RomCom malware แพร่กระจายผ่าน Google Ads โดยปลอมเป็น ChatGPT, GIMP และอื่น ๆ

Trend Micro เปิดเผยการค้นพบแคมเปญการโจมตีใหม่ของมัลแวร์ RomCom ที่ได้ทำการปลอมแปลงเป็นเว็บไซต์ของซอฟต์แวร์ยอดนิยม เพื่อหลอกให้เหยื่อทำการดาวน์โหลด และติดตั้งโปรแกรมที่เป็นอันตราย (more…)

D-Link แก้ไขช่องโหว่ auth bypass และ RCE ระดับ Critical ในซอฟต์แวร์ D-View 8

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า

D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง

เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022

ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้

CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน

พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้

นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง

ที่มา : bleepingcomputer

พบ Hacker ใช้ช่องโหว่ RCE ระดับ critical บน PaperCut servers ในการโจมตีเป้าหมาย

PaperCut ผู้พัฒนาซอฟต์แวร์ Print management ออกมาแจ้งเตือนผู้ใช้งานให้เร่งทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน หลังจากที่พบว่าช่องโหว่ดังกล่าวได้ถูกกลุ่ม Hacker นำไปใช้ในการโจมตี PaperCut server ที่มีช่องโหว่ (more…)

Hacker จีนสร้าง MQsTTang backdoor เพื่อหลีกเลี่ยงการตรวจจับ

นักวิจัยของ ESET ได้เผยแพร่การค้นพบ backdoor malware ตัวใหม่ในชื่อ MQsTTang ที่ถูกสร้างขึ้นโดย Mustang Panda กลุ่ม Hacker ชาวจีน โดยเริ่มพบการโจมตีในเดือน มกราคม 2023 จนถึงปัจจุบัน โดยมีเป้าหมายการโจมตีไปยังรัฐบาล และองค์กรทางการเมืองในยุโรป และเอเชีย โดยเน้นไปที่ไต้หวัน และยูเครน

Mustang Panda เป็นกลุ่มภัยคุกคามระดับสูง Advanced Persistent Threat (APT) ซึ่งเป็นที่รู้จักจากการใช้มัลแวร์ PlugX ที่ปรับปรุงใหม่เพื่อใช้ในการโจรกรรมข้อมูล โดยกลุ่ม Hacker ดังกล่าวยังเป็นที่รู้จักกันในชื่อ TA416 และ Bronze President

โดยก่อนหน้านี้ Trend Micro เคยพบการโจมตีครั้งล่าสุดของ Mustang Panda ในเดือนมีนาคมถึงตุลาคม 2022 โดยในแคมเปญดังกล่าว กลุ่ม Mustang Panda ได้ใช้มัลแวร์สามสายพันธุ์ ได้แก่ PubLoad, ToneIns และ ToneShell และพบว่ามีการกำหนดเป้าหมายไปยัง ออสเตรเลีย ญี่ปุ่น ไต้หวัน และฟิลิปปินส์

MQsTTang backdoor

จากการวิเคราะห์ของ ESET พบว่า MQsTTang backdoor ไม่ได้มีต้นแบบจากมัลแวร์ตัวใดมาก่อน ซึ่งบ่งชี้ได้ว่า backdoor ดังกล่าวได้ถูกสร้างขึ้นมาเพื่อให้สามารถหลบเลี่ยงการตรวจจับ และทำให้สามารถระบุแหล่งที่มาได้ยากขึ้น

การโจมตีจะเริ่มจาก Phishing Email ที่มีการฝังเพย์โหลดที่เป็นอันตราย เมื่อเป้าหมายทำการเปิดอีเมล จะมีดาวน์โหลดมัลแวร์จาก GitHub repositories เพื่อเริ่มการโจมตี โดยตัวมัลแวร์จะเป็นไฟล์ที่อยู่ภายในไฟล์ RAR archives โดยตั้งชื่อตามหนังสือทางการทูต เช่น การสแกนหนังสือเดินทางของสมาชิกคณะผู้แทนทางการทูต บันทึกของสถานทูต เป็นต้น

