Microsoft พบมัลแวร์ตัวใหม่ซึ่งถูกใช้โดยกลุ่มแฮ็กเกอร์ Hafnium ที่คาดว่าได้รับการสนับสนุนจากจีน โดยตัวมันจะพยายามแฝงตัวอยู่บนเครื่องที่ควบคุมไว้โดยการสร้าง schedule tasks และซ่อนไว้

ก่อนหน้านี้กลุ่ม Hafnium ได้มุ่งเป้าการโจมตีไปที่บริษัทที่ทำธุรกิจด้านการป้องกันประเทศ ของสหรัฐฯ สถาบันที่มีการรวมกลุ่มผู้เชี่ยวชาญจากสาขาวิชาต่างๆทั้งภาครัฐ และเอกชน นักวิจัยผู้เชี่ยวชาญด้านการโจมตีทางไซเบอร์ นอกจากนี้ยังเป็นกลุ่มเดียวกับที่ Microsoft กล่าวหาว่าเกี่ยวข้องกับการโจมตีช่องโหว่ ProxyLogon ซึ่งส่งผลกระทบต่อ Microsoft Exchange ทุกเวอร์ชัน

พยายามแฝงตัวอยู่บนเครื่องที่ควบคุมด้วยการลบค่า Registry ของ Windows

Microsoft Detection and Response Team (DART) กล่าวว่า Microsoft ยังคงติดตามความเคลื่อนไหวกลุ่ม HAFNIUM ที่มักโจมตีโดยการใช้ช่องโหว่ Zero-day

จากข้อมูลล่าสุดพบการพยายามเชื่อมต่อไปยังเครื่องอื่นๆภายในเครือข่ายของเหยื่อ และหลีกเลี่ยงการตรวจจับโดยการซ่อน schedule tasks ที่ถูกสร้างขึ้นด้วยเครื่องมือที่เรียกว่า Tarrask

เครื่องมือที่ชื่อว่า Tarrask นี้จะใช้ช่องโหว่ของ Windows เพื่อซ่อน schedule tasks จาก "schtasks /query" และ Task Scheduler โดยการลบค่า Registry ของ Security Descriptor

กลุ่ม Hafnium จะใช้ schedule tasks ที่ถูกซ่อนเหล่านี้เพื่อเข้าถึงอุปกรณ์ที่ถูกแฮ็ก แม้ว่าจะทำการรีบูตแล้วก็ตาม มันจะทำการเชื่อมต่อใหม่ด้วยคำสั่ง cmd อีกครั้ง

วิธีป้องกันการโจมตีจาก Tarrask

schedule tasks "ที่ซ่อนอยู่" จะเห็นได้จากการตรวจสอบ Windows Registry โดยดูได้จาก Tasks ที่ไม่มีค่า SD (security descriptor)
ผู้ดูแลระบบสามารถเปิดใช้งาน Security.

Microsoft ประกาศว่าได้ทำการแก้ไขบั๊ก ซึ่งเกิดจากการอัพเดทวินโดว์เมื่อเดือนมกราคม ทำให้แอพพลิเคชั่นที่ใช้ Microsoft .NET ปิดตัวลง หรือเกิด Error ได้ เมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information โดย Windows Server ที่โดนผลกระทบคือ Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, และ Windows Server 2012.

“หลังมีการอัพเดทใหม่เมื่อวันที่ 11 มกราคม 2565 แอพพลิเคชั่นที่ใช้ Microsoft .NET อาจเกิดปัญหาเมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information แอพอาจปิดตัวลง หรือมีข้อผิดพลาดอื่น ๆ”

Microsoft อธิบายว่า “ผู้ใช้งานอาจเจอปัญหา access violation (0xc0000005) error ทำให้แอพที่ทำงานผ่าน System.

 

 

Microsoft ได้ออกมาเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยบน macOS ที่ถูกแพตช์ไปเมื่อเร็ว ๆ นี้ ซึ่งช่องโหว่ดังกล่าวสามารถทำให้เกิดการเปิดเผยข้อมูลของผู้งานได้

 

ช่องโหว่นี้ได้รับหมายเลข CVE-2021-30970 โดยเกิดจากปัญหาทางด้าน Logic ของระบบ Transparency, Consent and Control (TCC) ซึ่งเป็นฐานข้อมูลส่วนที่ทำงานเกี่ยวกับการเก็บข้อมูลการตั้งค่า Privacy และการปกป้องไฟล์ และข้อมูลของแอพพลิเคชันต่าง ๆ โดยหน้าต่าง Security & Privacy ในหน้าการตั้งค่าแอปพลิเคชั่นบนระบบปฏิบัติการ macOS นั้นทำงานเป็น Front-end ของ TCC

 

