พบช่องโหว่ Zero-Day ใน Home router ของ Huawei HG532 โดย Payload ที่ถูกส่งไปนั้นถูกระบุว่าเป็นของ Botnet ตัวใหม่ที่ถูกเรียกว่า OKIRU หรือ SATORI นั่นเอง ซึ่งตรงกับข้อสันนิษฐานจาก Check Point ที่ได้ออกมาให้รายละเอียดไปก่อนหน้านี้เมื่อช่วงต้นเดือนที่ผ่านมา และเชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้คือผู้ที่ใช้นามแฝงว่า 'Nexus Zeta'

เมื่อวันที่ 23 พฤศจิกายน Check Point ได้รับการแจ้งเตือนจาก Honey-pots ว่ามีการพบพฤติกรรมที่ผิดปกติ
จึงได้ทำการตรวจสอบเพิ่มเติม และได้พบว่ามีการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จัก(zero-day) ในอุปกรณ์ Huawei HG532 จุดมุ่งหมายคือการปล่อย Botnet รูปแบบใหม่ ซึ่งเชื่อว่าน่าจะเป็น Mirai botnet ชนิดใหม่ เนื่องจาก Huawei เลือกที่จะใช้งานบน Universal Plug and Play (UPnP) โปรโตคอล ที่อ้างอิงจากรายงานมาตรฐาน TR-064 โดยจุดประสงค์เพื่อต้องการให้อุปกรณ์ของตนเองสามารถใช้งานได้ง่ายขึ้น แต่นักวิจัยจาก Check Point พบว่าการใช้งานบนมาตรฐาน TR-064 ในอุปกรณ์ Huawei นั้น ส่งผลทำให้ผู้บุกรุกสามารถส่งคำสั่งใด ๆ มารันบนอุปกรณ์ได้ ซึ่งในกรณีนี้คือมัลแวร์ OKIRU หรือ SATORI นั่นเอง

หลังจากการโจมตีนี้ได้รับการยืนยันไม่นาน ก็ได้มีการแจ้งไปยัง Huawei เพื่อจัดการกับการแพร่กระจายที่เกิดขึ้นนี้ และทีมด้านความปลอดภัยของ Huawei ซึ่งทำงานได้อย่างรวดเร็วมาก ก็ได้ออก Patch สำหรับอุดช่องโหว่ดังกล่าวออกมาไม่นานนักหลังจากนั้น ในเวลาเดียวกันทีมพัฒนาผลิตภัณฑ์ของ Check Point เองก็ได้พัฒนาและออกการป้องกันบน IPS ให้กับลูกค้าของตนเองโดยทันที

ที่มา : checkpoint

เมื่อช่วงปลายปี 2016 ทาง Uber พบว่ามีแฮ็กเกอร์ 2 ราย เข้าถึงข้อมูลของผู้ใช้งาน Uber ที่ถูกเก็บไว้บน Cloud ของบริษัทผู้ให้บริการอย่างไม่ถูกต้อง โดยพบว่ามีข้อมูลของผู้ใช้งานรั่วไหลออกไปประมาณ 57 ล้านรายการ และแบ่งเป็นข้อมูลของคนขับประมาณ 600,000 รายการ ข้อมูลที่ได้ไปมีเพียงชื่อ, เลขที่ใบขับขี่ของคนขับ, E-mail และเบอร์โทรศัพท์มือถือของผู้ใช้งาน ไม่พบว่ามีข้อมูลในส่วนของเลขที่บัตรเครดิต, เลขที่บัญชีธนาคาร , Social Security Number, วันเกิด และข้อมูลตำแหน่งที่เคยเดินทางรั่วไหลออกไปแต่อย่างๆไร จากรายงานยังมีการระบุว่าแฮ็กเกอร์ได้มีการเรียกร้องเงินเป็นจำนวน $100,000 เพื่อแลกกับการปกปิด และทำลายข้อมูลที่ได้ไปดังกล่าว และทาง Uber ก็ได้ยอมจ่ายเงินจำนวนดังกล่าวไปให้เรียบร้อยแล้ว

