Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า "Loading…Please wait" ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ "Loading.

Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.

Zomato เว็บไซต์สำหรับการแนะนำร้านอาหารชื่อดังในอินเดีย ถูกแฮกข้อมูลของผู้ใช้งาน เช่น ชื่อผู้ใช้, อีเมล์ รหัสผ่านของลูกค้ากว่า 17 ล้านบัญชีนั้น ถูกขโมยออกไป Deepinder Goyal, CEO ของ Zomato
ได้ออกมาอธิบายว่าเกิดอะไรขึ้นว่า
- เริ่มต้นจากเหตุการณ์ที่ 000webhost ซึ่งเป็นเว็บโฮสติ้งฟรี ถูกแฮกเมื่อเดือนพฤศจิกายนปี 2015 ทำให้ข้อมูลผู้ใช้ และรหัสผ่านรั่วไหลออกมา โดยมีรหัสผ่านเป็น plaintext (ไม่มีการเข้ารหัส)
- หนึ่งในนักพัฒนาของ Zomato มีการใช้งาน 000webhost เช่นกันทำให้ข้อมูลของเขารั่วไหลออกไป
- นักพัฒนารายนั้นใช้อีเมล์ และรหัสผ่านเดียวกันกับบัญชีของ Github ที่ใช้เก็บโค้ดของ Zomato และไม่ได้เปิดใช้งาน 2 factor authentication
- ทำให้แฮกเกอร์สามารถ Login เข้าสู่ระบบ Github ของนักพัฒนานั้นได้และทำการรีวิวซอสโค้ดบางส่วนของ Zomato ได้
- จากจุดนี้แฮกเกอร์ยังไม่สามารถเข้าถึงฐานข้อมูลของ Zomato เนื่องจากระบบได้ทำการจำกัดไอพีที่สามารถเข้าถึงระบบต่างๆ ไว้
- แฮกเกอร์จึงทำการสแกนหาช่องโหว่จากโค้ดที่สามารถเข้าถึงได้ และพบกับช่องโหว่ Remote Code Execution ที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ในภายหลัง
จากเหตุการณ์ข้างต้นเป็นตัวอย่างที่ผู้ใช้งานอินเตอร์เน็ต ไม่ควรที่จะใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์หรือบริการอื่นๆ
และควรใช้โปรแกรมจำพวก Password Manager ในการจดจำรหัสผ่านเพื่อเพิ่มความปลอดภัย

ที่มา : Zomato,ZomatoHacked

Google Project Zero (Natalie Silvanovich และ Tavis Ormandy) พบช่องโหว่ใน Malware Protection service (MsMpEng) ซึ่งเป็น module ที่ถูก enable โดย default ใน Windows 8, 8.1, 10 และ Windows Server 2012 และอื่นๆ ทำให้ผู้ใช้งานทั่วไปตกเป็นเหยื่อของการยึดเครื่องจากระยะไกลได้

MsMpEng ถูก enable ใน Windows รุ่นต่างๆ รวมถึงเป็น core engine ที่ใช้งานร่วมกับ Windows Security Essential, System Centre Endpoint Protection, และ product ทางด้าน security ใดๆของ Microsoft อีกด้วย ซึ่ง MsMpEng ถูกรันโดยใช้สิทธิ์ NT AUTHORITY\SYSTEM อีกทั้ง engine ดังกล่าวไม่มีการรันผ่าน Sandbox และสามารถเข้าถึง service ได้โดยไม่จำเป็นต้อง authentication ผ่าน service ต่างๆไม่ว่าจะเป็น Windows services, Exchange, IIS และอื่นๆอีกด้วย ทำให้หากมีการโจมตีเกิดขึ้น Hacker จะสามารถได้ทั้งสิทธิ์สูงสุดของเครื่องพร้อมทั้งสามารถสั่งงานเครื่องได้ทันทีโดยไม่ต้องเหนื่อย bypass Sandbox แต่อย่างใด

ตัว MsMpEng มีส่วน scan และ analysis ที่ชื่อว่า mpengine ซึ่งเป็นช่องโหว่ของการโจมตีขนาดใหญ่และซับซ้อน เนื่องด้วย engine ดังกล่าวมีการ scan และ analysis ไฟล์ที่หลากหลายมาก ทำให้ Hacker สามารถเข้าถึงได้หลากหลายนั่นเอง โดย NScript เป็นส่วนหนึ่ง (Component) ของ mpengine ที่จะใช้ประเมิณ filesystem และการใช้งานทางด้าน network ใดๆที่ดูแล้วน่าจะเป็น javascript แต่ NScript ไม่มีการตรวจสอบ input ที่ดีพอทำให้เกิด Remote Code Execution (RCE) ได้

หากเป็นเครื่อง Workstation ใช้งานทั่วไป Hacker สามารถเข้าถึง Engine ดังกล่าวได้โดยการส่ง email ไปยัง user หาก user ทำการกด link ใน browser หรือใดๆก็แล้วแต่ MsMpEng ก็จะทำงานขึ้นมาเพื่อทำการตรวจสอบ filesystem ต่างๆที่เกิดจาก event การเปิดไฟล์นั้น ซึ่งจะทำให้ MsMpEng ได้รับไฟล์ input จากที่ Hacker เขียนลงไปใน Harddisk ซึ่งไฟล์ดังกล่าวจะเป็นการเขียนไฟล์อันตรายที่ทำให้เกิด Remote Code Execution หรือ Privilege Escalation ได้นั่นเอง

ตอนนี้ทาง Microsoft ได้ออก patch ออกมาแก้ไขแล้วครับ (CVE-2017-0290)
ระบบที่ได้รับผลกระทบ: Microsoft Malware Protection version About จะพบ Engine Version

ที่มา: technet.