ทีมนักวิจัยของ Microsoft 365 Defender ได้รายงานช่องโหว่นี้ให้กับ Apple ในเดือนกรกฎาคม 2021 โดยเรียกช่องโหว่นี้ว่า “powerdir” ซึ่ง Apple ได้รับทราบและแก้ไขปัญหานี้ในการอัปเดต macOS เวอร์ชัน 11.6 และ 12.1 ที่ถูกปล่อยในเดือนธันวาคมที่ผ่านมา

 

ทาง Apple ได้แก้ไข Policy เพื่อให้การเข้าถึงฐานข้อมูล TCC นั้นสามารถทำได้จากแอปพลิเคชันที่มีสิทธิ์ในการเข้าถึง Disk เต็มรูปแบบ (Full Disk Access) เท่านั้น แต่อย่างไรก็ตามมันยังมีความเป็นไปได้ที่จะดัดแปลงการโจมตีให้แอปพลิเคชันที่ไม่พึงประสงค์นั้นสามารถใช้งานการตั้งค่า Privacy เพื่อขโมยข้อมูลจากเครื่องได้ ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงไมโครโฟนเพื่ออัดเสียงการสนทนา หรือจับภาพหน้าจอของผู้ใช้งานได้

 

“พวกเราค้นพบว่ามันเป็นไปได้ที่จะทำการเปลี่ยน Home Directory ของผู้ใช้งานและทำการฝังฐานข้อมูล TCC ปลอมลงไป ซึ่ง TCC ปลอมที่ว่านั้นเก็บข้อมูลประวัติการยินยอมคำขอต่าง ๆ ของแอปพลิเคชัน” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

“ถ้าโจมตีที่ระบบที่ยังไม่ถูกแพตช์ ช่องโหว่นี้จะทำให้ผู้บุกรุกสามารถสร้างการโจมตีอื่น ๆ ได้ โดยใช้ข้อมูลส่วนตัวของผู้ใช้งานที่ได้มา”

 

 

หรือกล่าวได้ว่า หากผู้บุกรุกสามารถเข้าถึง Disk ได้อย่างเต็มรูปแบบ และสามารถเข้าถึงฐานข้อมูล TCC ได้ ผู้บุกรุกจะสามารถแก้ไขสิทธิ์และอนุญาตให้แอปพลิเคชันต่าง ๆ ทำงานด้วยการกำหนดค่าที่ผู้ใช้ไม่ได้ยินยอมได้

 

ช่องโหว่ CVE-2021-30970 ยังเป็นช่องโหว่ที่ 3 ที่เกี่ยวข้องกับการ Bypass TCC ที่ถูกค้นพบหลังจากช่องโหว่ CVE-2020-9934 และ CVE-2020-27937 ซึ่งทั้งสองช่องโหว่นี้ได้รับการแก้ไขโดย Apple แล้ว อีกทั้งในเดือนพฤษภาคม 2021 Apple ยังได้แก้ไขช่องโหว่ Zero-day ในส่วนเดียวกัน (CVE-2021-30713) ซึ่งสามารถทำให้ผู้บุกรุกได้รับสิทธิ์การเข้าถึง Disk เต็มรูปแบบ การจับภาพหน้าจอ และสิทธิ์อื่น ๆ ที่ผู้ใช้งานไม่ได้อนุญาต

 

“นี่แสดงให้เห็นว่าแม้แต่ macOS และระบบปฏิบัติการอื่น ๆ รวมถึงแอปพลิเคชันต่าง ๆ นั้นได้รับการเสริมความแข็งแกร่งเพิ่มขึ้นในแต่ละเวอร์ชัน และบริษัทต่าง ๆ อย่าง Apple นักวิจัยด้านความปลอดภัย หรือชุมชนด้านความปลอดภัยใหญ่ ๆ จะต้องทำงานร่วมกันอย่างต่อเนื่อง เพื่อค้นหาและปิดช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น” Jonathan Bar Or ทีมนักวิจัยของ Microsoft 365 Defender กล่าว

 

ที่มา: thehackernews

Microsoft ได้พบ malware ตัวใหม่ที่ถูกใช้โดยกลุ่ม Nobelium ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตี SolarWinds supply chain attacks เมื่อปีที่แล้ว โดยตัว Malware ดังกล่าวมีชื่อว่า FoggyWeb ที่ถูกขนานนามว่าเป็น Backdoor แบบ Passive และมีเป้าหมายที่อยู่ในระดับสูง FoggyWeb เป็น Malware ที่ออกแบบมาเพื่อช่วยให้ผู้โจมตีสามารถ-ขโมยข้อมูลที่สำคัญจาก Active Directory Federation Services (AD FS) ที่ถูกโจมตี หรือ decrypted token-signing certificate และ token-decryption certificate ตลอดจนใช้ดาวน์โหลด และเรียกใช้ malicious component จาก Command-and-Control (C2) Server และดำเนินการบน Server ที่ถูกโจมตี