ที่มา : uber

เมื่อวันที่ 20 พฤศจิกายนที่ผ่านมา Intel ได้มีการออกประกาศการปล่อยแพตช์ด้านความปลอดภัยสำหรับซอฟต์แวร์ Intel ME, Intel SPS และ Intel TXE ที่อาจส่งผลให้ผู้โจมตีรันโค้ดที่เป็นอันตรายหรือยกระดับสิทธิ์ได้
ประเด็นสำคัญของช่องโหว่นี้นั้นคือซอฟต์แวร์ที่มีช่องโหว่เป็นซอฟต์แวร์ (หรือระบบปฏิบัติการ) ขนาดเล็กที่อยู่ในหน่วยประมวลผลกลาง (CPU) เพื่อจุดประสงค์ในการจัดการและควบคุมการทำงานของ CPU และมีสิทธิ์ในการเข้าถึงข้อมูลทั้งหมดที่มีการประมวลผลอยู่ในระดับระบบปฏิบัติการหลักที่อยู่สูงขึ้นไป ซึ่งถือว่ามีสิทธิ์ในการเข้าถึงข้อมูลสูงที่สุด
การค้นพบการมีอยู่ของช่องโหว่ดังกล่าวอาจทำให้คอมพิวเตอร์ที่ใช้ CPU ของ Intel ตั้งแต่เดือนสิงหาคม 2015 เป็นต้นมาอาจได้รับผลกระทบจากช่องโหว่ทั้งหมด และช่องโหว่ดังกล่าวก็ถือเป็นช่องโหว่ที่มีความร้ายแรงสูงซึ่งอาจส่งผลต่อความปลอดภัยของระบบอย่างร้ายแรงอีกด้วย รายละเอียดเพิ่มเติม

ที่มา : intel

กูเกิลเก็บข้อมูลที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์แม้ฟีเจอร์เก็บข้อมูลจะถูกปิด

Quartz ได้มีการเปิดเผยรายงานสำคัญซึ่งระบุว่ากูเกิลมีการเก็บข้อมูลที่เป็นที่อยู่ปัจจุบันของผู้ใช้งานแอนดรอยด์ (location) ซึ่งข้อมูลดังกล่าวจะถูกส่งกลับไปยังกูเกิลทันทีเมื่ออุปกรณ์มีการต่ออินเตอร์เน็ตแม้ว่าอุปกรณ์ที่ใช้งานดังกล่าวจะถูกปิดฟีเจอร์ Location Service ไม่มีการใช้งานแอปใดๆ หรือแม้กระทั่งไม่มีการใส่ซิมการ์ด

Quartz ระบุว่าข้อมูลเกี่ยวกับที่อยู่ปัจจุบันของผู้ใช้งานมีการเริ่มต้นเก็บและส่งกลับไปให้ทางกูเกิลตั้งแต่ต้นปี 2017 โดยวิธีการหนึ่งที่กูเกิลใช้ในการหาที่อยู่ปัจจุบันของผู้ใช้งานแม้ว่าผู้ใช้งานจะปิดฟีเจอร์ Location Service ไปแล้วนั้นคือการอาศัยการเก็บข้อมูลจากเสาส่งสัญญาณที่อยู่บริเวณนั้นจนระบุพิกัดของผู้ใช้งานได้

ทางกูเกิลได้ออกมายืนยันกับ Quartz ว่าการเก็บข้อมูลดังกล่าวเกิดขึ้นจริง โดยยืนยันว่าการเก็บข้อมูลดังกล่าวนั้นถูกนำไปใช้เพื่อช่วยพัฒนาประสิทธิภาพของผลิตภัรฑ์ ไม่มีการนำข้อมูลออกจากเครือข่ายหรือใช้ร่วมกับบริการอื่นโดยที่ไม่แจ้งผู้ใช้ล่วงหน้า กูเกิลยังระบุว่าการเก็บข้อมูลดังกล่าวจะถูกหยุดและจะไม่มีการส่งข้อมูลใดๆ มาอีกหลังจากปลายเดือนนี้

