หลังจากเมื่อวันจันทร์ที่ผ่านมา มีข่าวว่าข้อมูลจาก Deloitte บริษัทตรวจสอบชื่อดังของโลกได้รั่วไหลออกมา ถัดมาอีกวัน ในวันอังคารได้มีการพบข้อมูล VPN password, user name และรายละเอียดการทำงานของ Deloitte บน GitHub ที่เปิดสู่สาธารณะ และได้ถูกลบออกในชั่วโมงถัดมา นอกจากนี้ยังพบว่าพนักงานของ Deloitte ได้อัพโหลดข้อมูล Proxy Login Credentials ขึ้นไปบน Google+ นานกว่า 6 เดือน และได้ถูกลบออกไปเมื่อไม่นานมานี้เอง ซึ่งจากข้อมูลที่หลุดออกมานี้ทำให้เชื่อได้ว่าบริษัทน่าจะมีการเปิดให้ Remote Desktop เข้ามาบนเครื่องผ่านเครือข่ายภายนอกได้ โดยนักวิจัยด้านความปลอดภัย Dan Tentler ผู้ก่อตั้ง Phobos Group ได้เปิดเผยว่าพบ Windows Server 2012 R2 ของ Deloitte ที่ทำหน้าที่เป็น Active Directory ซึ่งตั้งอยู่ที่แอฟริกาใต้ มีการเปิด RDP ให้สามารถเข้าถึงได้โดยตรง และพบว่าแผนก IT ใช้ซอฟต์แวร์ที่ยังไม่ได้รับการอัพเดท และน่าจะมีบางส่วนที่ยังไม่ได้ทำการ อัปเดต Security Patch ด้วย

ที่มา : theregister

นักวิจัยจาก Preempt ค้นพบ zero-day vulnerabilities ตัวใหม่ จำนวน 2 ช่องโหว่ ในโมดูล NTLM ของ Windows โดยช่องโหว่ดังกล่าวเกิดจากการจัดการ NTML ไม่ถูกต้อง ซึ่งช่องโหว่นี้ นำไปสู่การโจมตีลักษณะต่างๆ เช่น การสร้าง domain administrator accounts ขึ้น , และสามารถ Remote RDP เป็น admin mode ได้

ช่องโหว่แรก CVE-2017-8563 Unprotected LDAP from NTLM relay หากถูกโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเพิ่มระดับสิทธิ์ตัวเองเป็น SYSTEM ได้ ซึ่งสามารถจัดการ NTLM ที่มีการร้องขอเข้ามายังระบบนั้นๆ สามารถแก้ไข ปรับเปลี่ยน sessionsได้ ทั้งนี้ ยังสามารถใช้งาน LDAP ในการ อัพเดทโดเมนต่างๆ โดยสิทธิ์ NTLM user ได้อีกด้วย

ช่องโหว่ที่สองเกี่ยวข้องกับ RDP Restricted-Admin mode เมื่อเปิดทำารใช้งานโหมดนี้ user จะสามารถเชื่อมต่อรีโมทคอมพิวเตอร์ไปยังเป้าหมายโดยไม่ต้องใส่พาสเวิดใดๆทั้งนั้น ซึ่งมีความเสี่ยงสูงที่จะถูกโจมตีผ่านระบบ RDP

ที่มา : latesthackingnews