัติการแคมเปญด้วยการติดตั้งมัลแวร์ Cryptominer ควบคู่ไปกับการปฏิบัติจารกรรมทางไซเบอร์

Microsoft กล่าวว่ากลุ่มแฮกเกอร์ Bismuth เป็นที่รู้จักมาตั้งแต่ปี 2012 ซึ่งกลยุทธ์ที่ใช้ในการปฏิบัติการแคมเปญของกลุ่มนี้มีความซับซ้อน โดยเป้าหมายของกลุ่มแฮกเกอร์มีทั้งในประเทศและต่างประเทศเวียดนาม ซึ่งมีวัตถุประสงค์เพื่อรวบรวมข้อมูลเพื่อช่วยให้รัฐบาลจัดการกับการตัดสินใจทางการเมืองเศรษฐกิจและนโยบายต่างประเทศ

อย่างไรก็ดี Microsoft ได้เพิ่งสังเกตเห็นการเปลี่ยนแปลงกลยุทธ์ของกลุ่มแฮกเกอร์ตั้งแต่เดือนกรกฎาคมถึงเดือนสิงหาคม 2020 ที่ผ่านมา โดยกลุ่มเเฮกเกอร์ได้ใช้มัลแวร์ Cryptominer ในการโจมตีที่ถูกกำหนดเป้าหมายไปยังภาคเอกชนและสถาบันของรัฐในประเทศฝรั่งเศสและเวียดนาม ทั้งนี้ Microsoft ได้มีสองทฤษฎีในการเปลื่ยนเเปลงกลยุทธ์ของกลุ่มแฮกเกอร์ดังนี้

ประการแรกคือกลุ่มแฮกเกอร์กำลังใช้มัลแวร์ Cryptominer ในการปฏิบัติการเพื่ออำพรางการโจมตีบางส่วนจากผู้ที่ตกเป็นเหยื่อและหลอกให้ผู้ที่ตกเป็นเหยื่อเชื่อว่าการโจมตีเป็นการบุกรุกแบบสุ่มที่มีลำดับความสำคัญต่ำ
ประการที่สองคือกลุ่มแฮกเกอร์กำลังทดลองกลยุทธ์และวิธีใหม่ๆ ในการสร้างรายได้จากระบบที่ทำการบุกรุก ซึ่งส่วนหนึ่งของการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติ

ทั้งนี้ทฤษฎีที่สองนี้ยังสอดคล้องกับแนวโน้มทั่วไปที่เห็นในการปฏิบัติการที่เน้นการจารกรรมทางไซเบอร์ตามปกติเช่นเดียวกับกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน, รัสเซีย, อิหร่านและเกาหลีเหนือ

ที่มา:

zdnet.

ไมโครซอฟต์ประกาศปล่อย Public preview ของโซลูชัน EDR สำหรับลินุกซ์เป็นส่วนหนึ่งของบริการ Microsoft Defender for Endpoint ภายใต้ Microsoft Defender Advanced Threat Protection (ATP) เมื่อกลางสัปดาห์ที่ผ่านมา

ฟีเจอร์หลักของ EDR แตกต่างกับ Antivirus โดยทั่วไปคือการให้ข้อมูลที่เป็นผลลัพธ์ของการ Detection แก่ผู้ใช้งานและเปิดช่องทางให้ผู้ใช้งานสามารถนำข้อมูลที่ประกอบกันเป็น Detection มาใช้ในลักษณะอื่นเพิ่มเติมได้ เช่น การระบุหาภัยคุกคามในลักษณะที่พิเศษที่มีอยู่ในระบบเป็นจำนวนมาก โซลูชันอย่าง EDR ยังมีฟีเจอร์สำคัญในการช่วยตอบสนองภัยคุกคามในลักษณะทั้ง containment, eradication และ recovery

โซลูชัน EDR สำหรับลินุกซ์นั้นรองรับดิสโทรลินุกซ์แบบเซิร์ฟเวอร์ได้แก่ RHEL 7.2+, CentOS Linux 7.2+, Ubuntu 16 LTS or higher LTS, SLES 12+, Debian 9+, และ Oracle Linux 7.2. ผู้ใช้งานที่สนใจทดสอบโซลูชันสามารถดูข้อมูลเพิ่มเติมได้จาก https://docs.

