Microsoft Office ได้รับผลกระทบจากช่องโหว่ของ feature “online video” ใน Word ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายได้

นักวิจัยด้านความปลอดภัย Cymulate กล่าวว่า ปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้งาน Microsoft Office 2016 และก่อนหน้า เป็นปัญหาเมื่อมีการแนบ online video บนเอกสาร ปัญหาเกี่ยวข้องกับไฟล์ document.

แฮกเกอร์รัสเซียใช้ประโยชน์จาก GTA 5 PC Mod เพื่อติดตั้ง Cryptocurrency Miner

เกมส์ Grand Theft Auto V (GTA 5) จากบริษัท Rockstar North ได้รับความนิยมสูงเป็นอันดับสองของโลก ซึ่งเกมส์นี้จะอนุญาตเกมเมอร์ให้สามารถปรับแต่งสิ่งใดๆ นอกเหนือจากที่เกมให้มาได้ จึงทำให้แฮกเกอร์รัสเซียใช้ประโยชน์จากส่วนนี้ของเกมส์ GTA 5 ติดตั้ง Cryptocurrency Miner

mod maker ชื่อ "Anton" ทำการแพร่กระจายมัลแวร์ที่ชื่อว่า WaterMiner ("Arbuz" หมายถึง "แตงโม" ในภาษารัสเซียนั่นคือเหตุผลที่นักวิจัยเรียกมัลแวร์นี้ว่า "WaterMiner") ไปยัง GTA 5 mods ซึ่งใช้รุ่น XMRig ที่เป็น open-source เพื่อที่จะขุดเหรียญ Monero ได้โดยที่เหยื่อไม่รู้ตัว
มัลแวร์สามารถหลบหลีกเครื่องมือตรวจจับได้รวมถึงซ่อนตัวจาก Windows Task Manager หรือการมอนิเตอร์เซอร์วิสได้ และมัลแวร์จะยกเลิกกระบวนการทันทีหลังจากที่มันจะเข้าสู่โหมดไฮเบอร์เนต

นักพัฒนาซอฟต์แวร์ที่ใช้นามแฝง "Martin 0pc0d3r" เป็นคนสร้างมัลแวร์ WaterMiner ซึ่งนักวิจัยสามารถรู้ตัวนักพัฒนาซอฟต์แวร์ได้เนื่องจากนักพัฒนาซอฟต์แวร์ได้ใช้มาตรการครอบคลุมที่ไม่ดีพอ เป็นเพราะความประมาทเช่นเดียวกันกับที่นักวิจัยสามารถติดตาม Anton ได้ โดยเป้าหมายของ Anton คือการใช้ประโยชน์จากเกมที่นิยมในรัสเซียและนั่นเป็นเหตุผลที่เขาซ่อนมัลแวร์ไว้ในเกม GTA 5 นักวิจัยแนะนำให้คุณระมัดระวังการติดตั้ง mods และแพลตฟอร์มต่างๆ จากการดาวน์โหลดมาเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น

ในทวีต FiveM กล่าวว่า ได้ออกการปรับปรุงด้านความปลอดภัยและบล็อคบริการ coinhive แต่ดูเหมือนว่าสิ่งต่างๆ จะอยู่นอกเหนือการควบคุมแล้ว มีแนวโน้มในการใช้ Cryptocurrency minors สูงขึ้น หลังจากนั้นนักวิจัยค้นพบว่ามีเว็บไซต์มากกว่า 500 แห่งกำลังทำเหมือง cryptocurrency โดยไม่ได้รับความยินยอมจากผู้ใช้

ที่มา : hackread

หน่วยงาน CSE ของแคนาดาเปิดโครงการโอเพนซอร์สวิเคราะห์ไฟล์หาคุณลักษณะมัลแวร์

หน่วยงานด้านความมั่นคงของแคนาดา Communications Security Establishment (CSE) ได้มีการเผยแพร่เครื่องมือสำหรับใช้ในการตรวจสอบไฟล์ที่ต้องสงสัยเพื่อระบุว่าเป็นมัลแวร์หรือไม่ได้ภายใต้ชื่อโครงการว่า AssemblyLine

