Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

Amazon ได้ส่งอีเมลไปยังลูกค้าบางส่วนเพื่อแจ้งให้ทราบเกี่ยวกับ "ข้อผิดพลาดทางเทคนิค" ที่เปิดเผยอีเมล ID และชื่อผู้ใช้บนเว็บไซต์สาธารณะของ Amazon

Amazon ปฏิเสธที่จะให้รายละเอียดของข้อผิดพลาดที่เกิดขึ้น และจำนวนผู้ได้รับผลกระทบ เพียงแค่กล่าวในแถลงการณ์ว่า "เราได้แก้ไขปัญหาและแจ้งลูกค้าที่อาจได้รับผลกระทบแล้ว" และได้ทำการแจ้งไปยังลูกค้าที่ได้รับผลกระทบว่าไม่ต้องตกใจ และไม่จำเป็นต้องเปลี่ยนรหัสผ่าน แม้ว่าผู้โจมตีอาจชื่อ และอีเมลของผู้ใช้งานเพื่อทำการรีเซ็ตบัญชีหรือใช้เพื่อทำการฟิชชิ่งต่อไปก็ตาม

Amazon ได้ไล่ออกพนักงานที่อยู่เบื้องหลังข้อผิดพลาดนี้ พร้อมทั้งแจ้งไปยังผู้ได้รับผลกระทบด้วยเนื้อหาว่า "เรากำลังแจ้งให้คุณทราบว่าที่อีเมลของคุณได้รับการเปิดเผยโดยพนักงานของ Amazon ให้กับ third-party seller อื่นๆ ในเว็บไซต์ของเราซึ่งเป็นการละเมิดนโยบายของเราดังนั้นพนักงานได้รับการฟ้องร้องทางกฎหมาย และคุณไม่จำเป็นต้องดำเนินการใด ๆ "

ที่มา : ehackingnews

US Postal Service ไปรษณีย์ของสหรัฐอเมริกา (The United States Postal Service : USPS) ได้แก้ไขช่องโหว่ของเว็บไซต์ ที่ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานถูกเปิดเผย และแก้ไขได้ มีผู้ได้รับผลกระทบเป็นจำนวนกว่า 60 ล้านคน

จากรายงานระบุว่า ผู้ค้นพบช่องโหว่ได้ทำการติดต่อมายัง Brian Krebs ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัยที่มีชื่อเสียง นักวิจัยคนดังกล่าวได้ทำการแจ้งปัญหาไปยัง USPS ตั้งแต่ปีที่แล้ว แต่บริษัทก็ไม่มีความพยายามที่จะแก้ไขปัญหาดังกล่าว จนกระทั่งช่องโหว่ดังกล่าวถูกเปิดเผยออกไป ปัญหาดังกล่าวจึงได้ถูกแก้ไขในทันที

ปัญหานี้เกิดจากการออกแบบให้สามารถใช้งาน API เพื่อนำข้อมูล tracking data ของบริษัทไปใช้ในเชิงธุรกิจ, โฆษณา และการส่ง campaign ผ่านเมลล์ต่างๆ ปัญหานี้ส่งผลทำให้ ผู้ใช้งานที่เข้าสู่ระบบสามารถทำการค้นหาข้อมูลที่เป็นของผู้ใช้รายอื่น ๆ ได้ เช่น ที่อยู่, อีเมล, รหัสผู้ใช้งาน, หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ

ทาง USPS ได้แก้ไขปัญหาแล้ว โดยได้เพิ่มขั้นตอนในการตรวจสอบเพิ่มเติม เพื่อป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต เช่น เมื่อผู้ใช้พยายามแก้ไขที่อยู่อีเมลในบัญชี USPS ผ่านทาง API ระบบจะแจ้งให้ทราบผ่านทางอีเมลที่ผูกไว้กับบัญชีเพื่อให้ทำการยืนยันการเปลี่ยนแปลง

ที่มา : securityaffairs

ทีมนักวิจัยด้านความปลอดภัยของธนาคารจาก Positive Technologies เปิดเผยข้อมูลการโจมตีเครื่องเอทีเอ็มโดยระบุว่าส่วนใหญ่สามารถถูกแฮ็กได้ภายในเวลาไม่ถึง 20 นาทีหรือน้อยกว่าสำหรับวิธีการโจมตีบางประเภท

