Check Point Software แก้ช่องโหว่ยกระดับสิทธิ์ใน Endpoint Client

Check Point Software แก้ช่องโหว่ที่พบในซอฟต์แวร์ Check Point Endpoint Security Initial Client สำหรับวินโดว์ที่ยอมให้ผู้โจมตียกระดับสิทธิ์และรันโค้ดโดยใช้สิทธิ์ SYSTEM

ช่องโหว่ดังกล่าวได้รับ CVE-2019-8461 ทำให้ผู้โจมตีสามารถรันเพย์โหลดที่เป็นอันตรายโดยใช้สิทธิ์ system-level เช่นเดียวรวมทั้งหลีกเลี่ยงการตรวจจับมัลแวร์โดยเลี่ยง application whitelisting ซึ่งเป็นเทคนิคที่ใช้กันโดยไปทั่วไปเพื่อป้องกันการเรียกใช้แอปที่ไม่รู้จักหรืออาจเป็นอันตราย

Peleg Hadar นักวิจัยผู้ค้นพบช่องโหว่ดังกล่าวระบุว่าช่องโหว่นี้อาจถูกใช้เพื่อยกระดับสิทธิ์และคงอยู่บนเครื่องถาวรโดยการเรียกใช้ DLL เป็นอันตรายด้วย Windows services ที่ถูกใช้โดย Check Point Endpoint Security

ที่มา : bleepingcomputer

FireEye บริษัทความมั่งคงทางไซเบอร์ในสหรัฐฯ พบการแฮกบนเว็บไซต์ด้านสุขภาพจากประเทศอินเดีย โดยทำการขโมยข้อมูลไปมากกว่า 6.8 ล้านข้อมูลของทั้งแพทย์และคนไข้
FireEye ไม่ได้ระบุชื่อเว็บไซต์ แต่ได้กล่าวว่านี่เป็นอาชญากรไซเบอร์ที่ส่วนใหญ่มาจากจีน โดยจะขายข้อมูลที่ขโมยมาจากเว็บไซต์ทั่วโลก

“ในเดือนกุมภาพันธ์ ผู้ไม่หวังดีนามแฝงว่า “fallensky519” ได้ขโมย 6.8 ล้านข้อมูลที่เกี่ยวกับข้อมูลด้านสุขภาพชาวอินเดียบนเว็บไซต์ ที่มีข้อมูลทั้งคนไข้และแพทย์ที่สามารถระบุตัวตนได้ รวมถึงรหัสผ่าน” FireEye แถลงรายงานร่วมกับ IANS
ตามที่ FireEye กล่าวในระหว่างวันที่ 1 ตุลาคม 2018 ถึง 31 มีนาคม 2019 ทีมข่าวกรองพบข้อมูลหลายตัวที่มีประวัติสุขภาพได้ถูกขายในราคา $2,000 ซึ่งข้อมูลที่ขายเกี่ยวข้องกับงานวิจัยเกี่ยวกับมะเร็ง ซึ่งสะท้อนให้เห็นถึงความกังวลของจีนต่อการเพิ่มอัตราการเกิดโรคมะเร็งและการเสียชีวิต รวมถึงค่าใช้จ่ายด้านการดูแลสุขภาพระดับชาติ

ที่มา : ehackingnews

Google ได้ปล่อยแพทช์รักษาความปลอดภัยเดือนกันยายนปี 2018 สำหรับ Android ซึ่งแก้ไขปัญหาได้มากกว่า 50 ช่องโหว่

แพทช์รักษาความปลอดภัย Android ในเดือนกันยายน 2018 แบ่งออกเป็นสองส่วนคือระดับแพทช์การรักษาความปลอดภัย 2018-09-01 ซึ่งสามารถแก้ไขข้อบกพร่องได้ 24 ข้อและแพทช์ความปลอดภัย 2018-09-05 ซึ่งมีข้อบกพร่องทั้งหมด 35 ข้อ

มี 5 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-01 ได้รับการจัดอันดับความรุนแรง Critical 3 ช่องโหว่เป็นปัญหาเรื่องการยกระดับสิทธิพิเศษที่มีผลต่อระบบ ในขณะที่ส่วนที่เหลืออีก 2 ข้อเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Media framework

Google ยังกล่าวถึงช่องโหว่ที่มีความเสี่ยงสูงใน Android runtime, Framework, Library, Media framework และ System รวมถึงปัญหาความรุนแรงระดับปานกลาง 2 เรื่องใน Media framework and System ซึ่งช่องโหว่ดังกล่าวส่วนใหญ่จะส่งผลกระทบต่อ Android เวอร์ชัน 7.0, 7.1.1, 7.1.2, 8.0, 8.1 และ 9.0 แต่มีเพียงบางส่วนเท่านั้นที่พบว่ามีผลต่อ Android 8.0 และแพลตฟอร์มใหม่ ๆ