ที่มา : QUARTZY

เผยเทคนิคใหม่ข้ามผ่านการบล็อคมาโครสคริปต์เพื่อแพร่กระจายมัลแวร์ ทำได้กับ Micosoft Office ทุกเวอร์ชัน

นักวิจัยด้านความปลอดภัยชาวอิตาลี Lino Antonio Buono จากบริษัท InTheCyber ได้เปิดเผยเทคนิคใหม่ที่อาจช่วยให้มัลแวร์สามารถแพร่กระจายตัวเองภายใต้การทำงานของมาโครสคริปต์ได้แม้ว่า Microsoft Office จะบล็อคการรันสคริปต์เป็นค่าเริ่มต้น โดยเทคนิคใหม่นี้อาศัยการแก้ไขการตั้งค่าเพียงเล็กน้อยและสามารถใช้งานได้กับ Microsoft Office ในทุกๆ เวอร์ชัน

โดยปกตินั้น Microsoft Office จะมีการตั้งค่า "Trust access to the VBA project object model" ซึ่งช่วยนักพัฒนาในการพัฒนามาโครสคริปต์ หากมีการกำหนดการตั้งค่านี้ให้ทำงาน การรันโค้ดหรือมาโครสคริปต์ (ที่เป็นอันตราย) จากเอกสารจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ แสดงให้ผู้ใช้งานเห็น

Buono กล่าวว่าปัญหาของการตั้งค่านี้คือมันสามารถแก้ไขการตั้งค่าได้อย่างอิสระโดยไม่ต้องอาศัยสิทธิ์ของผู้ดูแลระบบหรือสิทธิ์ที่สูงมากนักผ่านทางการแก้ไขค่าในรีจิสทรี ซึ่งหมายความว่าแม้ว่า Microsoft Office จะไม่มีการเปิดการตั้งค่านี้มาตั้งแต่ต้น แต่เพียงแค่รันสคริปต์เพื่อแก้ไขการตั้งค่ารีจิสทรีในจุดดังกล่าวแล้ว การรันโค้ดหรือมาโครสคริปต์ที่เป็นอันตรายต่อจากนั้นจะไม่ถูกบล็อคหรือมีการแจ้งเตือนใดๆ ทันที

ในขณะนี้มีการตรวจพบมัลแวร์ที่มีการใช้เทคนิคนี้แล้วคือมัลแวร์เรียกค่าไถ่ qkG ทีแพร่กระจายผ่านทางมาโครสคริปต์ข้างในไฟล์เอกสารที่มากับอีเมลสแปม

ทาง Buono ได้แจ้งการค้นพบที่เกิดขึ้นแก่ไมโครซอฟต์ อย่างไรก็ตามทางไมโครซอฟต์ปฏิเสธที่จะมองการใช้ฟังก์ชันนี้เป็นช่องโหว่ด้านความปลอดภัย จึงทำให้ไม่มีการแก้ไขใดๆ เกิดขึ้น

สำหรับคำแนะนำที่เหมาะสมในตอนนี้คือการควบคุมตั้งแต่ระดับผู้ใช้งานให้ไม่ดาวโหลดหรือเปิดไฟล์ที่ต้องสงสัยหรือน่าจะเป็นอันตราย ซึ่งน่าจะมีประสิทธิภาพในการป้องกันภัยคุกคามได้ดีที่สุด

ที่มา : Thehackernews

แจ้งเตือนช่องโหว่ใน DNS resolver ของ systemd ยิงระบบค้างได้

นักวิจัยและพัฒนาช่องโหว่ William Gamazo Sanchez จาก TrendMicro ได้มีการเปิดเผยการค้นพบช่องโหว่พร้อมทั้งรายละเอียดล่าสุดวันนี้โดยช่องโหว่ที่มีการค้นพบนั้นเป็นช่องโหว่รหัส CVE-2017-15908 ซึ่งอยู่ในฟังก์ชันการทำ DNS resolve ของ systemd ซึ่งปัจจุบันมีการใช้งานอยู่ในระบบปฏิบัติการลินุกซ์หลายดิสโทร