ทีมนักวิจัยได้ทำการทดสอบตู้เอทีเอ็มจาก NCR, Diebold Nixdorf และ GRGBanking โดยทดลองใช้วิธีการโจมตีแบบปกติและเทคนิคการที่กลุ่มแฮกเกอร์นิยมใช้อย่าง skimming จากการทดสอบพบว่ามีตู้เอทีเอ็มประมาณ 85 เปอร์เซ็นต์ที่ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้ ด้วยวิธีการ Unplugging หรือ tapping ผ่านสาย Ethernet หรือด้วยการ spoofing การเชื่อมต่อ wireless หรืออุปกรณ์ที่เครื่องเอทีเอ็มเชื่อมต่ออยู่ และ 23 เปอร์เซ็นต์ของเครื่องเอทีเอ็มอาจถูกโจมตีและใช้ประโยชน์จากอุปกรณ์เครือข่ายอื่น ๆ ที่เชื่อมต่อกับเครื่องเอทีเอ็มเช่น GSM โมเด็มหรือเราท์เตอร์

นักวิจัยกล่าวว่า "การโจมตีทางเครือข่าย" โดยทั่วไปใช้เวลาไม่ถึง 15 นาทีในการโจมตี แต่นักวิจัยสามารถทำการโจมตีแบบ "Black Box" ซึ่่งใช้เวลาประมาณ 10 นาที ซึ่งใช้เวลาเร็วกว่าเดิมในการโจมตีได้ การโจมตีด้วย Black Box คือการที่แฮกเกอร์เปิดตู้เอทีเอ็มหรือทำการเจาะรูไปเพื่อเข้าถึงสายเคเบิลที่เชื่อมต่อกับคอมพิวเตอร์ของเครื่องเอทีเอ็มเพื่อให้สามารถเข้าถึงเอทีเอ็ม cash box (หรือ safe) จากนั้นผู้โจมตีจะทำการเชื่อมต่อด้วยเครื่องมือที่สร้างขึ้นเอง (custom-made tool) ที่เรียกว่า Black Box ซึ่งจะทำให้เครื่องเอทีเอ็มสามารถสั่งจ่ายเงินสดได้ตามความต้องการ โดย 69 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยงที่จะถูกโจมตีด้วยวิธีการดังกล่าวและ 16 เปอร์เซ็นต์ของเครื่องเอทีเอ็มไม่มีการป้องกันการโจมตีในลักษณะนี้

อีกหนึ่งวิธีที่นักวิจัยค้นพบคือการโจมตีโดยการลองออกจากโหมด kiosk ซึ่งเป็นโหมดของระบบปฏิบัติการที่อินเทอร์เฟซของเครื่องเอทีเอ็มทำงานอยู่ โดยการ plugging อุปกรณ์เข้ากับช่องใดช่องหนึ่งของเอทีเอ็ม อย่างเช่น USB หรือ PS/2 ทำให้เครื่องเอทีเอ็มออกจากโหมด kiosk และสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการหลักเพื่อจ่ายเงินสดออกจากเครื่องเอทีเอ็มได้ โดยใช้เวลาไม่ถึง 15 นาทีและ 76 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยง

อีกหนึ่งวิธีโจมตีที่ใช้เวลานานที่สุดแต่ได้ผลลัพท์ที่ดีที่สุดคือการ bypassed ฮาร์ดไดรฟ์ภายในตู้เอทีเอ็ม และเปลี่ยนให้ทำการบูตเข้าระบบจากภายนอก ซึ่งปกติจะใช้เวลาไม่เกิน 20 นาทีในการเปลี่ยนคำสั่งการบูตใน BIOS ใหม่โดยบูตจากฮาร์ดไดร์ของผู้โจมตีและทำการเปลี่ยนแปลงระบบปฏิบัติของเครื่องเอที่เอ็มใหม่ โดยพบว่าเครื่องเอทีเอ็มที่ทำการทดสอบ 92 เปอร์เซ็นต์สามารถถูกโจมตีด้วยวิธีดังกล่าว

นอกจากนี้นักวิจัยยังพบว่าผู้โจมตีสามารถเข้าถึงเครื่องเอทีเอ็มได้โดยทางกายภาพเพื่อทำการรีสตาร์ทและบูตเพื่อเข้าสู่ safe/debug โหมด การโจมตีใช้เวลาไม่ถึง 15 นาทีในการดำเนินการและนักวิจัยพบว่าร้อยละ 42 ของตู้เอทีเอ็มที่ทดสอบมีความเสี่ยง

