ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้

จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่

นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์

ที่มา : thehackernews

Black Rose Lucy บอตเน็ตตัวใหม่จากรัสเซีย มีความสามารถในลอกเลียนแบบการกดปุ่มของผู้ใช้จึงสามารถป้องกันการทำ Factory reset บนอุปกรณ์แอนดรอยด์
จากการทำวิจัยของ checkpoint บอตเน็ตชื่อ Black Rose Lucy นี้ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ที่ใช้ภาษารัสเชียในการสื่อสารหรือที่รู้จักกันชื่อ "The Lucy Gang" และได้ปล่อยตัวอย่างให้ผู้ที่กำลังมองหาบริการ Malware-as-a-Service (Maas) ได้เอาไปใช้งาน บอตเน็ตเป็นหนามยอกอกของบริษัทรักษาความปลอดภัยทางไซเบอร์ ผู้ให้บริการโฮสเว็บไซต์ หรือธุรกิจอื่นๆ ที่คล้ายกัน โดยระบบของบอตเน็ตทั่วไปสร้างขึ้นมาเพื่อยึดเครื่องเป้าหมายซึ่งรวมไปถึงโทรศัพท์, IOT, gadgets และคอมพิวเตอร์ แล้วรับคำสั่งจาก command-and-control (C2) เซิร์ฟเวอร์เช่นส่ง spam อีเมลล์หรือทำ DDos
Black Rose Lucy เองก็คล้ายกับบอตเน็ตอื่นๆ แต่มีความสามารถในการโจมตีอุปกรณ์ที่ใช้แอนดรอยโดยเฉพาะ โดยเมื่อถูกติดตั้ง จะส่งข้อความแจ้งเตือนผู้ใช้ให้เปิดสิทธิการใช้งานให้กับแอปที่ชื่อว่า Security of the system

หากผู้ใช้หลงเชื่อจะเป็นการให้สิทธิ์ระดับแอดมินของระบบให้กับ Black Rose Lucy ซึ่งจะทำการลอกเลียนแบบการกดปุ่มของผู้ใช้ และทำการติดตั้ง payload ที่ชื่อว่า "Black Rose Dropper" เพิ่มลงไปในอุปกรณ์แอนดรอยด์แล้วส่งข้อมูลกลับไปยังเชิฟเวอร์แฮกเกอร์ Dropper จะปลอมตัวเป็นไฟล์อัพเกรดระบบหรือไฟล์ภาพ
เนื่องจากบอตเน็ตดังกล่าวมีสิทธิ์แอดมิน จึงสามารถทำงานอยู่เบื้องหลังได้ รวมถึงสามารถสั่ง restart เครื่องที่ติดเชื้อเมื่อเครื่องถูกปิดได้ และยังมีกลไกป้องกันตัวเองที่จะตรวจสอบเครื่องมือเกี่ยวกับการป้องกันหรือเคลียร์ไฟล์หรือระบบป้องกันจากประเทศจีน เมื่อเจอเครื่องมือดังกล่าวบอตเน็ตจะปลอมการกดปุ่มของผู้ใช้ด้วยการกดปุ่มกลับหรือปุ่มโฮม เพื่อไม่ให้ผู้ใช้สามารถใช้เคืร่องมือเหล่านั้นได้ และป้องกันการทำ Factory reset ในทำนองเดียวกัน
มัลแวร์ดังกล่าวมีทั้งภาษารัสเซีย อังกฤษ และตุรกี ทำให้นักวิจัยคาดว่ามัลแวร์ตัวนี้วางแผนที่จะแพร่ไปทั่วโลก

ที่มา : zdnet

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่ กว่าครึ่งเป็นช่องโหว่ร้ายแรงมากและช่องโหว่ร้ายแรง

