นักวิจัยจาก FortiGard Labs ของ Fortinet รายงานการพบกลุ่ม Hacker โจมตีช่องโหว่ของอุปกรณ์ TBK DVR (digital video recording) ซึ่งเป็นช่องโหว่ด้านการหลบเลี่ยงการตรวจสอบสิทธิ์ (bypass) ที่ถูกพบตั้งแต่ปี 2018
DVRs เป็นส่วนสำคัญของระบบเฝ้าระวังความปลอดภัย เนื่องจากสามารถบันทึก และจัดเก็บวิดีโอที่บันทึกโดยกล้อง ซึ่งเว็บไซต์ของ TBK Vision ได้รายงานว่าผลิตภัณฑ์ของบริษัทถูกนำไปใช้ในธนาคาร องค์กรภาครัฐ อุตสาหกรรมค้าปลีก และอื่น ๆ (more…)
นักวิจัยด้านความปลอดภัย Khaled Nassar ได้เผยแพร่โค้ด proof-of-concept (PoC) สำหรับช่องโหว่ Digital signature bypass ใหม่ใน Java ซึ่งมีหมายเลข CVE-2022-21449 (CVSS score: 7.5) โดยช่องโหว่นี้ค้นพบโดย Neil Madden นักวิจัยของ ForgeRock ซึ่งเคยแจ้ง Oracle เมื่อวันที่ 11 พฤศจิกายน 2021
ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Java SE และ Oracle GraalVM Enterprise Edition ในเวอร์ชันต่อไปนี้:
Oracle Java SE: 7u331, 8u321, 11.0.14, 17.0.2, 18
Oracle GraalVM Enterprise Edition: 20.3.5, 21.3.1, 22.0.0.2
ผู้โจมตีไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ แค่สามารถเข้าถึงเครือข่ายได้ผ่านทางโปรโตคอลต่างๆ ก็สามารถอาศัยช่องโหว่เพื่อเข้าควบคุม Oracle Java SE และ Oracle GraalVM Enterprise Edition ได้ ซึ่งหากสามารถโจมตีได้สำเร็จอาจส่งผลให้มีการสร้าง ลบ หรือแก้ไขการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต หรือข้อมูลของ Oracle Java SE, Oracle GraalVM Enterprise Edition ที่เข้าถึงได้ทั้งหมด
ช่องโหว่นี้ถูกเรียกว่า Psychic Signatures ซึ่งอยู่ในการนำ Elliptic Curve Digital Signature Algorithm (ECDSA) ของ Java ไปใช้ โดยช่องโหว่นี้ช่วยให้ blank signature ได้รับการยอมรับว่าถูกต้องบนระบบที่มีช่องโหว่ ซึ่งหากมีการโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้ผู้โจมตีสามารถทำการปลอมแปลง signatures และ bypass มาตรการตรวจสอบสิทธิ์ได้
ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้ว โดย Oracle ด้วย Critical Patch Update (CPU) ประจำไตรมาสเดือนเมษายน 2022 ที่มีการเผยแพร่เมื่อวันที่ 19 เมษายน 2022 ที่ผ่านมา จึงขอแนะนำให้องค์กรที่ใช้ Java เวอร์ชัน 15, 16, 17 หรือ 18 ควรติดตั้งการอัปเดตความปลอดภัยทันที
ที่มา : thehackernews.
Google เผยแพร่โค้ด PoC สำหรับช่องโหว่ Spectre พุ่งเป้าโจมตีเอนจิน JavaScript
Google ได้ทำการเผยแพร่โค้ด Proof-of-Concept (PoC) เพื่อแสดงให้เห็นถึงการใช้งานจริงของการใช้ประโยชน์จากช่องโหว่ Spectre (CVE-2017-5753) เพื่อโจมตี JavaScript engine บนเว็บเบราว์เซอร์และใช้ประโยชน์จากช่องโหว่ในการเข้าถึงข้อมูลจากในหน่วยความจำของเบราว์เซอร์
ผู้ที่สนใจรายละเอียดการโจมตีสามารถอ่านรายละเอียดของช่องโหว่เพิ่มเติมได้ที่ https://www.
