พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

พบการปล่อยโค้ดโจมตีสำหรับช่องโหว่ CVE-2020-0609 และ CVE-2020-0610

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019 ทั้งสองช่องโหว่เพิ่งได้รับการแก้ไขในแพตช์ประจำเดือนมกราคม 2020

ปัจจุบันมีการปล่อยตัวแสกนหาช่องโหว่และโค้ดสำหรับโจมตีออกมาแล้ว ซึ่งโค้ดสำหรับโจมตีที่ถูกปล่อยมานี้ยังไม่ใช้โค้ดที่ทำการโจมตีเพื่อการรันคำสั่งจากระยะไกล เป็นเพียงโค้ดสำหรับการโจมตีเพื่อให้หยุดทำงาน (Denial-of-Service) เท่านั้น แต่เป็นไปได้ที่จะมีความพยายามต่อยอดโค้ดโจมตีดังกล่าวให้ร้ายแรงขึ้นในไม่ช้า

สามารถอ่านรายละเอียดของช่องโหว่ CVE-2020-0609 และ CVE-2020-0610 โดยละเอียดได้จาก kryptoslogic โดยบทความดังกล่าวระบุว่าช่องโหว่ทั้งสองเกิดจากความผิดพลาดในส่วนจัดการ UDP

ที่มา : MalwareTechBlog

รวมข่าว BlueKeep ระหว่างวันที่ 1 – 11 พฤศจิกายน 2019

 

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.

พบช่องโหว่ใน Trend Micro Anti-Threat Toolkit (ATTK) ถูกหลอกให้รันมัลแวร์ได้ ถ้าตั้งชื่อไฟล์มัลแวร์เป็น cmd.exe หรือ regedit.exe

นักล่าช่องโหว่ John Page (hyp3rlinx) ได้รับเครดิตในการเปิดเผย CVE-2019-9491 ช่องโหว่ Remote Code Execution ใน Trend Micro Anti-Threat Toolkit (ATTK)

Trend Micro Anti-Threat Toolkit (ATTK) จะโหลดและเรียกใช้ไฟล์. EXE เมื่อมันทำการแสกนมัลแวร์ได้ หากผู้เขียนมัลแวร์ตั้งชื่อไฟล์มัลแวร์ว่า 'cmd.

Google ออกอัปเดตความปลอดภัยระบบปฏิบัติการ Android ประจำเดือนตุลาคม 2019

 

Google ได้เปิดตัวการแก้ไขสำหรับช่องโหว่ที่มีความรุนแรงระดับ critical สามจุดใน Media framework ของระบบปฏิบัติการ Android ซึ่งถูกใช้โจมตีด้วยการรันคำสั่งจากระยะไกลได้

ช่องโหว่ remote code execution (RCE) เป็นส่วนหนึ่งของแพตช์อัปเดตความปลอดภัยระบบปฏิบัติการ Android ประจำเดือนตุลาคม 2019 ของ Google ซึ่งการแก้ไขช่องโหว่ระดับ critical และ high เชื่อมโยงกับ CVE ทั้งหมด 9 หมายเลข นอกจากนี้ Qualcomm เป็นผู้ผลิตชิปที่ใช้ในอุปกรณ์ Android ได้ทำการแก้ไขช่องโหว่ที่มีความรุนแรงระดับ critical และ high 18 จุด

จุดบกพร่องระดับ critical สามข้อที่ Google ออกแพตช์ (CVE-2019-2184, CVE-2019-2185, CVE-2019-2186) มีอยู่ใน Media framework Android ซึ่งใช้ในการรองรับการเล่นสื่อประเภทต่าง ๆ ในระบบปฏิบัติการ Android 7.1.1, 7.1.2, 8.0, 8.1 และ 9 จะได้รับผลกระทบโดยเฉพาะจากข้อบกพร่องเหล่านี้

Google กล่าวว่าช่องโหว่เหล่านี้สามารถใช้โจมตีจากระยะไกลได้ โดยผู้โจมตีจะใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อเมื่อเหยื่อเปิดไฟล์ ขณะนี้ยังไม่พบการโจมตี

สามารถศึกษารายละเอียดช่องโหว่ทั้งหมดที่ได้รับการอัปเดตได้จาก android และ qualcomm