Microsoft ได้เผยถึงแคมเปญฟิชชิ่ง Office 365 ซึ่งผู้ประสงค์ร้ายได้ใช้วิธีที่มีความซับซ้อนและหลากหลายในการหลบเลี่ยงการป้องกัน,การวิเคราะห์และการตรวจจับอัตโนมัติ เช่น การใช้ sandbox

หนึ่งในกลยุทธ์การหลบเลี่ยงการตรวจจับที่ถูกใช้ในการโจมตีขโมย credential ขององค์กรที่เป็นเป้าหมายคือการรีไดเร็ค URL โดยกลยุทธ์การที่ผู้ประสงค์ร้ายใช้คือ เมื่อผู้ใช้ทำการคลิก URL อันตราย แล้วมีการป้องกันด้วยการนำ URL ดังกล่าวไปทดลองรันใน sandbox เมื่อผู้ประสงค์ร้ายตรวจพบการเชื่อมต่อกับ sandbox ผู้ประสงค์ร้ายจะทำการรีไดเร็คการเชื่อมต่อของ sandbox ไปที่ปลายทางที่ถูกต้องและไม่เป็นอันตราย ในขณะที่ถ้าตรวจพบว่าเป็นผู้คลิกเป็นบุคคลจริงๆ ถึงจะรีไดเร็คการเชื่อมต่อของเหยื่อไปยังหน้า Landing Page ที่เป็นหน้าเพจฟิชชิ่ง ด้วยวิธีการนี้จะทำให้การตรวจจับและการวิเคราะห์โดยอัตโนมัติใด ๆ ถูกมองว่าผู้ใช้ได้ทำการคลิกไปยังเว็บไซต์ที่ถูกต้อง ซึ่งจะช่วยลดโอกาสในการถูกบล็อกการโจมตีได้อย่างมากและเพิ่มโอกาสที่ผู้ที่ตกเป็นเหยื่อจริงๆ จะถูกล่อลวงมายังไซต์ฟิชชิ่งของผู้ประสงค์ร้าย

ในส่วนของกลยุทธ์นี้ยังมีการสร้าง subdomains ที่เฉพาะเจาะจงกับเหยื่อเพื่อใช้กับเว็บไซต์ที่จะทำการรีไดเร็ค URL เพื่อเป็นวิธีการทำให้ URL ฟิชชิ่งน่าเชื่อถือมากขึ้นในสายตาของเป้าหมายและจะช่วยเพิ่มอัตราความสำเร็จของการโจมตี โดย URL ของฟิชชิงมักมีชื่อของเหยื่อและองค์กรของเหยื่อ โดยส่วนมากจะมีจุดพิเศษคือด้านหลัง โดเมนระดับบนสุด (TLD) จะตามด้วย Email address ที่ถูก endcode เป็น Base64 ของผู้รับ

รูปแบบหัวอีเมลที่แสดงเช่น "Password Update", "Exchange protection", "Helpdesk-#", "SharePoint" และ "Projects_communications" ยังสามารถถูกใช้เป็นตัวล่อในด้าน social engineering เพื่อเพิ่มความน่าสนใจที่เป้าหมายจะทำการคลิกลิงก์ฟิชชิง URL ที่ฝังอยู่ในอีเมลแต่ละฉบับ

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

Alex Weinert ผู้อำนวยการฝ่าย Identity Security จากไมโครซอฟต์ ได้มีการพูดถึงแนวทางการเลือกใช้ Multi-factor authentication (MFA) ในบล็อกล่าสุดของเขาว่า หากเป็นไปได้นั้น ผู้ใช้ทุกคนควรหยุดใช้งานโซลูชันของ MFA ที่ต้องพึ่งการส่งข้อมูลทางเครือข่ายโทรศัพท์ ไม่ว่าจะเป็นข้อความ OTP หรือการโทรเข้ามา และเปลี่ยนไปใช้แอปพลิเคชันหรือ security key

ปัญหาของความปลอดภัยในเครือข่ายโทรศัพท์ที่ทำให้กระทบต่อความปลอดภัยของ MFA เป็นที่ทราบกันดีอยู่แล้ว Weinert ระบุว่าทั้ง SMS และพูดคุยกันในเครือข่ายโทรศัพท์นั้นเป็นรูปแบบของการส่งข้อมูลที่ไม่ถูกเข้ารหัส ส่งให้ผู้ข้อมูลในลักษณะดังกล่าวสามารถถูกดับจับได้โดยเทคนิคการโจมตีผ่าน SDR, FEMTO cell และการโจมตีเครือข่าย SS7 ได้ ลักษณะของการยืนยันตัวตนทางเครือข่ายโทรศัพท์ยังมีความเสี่ยงต่อการโจมตีในลักษณะ SIM swapping ซึ่งเทคนิคการโจมตีแบบวิศวกรรมทางสังคมด้วย