ทีม Project Zero เผยเเพร่โค้ด PoC ของช่องโหว่ที่อยู่ใน Graphics ของ Windows 10
ทีม Project Zero จาก Google ได้เปิดเผยรายละเอียดทางเทคนิคและโค้ดซึ่งใช้ประโยชน์จากช่องโหว่หรือ Proof-of-Concept (PoC) สำหรับช่องโหว่การเรียกใช้โค้ดระยะไกล (Remote Code Execution - RCE) ที่ส่งผลต่อส่วนประกอบกราฟิกบนระบบปฏิบัติการ Windows โดยช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-24093 เป็นช่องโหว่ใน Windows API ที่มีชื่อว่า Microsoft DirectWrite
เนื่องจาก DirectWrite API ถูกใช้เป็นเครื่องมือในการอ่านแบบอักษรเริ่มต้นที่ถูกใช้โดยเว็บเบราว์เซอร์หลัก ๆ เช่น Chrome, Firefox และ Edge สำหรับการแสดงตัวอักษรบนเว็บ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการทำ memory corruption เพื่อให้เกิดความเสียหายในหน่วยความจำซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกล หรือผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้โดยการหลอกล่อเป้าหมายให้เข้าเยื่ยมชมเว็บไซต์ของผู้โจมตีที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งเว็บไซต์อาจทำให้เกิด Heap-based buffer overflow ในฟังก์ชัน fsg_ExecuteGlyph API ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกลgเช่นเดียวกันกับกรณีเเรก
ช่องโหว่นี้จะส่งผลกระทบต่อ Windows 10 และ Windows Server หลายรุ่นจนถึง Windows 10 เวอร์ชัน 20H2 ซึ่งเป็นเวอร์ชันล่าสุดที่เพิ่งเปิดตัว โดยหลังจากทีม Project Zero พบช่องโหว่เป็นเวลา 90 วันได้ทำการเผยเเพร่โค้ด PoC สำหรับช่องโหว่สู่สาธารณะ ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย
ที่มา: bleepingcomputer
บริษัท ACROS Security บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการแพลตฟอร์มอัปเดตความปลอดภัย 0patch ได้ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน Microsoft Internet Explorer (IE) ที่เชื่อว่าถูกแฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์ในแคมเปญที่กำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัย
ช่องโหว่ถูกเผยเพร่โดยนักวิจัยจากบริษัท ENKI ซึ่งเป็นบริษัทผู้ให้บริการด้านความปลอดภัยของเกาหลีใต้ที่ได้ทำการเผยแพร่รายงานเกี่ยวกับช่องโหว่ Zero-day บน IE เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา โดยช่องโหว่จะเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน IE เมื่อผู้ใช้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งช่องโหว่จะส่งผลกระทบกับ Windows 7, Windows 10, Server 2008 R2, Server 2016, 2019 สำหรับช่องโหว่นี้นักวิจับเชื่อว่าแฮกเกอร์ชาวเกาหลีเหนือได้ใช้ประโยชน์เพื่อกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยด้วยไฟล์ MHTML ที่เป็นอันตรายซึ่งอาจนำไปสู่การดาวน์โหลดเพย์โหลดที่เป็นอันตราย
Microsoft ได้รับการรายงานและยืนยันรายงานเกี่ยวกับช่องโหว่แล้ว อย่างไรก็ตามการแก้ไขสำหรับช่องโหว่ Zero-day ไม่ได้ถูกบรรจุในการปรับปรุงการรักษาความปลอดภัยที่ไมโครซอฟท์เปิดตัว Patch Tuesday February 2021 ที่ผ่านมา
ประกาศเปิดตัวไมโครแพตช์สำหรับช่องโหว่ Zero-day ใน IE นี้ทาง ACROS Security ได้ทำการร่วมมือกับ ENKI ซึ่งทำการแชร์ Proof-of-Concept เพื่อช่วยในการแก้ไขและพัฒนาไมโครแพตช์สำหรับช่องโหว่ Zero-day โดยขณะนี้แพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่พร้อมให้บริการแล้วผ่านบริการ 0patch
ทั้งนี้ผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยสามารถทำการอัปเดตแพตช์ได้แล้วผ่านบริการ 0patch สำหรับผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยจาก Microsoft ควรทำการติดตามการประกาศการอัปเดตด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft ในเร็วๆ นี้