ที่มา threatpost

CVE-2019-11815 Remote Code Execution affects Linux Kernel prior to 5.0.8

CVE-2019-11815 Remote Code Execution affects Linux Kernel prior to 5.0.8

ระบบปฏิบัติการลินุกซ์ซึ่งรันบนเคอร์เนลรุ่นต่ำกว่า 5.0.8 อาจมีความเสี่ยงหลังจากมีการตรวจพบช่องโหว่ race condition ซึ่งนำไปสู่เงื่อนไขของ use-after-free ส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ CVE-2019-11815 นี้เป็นช่องโหว่ซึ่งอยู่ในส่วนโค้ดที่อิมพลีเมนต์โปรโตคอล TCP/IP โดยการโจมตีนั้นสามารถทำได้เพียงแต่ส่งแพ็คเกต TCP ไปยังระบบเป้าหมายที่มีช่องโหว่จนกว่าจะเกิดเงื่อนไขที่ทำให้การโจมตช่องโหว่นั้นสำเร็จโดยไม่ต้องมีการพิสูจน์ตัวตนและไม่ต้องอาศัยการมีปฏิสัมพันธ์จากผู้ใช้งาน

อย่างไรก็ตามแม้ว่าความรุนแรงของช่องโหว่ตามมาตรฐานของ CVSSv3 จะสูงถึง 8.1/10 แต่ความง่ายในการโจมตีช่องโหว่นั้นกลับได้คะแนนเพียงแค่ 2.2/10 หรือค่อนข้างยาก ส่งผลให้คะแนน CVSSv3 โดยรวมนั้นมีเพียงแค่ 5.9/10 คะแนน

นักพัฒนาเคอร์เนลได้มีการประกาศแพตช์สำหรับช่องโหว่นี้แล้วในช่วงปลายเดือนมีนาคม โดยคาดว่าเคอร์เนลรุ่นใหม่ในรุ่น 5.0.8 ซึ่งจะถูกปล่อยในเร็วๆ นี้จะมีการรวมแพตช์ของช่องโหว่ดังกล่าวไปด้วย

ที่มา : securityaffairs

Demo Exploit Code Published for Remote Code Execution via Microsoft Edge

โค้ดสำหรับโจมตีช่องโหว่ CVE-2018-8629 บนเว็บเบราเซอร์ Microsoft Edge ถูกเผยแพร่โดยนักวิจัยที่พบช่องโหว่นั้น โดยโค้ดนี้สามารถถูกใช้เพื่อทำการโจมตีจากระยะไกลบนเครื่องที่ยังไม่มีการแพตช์ได้

ช่องโหว่ CVE-2018-8629 กระทบ Chakra ซึ่งเป็น JavaScript engine ภายใน Edge ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันคำสั่งอันตรายด้วยสิทธิเดียวกับผู้ใช้งานที่เข้าสู่ระบบอยู่ ช่องโหว่นี้ถูกระบุว่ามีผลกระทบร้ายแรง (critical) กับระบบปฏิบัติการแทบทุกรุ่นของ Microsoft ยกเว้น Windows Server 2019 และ 2016 ที่ได้รับผลกระทบจากช่องโหว่นี้ระดับปานกลาง (moderate) ซึ่งทาง MIcrosoft ได้แก้ไขช่องโหว่นี้แล้วในแพตช์ปรับปรุงความปลอดภัยของเดือนธันวาคม 2018

Bruno Keith นักวิจัยผู้เป็นคนค้นพบช่องโหว่ได้ปล่อยตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ออกมาเมื่อวันที่ 28 ธันวาคม 2018 โดยโค้ดที่ถูกปล่อยออกมาโดยนักวิจัยสามารถทำให้เกิดการอ่านข้อมูลในหน่วยความจำเกินกว่าที่ควร (out-of-bounds memory read leak) ซึ่งไม่ทำให้เกิดผลกระทบร้ายแรงโดยตรง แต่สามารถถูกผู้ไม่หวังดีนำไปดัดแปลงต่อได้

ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตระบบเพื่อความปลอดภัยจากการโจมตีด้วยช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

Microsoft patches recent ALPC zero-day in September 2018 Patch Tuesday updates

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.