AssemblyLine เป็นโครงการซอฟต์แวร์แบบ open source ที่จะทำกาตรวจสอบไฟล์ต้องสงสัยผ่านลักษณะของไฟล์เพื่อหาว่าไฟล์ประกอบด้วยส่วนใดส่วนหนึ่งที่น่าจะส่งผลให้เกิดพฤติกรรมที่เป็นอันตรายหรือมีความคล้ายคลึงกับมัลแวร์หรือไม่ โดยสามารถตรวจสอบไฟล์พร้อมๆ กันได้ถึงหนึ่งล้านไฟล์ต่อวันตามเงื่อนไขของระบบที่ AssemblyLine ทำงานอยู่

ผู้ที่สนใจสามารถดาวโหลดซอร์สโค้ดของโปรแกรม AssemblyLine พร้อมคู่มือการใช้งานไปลองใช้กันได้ที่ https://bitbucket.

NSS Labs, Inc., บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย รายงานเกี่ยวกับผลการทดสอบ Breach Detection Systems (BDS) ในปี 2017

NSS Labs ได้มีการเพิ่มเทคนิคเพื่อทดสอบการโจมตี โดยเป็นการหลีกเลี่ยงการตรวจจับและการบล็อกจากอุปกรณ์รักษาความปลอดภัย จากรายงานการวิจัยพบว่าข้อมูลที่รั่วไหลนั้น 75% เกิดจากการละเมิดโดยบุคคลภายนอก จากการศึกษา Enterprise Security Architecture ของ NSS Labs 2017 ระบุว่า 44.1% ขององค์กรในสหรัฐฯ มีการใช้ผลิตภัณฑ์ BDS และผลิตภัณฑ์เหล่าจะช่วยตรวจจับมัลแวร์ขั้นสูง, การโจมตี zero-day, และการโจมตีที่กำหนดเป้าหมาย

ผลิตภัณฑ์ที่ได้รับการทดสอบ ประกอบด้วย
Check Point Software Technologies 15600 Next Generation Threat Prevention & SandBlast™ (NGTX) Appliance R77.30
Cisco FirePower 8120 v.6 & Cisco AMP v.5.1.9.10430
FireEye Network Security NX 10450 v7.9.2 & EX 8400 v7.9.0
FireEye Network Security 6500NXES-VA v7.9.2
Fortinet FortiSandbox-2000E v.FSA 2.4.1 & FortiClient (APT Agent) v.5.6.0.1075
Lastline Enterprise v7.25
Trend Micro Deep Discovery Inspector Model 4000 v3.8 SP5 & OfficeScan (OSCE) v.12.0.1807

ผลการทดสอบพบว่า
5 ใน 7 ผลิตภัณฑ์ไม่สามารถตรวจจับการโจมตีที่ใช้เทคนิคหลีกเลี่ยงการตรวจจับได้
ผลการทดสอบ Security Effectiveness โดยรวมอยู่ระหว่าง 80.2% ถึง 100.0%
ค่าเฉลี่ย Security Effectiveness อยู่ที่ 93.2% โดยมี 5 ผลิตภัณฑ์ได้รับ Security Effectiveness สูงกว่าค่าเฉลี่ย และ 2 ผลิตภัณฑ์ได้รับ Security Effectiveness ต่ำกว่าค่าเฉลี่ย
False positive อยู่ที่ 0 ถึง 0.36%
TCO ต่อ Protected Mbps อยู่ระหว่าง US$16 ถึง US$128 โดยผลิตภัณฑ์ที่ราคาต่ำสุดอยู่ที่ US$44 ต่อ Protected Mbps
ค่าเฉลี่ย TCO ต่อ Protected Mbps (Value) อยู่ที่ US$48.82