การโจมตีช่องโหว่นี้จะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ให้บริการ DNS ที่มีช่องโหว่ทำการรีเควสต์เพื่อร้องขอข้อมูลไปยังเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตี โดยเซิร์ฟเวอร์ที่ให้บริการ DNS ที่ถูกควบคุมโดยผู้โจมตีจะมีการส่งข้อมูลตอบรับแบบพิเศษมาส่งผลให้เซิร์ฟเวอร์ที่ให้บริการ DNS ทีมีช่องโหว่เมื่อได้รับแพ็คเกตดังกล่าวแล้วจะทำการวนการทำงานแบบไม่มีสิ้นสุด ใช้ทรัพยากรของระบบจนหมดและทำให้ระบบไม่สามารถให้บริการได้
Recommendation ในตอนนี้ช่องโหว่นี้ได้มีแพตช์ออกมาเป็นที่เรียบร้อยแล้ว ทาง TrendMicro แนะนำให้ผู้ดูแลระบบทำการตรวจสอบแพตช์เฉพาะดิสโทรของตัวเองโดยทันที อย่างไรก็ตามหากระบบไม่สามารถทำการแพตช์ได้ TrendMicro แนะนำให้ผู้ดูแลระบบทำการบล็อคแพ็คเกต DNS แบบพิเศษที่สามารถโจมตีช่องโหว่ได้ (ดูเพิ่มเติมใน RFC 4034 ส่วนที่ 4 หรือ NSEC record) เพื่อป้องกันระบบในเบื้องต้น

ที่มา : Trendmicro

Exim 4.88 และ 4.89 Conclusion แจ้งเตือนช่องโหว่อันตรายร้ายแรงบนซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Exim

ผู้พัฒนาโครงการซอฟต์แวร์จัดการอีเมลบนเซิร์ฟเวอร์ Phil Pennock ได้ประกาศแจ้งเตือนช่องโหว่รหัส CVE-2017-16944 (โดยไม่มีใครได้ตั้งตัว) บนซอฟต์แวร์ EXIM วันนี้โดยช่องโหว่ดังกล่าวนั้นอาจส่งผลให้ผู้โจมตีสามารถถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายได้จากระยะไกลหรือขัดขวางการทำงานของระบบได้

ช่องโหว่บน Exim เกิดขึ้นจากพฤติกรรมการทำงานของซอฟต์แวร์เมื่อมีการตรวจสอบค่าในฟิลด์ BDAT ซอฟต์แวร์ Exim จะทำการสแกนค่าอักขระ . เพื่อระบุหาจุดสิ้นสุดของอีเมล อย่างไรก็ตามฟังก์ชันที่ทำหน้าที่ (receive_getc) นี้กลับทำงานอย่างไม่ถูกต้องทำให้เกิดการเขียนข้อมูลล้นหน่วยความจำที่ถูกจองไว้และส่งผลให้โปรแกรมแครช หรือในสถานการณ์ที่เลวร้ายที่สุดผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการควบคุมการทำงานของซอฟต์แวร์เพื่อรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ถูกค้นพบในเวอร์ชัน 4.88 และ 4.89
Recommendation ในการป้องกันในเบื้องต้นนั้น Phil Pennock แนะนำให้มีการแก้ไขการตั้งค่าของซอฟต์แวร์โดยแก้ไขออปชั่น chunking_advertise_hosts= ให้เป็นค่าว่างจนกว่าจะมีแพตช์ของซอฟต์แวร์ออกมา

ที่มา : Theregister

CERT/CC ออกประกาศได้ความปลอดภัย VU#817544 เมื่ออาทิตย์ที่ผ่านมาหลังจากมีการค้นพบข้อผิดพลาดใน Windows 8 หรือใหม่กว่าซึ่งเป็นผลการทำงานของฟังก์ชันด้านความปลอดภัยหนึ่งไม่สมบูรณ์ และอาจส่งผลต่อความปลอดภัยของระบบในภาพรวมได้