โดย MQsTTang นั้นถือเป็น “barebones backdoor” (แบ็คดอร์ที่ได้รับการออกแบบให้เรียบง่ายที่สุดเท่าที่จะเป็นไปได้ ทำให้ตรวจจับได้ยากขึ้น) ที่มีความสามารถในการเรียกใช้งานคำสั่งได้จากระยะไกล และส่งข้อมูลกลับมายัง C2 (Command & Control) รวมถึงการแฝงตัวอยู่บนระบบ (Persistence)

ซึ่งการแฝงตัวอยู่บนระบบโดยการเพิ่มคีย์รีจิสทรีใหม่ภายใต้ HKCK\Software\Microsoft\Windows\CurrentVersion\Run โดยจะทำให้ระบบเรียกใช้มัลแวร์ทุกครั้งเมื่อมีการ Restart โดยจะมีเพียงการเชื่อมต่อผ่าน C2 (Command & Control) เท่านั้น

MQsTTang จะทำงานภายใต้ MQTT protocol สำหรับคำสั่งการ และการควบคุมการเชื่อมต่อผ่าน C2 ซึ่งทำให้ช่วยในการปกปิดร่องรอยการเชื่อมต่อผ่าน C2 รวมถึงการโจมตี ทำให้มีโอกาสน้อยที่จะถูกตรวจจับได้

รวมไปถึง MQsTTang จะทำการตรวจสอบการ debug หรือ monitoring tools ที่อยู่บนเครื่องเหยื่อตลอดเวลา เมื่อพบก็จะเปลี่ยนลักษณะการทำงาน เพื่อหลีกเลี่ยงการถูกตรวจจับอีกด้วย

 

ที่มา : bleepingcomputer

PlugX Trojan ปลอมตัวเป็นเครื่องมือตรวจสอบข้อผิดพลาดของ Windows ในการโจมตีล่าสุด

PlugX Trojan ถูกพบว่าปลอมตัวเป็นเครื่องมือโอเพนซอร์สที่ใช้ตรวจสอบข้อผิดพลาดของ Windows ที่เรียกว่า x64dbg เพื่อหลบเลี่ยงการตรวจจับด้านความปลอดภัย และเข้าควบคุมระบบเป้าหมาย

โดย Buddy Tancio, Jed Valderama และ Catherine Loveria นักวิจัย Trend Micro ระบุในรายงานเมื่อสัปดาห์ที่ผ่านมาว่า "ไฟล์ดังกล่าวเป็นเครื่องมือโอเพนซอร์สที่ใช้สำหรับตรวจสอบข้อผิดพลาดบน Windows ในการตรวจสอบ kernel-mode, user-mode code, crash dumps, และ CPU registers"

PlugX หรือที่รู้จักกันในอีกชื่อว่า Korplug เป็น post-exploitation โมดูลที่มีความสามารถหลากหลาย เช่น การขโมยข้อมูล และความสามารถในการควบคุมเครื่องคอมพิวเตอร์ที่ถูกโจมตี

PlugX ถูกรายงานเป็นครั้งแรกในปี 2012 แต่ตัวอย่างตัวแรกของมัลแวร์ ถูกพบตั้งแต่เมื่อเดือนกุมภาพันธ์ 2008 จากรายงานของ Trend Micro ซึ่งในระหว่างนั้น PlugX ได้ถูกใช้โดยกลุ่มผู้โจมตีที่มีความเกี่ยวข้องกับรัฐบาลจีน รวมถึงกลุ่มอาชญากรรมทางด้านไซเบอร์ต่าง ๆ

หนึ่งในวิธีการหลักที่ PlugX ใช้คือ DLL side-loading เพื่อโหลด DLL ที่เป็นอันตรายจากซอฟแวร์ที่มี digital signed อย่างถูกต้อง ซึ่งในกรณีนี้คือเครื่องมือสำหรับ Debugging ที่ชื่อ x64dbg (x32dbg.