และท้ายที่สุดคือนักวิจัยสามารถดักข้อมูลบัตรที่ส่งระหว่างเครื่องเอทีเอ็มและศูนย์ประมวลผลของธนาคาร ซึ่งคิดเป็น 58 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบ แต่สามารถดักจับข้อมูลบัตรขณะทำการประมวลผลภายในเครื่อง ATM ได้ 100 เปอร์เว็นต์ เช่นระหว่างการส่งข้อมูลจากเครื่องอ่านบัตรไปยังระบบปฏิบัติการของ ATM การโจมตีครั้งนี้ใช้เวลาไม่ถึง 15 นาที

ที่มา : SECURITYWEEK

สำนักงานสืบสวนกลาง (FIA) เปิดเผยว่าธนาคารเกือบทุกแห่งของปากีสถานได้รับผลกระทบจากการละเมิดความปลอดภัย

ผู้เชี่ยวชาญจาก Group-IB ได้พบการขายข้อมูลของบัตรที่ออกโดยธนาคารในปากีสถานและธนาคารอื่นๆ จำนวนมากใน Joker's Stash ซึ่งเป็นหนึ่งในเครือข่ายใต้ดินที่ใช้สำหรับขายข้อมูลบัตรที่ได้มาอย่างผิดกฎหมาย ซึ่งได้รับความนิยมมากที่สุดแห่งหนึ่ง โดยข้อมูลบัตรที่ถูกโจรกรรมเมื่อวันที่ 13 พฤศจิกายนที่ผ่านมา เป็นชุดสำเนาข้อมูลดิจิทัลที่มีอยู่ในแถบแม่เหล็กของบัตรเครดิต มีรายละเอียดการทำธุรกรรมการเงินของบัตรจำนวน 177,878 ใบ ทั้งจากปากีสถานและธนาคารระหว่างประเทศอื่น ๆ

จากรายงานของ Group-IB ระบุว่าตั้งแต่มิถุนายน 2017 จนถึงสิงหาคม 2018 มีข้อมูลมากกว่า 1.8 ล้านรายการได้ถูกอัพโหลดขึ้นไปยังเครือข่ายใต้ดินในแต่ละเดือน คาดว่าการใช้วิธีการวาง Trojan บน POS น่าจะเป็นเป็นวิธีหลักที่ถูกใช้ในการโจรกรรมข้อมูลบัตรเครดิต รวมถึงเหตุการณ์ในครั้งนี้ด้วย

ที่มา : securityaffairs

Script engine ของ Internet Explorer เป็นเป้าหมายที่ได้รับความสนใจจากกลุ่มผู้โจมตีทางไซเบอร์ของเกาหลีเหนือในปีนี้ หลังจากที่แฮกเกอร์ได้ใช้ช่องโหว่ zero-day ทั้งใหม่และเก่าเพื่อเป็นเครื่องมือในการโจมตี

DarkHotel กลุ่มผู้โจมตีทางไซเบอร์ที่ McAfee และผู้เชี่ยวชาญจากหลายๆ องค์กรเชื่อว่าน่าจะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเคยถูกระบุในรายงานของ Kaspersky เมื่อปี 2014 ว่าเป็นกลุ่มที่ทำการโจมตีระบบ WiFi ของโรงแรมมากกว่า 100 แห่งเพื่อทำการแพร่กระจายมัลแแวร์ ล่าสุดกลุ่มดังกล่าวก็ได้ลงมืออีกครั้งในปีนี้ผ่านการใช้ช่องโหว่ของ VBScript engine ของ Internet Explorer 2 ตัว ได้แก่ CVE-2018-8174 ในเดือนเมษายน และ CVE-2018-8373 ในเดือนสิงหาคม ซึ่งทั้งสองช่องโหว่ได้รับการแพทช์โดย Microsoft ไปเรียบร้อยแล้ว และที่เพิ่งถูกรายงานออกมาล่าสุดจาก Qihoo 360 Core ได้ระบุว่ากลุ่มนี้มีการใช้วิธีการโจมตีใหม่ผ่านช่องโหว่ของ IE Script เก่า 2 ตัว คือ CVE-2017-11869 และ CVE-2016-0189

