พบแพ็กเกจที่เป็นอันตรายที่โฮสต์บน NuGet package manager สำหรับ .NET Framework ที่ถูกใช้เพื่อติดตั้งมัลแวร์ในการเข้าถึงจากระยะไกล (RAT) ที่เรียกว่า SeroXen RAT
บริษัทด้านความปลอดภัยซอฟต์แวร์ supply chain Phylum ระบุในรายงานว่า แพ็กเกจดังกล่าวมีชื่อว่า Pathoschild.
Microsoft ประกาศว่าได้ทำการแก้ไขบั๊ก ซึ่งเกิดจากการอัพเดทวินโดว์เมื่อเดือนมกราคม ทำให้แอพพลิเคชั่นที่ใช้ Microsoft .NET ปิดตัวลง หรือเกิด Error ได้ เมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information โดย Windows Server ที่โดนผลกระทบคือ Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, และ Windows Server 2012.
“หลังมีการอัพเดทใหม่เมื่อวันที่ 11 มกราคม 2565 แอพพลิเคชั่นที่ใช้ Microsoft .NET อาจเกิดปัญหาเมื่อมีการรับ หรือตั้งค่า Active Directory Forest Trust Information แอพอาจปิดตัวลง หรือมีข้อผิดพลาดอื่น ๆ”
Microsoft อธิบายว่า “ผู้ใช้งานอาจเจอปัญหา access violation (0xc0000005) error ทำให้แอพที่ทำงานผ่าน System.
สืบเนื่องจาก SHA-1 ไม่มีความปลอดภัยอีกต่อไป และมี .NET หลายเวอร์ชันที่ใช้ Hash Algorithm นี้ในการ Signed จึงถึงเวลาที่จะต้องหยุดใช้งานเวอร์ชันดังกล่าวเนื่องจากคำนึงถึงความปลอดภัย ซึ่งประกอบด้วยเวอร์ชัน 4.5.2, 4.6 และ 4.6.1 และเปลี่ยนไปใช้เป็น SHA-2 แทน โดยเวอร์ชันทั้งหมดนี้จะยังได้รับการอัพเดตจาก Microsoft ต่อไปจนถึงวันที่ 26 เมษายน 2022 หลังจากนั้นจะไม่มีการปล่อยอัพเดตใด ๆ จาก Microsoft ต่อไป ยกเว้นเวอร์ชัน 4.6 ที่มากับ Windows 10 Enterprise LTSC 2015 ที่จะยังได้รับการอัพเดตจนถึงเดือนตุลาคม 2025 ซึ่งเป็นเวลาเดียวกับที่ระบบปฏิบัติการดังกล่าวจะไม่ได้รับการอัพเดตจาก Microsoft อีกต่อไปเช่นเดียวกัน
นักพัฒนาที่มีการใช้งานเวอร์ชันที่ได้รับผลกระทบดังกล่าวควรเปลี่ยนไปใช้เวอร์ชัน 4.6.2 เป็นอย่างน้อย เพื่อจะได้รับการอัพเดตต่อไปหากมีปัญหาในอนาคต ทั้งนี้มีการระบุว่าเวอร์ชัน 4.6.2 (ถูกปล่อยออกมาเมื่อ 5 ปีที่แล้ว) และ 4.8 (ถูกปล่อยออกมาเมื่อ 2 ปีที่แล้ว) ถือว่าเป็นเวอร์ชันที่มีความเสถียรสูง จากข้อมูลที่อ้างอิงว่ามีมากกว่า 100 ล้านเครื่องที่ใช้งานอยู่ โดยระบุว่าการอัพเดตครั้งนี้ นักพัฒนาไม่จำเป็นต้อง recompile หรือ retarget แอพพลิเคชั่นที่พัฒนาใหม่ เพียงแต่แนะนำให้ลองทำการทดสอบบน runtime เวอร์ชันใหม่นี้ก่อน หากแอพพลิเคชั่นดังกล่าวได้รับการ deploy ไปแล้ว
ที่มา: bleepingcomputer
นักวิจัยด้านความปลอดภัย Steven Seeley ได้ทำการเปิดเผยถึงการวิเคราะห์และการใช้ประโยชน์จากช่องโหว่ RCE บนผลิตภัณฑ์ Microsoft SharePoint ที่ถูกติดตามด้วยรหัส CVE-2020-1147 (CVSS: 9.8/10) โดยช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธ์ต่ำในระบบสามารถเรียกใช้โค้ดจากระยะไกลจากเครื่องที่เป็นเป้าหมายได้
Steven เปิดเผยว่าช่องโหว่ CVE-2020-1147 นั้นเกิดจากการผิดพลาดในการตรวจสอบ source markup ของ XML file input เมื่อผู้โจมตีทำการอัปโหลด XML ที่เป็นอันตราย ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่ต้องการได้ในกระบวนการ deserialization ของเนื้อหา XML
ช่องโหว่ยังส่งผลต่อ . NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นอยู่กับ Windows รุ่น), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016, SharePoint Server 2010 Service Pack 2, เซิร์ฟเวอร์ SharePoint 2019, Visual Studio 2017 รุ่น 15.9 และ Visual Studio 2019 รุ่น 16.0, 16.4 และ 16.6
นักวิจัยด้านความปลอดภัยได้ออกคำเเนะนำให้ผู้ใช้รีบทำการอัพเดตเเพตซ์การเเก้ไขช่องโหว่โดยด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการวิเคราะห์ช่องโหว่ซ้ำนำไปสู่การสร้าง PoC เพื่อหาประโยชน์จากช่องโหว่ต่อไป
ที่มา:
bleepingcomputer
securityweek