Hacker ใช้ Google Ads เพื่อแพร่กระจาย Malware FatalRAT โดยการปลอมเป็น Apps ยอดนิยม [EndUser]

กลุ่มผู้ใช้งานที่ใช้ภาษาจีนเป็นหลักในเอเชียตะวันออกเฉียงใต้ และเอเชียตะวันออกกำลังตกเป็นเป้าหมายของแคมเปญ Google Ads เพื่อหลอกลวงให้ดาวน์โหลด trojans ที่ใช้ในการเข้าถึงจากระยะไกล เช่น FatalRAT ไปยังเครื่องเหยื่อ

ผู้โจมตีจะใช้การซื้อโฆษณา เพื่อให้แสดงในผลของการค้นหาบน Google เมื่อผู้ใช้พยายามดาวน์โหลด Application ที่เป็นที่นิยม จะถูกนำไปยังหน้าเว็บไซต์สำหรับดาวน์โหลดโปรแกรมซึ่งถูกฝัง Trojan เอาไว้ โดย ESET ระบุในรายงานว่าปัจจุบันโฆษณาดังกล่าวได้ถูกลบออกไปแล้ว

Google Chrome ก็เป็นหนึ่งใน Application ที่มีหน้าเว็บไซต์สำหรับดาวน์โหลดปลอมขึ้นมา รวมไปถึง Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao และ WPS Office

โดย ESET ระบุในรายงานที่พบในช่วงระหว่างเดือนสิงหาคม 2565 ถึงมกราคม 2566 ว่า "เว็บไซต์ และโปรแกรมที่ดาวน์โหลดจากเว็บไซต์ส่วนใหญ่เป็นภาษาจีน และในบางกรณีก็มีซอฟต์แวร์เวอร์ชั่นภาษาจีนที่ไม่สามารถใช้งานได้ในจีนด้วยเช่นกัน"

โดยเหยื่อส่วนใหญ่จะอาศัยอยู่ที่ ไต้หวัน จีน ฮ่องกง มาเลเซีย ญี่ปุ่น ฟิลิปปินส์ ไทย สิงคโปร์ อินโดนีเซีย และเมียนมาร์

สิ่งที่สำคัญที่สุดในการโจมตีคือการสร้างเว็บไซต์ที่มีโดเมนลักษณะคล้ายกัน หรือที่เรียกว่า typosquatted domain เพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ซึ่งบางกรณีถึงแม้จะมีไฟล์ติดตั้งของซอฟต์แวร์ที่ถูกต้อง แต่ก็ยังมีการแอบติดตั้ง FatalRAT ด้วยเช่นเดียวกัน

โดยผู้โจมตีจะสามารถควบคุมเครื่องของเหยื่อได้อย่างสมบูรณ์ รวมถึงสั่งรันคำสั่งที่เป็นอันตราย, เก็บข้อมูลจาก web browsers และตรวจจับการพิมพ์บน Keyboard

นักวิจัยระบุว่า "Hacker ใช้ความพยายามในการตั้งชื่อโดเมนให้มีความคล้ายกับชื่อที่เป็นทางการมากที่สุดเท่าที่จะทำได้ และ website ปลอมส่วนมากจะมีหน้าตาเหมือนกันกับ website ที่ถูกต้อง"

การค้นพบนี้เกิดขึ้นภายในเวลาไม่ถึงหนึ่งปีหลังจากที่ Trend Micro เปิดเผยแคมเปญ Purple Fox ที่ใช้ประโยชน์จากซอฟต์แวร์ที่เลียนแบบ Adobe, Google Chrome, Telegram และ WhatsApp เพื่อเผยแพร่ FatalRAT

ที่มา : thehackernews

มัลแวร์ Dridex กำลังโจมตีระบบ MacOS ด้วยวิธีการรูปแบบใหม่

นักวิจัยของ Trend Micro ได้เปิดเผยการค้นพบมัลแวร์ Dridex Banking ที่ได้มุ่งเป้าไปที่ระบบปฏิบัติการ macOS ของ Apple โดยการใช้เทคนิคการโจมตีแบบใหม่ที่ไม่เคยถูกพบมาก่อน ด้วยวิธีการส่งไฟล์ที่ฝัง macro ที่เป็นอันตราย โดยที่ Hacker อาจไม่จำเป็นต้องปลอมแปลงไฟล์อันตรายให้เป็นใบแจ้งหนี้ หรือไฟล์เอกสารที่เกี่ยวข้องกับธุรกิจ