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่โดยมี 3 ช่องโหว่เป็นช่องโหว่ร้ายแรงมาก (Critical) หนึ่งในนั้นคือช่องโหว่ที่ได้รับผลกระทบจากช่องโหว่ใน Apache Struts (CVE-2018-11776) Cisco อธิบายเพิ่มเติมว่าแม้ผลิตภัณฑ์ของ Cisco หลายตัวจะมีการใช้งาน Apache Struts แต่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเพียงบางผลิตภัณฑ์เท่านั้นเนื่องจากวิธีการใช้งาน library ของแต่ละผลิตภัณฑ์แตกต่างกัน

อีก 2 ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขเป็นช่องโหว่ใน Cisco Umbrella API (CVE-2018-0435) และใน Routers รุ่น RV110W, RV130W และ RV215W (CVE-2018-0423) และยังมีช่องโหว่ร้ายแรง (high) อีก 15 รายการ

ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดทครั้งนี้ได้ที่ https://tools.

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือด้วยข้อหาแฮกบริษัท Sony และแพร่กระจาย WannaCry

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือชื่อ Pak Jin Hyok ด้วยความผิดในการแฮกบริษัท Sony Picture ในปี 2014 และการแพร่กระจาย WannaCry ransomware ในปี 2017ทั้งนี้นาย Pak Jin Hyok ตกเป็นผู้ต้องสงสัยว่าเป็นสมาชิกในกลุ่ม Lazarus ที่ทำการโจมตีทางไซเบอร์อีกหลายรายการทั้วโลกอีกด้วย

IBM รายงานว่า WannaCry ในปี 2017 น่าจะทำให้เกิดความสูญเสียกว่า 8 พันล้านดอลลาร์สหรัฐใน 150 ประเทศทั่วโลก ซึ่งเจ้าหน้าที่ได้ใช้เวลากว่า 4 ปีในการเชื่อมโยงนาย Pak Jin Hyok เข้ากับการโจมตีผ่านมัลแวร์ที่ใช้โจมตี โดเมน อีเมล และบัญชีโซเชียลต่างๆ โดยระบุรายละเอียดไว้ที่ https://www.

360Netlab ได้ประกาศว่ามีเครื่อง MikroTik router มากกว่า 7,500 ทั่วโลกกำลังส่งข้อมูล TZSP (TaZmen Sniffer Protocol) ไปยังที่อยู่ IP ภายนอกจำนวน 9 แห่งจากการที่ผู้บุกรุกได้ปรับเปลี่ยนการตั้งค่า packet sniffing ของอุปกรณ์เพื่อส่งต่อข้อมูลไปหา IP ของผู้บุกรุก โดยปลายทางที่มีการส่งข้อมูลหนาแน่นมากที่สุดคือ IP 37.1.207.114 และมีเหยื่อจากทั้งรัสเซีย บราซิล อินเดีย ยูเครน

MikroTik router ส่วนใหญ่ที่ถูกบุกรุกจะมีการเปิดใช้งาน Socks4 proxy ซึ่งมีช่องโหว่อนุญาตให้เข้าถึงได้จาก IP 95.154.216.128/25 โดยส่วนใหญ่จะพบที่ IP 95.154.216.167 ผู้โจมตีสามารถควบคุมอุปกรณ์ได้แม้จะได้รับการรีบูต(เปลี่ยน IP) โดยการรายงานที่อยู่ IP ใหม่ล่าสุดเป็น URL กลับไปยังช่วง IP ดังกล่าว

จากการสังเกตของนักวิจัยพบว่าผู้บุกรุกจะอาศัยช่องโหว่ CVE-2018-14847 ซึ่งจะพบใน Winbox for MikroTik RouterOS 6.42 หรือรุ่นที่ต่ำกว่า นักวิจัยแนะนำให้ผู้ใช้ MikroTik router อัปเดต Firmware เป็นเวอร์ชันล่าสุด