ที่มา : securityweek
แพตช์ด่วน มีการปล่อย POC สำหรับช่องโหว่ RCE ใน Microsoft SQL Server Reporting Services แล้ว
ช่องโหว่ CVE-2020-0618 เป็นช่องโหว่ใน Microsoft SQL Server Reporting Services ซึ่งเป็นส่วนสำหรับการออกรายงานใน Microsoft SQL Server ช่องโหว่ดังกล่าวทำให้ผู้โจมตีที่สามารถเข้าสู่ระบบสามารถโจมตีด้วยการรันคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution หรือ RCE) ช่องโหว่นี้กระทบ Microsoft SQL Server รุ่น 2012, 2014 และ 2016 โดยได้รับการแก้ไขไปในแพตช์ประจำเดือนกุมภาพันธ์ 2020 ที่ผ่านมา
ซึ่งในขณะนี้มีการเผยแพร่โค้ด Proof of Concept (POC) สำหรับใช้โจมตีช่องโหว่ดังกล่าวสู่สาธารณะแล้วรวมถึงพบการแสกนเพื่อหาเครื่อง Microsoft SQL Server ที่มีช่องโหว่ดังกล่าวแล้ว
ทั้งนี้ Kevin Beaumont (@GossiTheDog) นักวิจัยด้านความปลอดภัยให้ความเห็นว่าช่องโหว่ดังกล่าวอาจกระทบไปจนถึง Microsoft SQL Server 2008 ซึ่งหมดระยะการสนับสนุนจึงไม่ได้แพตช์อีกด้วย
ที่มา : mdsec
ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้
จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่
นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์
ที่มา : thehackernews
บั๊ก StageFright ของ Android ที่โด่งดังเป็นข่าวใหญ่ทั่วโลกเพราะส่งผลกระทบต่อฮาร์ดแวร์ Android เป็นจำนวนมาก
ล่าสุด Trend Micro ค้นพบช่องโหว่ใหม่ในโค้ดของ MediaServer ตัวเดียวกับที่เกิดปัญหา StageFright โดย Android ที่ได้รับผลกระทบมีตั้งแต่เวอร์ชัน 2.3-5.1.1
รายละเอียดของช่องโหว่เกิดจากคอมโพเนนต์ชื่อ “AudioEffect” ใน MediaServer รับค่าจากแอพแล้วไม่ตรวจสอบตัวแปรอีกรอบ ดังนั้นผู้ประสงค์ร้ายที่หลอกให้ผู้ใช้ติดตั้งแอพได้สำเร็จ สามารถเจาะผ่านช่องทางนี้ได้ ทีมงาน Trend Micro ลองสร้างมัลแวร์ต้นแบบ (proof of concept) และสามารถแครช MediaServer ได้
Trend Micro แจ้งปัญหานี้ให้กูเกิลตั้งแต่เดือน มิ.ย. และกูเกิลออกแพตช์แก้ไขในโค้ดของ AOSP เรียบร้อยแล้วตั้งแต่วันที่ 1 ส.ค. ที่เหลือก็รอบรรดาผู้ผลิตฮาร์ดแวร์อัพเดตแพตช์ให้ต่อไป
ที่มา : TRENDMICRO
นักวิจัยด้านความปลอดภัยจาก CureSec ค้นพบข้อบกพร่องด้านความปลอดภัยบนระบบปฏิบัติการ Android 4.1.1 Jelly bean และเวอร์ชั่น 4.4.2 Kitkat ทีอนุญาตให้โปรแกรมทีเป็นอันตรายสามารถโทรออกโดยไม่ได้รับอนุญาต โดยช่องโหว่ดังกล่าวจะอนุญาตให้แอพพลิเคชั่นที่เป็นอันตรายสามารถโทรออกไปยังหมายเลขราคาแพงๆ และยกเลิกการโทรออกต่างๆ ได้
นอกจากนี้ยังสามารถที่จะส่ง Unstructured Supplementary Service Data (USSD) ซึ่งเป็นรหัสที่ใช้ในการโอนสาย, การบล็อกซิมการ์ดและอื่นๆ
Curesec ยังปล่อยซอร์ตโค้ดและโปรแกรม proof-of-concept เพื่อแสดงให้เห็นว่าช่องโหว่ดังกล่าวมีอยู่จริง
ที่มา : ehackingnews
นักวิจัยด้านความปลอดภัยจาก CureSec ค้นพบข้อบกพร่องด้านความปลอดภัยบนระบบปฏิบัติการ Android 4.1.1 Jelly bean และเวอร์ชั่น 4.4.2 Kitkat ทีอนุญาตให้โปรแกรมทีเป็นอันตรายสามารถโทรออกโดยไม่ได้รับอนุญาต โดยช่องโหว่ดังกล่าวจะอนุญาตให้แอพพลิเคชั่นที่เป็นอันตรายสามารถโทรออกไปยังหมายเลขราคาแพงๆ และยกเลิกการโทรออกต่างๆ ได้
นอกจากนี้ยังสามารถที่จะส่ง Unstructured Supplementary Service Data (USSD) ซึ่งเป็นรหัสที่ใช้ในการโอนสาย, การบล็อกซิมการ์ดและอื่นๆ
Curesec ยังปล่อยซอร์ตโค้ดและโปรแกรม proof-of-concept เพื่อแสดงให้เห็นว่าช่องโหว่ดังกล่าวมีอยู่จริง
ที่มา : ehackingnews