ล่าสุดทาง Microsoft แจ้งเตือนให้กับลูกค้าที่ตกเป็นเป้าหมายหรือถูกโจมตีโดย Backdoor นี้แล้ว และได้ให้คำแนะนำดังนี้

1.ตรวจสอบโครงสร้างพื้นฐานภายในองค์กรและคลาวด์ว่ามีการกำหนดค่าต่าง ๆ ปลอดภัยหรือไม่ เช่นการตั้ง Group Policy สำหรับการใช้งานต่าง ๆ หรือ กำหนดสิทธิ์การเข้าถึงของผู้ใช้งานให้อยู่ในหลัก Least Privilege แล้วหรือไม่

2.ลบการเข้าถึงของผู้ใช้และแอป และตรวจสอบการกำหนดค่าสำหรับแต่ละรายการ และสร้าง Credentials ใหม่ตามแนวทาง documented industry best practices

3.ใช้ Hardware Security Module (HSM) ตามที่ได้อธิบายไว้ในการรักษาความปลอดภัยของ AD FS Server เพื่อป้องกันการถูกขโมยข้อมูลที่สำคัญโดย FoggyWeb

ที่มา: BleepingComputer

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

หลังจากมีการปล่อย Patch Tuesday ไปเมื่อวันอังคารที่ผ่านมา Microsoft ได้รับทราบถึงข้อมูลการโจมตีในลักษณะ Remote Code Execution อีก 1 ช่องโหว่ที่อยู่ใน Service Print Spooler โดยทาง Microsoft ให้ข้อมูลเสริมว่ากำลังดำเนินการเพื่อแก้ไขช่องโหว่นี้ และจะมีการปล่อยให้อัพเดทแพตซ์แก้ไขช่องโหว่ในการอัพเดทครั้งถัดไป

ช่องโหว่นี้ได้รหัสเป็น CVE-2021-36958(CVSS score: 7.3) ซึ่งช่องโหว่นี้ถือว่าเป็นส่วนนึงของช่องโหว่ PrintNightmare ที่ Microsoft ออกแพตซ์ปิดช่องโหว่ไปในช่วงที่ผ่านมา Victor Mata จาก Accenture Security ผู้รายงานช่องโหว่ได้รายงานช่องโหว่ดังกล่าวให้กับ Microsoft ในเดือนธันวาคม 2020 ที่ผ่านมา

ช่องโหว่ Remote Code Execution นี้จะเกิดขึ้นเมื่อ Windows Print Spooler Service ดำเนินการกับไฟล์ด้วยสิทธิ์ที่ไม่เหมาะสม ซึ่งทำให้หลังจากที่ผู้โจมตีทำการโจมตีช่องโหว่นี้สำเร็จ จะสามารถเรียกรันโค้ดต่างๆได้ด้วยสิทธิ์ system ของระบบ ทำให้ผู้โจมตีสามารถติดตั้ง โปรแกรม ดู เปลี่ยนแปลง หรือ ลบข้อมูล หรือ สร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานเต็มรูปแบบได้

เป็นที่น่าสังเกตว่าก่อนหน้านี้ Microsoft ทำการปล่อยอัปเดต patch ของ Windows โดยใช้วิธีเปลี่ยนค่าตั้งต้นของ Point และ Print โดยป้องกันไม่ให้สามารถติดตั้งหรืออัปเดตไดรเวอร์ Printer ใหม่ได้จากภายนอก หากไม่มีสิทธิ์ของผู้ดูแลระบบ

การแก้ไขปัญหาชั่วคราวทาง Microsoft แนะนำให้ผู้ใช้งานปิด Service Print Spooler เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ โดยศูนย์ประสานงาน CERT ยังแนะนำให้ผู้ใช้บล็อกการรับส่งข้อมูล SMB ขาออกเพื่อป้องกันการเชื่อมต่อกับเครื่องพิมพ์ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตีได้

ที่มา : thehackernews.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

เมื่อวันพฤหัสบดีที่ผ่านมา ทาง Microsoft ออกมาแจ้งเตือนถึง campaign "massive email" โดยมัลแวร์ชื่อ STRRAT ซึ่งใช้ Java-based เพื่อขโมยข้อมูลที่เป็นความลับจากระบบ ในขณะที่ปลอมตัวเป็นมัลแวร์เรียกค่าไถ่

RAT(Remote Access Trojan) ตัวนี้ จะมีพฤติกรรมคล้าย ransomware โดยจะเปลี่ยนชื่อไฟล์ ต่อท้ายด้วยนามสกุล .crimson โดยที่ไม่ได้ทำการเข้ารหัสจริง ๆ ซึ่งถ้าส่วนที่ต่อท้ายนามสกุลของไฟล์นี้ถูกลบออกไป ก็จะสามารถเปิดไฟล์ได้ตามปกติ