ที่มา : Bleepingcomputer

Chrome เปิดตัวเบราว์เซอร์เวอร์ชั่น 69 รวมถึงออกแพตช์อัพเดทช่องโหว่ความปลอดภัยด้านการออกแบบในเบราว์เซอร์ Chrome ที่ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวขโมยข้อมูลสำหรับการเข้าสู่ระบบ Wifi ทั้งแบบบ้านและระบบเครือข่ายขององค์กร โดยปัญหาดังกล่าวเกิดจากเบราว์เซอร์ Chrome เวอร์ชั่นเก่ามีกรอกค่า Username และ Passwords บนแบบฟอร์มการเข้าสู่ระบบผ่าน HTTP แบบอัตโนมัติ (auto-fill)

Elliot Thompson นักวิจัยด้านความปลอดภัยจาก SureCloud ได้ทำการรวบรวมเทคนิคการโจมตีจากการใช้ประโยชน์ของปัญหาในการออกแบบเบาร์เซอร์ซึ่งมีขั้นตอนที่หลากหลายและซับซ้อน โดยการโจมตีดังกล่าวชื่อว่า Wi-Jacking (WiFi Jacking) ซึ่งได้ผลกับ Chrome บน Windows ขั้นตอนสำหรับการโจมตี Wi-Jacking มีรายละเอียดดังนี้
ขั้นตอนที่1 ผู้โจมตีจำเป็นต้องอยู่บริเวณใกล้เคียงกับระบบเครือข่าย WiFi ของเครื่องเป้าหมายเพื่อให้สามารถเข้าถึงได้โดยการส่งคำขอ deauthentication ไปยังเราเตอร์เพื่อทำการตัดการเชื่อมต่อของผู้ใช้งานออกจากระบบ WiFi
ขั้นตอนที่2 ผู้โจมตีใช้เทคนิคการโจมตีแบบ classic Karma attack เพื่อหลอกให้เป้าหมายเชื่อมต่อกับระบบเครือข่ายอันตรายที่ผู้โจมตีสร้างไว้
ขั้นตอนที่3 ผู้โจมตีทำการสร้างเว็บไซต์โดยจำลองหน้าเว็บต่างๆให้มีความคล้ายกับเว็บไซต์หลักของเราเตอร์ และทำการซ่อนฟิลด์สำหรับรับค่าข้อมูลสำหรับ Login ไว้ และเนื่องจากเป้าหมายเชื่อมต่อกับเครือข่ายของผู้โจมตีทำให้ผู้โจมตีสามารถตั้งค่า URL ของหน้าเว็บปลอมไปยัง URL ที่ถูกต้องของเราเตอร์ที่เป้าหมายใช้งานได้ทำให้เป้าหมายเข้าใจว่าเข้าถึงเว็บไซต์หลักที่ถูกต้อง ซึ่งหากเป้าหมายอนุญาตให้เบราว์เซอร์ Chrome กรอกข้อมูลสำหรับ Login แบบอัตโนมัติ (auto-fill) ข้อมูลเหล่านั้นจะถูกป้อนไปยังฟิลด์ที่ซ่อนไว้ในหน้าเว็บที่ผู้โจมตีสร้างไว้โดยอัตโนมัติ
ขั้นตอนที่4 ผู้โจมตีหยุดเทคนิค Karma และช่วยให้เป้าหมายเชื่อมต่อกลับไปยังเครือข่าย WiFi เดิม
ขั้นตอนที่5 หากเป้าหมายคลิกส่วนใดๆ ในหน้าเว็บที่เป็นอันตรายหรือหน้าเว็บดังกล่าวยังคงทำงานอยู่ในเบราว์เซอร์ของเป้าหมาย จะส่งข้อมูลการ Login ที่ซ่อนอยู่ในฟิลด์การเข้าสู่ระบบไปยัง backend panel ของเราเตอร์จริง วิธีนี้จะทำให้ผู้โจมตีสามารถตรวจสอบการเข้าถึงของเป้าหมายและช่วยให้ผู้โจมตีสามารถตรวจจับ WPA / WPA2 PSK (pre-shared key) จากการตั้งค่า Wi-Fi ของเราเตอร์ของเป้าหมาย และสามารถใช้เข้าสู่ระบบได้

