ผลการสำรวจครึ่งปี 2020 พบกลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ VPN และ RDP ทำการโจมตีองค์กรต่างๆ มากที่สุด

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

Improper Microsoft Patch for Reverse RDP Attacks Leaves 3rd-Party RDP Clients Vulnerable

Microsoft ยังทำการเเก้ไขเเพตซ์ CVE-2019-0887 (RCE RDP) ได้ไม่สมบูรณ์อาจเสี่ยงต่อผู้ไม่หวังดีใช้ช่องโหว่เพื่อทำการโจมตี

Microsoft ออกมายอมรับการแพตซ์แก้ไขช่องโหว่ CVE-2019-0887 ช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกลบน Remote Desktop Services (RDP) ที่ได้ทำการปล่อยเเพตซ์การเเก้ไขไปเมื่อกรกฎาคม ปี 2019 นั้นไม่สมบูรณ์ เนื่องจากพบว่านักวิจัยได้ทำการค้นพบการ bypass แพตซ์ด้วยเครื่องหมาย “/” และ “\” หลังได้รับรายงาน Microsoft จึงได้ทำการอัพเดตเเพต์การเเก้ไขช่องโหว่ใหม่ในเดือนกุมภาพันธ์ 2020 ถูกติดตามเป็น CVE-2020-0655

นักวิจัยจาก Check Point เปิดเผยว่า Microsoft ได้ทำการแก้ไขปัญหาด้วยการเพิ่ม API ฟังก์ชั่น “PathCchCanonicalize” นักวิจัยยังค้นพบว่าการเเก้ไขช่องโหว่นั้นยังไม่สมบูรณ์และยังอาจมีความเสี่ยงจากผู้ไม่หวังดีใช้ช่องโหว่ Path Traversal Attack ซึ่งผู้ไม่หวังดีใช้ประโยชน์จาก Clipboard Redirection ในขณะที่เชื่อมต่อกับเซิร์ฟเวอร์ RDP ที่ถูกบุกรุกผู้ไม่หวังดีสามารถใช้ Clipboard RDP ที่ใช้ร่วมกันเพื่อส่งไฟล์ที่เป็นอันตรายไปยังคอมพิวเตอร์ของผู้ใช้

นักวิจัยจาก Check Point ยังกล่าวอีกว่าช่องโหว่ CVE-2019-0887 นี้มีผลกับการเชื่อมต่อ RDP เฉพาะบน Windows เท่านั้นไม่มีผลกับ macOS

ขณะนี้ยังไม่มีการอัพเดตการเเก้ไขช่องโหว่ดังกล่าวจาก Microsoft

ที่มา: thehackernews

ผู้เชี่ยวชาญด้านความปลอดภัยเตือนภัยผู้ใช้เครือข่ายในรัสเซียสามารถเข้าถึงได้ผ่าน RDP

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Positive Technologie กล่าวว่าจำนวนโหนดเครือข่ายในสหพันธรัฐรัสเซียสามารถเข้าถึงได้ผ่าน RDP (RDP) เพิ่มขึ้น 9% และอาจสูงถึงกว่า 112,000 คน เหตุจากผู้ใช้งานทำงานจากที่บ้านมากขึ้นเนื่องจากระบาดของโรค Coronavirus หรือ COVID-19

นับตั้งเเต่ปี 2019 ถึงปัจจุบันมีช่องโหว่ที่เกี่ยวข้องกับ RDP มีจำนวนมาก ช่องโหว่ที่สำคัญ ได้เเก่ CVE-2019-0708 (BlueKeep) ผู้เชี่ยวชาญด้านความปลอดภัยยังกล่าวอีกว่าถ้าหากแฮกเกอร์ส่งคำสั่งรันโปรแกรมจากระยะไกลหรือคำร้องขอ RDP พิเศษไปยัง Remote Desktop Services (RDS) ที่มีช่องโหว่การโจมตี ผู้โจมตีสามารถ Bypass การตรวจสอบสิทธิ์ หากการโจมตีประสบความสำเร็จผู้โจมตีสามารถติดตั้งและลบโปรแกรมบนระบบที่ถูกบุกรุก และสร้างบัญชีที่มีระดับการเข้าถึงสูงสุดเพื่ออ่านและแก้ไขข้อมูลที่เป็นความลับ

คำเเนะนำจากผู้เชี่ยวชาญด้านความปลอดภัยกล่าวเตือนว่าควรอัพเดทแพตช์จาก Microsoft หรือแหล่งข้อมูลที่เชื่อถือได้อยู่เสมอเพื่อความปลอดภัยจากการโจมตีระบบและข้อมูล การเชื่อมต่อระยะไกลที่ปลอดภัยผู้ใช้จำเป็นต้องใช้ VPN Gateway เสมอเพื่อเชื่อมเข้าองค์กรและไม่แนะนำให้เชื่อมต่อโดยตรงกับที่ทำงาน

ที่มา: ehackingnews.