จากการทดสอบ BDS 2017 พบว่าผลิตภัณฑ์ส่วนใหญ่สามารถตรวจจับการละเมิดได้ภายใน 60 นาที แต่ผลิตภัณฑ์บางตัวใช้เวลาหลายชั่วโมงในการตรวจพบการละเมิดเช่นเดียวกัน

ที่มา : nsslabs

Google มีการเปิดตัวเวอร์ชันใหม่สำหรับ Google Chrome ในรุ่น 62 ซึ่งนอกจากจะมีฟีเจอร์ใหม่ๆ จำนวนมาก Google Chrome ในเวอร์ชันนี้ยังมีการปรับปรุงและการเพิ่มฟีเจอร์ความปลอดภัยใหม่ๆ กว่าอีก 35 รายการ

ฟีเจอร์ใหม่ที่น่าสนใจคือ การรองรับ Fonts แบบ OpenType, การจับภาพ stream DOM และการแจ้งเตือน HTTP สำหรับเมื่อมีการใช้งานในโหมดระบุตัวตนและ Payment API สำหรับ iOS เป็นต้น ในส่วนของแพตช์ด้านความปลอดภัยนั้นมีแพตช์ที่มีความเสี่ยงสูงจำนวน 8 รายการ, ความเสี่ยงปานกลาง 7 รายการ และความเสี่ยงต่ำ 5 รายการ

แนะนำให้ผู้ใช้งานทำการดาวโหลดและติดตั้งเวอร์ชันล่าสุดในทันที

ที่มา : bleepingcomputer

พบช่องโหว่ในผลิตภัณฑ์รุ่น E-series ของ Linksys โดยมีรายละเอียดของช่องโหว่ ดังต่อไปนี้:

1) Denial of Service (DoS)

ช่องโหว่ Denial of Service ที่อยู่ใน Web Server ของอุปกรณ์ โดยช่องโหว่นี้อาศัยเพียงคำสั่ง GET request ผ่านการโจมตีแบบ CSRF กับผู้ใช้งานที่อยู่ในเครือข่ายภายใน ทำให้สามารถ Reboot เครื่องทั้งหมดหรือหยุดการทำงานของ Web Interface และบริการ DHCP ได้ การดำเนินการนี้ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์

2) HTTP Header Injection & Open Redirect
ช่องโหว่ชนิดนี้สามารถใช้เพื่อจุดประสงค์ต่างๆที่ไม่เหมือนกัน ตัวอย่างหนึ่งในกรณีนี้คือการเปลี่ยนเส้นทางไปยังเว็บไซต์อื่น ในกรณีที่เลวร้ายที่สุดคือการที่ Session ID ของผู้ใช้ที่ได้รับการรับรองสิทธิ์(Authenticated) แล้วถูกขโมย เนื่องจากรหัส Session ถูกฝังลงใน URL ซึ่งเป็นข้อบกพร่องอีกอย่างหนึ่งของบริการเว็บ

3) Improper Session-Protection
สามารถเรียก ID Session สำหรับผู้ใช้ที่เป็นผู้ดูแลระบบจากอุปกรณ์ผ่าน LAN โดยไม่มีตัวรองรับสิทธิ์ เนื่องจากมีการจัดการ Session ที่ไม่ปลอดภัย ช่องโหว่นี้สามารถใช้ประโยชน์ได้เมื่อผู้ดูแลระบบได้รับการตรวจสอบสิทธิ์กับอุปกรณ์ และทำการเปิด Session ก่อนการโจมตี นอกจากนี้การเข้าสู่ระบบจะสำเร็จก็ต่อเมื่อผู้โจมตีมี IP เดียวกันกับ PC ของผู้ดูแลระบบ ดังนั้นการโจมตีแบบ CSRF จะทำได้เมื่อผู้ดูแลระบบถูกหลอกลวงไปใน Website ที่เป็นอันตรายหรือคลิกที่ลิงก์ที่เป็นอันตราย