ทั้งนี้ Internet Explorer เป็นจุดที่ค่อนข้างน่ากังวลมากด้านความปลอดภัย เนื่องจากถูกพัฒนามานานมากแล้ว ทำให้ Code บางส่วนอาจจะไม่ปลอดภัยในปัจจุบัน Microsoft เองก็ได้เล็งเห็นถึงจุดนี้ ในเดือนกรกฎาคมปี 2017 จึงได้ปิดความสามารถการรัน VBScript อัตโนมัติบน IE เวอร์ชั่นใหม่ๆ การปรับปรุงในครั้งนั้นอาจจะช่วยป้องกันให้ผู้โจมตีไม่สามารถรัน VBScript ที่เป็นอันตรายบนเครื่อง Windows 10 ผ่าน IE ได้ แต่ก็ไม่สามารถหยุดการโจมตีจากกลุ่ม DarkHotel ซึ่งได้เปลี่ยนวิธีการใหม่เป็นการแนบ Code ไปในเอกสาร Word เพื่อทำการเรียกหน้าเว็บผ่าน IE Frame แทน

ที่มา : zdnet

พบช่องโหว่ Zero-Day ใน Home router ของ Huawei HG532 โดย Payload ที่ถูกส่งไปนั้นถูกระบุว่าเป็นของ Botnet ตัวใหม่ที่ถูกเรียกว่า OKIRU หรือ SATORI นั่นเอง ซึ่งตรงกับข้อสันนิษฐานจาก Check Point ที่ได้ออกมาให้รายละเอียดไปก่อนหน้านี้เมื่อช่วงต้นเดือนที่ผ่านมา และเชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้คือผู้ที่ใช้นามแฝงว่า 'Nexus Zeta'

เมื่อวันที่ 23 พฤศจิกายน Check Point ได้รับการแจ้งเตือนจาก Honey-pots ว่ามีการพบพฤติกรรมที่ผิดปกติ
จึงได้ทำการตรวจสอบเพิ่มเติม และได้พบว่ามีการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จัก(zero-day) ในอุปกรณ์ Huawei HG532 จุดมุ่งหมายคือการปล่อย Botnet รูปแบบใหม่ ซึ่งเชื่อว่าน่าจะเป็น Mirai botnet ชนิดใหม่ เนื่องจาก Huawei เลือกที่จะใช้งานบน Universal Plug and Play (UPnP) โปรโตคอล ที่อ้างอิงจากรายงานมาตรฐาน TR-064 โดยจุดประสงค์เพื่อต้องการให้อุปกรณ์ของตนเองสามารถใช้งานได้ง่ายขึ้น แต่นักวิจัยจาก Check Point พบว่าการใช้งานบนมาตรฐาน TR-064 ในอุปกรณ์ Huawei นั้น ส่งผลทำให้ผู้บุกรุกสามารถส่งคำสั่งใด ๆ มารันบนอุปกรณ์ได้ ซึ่งในกรณีนี้คือมัลแวร์ OKIRU หรือ SATORI นั่นเอง

หลังจากการโจมตีนี้ได้รับการยืนยันไม่นาน ก็ได้มีการแจ้งไปยัง Huawei เพื่อจัดการกับการแพร่กระจายที่เกิดขึ้นนี้ และทีมด้านความปลอดภัยของ Huawei ซึ่งทำงานได้อย่างรวดเร็วมาก ก็ได้ออก Patch สำหรับอุดช่องโหว่ดังกล่าวออกมาไม่นานนักหลังจากนั้น ในเวลาเดียวกันทีมพัฒนาผลิตภัณฑ์ของ Check Point เองก็ได้พัฒนาและออกการป้องกันบน IPS ให้กับลูกค้าของตนเองโดยทันที

ที่มา : checkpoint

เมื่อช่วงปลายปี 2016 ทาง Uber พบว่ามีแฮ็กเกอร์ 2 ราย เข้าถึงข้อมูลของผู้ใช้งาน Uber ที่ถูกเก็บไว้บน Cloud ของบริษัทผู้ให้บริการอย่างไม่ถูกต้อง โดยพบว่ามีข้อมูลของผู้ใช้งานรั่วไหลออกไปประมาณ 57 ล้านรายการ และแบ่งเป็นข้อมูลของคนขับประมาณ 600,000 รายการ ข้อมูลที่ได้ไปมีเพียงชื่อ, เลขที่ใบขับขี่ของคนขับ, E-mail และเบอร์โทรศัพท์มือถือของผู้ใช้งาน ไม่พบว่ามีข้อมูลในส่วนของเลขที่บัตรเครดิต, เลขที่บัญชีธนาคาร , Social Security Number, วันเกิด และข้อมูลตำแหน่งที่เคยเดินทางรั่วไหลออกไปแต่อย่างๆไร จากรายงานยังมีการระบุว่าแฮ็กเกอร์ได้มีการเรียกร้องเงินเป็นจำนวน $100,000 เพื่อแลกกับการปกปิด และทำลายข้อมูลที่ได้ไปดังกล่าว และทาง Uber ก็ได้ยอมจ่ายเงินจำนวนดังกล่าวไปให้เรียบร้อยแล้ว