นอกเหนือจากเบราว์เซอร์ Chrome ยังมีเบราว์เซอร์ Opera ที่ได้รับผลกระทบจากการโจมตีด้วยวิธีการ Wi-Jacking แต่เบราว์เซอร์อื่นๆ เช่น Firefox, Edge, Internet Explorer และ Safari ไม่เสี่ยงต่อการถูกโจมตีเนื่องจากไม่มีการกรอกข้อมูลสำหรับการ Login แบบอัตโนมัติ (auto-fill)

ที่มา : Zdnet

เมื่อสัปดาห์ที่แล้วหลังจากที่มีข่าวว่า Google ยังสามารถทำการติดตามการไปที่ต่างๆของผู้ใช้งานแม้จะปิดฟังค์ชันปิดไปแล้วก็ตาม ตอนนี้ได้มีการเปิดเผยว่ามีการเซ็นสัญญาแบบลับๆกับบริษัท Mastercard

เชื่อว่า Google ได้จ่ายเงินหลายล้านดอลล่าเพื่อแลกเปลี่ยนกับการเข้าถึงข้อมูลนี้ ทั้ง Google และ Mastercard ไม่มีการเปิดเผยการเป็นพันธมิตรทางธุรกิจนี้ออกมา แต่ธุรกิจนี้ได้ถูกเปิดเผยออกมาโดย Bloomberg เชื่อว่าการดำเนินการดังกล่าวนี้สามารถบรรลุข้อตกลงกันได้หลังจากที่ได้มีการเจรจาต่อรองกันมา 4 ปี ทำให้ Google จะได้รับข้อมูลการทำธุรกรรมของชาวอเมริกัน ซึ่งจะถูกเข้ารหัสก่อนส่งมา

โดย Google ได้ทำการเพิ่มข้อมูลใส่ไปในเครื่องมือสำหรับโฆษณาโดยตั้งชื่อว่า Store Sales Measurement และปัจจุบันกำลังทดสอบเครื่องมือกับกลุ่มเล็กๆของผู้โฆษณาในการโฆษณาบนโลกออนไลน์ ปีที่แล้ว Google ประกาศว่าบริการ Store Sales Measurement service มีการเข้าถึงข้อมูลประมาณ 70% ของบัตรเครดิตและบัตรเดบิต แต่ไม่ได้มีการเปิดเผยชื่อ จากที่ได้กล่าวมาทำให้เชื่อว่าไม่ใช่มีแค่ Mastercard แต่ Google มีข้อตกลงกับ บริษัทบัตรเครดิตอื่น ๆ เช่นกัน ซึ่งทั้งหมดเป็นข้อมูลการทำธุรกรรมในประเทศสหรัฐอเมริกา แต่ดูเหมือนว่าผู้ใช้สามารถที่จะเลือกเอาการติดตามของโฆษณาแบบออฟไลน์ออกได้โดยการเลือกปิด "Web and App Activity" ในบัญชี Google ของพวกเขา

Mastercard ได้ออกมาปฏิเสธแล้วว่าบริษัทไม่ได้มีการให้ข้อมูลส่วนบุคคลใดๆ กับบุคคลที่สาม และ Google เองก็ได้มีการออกมาระบุว่า บริษัทไม่ได้มีการเข้าถึงข้อมูลส่วนบุคคลใดๆ ของบริษัทที่เป็นพันธมิตร และไม่มีการแบ่งปันข้อมูลส่วนบุคคลใดๆ ให้กับบริษัทพันธมิตรเช่นเดียวกัน

ที่มา: thehackernews

สืบเนื่องจากข่าว พบช่องโหว่ CVE-2018-11776 ที่ส่งผลต่อโค้ดหลักโดยไม่ต้องใช้งานปลั๊กอิน และช่วยให้แฮกเกอร์สามารถสั่งรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ ที่มีการใช้งาน Apache Struts 2

จากรายงานได้กล่าวว่าทาง Oracle ได้ออกมาแจ้งเตือนกลุ่มลูกค้าของทาง Oracle ว่าจากช่องโหว่ CVE-2018-11776 ส่งผลทำให้ผลิตภัณฑ์ของ Oracle จำนวนมากได้รับผลกระทบ โดยแฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่เพื่อการขุดบิทคอยน์ได้

รายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้จะถูกส่งให้ลูกค้าของ Oracle เท่านั้น ทั้งนี้ Oracle ได้เคยแจ้งรายการของผลิตภัณฑ์ที่มีการใช้งาน Apache Struts ไปแล้วเมื่อปีที่แล้ว (ดูได้จากลิ้งค์ด้านล่าง) ซึ่งผลิตภัณฑ์เหล่านั้นจัดอยู่ในกลุ่มของ MySQL Enterprise Monitor, Communications Policy Management, FLEXCUBE Private Banking, Retail XBRi, Siebel, WebLogic Server และผลิตภัณฑ์ที่ให้บริการทางการเงินและประกันภัยต่างๆ

ปัจจุบันทาง Oracle แจ้งว่ากำลังจะมีแพทช์ ออกมาแก้ไข Oracle Critical Patch Update (CPU) ภายในวันที่ 16 ตุลาคม 2561

รายการผลิตภัณฑ์ที่มีการใช้งาน Apache Struts --> http://www.

ทีมงาน Wireshark ประกาศแพตช์แก้ไขช่องโหว่ร้ายแรงที่เปิดโอกาสให้แฮกเกอร์สามารถทำระบบล้มเหลว หรือที่เรียกว่า Denial of Service (Dos)

Wireshark เป็นโปรแกรมประเภท Packet Analyzer ใช้ในการตรวจสอบสถานะของ Network ซึ่งช่องโหว่เหล่านั้นคือ CVE-2018-16056, CVE-2018-16057 และ CVE-2018-16058 ส่งผลกระทบกับ Wireshark เวอร์ชัน 2.6.0 ถึง 2.6.2, 2.4.0 ถึง 2.4.8 และ 2.2.0 ถึง 2.2.16

รายละเอียดช่องโหว่ต่างๆมีดังนี้

CVE-2018-16056 เป็นช่องโหว่ที่มีอยู่ในส่วนประกอบของอุปกรณ์วิเคราะห์ข้อมูล Bluetooth Attribute Protocol (ATT) ของ Wireshark ระบุว่า ไฟล์ source code /dissectors/packet-btatt.

Botnet ตัวใหม่ Hakai IoT มุ่งเน้นโจมตีไปที่เร้าเตอร์ของ D-Link, Huawei และ Realtek

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ทำการตรวจสอบมัลแวร์ชื่อว่า "Hakai" ที่พบครั้งแรกในเดือนมิถุนายน ซึ่งเวอร์ชั่นแรกของ Hakai นั้นรู้จักในชื่อ Qbot (Gafgyt, Bashlite, Lizkebab, Torlus หรือ LizardStresser) เป็นสายพันธุ์มัลแวร์ IoT ที่มีโครงสร้างไม่ซับซ้อนนักเมื่อหลายปีก่อน แต่ Hakai เก่งกว่านั้น นักวิจัยพบการโจมตีของ Hakai เป็นครั้งแรกเมื่อวันที่ 21 กรกฎาคม เป็นการใช้ประโยชน์ช่องโหว่ CVE-2017-17215 ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อเราเตอร์ Huawei HG352 และในช่วงกลางเดือนสิงหาคม นักวิจัยคนอื่น ๆ ก็เริ่มสังเกตเห็นว่า botnet ตัวใหม่นี้เริ่มมุ่งเป้าหมายไปที่อุปกรณ์อื่นๆ ที่มีช่องโหว่เพิ่มเติม

Hakai ได้มุ่งเป้าโจมตีโดยกำหนดเป้าหมายไปยังเร้าเตอร์ D-Link ที่มีการใช้งานโปรโตคอล HNAP และเร้าเตอร์ Realtek รวมทั้งอุปกรณ์ IoT ที่มีการใช้ Realtek SDK เวอร์ชันเก่าที่ยังคงมีช่องโหว่

ที่มา : zdnet