4) Cross-Site Request Forgery Vulnerability in Admin Interface
ช่องโหว่นี้อาจถูกใช้ในส่วนติดต่อผู้ดูแลระบบ และสามารถใช้ประโยชน์ได้เนื่องจาก Session ID สามารถถูกแย่งชิงโดยใช้ช่องโหว่ข้อ 3) ผ่าน LAN ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเปลี่ยนแปลงการกำหนดค่าอุปกรณ์ใด ๆ โดยหลอกผู้ใช้ให้คลิกลิงค์ที่เป็นอันตรายหรือเข้าเว็ปไซต์ที่เป็นอันตราย

5) Cross-Site Scripting Vulnerability in Admin Interface
ช่องโหว่นี้อาจถูกใช้ในส่วนติดต่อผู้ดูแลระบบ และสามารถใช้ประโยชน์ได้เนื่องจาก Session ID สามารถถูกแย่งชิงโดยใช้ช่องโหว่ข้อ 3) ผ่าน LAN ช่องโหว่นี้ทำให้ผู้โจมตีสามารถสั่งให้ Code ที่เป็นอันตรายทำงานได้ในบน Session ดังกล่าว

ที่มา: seclists

Cisco ได้ทำการ patch ช่องโหว่ความรุนแรงระดับสูง(High) และสูงมาก(Critical) ที่พบในผลิตภัณฑ์ ซึ่งประกอบไปด้วย Cloud Services Platform (CSP), Firepower Extensible Operating System (FXOS), NX-OS และ Small Business IP phones ช่องโหว่ที่ร้ายแรงที่สุดในครั้งนี้คือ CVE-2017-12251, เป็นการเข้าถึงโดยไม่ได้รับอนุญาติซึ่งส่งผลต่อ Cloud Services Platform 2100

Cloud Services Platform(CSP) เป็นบริการที่ถูกใช้ในหลายองค์กร เพื่อที่จะนำบริการของ Cisco หรือบริการ Virtual Network รายอื่นๆ มาใช้งาน ช่องโหว่นี้ถูกพบใน Web Console ของ CSP หากโจมตี และสามารถ Authenticate ได้สำเร็จ จะสามารถเข้าถึงบริการ หรือแม้กระทั่ง virtual machines (VMs) บนอุปกรณ์ CSP ที่ได้รับผลกระทบ รายงานได้ระบุว่ายังไม่พบว่ามีการโจมตีช่องโหว่นี้เกิดขึ้น โดยเวอร์ชันที่ได้รับผลกระทบ คือ 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 และ 2.2.2

นอกจากนี้ Cisco ยังได้แจ้งไปยังลูกค้าเกี่ยวกับเรื่องช่องโหว่ความรุนแรงระดับสูงของ DoS(CVE-2017-3883) ซึ่งส่งผลกระทบต่อการ Authentication, การ Authorization และ Accounting(AAA) บน FXOS และ NX-OS ผู้โจมตีสามารถทำการ brute-force login กับตัวเครื่องที่มีการตั้งค่าด้วยระบบป้องกัน AAA หากสำเร็จจะสามารถทำการ remote เข้ามาสั่งรีโหลดตัวเครื่องได้ โดยช่องโหว่มีผลกระทบต่อ Firepower appliances, Nexus, Multilayer Director switches, และ Unified Computing System บางตัว

Cisco ยังมีการะบุเพิ่มเติมถึงช่องโหว่อีกสองตัว CVE-2017-12260 และ CVE-2017-12259 ซึ่งส่งผลกระทบต่อ Small Business IP phones โดยช่องโหว่ตัวแรกส่งผลกระทบต่อการทำงานของ Session Initiation Protocol (SIP) ใน IP Phones รุ่น SPA50x, SPA51x และ SPA52x, ตัวที่สองส่งผลกระทบต่อการทำงานเช่นเดียวกัน แต่เป็น IP Phones รุ่น SPA51x เท่านั้น ช่องโหว่สองตัวนี้ทำให้เกิด DoS จากการส่งคำขอพิเศษที่ถูกดัดแปลงแล้ว(specially crafted SIP requests) ไปยังเครื่องเป้าหมาย