35 ช่องโหว่ในแพทช์รักษาความปลอดภัย 2018-09-05 ซึ่ง 6 ช่องโหว่อยู่ในระดับความรุนแรง Critical, 27 ช่องโหว่อยู่ในระดับความรุนแรง High และ 2 ช่องโหว่ถือว่าเป็นความรุนแรงปานกลาง ซึ่งเป็นช่องโหว่ใน Framework, Kernel components, และ Qualcomm components

ที่มา : securityweek

Application หลายรายการที่พัฒนาโดย Trend Micro จะถูกนำออกไปจาก Mac App Store หลังจากที่นักวิจัยพบว่าแอพพลิเคชั่นเหล่านั้นทำการรวบรวมประวัติการเข้าชมเบราเซอร์และข้อมูลเกี่ยวกับคอมพิวเตอร์ของผู้ใช้งาน

Apple ได้นำ Adware Doctor ซึ่งเป็นแอพพลิเคชั่นด้านความปลอดภัยที่มีผู้ใช้งานมากจากการจัดอันดับในส่วนของ Application ที่ให้ดาวน์โหลดฟรีออกจาก App Store นอกจากนี้ยังมีแอพพลิเคชั่น Dr. Antivirus, Dr. Cleaner และ Dr. Unarchiver ซึ่งทั้งหมดถูกพัฒนาภายใต้บัญชีของ Trend Micro หลังจากที่มีการนำแอพพลิเคชั่นดังกล่าวออกไปแล้ว นักวิจัยด้านความปลอดภัย Privacy_1st ได้เผยแพร่วิดีโอที่แสดงว่า Dr. Cleaner และ Dr. Antivirus (Adware Doctor) รวบรวมประวัติการเข้าชมเบราว์เซอร์จาก Safari, Chrome และ Firefox รวมถึงข้อมูลอื่นๆ โดยข้อมูลต่างๆที่ส่งออกไปสามารถใช้ยืนยันและระบุตัวตนของผู้ใช้งานได้

เมื่อวันที่ 10 ก.ย. 19:13: บริษัท เทรนด์ไมโคร ได้ออกมาแถลงการณ์ปฏิเสธว่าแอพพลิเคชั่นดังกล่าวไม่ได้ขโมยข้อมูลของผู้ใช้งาน แต่เป็นการเก็บรวมรวบข้อมูลเพื่อไปพัฒนาแอพพลิเคชั่นให้ดียิ่งขึ้น และข้อมูลดังกล่าวจะถูกอัพโหลดไปยังเซิร์ฟเวอร์ในสหรัฐอเมริกาที่เป็น Amazon Web Services ไม่ใช่ในประเทศจีน แต่ Apple เห็นถึงความไม่ปลอดภัยของผู้ใช้งาน จึงได้ทำการลบแอพพลิเคชั่นดังกล่าวออกจาก App store และเตือนให้ผู้ใช้งานถอนการติดตั้งแอพดังกล่าว

ที่มา : bleepingcomputer

ไมโครซอฟต์แก้ไขช่องโหว่ zero-day ใน Task Scheduler และช่องโหว่ร้ายแรงมากอื่นๆ ในแพตช์ประจำเดือนกันยายน 2018

ไมโครซอฟต์ออกแพตช์ประจำเดือนกันยายน 2018 เพื่อแก้ไขช่องโหว่รวมทั้งหมด 61 ช่องโหว่ แบ่งออกเป็นช่องโหว่รายแรงมาก (Critical) จำนวน 17 ช่องโหว่ ช่องโหว่ร้ายแรง (Important) 43 ช่องโหว่ และช่องโหว่ร้ายแรงปานกลางจำนวน 1 ช่องโหว่

ในช่องโหว่ทั้ง 61 ช่องโหว่นี้มีช่องโหว่ที่่ได้รับการเปิดเผยต่อสาธารณะแล้ว 4 ช่องโหว่ ได้แก่ CVE-2018-8440, CVE-2018-8475, CVE-2018-8457 และ CVE-2018-8457

ช่องโหว่ CVE-2018-8440 คือช่องโหว่ zero-day ใน Task Scheduler ที่มีผู้เผยแพร่วิธีการโจมตี รวมถึงมีมัลแวร์ใช้ในการโจมตีแล้ว โดยสามารถอ่านรายละเอียดของช่องโหว่ดังกล่าวได้จาก [https://www.