Windows Remote Desktop Services Used for Fileless Malware Attacks

Windows Remote desktop service ถูกใช้เป็นส่วนหนึ่งในการโจมตีของมัลแวร์แบบ Fileless

พบการโจมตีด้วยมัลแวร์แบบ Fileless ผ่าน remote desktop protocol (RDP) โดยไม่มีการทิ้งร่องรอยบนอุปกรณ์ที่ถูกโจมตี Cryptocurrency miners, info-stealers และ ransomware มัลแวร์ทั้งสามจะทำงานบน RAM ผ่าน RDP

เนื่องจากมัลแวร์แบบ Fileless จะทำงานบน RAM ทำให้ไม่มีร่องรอยหลงเหลือหากปิดเครื่อง

ผู้โจมตีใช้ประโยชน์จากฟีเจอร์ใน Windows Remote Desktop Services ซึ่งอนุญาตให้ client แชร์ไดร์ฟไปยังระบบ server พร้อมสิทธิในการอ่านและเขียน โดยไดร์ฟที่ปรากฏบน server เรียกว่า tsclient ซึ่งจะสามารถเข้าถึงไดรฟ์ที่ถูกแชร์นี้ได้ผ่าน RDP และทำการรันโปรแกรมได้ ในกรณีที่รันโปรแกรมที่ทำงานเฉพาะใน RAM เมื่อยกเลิกการเชื่อมต่อ RDP ก็จะไม่ทิ้งร่องรอย เพราะเมื่อยกเลิกการเชื่อมต่อ หน่วยความจำที่ใช้จะทำการคืนให้กับระบบ

นักวิเคราะห์มัลแวร์จาก Bitdefender พบว่าผู้โจมตีใช้ประโยชน์จากคุณสมบัติการแชร์ไดร์ฟดังกล่าวแพร่กระจายมัลแวร์หลายประเภทพร้อมกับไฟล์ worker.

Cyber News: Microsoft emits free remote-desktop security patches for WinXP to Server 2008 to avoid another WannaCry

Microsoft เตือนช่องโหว่ RDP ตัวใหม่ อาจถูกนำไปแพร่มัลแวร์ ออกแพตช์พิเศษให้แม้แต่ Windows Server 2003, และ Windows XP

Microsoft อัปเดตแพตช์ล่าสุดเป็นการแก้ไขความปลอดภัยช่องโหว่ที่สำคัญ CVE-2019-0708 เกี่ยวข้องกันการใช้งาน Remote Desktop Services หรือ Terminal Services เป็นช่องโหว่ที่อนุญาตให้สามารถเรียกใช้คำสั่งได้จากระยะไกลโดยไม่ต้องมีการพิสูจน์ตัวตน ช่องโหว่ดังกล่าวไม่กระทบ Windows 8 และ Windows 10 แต่ส่งผลกระทบกับระบบปฎิบัติการรุ่นเก่าอย่าง Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, และ Windows XP

ซึ่ง Microsoft ได้ออกแพตช์พิเศษให้กับ Windows XP และ Windows Server 2003 ซึ่งยกเลิกการสนับสนุนไปแล้วอีกด้วย โดยสามารถดูรายละเอียดได้จาก https://support.

New Fox Ransomware Matrix Variant Tries Its Best to Close All File Handles

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Windows Remote Assistance Exploit Lets Hackers Steal Sensitive Files

Nabeel Ahmed นักวิจัยด้านความปลอดภัยจาก Trend Micro Zero Day Initiative พบช่องโหว่ในฟีเจอร์ Windows Remote Assistance (Quick Assist) (CVE-2018-0878) บน Windows ที่มีผลกระทบต่อ Windows ทุกเวอร์ชันรวมถึง Windows 10, 8.1, RT 8.1 และ 7 ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายจากระยะไกลเพื่อขโมยข้อมูลสำคัญได้