ที่มา: securityaffairs

Cybercrooks ส่งสแปมอีกครั้งด้วยการส่งใบเรียกเก็บเงินปลอมเพื่อติดตั้งโทรจันบนเครื่องเพื่อขโมยข้อมูล online banking

นักวิจัยจาก Trustwave พบลิ้งค์สำหรับติดตั้ง Gozi Trojan จาก Energy Australia เมื่อเดือนกันยายนที่ผ่านมา ถ้าหากเหยื่อเปิดอีเมล์และคลิกทีปุ่ม "View my Bill" ก็จะนำเหยื่อไปยังหน้าปลอม และดาวน์โหลดไฟล์ ZIP ที่มีชื่อว่า EnergyAustralia Electricity bill.

Android malware ใหม่ถูกค้นพบในแอพพลิเคชั่นหลายตัวบน Google Play โดยจะทำการสร้าง socket ด้วย SOCKS proxy บนอุปกรณ์ที่ถูกบุกรุก

Symantec ได้รายงานเมื่อไม่นานมานี้ว่ามีการตรวจพบ Android.

เกิดเหตุการณ์ข้อมูลบัตรเครดิตถูกโจรกรรมอีกครั้งกับโรงแรมในเครือ Hyatt โดยข้อมูลที่ถูกขโมยไปมีข้อมูลในส่วนของชื่อผู้เข้าพัก และรายละเอียดของบัตร หัวหน้าฝ่ายดำเนินงานของโรงแรม Chuck Floyd กล่าวถึงเรื่องนี้ว่ามีการตรวจพบสิ่งที่บ่งบอกถึงความพยายามในการเข้าถึงข้อมูลการทำธุรกรรมผ่านบัตร โดยที่ไม่ได้รับอนุญาติในบางสาขาของโรงแรม Hyatt ช่วงวันที่ 18 มีนาคม ถึง 2 กรกฏาคม 2017 มีโรงแรมที่ได้รับผลกระทบทั้งหมด 41 แห่ง โดยมากกว่าครึ่งหนึ่งอยู่ในประเทศจีน และส่วนที่เหลือพบอยู่ตามประเทศต่างๆ เช่น บราซิล, อินโดนีเซีย, ญี่ปุ่น, เกาหลีใต้ และฮาวาย ประเทศสหรัฐอเมริกา เป็นต้น จากการตรวจพบพฤติกรรมที่ผิดปกตินั้น จึงทำการตรวจสอบย้อนไปจนพบว่ามีการเพิ่มโค้ดแปลกปลอมจากบุคคลภายนอกเข้ามายังระบบของโรงแรม ทั้งนี้ลูกค้าทุกคนที่ใช้บริการโรงแรมสาขาที่ได้รับผลกระทบได้รับการแจ้งเตือนให้ตรวจสอบสถานะการใช้งานของบัตร และให้รายงานกับทางธนาคารเมื่อพบว่ามีสิ่งผิดปกติเกิดขึ้น
ทางโรงแรมได้ออกมากล่าวขอโทษลูกค้าถึงความผิดพลาดที่เกิดขึ้น และได้ทำการปรับปรุงระบบให้มีความปลอดภัย เพื่อโรงแรมในเครือทั่วโลกสามารถรองรับการใช้จ่ายผ่านบัตรที่โรงแรมได้อีกครั้ง อย่างไรก็ตามผู้ใช้งานบัตรเครดิต ควรหมั่นตรวจสอบรายละเอียดการทำธุรกรรมทุกครั้งว่าถูกต้องตามจริงหรือไม่ หากพบธุรกรรมที่น่าสงสัย ควรแจ้งกับธนาคารเพื่อดำเนินการในขั้นต่อไป

ที่มา : ZDNET