Zerodium ได้เปิดเผยช่องโหว่ zero-day ใน Tor Browser ระดับความรุนแรงสูงให้ดำเนินการอัปเดต patch โดยด่วน

Zerodium แชร์ข้อมูลของช่องโหว่ที่อยู่ในปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับซอฟต์แวร์ Tor NoScript คือ ส่วนที่ทำหน้าที่บล็อกการทำงานของ JavaScript, Java, Flash และเนื้อหาอื่นๆ ที่เป็นอันตรายบนเว็บ ทั้งนี้ NoScript "Classic" รุ่น 5.0.4 ถึง 5.1.8.6 ที่มาพร้อมกับ Tor Browser รุ่น 7.5.6 มีช่องโหว่ทำให้แฮกเกอร์สามารถเรียกใช้ไฟล์ JavaScript เมื่อเปลี่ยน content-type header ของไฟล์ให้เป็นรูปแบบ JSON ทำให้สามารถระบุที่อยู่ IP จริงของผู้ใช้งานได้

อย่างไรก็ตาม Tor browser รุ่นล่าสุด หรือ Tor 8.0 จะไม่ได้รับความเสี่ยงจากข้อบกพร่องนี้เนื่องจากปลั๊กอิน NoScript ภายใน Mozilla Firefox ที่มาพร้อมกับ Tor browser รุ่นล่าสุดถูกปรับปรุงใหม่แล้ว จึงขอแนะนำให้ผู้ใช้ Tor รุ่น 7.x อัปเดตเบราว์เซอร์ของตนเป็น Tor 8.0

นอกจากนี้ NoScript ได้แก้ไขข้อบกพร่อง zero-day ดังกล่าวด้วยการเปิดตัว NoScript "Classic" version 5.1.8.7

ที่มา : The Hacker News

แฮกเกอร์ที่โจมตีบัญชีของลูกค้า Vodafone ไปนอนในคุกเรียบร้อยแล้ว

จากรายงานข่าวของสาธารณรัฐเช็ก ระบุว่าแฮกเกอร์ 2 รายที่ได้เข้าถึงบัญชีลูกค้า Vodafone และได้ทำการชำระเงินผ่านมือถือ โดยแฮกเกอร์ได้สิทธิ์ในการเข้าถึงบัญชีเพียงใช้การเดารหัสผ่านแบบง่ายๆ ทำให้สามารถเปิดใช้งานซิมการ์ดได้ง่ายๆ และใช้ส่ง SMS ไปยังเว็บไซต์การพนันเพื่อจ่ายตังค์ ส่งผลให้ได้รับความเสียหายโดยรวมประมาณ 30,000 ดอลลาร์

Vodafone เชื่อว่าลูกค้าที่ใช้รหัสผ่านที่คาดเดาง่าย เช่น 1234 หรือ QWERTY ควรได้รับการชดเชยในความเสียหายที่เกิดขึ้น เนื่องจากผู้ที่ตกเป็นเหยื่ออ้างว่าพวกเขาไม่ทราบอะไรเกี่ยวกับรหัสผ่านและบริการออนไลน์ของ Vodafone และพนักงานของ Vodafone จะเป็นคนตั้งรหัสผ่านเริ่มต้นให้ลูกค้าเอง

ในอีกแง่มุมหนึ่งของ Oleg Galushkin ผู้อำนวยการการรักษาความปลอดภัยข้อมูลที่ SEC Consult Services กล่าวว่า "ถ้าผู้ใช้เองไม่ต้องการที่จะรักษาความปลอดภัยของพวกเขาแม้ในระดับพื้นฐานแล้ว พวกเขาก็ต้องยอมรับกับผลที่เกิดขึ้น" แต่ทั้งนี้ก็เป็นความผิดพลาดของบริษัทเองด้วยที่หละหลวมในการป้องกันด้านความปลอดภัย และแฮกเกอร์ทั้ง 2 รายต้องโทษจำคุกเป็นเวลา 2 ปี และ 3 ปี

ที่มา : E Hacking News

สายการบินบริติชแอร์เวย์ ได้แจ้งตำรวจหลังจากมีการขโมยข้อมูลลูกค้าจากเว็บไซต์และแอปฯ ในมือถือ

สายการบินบริติชแอร์เวย์กล่าวว่าการโจมตีตังกล่าวกระทบกับข้อมูลส่วนบุคคลและการเงินของลูกค้าที่ทำการจองในเว็บไซต์หรือแอปพลิเคชันตั้งแต่เวลา 10.58 น. ตามเวลาท้องถิ่นในวันที่ 21 สิงหาคมถึงเวลา 9.45 น. ในวันที่ 5 กันยายน โดยกระทบบัตรเครดิตประมาณ 380,000 ใบ โดยข้อมูลที่ถูกขโมยไม่รวมข้อมูลรายละเอียดเกี่ยวกับการเดินทางหรือรายละเอียดบนหนังสือเดินทาง ซึ่งสายการบินแก้ไขช่องโหว่ที่ถูกโจมตีแล้ว ทำให้เว็บไซต์กลับมาทำงานได้ตามปกติ และจะสืบสวนกรณีนี้อย่างเร่งด่วน

สายการบินบริติชแอร์เวย์กำลังแจ้งลูกค้าที่ได้รับผลกระทบและแนะนำให้ทุกคนที่อาจได้รับผลกระทบติดต่อธนาคารหรือผู้ให้บริการบัตรเครดิตของตน

ที่มา : ZDNet

ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.