ทาง Microsoft พบเห็นการโจมตีเมื่อสัปดาห์ที่แล้ว จาก spam emails ซึ่งถูกส่งจาก email account ที่ถูกยึด มี subject ชื่อ "Outgoing Payments" เพื่อล่อให้ผู้รับเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งอ้างว่าเป็นการโอนเงิน แต่ในความเป็นจริงแล้วเป็นการ เชื่อมต่อกับโดเมนหลอกลวงเพื่อดาวน์โหลดมัลแวร์ STRRAT และยังมีการเชื่อมต่อไปยัง command-and-control server อีกด้วย มัลแวร์ตัวนี้ยังมีคุณสมบัติที่สามารถรวบรวมรหัสผ่านของเบราว์เซอร์, บันทึกการกดแป้นพิมพ์, การเรียกใช้คำสั่งควบคุมจากระยะไกล และสคริปต์ PowerShell

STRRAT ถูกพบครั้งแรกในเดือนมิถุนายนปี 2020 โดย G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมันที่สังเกตเห็น Windows malware (เวอร์ชัน 1.2) ในอีเมลฟิชชิ่งที่มีไฟล์แนบ Jar (หรือ Java Archive) ที่เป็นอันตราย

มัลแวร์มีเป้าหมายในการขโมยข้อมูล credentials ของเบราว์เซอร์, email clients และ passwords ผ่าน keylogging" ส่งผลกระทบกับเบราว์เซอร์และ email clients ดังต่อไปนี้ : Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird

Microsoft ตั้งข้อสังเกตว่าเวอร์ชัน 1.5 มีความซับซ้อนมากกว่าเวอร์ชันก่อนหน้า ซึ่งบ่งบอกว่าผู้ที่อยู่เบื้องหลังการโจมตี กำลังพัฒนาเครื่องมืออย่างเต็มที่ และพฤติกรรมการเข้ารหัสแบบหลอก ๆ ยังคงเป็นสัญญาณว่ากลุ่มนี้อาจมีเป้าหมายที่จะสร้างรายได้อย่างรวดเร็ว จากผู้ใช้ที่ไม่สงสัยในการข่มขู่ด้วย Ransomware

Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญสามารถเข้าถึงได้ผ่าน GitHub

ที่มา : thehackernews

สืบเนื่องจาก SHA-1 ไม่มีความปลอดภัยอีกต่อไป และมี .NET หลายเวอร์ชันที่ใช้ Hash Algorithm นี้ในการ Signed จึงถึงเวลาที่จะต้องหยุดใช้งานเวอร์ชันดังกล่าวเนื่องจากคำนึงถึงความปลอดภัย ซึ่งประกอบด้วยเวอร์ชัน 4.5.2, 4.6 และ 4.6.1 และเปลี่ยนไปใช้เป็น SHA-2 แทน โดยเวอร์ชันทั้งหมดนี้จะยังได้รับการอัพเดตจาก Microsoft ต่อไปจนถึงวันที่ 26 เมษายน 2022 หลังจากนั้นจะไม่มีการปล่อยอัพเดตใด ๆ จาก Microsoft ต่อไป ยกเว้นเวอร์ชัน 4.6 ที่มากับ Windows 10 Enterprise LTSC 2015 ที่จะยังได้รับการอัพเดตจนถึงเดือนตุลาคม 2025 ซึ่งเป็นเวลาเดียวกับที่ระบบปฏิบัติการดังกล่าวจะไม่ได้รับการอัพเดตจาก Microsoft อีกต่อไปเช่นเดียวกัน

นักพัฒนาที่มีการใช้งานเวอร์ชันที่ได้รับผลกระทบดังกล่าวควรเปลี่ยนไปใช้เวอร์ชัน 4.6.2 เป็นอย่างน้อย เพื่อจะได้รับการอัพเดตต่อไปหากมีปัญหาในอนาคต ทั้งนี้มีการระบุว่าเวอร์ชัน 4.6.2 (ถูกปล่อยออกมาเมื่อ 5 ปีที่แล้ว) และ 4.8 (ถูกปล่อยออกมาเมื่อ 2 ปีที่แล้ว) ถือว่าเป็นเวอร์ชันที่มีความเสถียรสูง จากข้อมูลที่อ้างอิงว่ามีมากกว่า 100 ล้านเครื่องที่ใช้งานอยู่ โดยระบุว่าการอัพเดตครั้งนี้ นักพัฒนาไม่จำเป็นต้อง recompile หรือ retarget แอพพลิเคชั่นที่พัฒนาใหม่ เพียงแต่แนะนำให้ลองทำการทดสอบบน runtime เวอร์ชันใหม่นี้ก่อน หากแอพพลิเคชั่นดังกล่าวได้รับการ deploy ไปแล้ว

ที่มา: bleepingcomputer