Weinert กล่าวย้ำว่า การยืนยันตัวตนผ่านทางเครือข่ายโทรศัพท์ทั้งในรูปแบบของ SMS หรือสัญญาณเสียงนั้นเป็นวิธีการยืนยันตัวตนที่มีความปลอดภัยต่ำที่สุด สิ่งที่ผู้ใช้งานควรปฏิบัติคือการเปลี่ยนไปใช้โซลูชัน MFA อย่างเช่นแอปพลิเคชันหรือใช้ security key ที่มีความปลอดภัยกว่าแทน

เราขอแนะนำให้ผู้ใช้งานเปิดใช้ฟีเจอร์ MFA เสมอ และหากเป็นไปได้ให้เลือกวิธีการ MFA ที่ปลอดภัยที่สุด แม้วิธีการอย่าง SMS หรือสัญญาณเสียงจะไม่ปลอดภัยภันเท่าที่ควร แต่การมีการป้องกันเอาไว้ก็ยังดีกว่าไม่มีการป้องกันใด ๆ เลย

ที่มา: zdnet.

บริษัทด้านความปลอดภัย WMC Global เปิดเผยการค้นพบเทคนิคใหม่ซึ่งเว็บไซต์ Phishing จะมีการใช้เพื่อหลบเลี่ยงการถูกตรวจจับในลักษณะของการสแกนหน้าตาและอ็อบเจกต์บนเว็บไซต์ปลอม โดยอาศัยการเปลี่ยนสีรูปภาพให้กลายเป็นสีตรงข้าม (invert color) หลังจากนั้นใช้ CSS เปลี่ยนกลับเมื่อผู้ใช้งานเข้าถึงหน้าเว็บเพจ

หนึ่งในวิธีการระบุหา Phishing ในปัจจุบันนั้นคือการเปรียบเทียบออบเจ็กต์ อาทิ รูปภาพหรือวีดิโอ เพื่อระบุหาความคล้ายคลึงโดยบางครั้งอาจทำโดยการเปรียบเทียบค่าแฮชของรูปภาพที่แสดงบนเว็บไซต์ และเชื่อมโยงไปหาฐานข้อมูลเว็บไซต์ของจริงว่าตรงกับผู้ให้บริการหรือเซอร์วิสไหนบ้าง วิธีการเปลี่ยนสีรูปภาพให้เป็นสีตรงข้ามจะทำให้ค่าแฮชของรูปภาพเปลี่ยนแปลงและทำให้ไม่สามารถเชื่อมโยงด้วยวิธีการนี้ได้

WMC Global รายงานว่าพบการใช้เทคนิคดังกล่าวแล้วกับหน้าเข้าสู่ระบบของบริการ Microsoft ขอให้ผู้ใช้เพิ่มความระมัดระวังและตรวจสอบความผิดปกติของเว็บไซต์อยู่เสมอเพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อในการหลอกลวง

ที่มา: bleepingcomputer.

Microsoft ประกาศออกเเพตซ์ฉุกเฉิน 2 รายการที่จะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

Microsoft ประกาศออกเเพตซ์ด้านความปลอดภัยฉุกเฉินสองรายการ เพื่อเเก้ปัญหาช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ที่พบว่าจะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

ช่องโหว่ CVE-2020-17022 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเกิดจากวิธีการที่ Microsoft Windows Codecs Library จัดการกับวัตถุในหน่วยความจำ ซึ่งการใช้ช่องโหว่ให้ประสบความสำเร็จนั้นผู้โจมตีจำเป็นต้องทำให้แอปพลิเคชันทำการประมวลผลไฟล์ภาพที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่จะมีผลต่ออุปกรณ์ทั้งหมดที่ใช้ Windows 10 เวอร์ชัน 1709 หรือใหม่กว่าและไลบรารีเวอร์ชันที่มีช่องโหว่ ทั้งนี้ช่องโหว่นี้ถูกค้นพบและรายงานโดย Dhanesh Kizhakkinan จาก FireEye

ช่องโหว่ CVE-2020-17023 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Visual Studio JSON โดยเมื่อผู้ใช้เปิดไฟล์ 'package.

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

Microsoft ออกเเจ้งเตือนถึง Android ransomware สายพันธุ์ใหม่ที่ใช้กลไก "incoming call" หรือการแจ้งเตือนสายเรียกเข้าเพื่อหลอกผู้ใช้ให้กดรับสายและเพื่อเป็นการเปิดการทำงานในการล็อกหน้าจอบนอุปกรณ์ของผู้ใช้

แรนซัมแวร์ที่ถูกเเจ้งเตือนมีชื่อ AndroidOS/MalLocker.