Windows Remote Assistance เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าถึงเครื่องคอมพิวเตอร์ได้จากระยะไกล เพื่อให้ผู้ใช้สามารถแก้ไขปัญหาได้จากทั่วโลก
ฟีเจอร์ดังกล่าวใช้เซอร์วิช Remote Desktop Protocol (RDP) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างผู้ใช้

ช่องโหว่ดังกล่าวมีผลต่อ Microsoft Windows Server 2016, Windows Server 2012 และ R2, Windows Server 2008 SP2 และ R2 SP1, Windows 10 (ทั้ง 32 บิตและ 64 บิต), Windows 8.1 (ทั้ง 32 บิตและ 64 บิต) และ RT 8.1 และ Windows 7 (ทั้ง 32 บิตและ 64 บิต)

Recommendation
ทาง Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวในแพทช์ประจำเดือนมีนาคม แนะนำให้ผู้ใช้งานอัพเดทแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : thehackernews

Deloitte is a sitting duck: Key systems with RDP open, VPN and proxy ‘login details leaked’

หลังจากเมื่อวันจันทร์ที่ผ่านมา มีข่าวว่าข้อมูลจาก Deloitte บริษัทตรวจสอบชื่อดังของโลกได้รั่วไหลออกมา ถัดมาอีกวัน ในวันอังคารได้มีการพบข้อมูล VPN password, user name และรายละเอียดการทำงานของ Deloitte บน GitHub ที่เปิดสู่สาธารณะ และได้ถูกลบออกในชั่วโมงถัดมา นอกจากนี้ยังพบว่าพนักงานของ Deloitte ได้อัพโหลดข้อมูล Proxy Login Credentials ขึ้นไปบน Google+ นานกว่า 6 เดือน และได้ถูกลบออกไปเมื่อไม่นานมานี้เอง ซึ่งจากข้อมูลที่หลุดออกมานี้ทำให้เชื่อได้ว่าบริษัทน่าจะมีการเปิดให้ Remote Desktop เข้ามาบนเครื่องผ่านเครือข่ายภายนอกได้ โดยนักวิจัยด้านความปลอดภัย Dan Tentler ผู้ก่อตั้ง Phobos Group ได้เปิดเผยว่าพบ Windows Server 2012 R2 ของ Deloitte ที่ทำหน้าที่เป็น Active Directory ซึ่งตั้งอยู่ที่แอฟริกาใต้ มีการเปิด RDP ให้สามารถเข้าถึงได้โดยตรง และพบว่าแผนก IT ใช้ซอฟต์แวร์ที่ยังไม่ได้รับการอัพเดท และน่าจะมีบางส่วนที่ยังไม่ได้ทำการ อัปเดต Security Patch ด้วย

ที่มา : theregister

Two new zero-day vulnerabilities in the windows NTLM

นักวิจัยจาก Preempt ค้นพบ zero-day vulnerabilities ตัวใหม่ จำนวน 2 ช่องโหว่ ในโมดูล NTLM ของ Windows โดยช่องโหว่ดังกล่าวเกิดจากการจัดการ NTML ไม่ถูกต้อง ซึ่งช่องโหว่นี้ นำไปสู่การโจมตีลักษณะต่างๆ เช่น การสร้าง domain administrator accounts ขึ้น , และสามารถ Remote RDP เป็น admin mode ได้

ช่องโหว่แรก CVE-2017-8563 Unprotected LDAP from NTLM relay หากถูกโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเพิ่มระดับสิทธิ์ตัวเองเป็น SYSTEM ได้ ซึ่งสามารถจัดการ NTLM ที่มีการร้องขอเข้ามายังระบบนั้นๆ สามารถแก้ไข ปรับเปลี่ยน sessionsได้ ทั้งนี้ ยังสามารถใช้งาน LDAP ในการ อัพเดทโดเมนต่างๆ โดยสิทธิ์ NTLM user ได้อีกด้วย

ช่องโหว่ที่สองเกี่ยวข้องกับ RDP Restricted-Admin mode เมื่อเปิดทำารใช้งานโหมดนี้ user จะสามารถเชื่อมต่อรีโมทคอมพิวเตอร์ไปยังเป้าหมายโดยไม่ต้องใส่พาสเวิดใดๆทั้งนั้น ซึ่งมีความเสี่ยงสูงที่จะถูกโจมตีผ่านระบบ RDP

ที่มา : latesthackingnews