ฟังก์ชันหรือฟีเจอร์ด้านความปลอดภัยนี้มีชื่อว่า ASLR ซึ่งเริ่มใช้งานตั้งแต่ Windows Vista เป็นต้นมา ฟังก์ชันนี้ช่วยป้องกันการโจมตีแบบ code-reuse หรือที่รู้จักกันในชื่อ Return-oriented programming (ROP) ได้โดยการทำให้โมดูลหรือไลบรารีที่ถูกโหลดขึ้นมานั้นอยู่ในตำแหน่งแบบสุ่มแทนที่จะอยู่ในตำแหน่งที่คาดเดาได้จากผู้โจมตี

ตั้งแต่ Windows 8 เป็นต้นมา โปรแกรม EMET (หรือ Windows Defender Exploit Guard) เข้ามามีส่วนสำคัญในการอิมพลีเมนต์ ASLR ให้กับแอปพลิเคชันอื่นๆ อย่างไรก็ตามมีการค้นพบการอิมพลีเมนต์ ASLR โดยโปรแกรม EMET หรือ Windows Defender Exploit Guard ไม่สมบูรณ์และอาจทำให้โปรแกรมไม่ได้ถูกปกป้องโดย ASLR อย่างที่ผู้ใช้งานคาดหวังได้

Recommendation สำหรับวิธีการแก้ปัญหาในเบื้องต้น (workaround) นั้น ผู้ใช้งานสามารถดำเนินแก้ไขข้อผิดพลาดนี้ได้โดยการแก้ไขค่ารีจิสทรีตามข้อมูลจากแหล่งที่มา อย่างไรก็ตามเราแนะนำให้ผู้ใช้งานและผู้ดูแลระบบคอยตรวจสอบวิธีการในการแก้ไขปัญหาอย่างเป็นทางการจากทางไมโครซอฟต์อีกครั้ง

ที่มา : KB.Cert

แจ้งเตือนช่องโหว่ร้ายแรงบน Samba กระทบ SMB บนลินุกซ์หลายดิสโทร

ลินุกซ์หลายดิสโทร อาทิ Red Hat, Ubuntu, Debian และอื่นๆ ได้มีการปล่อยแพตช์ช่องโหว่ use-after-free ซึ่งมีผลกระทบซอฟต์แวร์ SAMBA ตั้งแต่เวอร์ชัน 4.0 เป็นต้นมา (และมีอีกช่องโหว่ที่กระทบตั้งแต่ 3.6.0) โดยอาจส่งผลให้เกิดการรั่วไหลของข้อมูลที่อยู่ในหน่วยความจำได้

ในการโจมตีผู้โจมตีจะต้องอาศัยเพียงการส่งแพ็คเกตบนโปรโตคอล SMBv1 ไปที่ซอฟต์แวร์ที่มีช่องโหว่ แม้ว่าการปิดการใช้งาน SMBv1 อาจช่วยได้ส่วนหนึ่ง แต่ก็มีผลิตภัณฑ์อีกหลายรายการที่ซัพพอร์ตเพียงแค่ SMBv1

ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบและดาวโหลดแพตช์ได้จากลิงค์ต่อไปนี้
http://www.

OpenSSH มีช่องโหว่ Denial of Service ซึ่งเกิดจากข้อผิดพลาดในฟังก์ชัน process_open () เมื่ออยู่ในโหมด read-only ผู้โจมตีจากระยะไกลที่สามารถ Authenticate ตนเองได้แล้ว จะสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างไฟล์ที่เป็น zero-length และทำให้เกิด Denial of Service ได้ ช่องโหว่นี้ได้รับรหัส CVE-2017-15906 มีคะแนน CVSS 6.5 ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ ได้แก่ IBM i 7.1, 7.2 และ 7.3

ผู้ใช้สามารถแก้ไขปัญหาได้โดยใช้ PTF กับ IBM i โดยมีหมายเลข IBM i PTF คือ:
รุ่น 7.1 - SI66253
รุ่น 7.2 & 7.3 - SI66254

ทาง IBM แนะนำให้ผู้ใช้ทุกรายที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบหรือใช้เวอร์ชันที่ไม่ได้รับการสนับสนุนแล้ว ทำการอัพเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน และเวอร์ชั่นใหม่ที่ได้รับการแก้ไขแล้ว

ที่มา: IBM