วิเคราะห์ช่องโหว่ Zip Slip: แตกไฟล์บีบอัดแล้วถูกแฮ็กได้โดยไม่รู้ตัว

สรุปย่อ
ทีมนักวิจัยด้านความปลอดภัยจากบริษัท Snyk ได้ออกมาเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Zip Slip โดยการโจมตีช่องโหว่ดังกล่าวนั้นอาจทำให้เหยื่อทำการรันโค้ดอันตรายโดยไม่รู้ตัวเมื่อทำการคลายการบีบอัดหรือแตกไฟล์บีบอัดซึ่งถูกสร้างมาอย่างเฉพาะเจาะจง และนำไปสู่ความเสี่ยงต่อคุณสมบัติด้านความปลอดภัยในระบบได้

รายละเอียดช่องโหว่
ช่องโหว่ Zip Slip มีที่มาจากปัญหาของการไม่ตรวจสอบค่านำเข้าของไลบรารีที่ทำหน้าที่ในการคลายการบีบอัดของไฟล์อย่างถี่ถ้วน อีกทั้งไม่มีการทำไลบรารีกลางซึ่งมีความปลอดภัยมากพอในการจัดการกับไฟล์บีบอัด ส่งผลให้เกิดการพัฒนาซอฟต์แวร์หรือการเผยแพร่โค้ดต่างๆ ที่ทำงานได้แต่ไม่มีความปลอดภัย ซึ่งทำให้ผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวในการทำให้เกิดการลักษณะการโจมตีที่เรียกว่า Directory Traversal ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

ช่องโหว่ Zip Slip นั้นถูกตรวจพบในไลบารีในภาษาโปรแกรมมิ่งหลายภาษา อาทิ JavaScript, Ruby, .NET และ Go รวมไปถึง Java ซึ่งมีการใช้โค้ดที่มีช่องโหว่เป็นจำนวนมาก ตัวอย่างหนึ่งของโค้ดที่มีช่องโหว่ในภาษา Java มีตามตัวอย่างด้านล่าง
Enumeration<ZipEntry> entries = zip.

Apache Struts Vulnerabilities May Affect Many of Cisco’s Products

Cisco ได้มีการประกาศการตรวจสอบด้านและแจ้งเตือนความปลอดภัยของซอฟต์แวร์บางส่วนหลังจากมีความเป็นไปได้ว่าซอฟต์แวร์บางรายการนั้นอาจจะได้รับผลกระทบจากช่องโหว่ Apache Struts
ช่องโหว่ Apache Struts ดังกล่าวนั้น เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถทำการโจมตีแบบ remote code execution เพื่อเข้าสั่งการเครื่องเป้าหมายได้จากระยะไกล อ้างอิงจากการประกาศของ Cisco ซอฟต์แวร์ที่ได้รับผลกระทบโดยส่วนมากเป็นซอฟต์แวร์ในกลุ่ม VoIP และซอฟต์แวร์จัดการเครือข่าย ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบรายการของซอฟต์แวร์ที่ได้รับผลกระทบได้จากลิงค์ด้านล่าง
https://tools.

Urgent Call to Action: Uninstall QuickTime for Windows Today

บริษัทความปลอดภัย Trend Micro ค้นพบช่องโหว่ร้ายแรงของ QuickTime for Windows สองช่องโหว่ ได้แก่ ZDI-16-241 และ ZDI-16-242 โดยช่องโหว่ดังกล่าวทำให้แฮกเกอร์อาศัยประโยชน์จากช่องโหว่ เมื่อเหยื่อเข้าชมหน้าเว็บไซต์หรือเปิดไฟล์ที่เป็นอันตราย และสามารถ remote Code Execution เพื่อติดตั้งโปรแกรมอันตรายที่เครื่องเหยื่อ ซึ่งทางแอปเปิ้ลได้หยุดการสนับสนุนการอัพเดตของ QuickTime for Windows ส่งผลให้ผู้ใช้ไม่สามารถอัพเดท QuickTime for Windows ได้

Trend Micro แนะนำให้ผู้ใช้ QuickTime for Windows ทุกคนถอนการติดตั้งโปรแกรมในทันที เนื่องจากแอปเปิ้ลหยุดการพัฒนา QuickTime for Windows มาได้สักระยะแล้ว และรองรับสูงสุดแค่ Windows 7 เท่านั้น (เวอร์ชั่นล่าสุดคือ QuickTime 7.7.9)

ที่มา : trendmicro