ที่มา : uber

เมื่อวันที่ 20 พฤศจิกายนที่ผ่านมา Intel ได้มีการออกประกาศการปล่อยแพตช์ด้านความปลอดภัยสำหรับซอฟต์แวร์ Intel ME, Intel SPS และ Intel TXE ที่อาจส่งผลให้ผู้โจมตีรันโค้ดที่เป็นอันตรายหรือยกระดับสิทธิ์ได้
ประเด็นสำคัญของช่องโหว่นี้นั้นคือซอฟต์แวร์ที่มีช่องโหว่เป็นซอฟต์แวร์ (หรือระบบปฏิบัติการ) ขนาดเล็กที่อยู่ในหน่วยประมวลผลกลาง (CPU) เพื่อจุดประสงค์ในการจัดการและควบคุมการทำงานของ CPU และมีสิทธิ์ในการเข้าถึงข้อมูลทั้งหมดที่มีการประมวลผลอยู่ในระดับระบบปฏิบัติการหลักที่อยู่สูงขึ้นไป ซึ่งถือว่ามีสิทธิ์ในการเข้าถึงข้อมูลสูงที่สุด
การค้นพบการมีอยู่ของช่องโหว่ดังกล่าวอาจทำให้คอมพิวเตอร์ที่ใช้ CPU ของ Intel ตั้งแต่เดือนสิงหาคม 2015 เป็นต้นมาอาจได้รับผลกระทบจากช่องโหว่ทั้งหมด และช่องโหว่ดังกล่าวก็ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงซึ่งอาจส่งผลต่อความปลอดภัยของระบบอย่างร้ายแรงอีกด้วย รายละเอียดเพิ่มเติม

ที่มา : intel

กูเกิลเก็บข้อมูลที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์แม้ฟีเจอร์เก็บข้อมูลจะถูกปิด

Quartz ได้มีการเปิดเผยรายงานสำคัญซึ่งระบุว่ากูเกิลมีการเก็บข้อมูลที่เป็นที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์ (location) ซึ่งข้อมูลดังกล่าวจะถูกส่งกลับไปยังกูเกิลทันทีเมื่ออุปกรณ์มีการต่ออินเตอร์เน็ตแม้ว่าอุปกรณ์ที่ใช้งานดังกล่าวจะถูกปิดฟีเจอร์ Location Service ไม่มีการใช้งานแอปใดๆ หรือแม้กระทั่งไม่มีการใส่ซิมการ์ด

Quartz ระบุว่าข้อมูลเกี่ยวกับที่อยู่ปัจจุบันของผู้ใช้งานมีการเริ่มต้นเก็บและส่งกลับไปให้ทางกูเกิลตั้งแต่ต้นปี 2017 โดยวิธีการหนึ่งที่กูเกิลใช้ในการหาที่อยู่ปัจจุบันของผู้ใช้งานแม้ว่าผู้ใช้งานจะปิดฟีเจอร์ Location Service ไปแล้วนั้นคือการอาศัยการเก็บข้อมูลจากเสาส่งสัญญาณที่อยู่บริเวณนั้นจนระบุพิกัดของผู้ใช้งานได้

ทางกูเกิลได้ออกมายืนยันกับ Quartz ว่าการเก็บข้อมูลดังกล่าวเกิดขึ้นจริง โดยยืนยันว่าการเก็บข้อมูลดังกล่าวนั้นถูกนำไปใช้เพื่อช่วยพัฒนาประสิทธิภาพของผลิตภัรฑ์ ไม่มีการนำข้อมูลออกจากเครือข่ายหรือใช้ร่วมกับบริการอื่นโดยที่ไม่แจ้งผู้ใช้ล่วงหน้า กูเกิลยังระบุว่าการเก็บข้อมูลดังกล่าวจะถูกหยุดและจะไม่มีการส่งข้อมูลใดๆ มาอีกหลังจากปลายเดือนนี้

ที่มา : QUARTZY