Dridex หรือเรียกอีกอย่างว่า Bugat และ Cridex เป็นมัลแวร์ประเภท Information Stealer ที่สามารถรวบรวมข้อมูลสำคัญจากเครื่องที่โดนโจมตี และเรียกใช้โมดูลที่เป็นอันตราย อีกทั้งยังมีความเกี่ยวข้องกับกลุ่ม Hacker ที่ชื่อ Evil Corp (หรือที่รู้จักกันในชื่อ Indrik Spider) ซึ่งได้มาทดแทน Gameover Zeus หรือ Zeus ซึ่งเป็น banking trojan ที่มุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยการใช้ไฟล์เอกสาร Microsoft Excel ที่ฝัง macro และใช้การส่ง Phishing Email ไปยังเหยื่อเพื่อเรียกใช้งาน payload ที่เป็นอันตราย

จากการวิเคราะห์ตัวอย่าง Dridex ของ Trend Micro พบว่ามีความเกี่ยวข้องกับ Mach-O (Mach object) ซึ่งเป็นไฟล์สั่งการที่ถูกอัปโหลดไปยัง VirusTotal ในเดือนเมษายน 2019 ตั้งแต่นั้นมา มีการตรวจพบ Artifacts ที่เกี่ยวข้องอีก 67 ตัวอย่าง โดยพบครั้งล่าสุดในเดือนธันวาคม 2022

เทคนิคการโจมตี
โดยใน Artifacts จะประกอบไปด้วย ไฟล์เอกสารที่ฝัง macro ที่เป็นอันตราย และสามารถรันคำสั่งอัตโนมัติเมื่อเปิดไฟล์เอกสาร รวมถึงการใช้ Mach-O (Mach object) executable ซึ่งได้รับการออกแบบมาเพื่อค้นหา และเขียนทับไฟล์ ".doc" ทั้งหมดในไดเร็กทอรีของเครื่องที่ถูกโจมตี (~/User/{user name}) ด้วยมาโครที่เป็นอันตรายซึ่งจะคัดลอกจากไฟล์เอกสารที่ฝังไว้ในรูปแบบ hexadecimal dump ถึงแม้ว่าเครื่องที่ถูกโจมตีจะมีการปิดฟีเจอร์การรัน macro ใน Microsoft Word ไปแล้วก็ตาม

อีกทั้งไฟล์ macro ดังกล่าวยังสามารถติดต่อกับเซิร์ฟเวอร์ภายนอกเพื่อดาวน์โหลด Dridex loader ซึ่งรวมถึงไฟล์สั่งการที่จะทำงานบนระบบปฏิบัติการ Windows แต่จะไม่ทำงานใน macOS ทำให้ถึงแม้ Dridex จะมีข้อจำกัดในการส่งผลกระทบต่อผู้ใช้ macOS เนื่องจาก payload เป็นไฟล์ .EXE (ไม่สามารถสั่งการบน macOS ได้) แต่ผู้ใช้งาน macOS ก็ยังได้รับผลกระทบจากการถูกเขียนทับไฟล์ ".doc" อยู่ดี

นักวิจัยระบุว่า หลังจากที่ Microsoft ได้ปิดฟีเจอร์การรัน macro ใน Microsoft Word เป็นค่าเริ่มต้น จึงส่งผลให้เหล่า Hackers ได้ปรับปรุงกลยุทธ์ และวิธีการในการโจมตีให้มีประสิทธิภาพมากขึ้นในการโจมตีเป้าหมาย

ที่มา : thehackernews

แฮ็กเกอร์จีนใช้วิธีการใหม่ในการแพร่กระจายมัลแวร์ LODEINFO

โดยรายงานจาก Kaspersky ระบุว่า กลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนที่รู้จักกันในชื่อ Stone Panda กำลังมุ่งเป้าการโจมตีไปที่หน่วยงานของประเทศญี่ปุ่น โดยเป้าหมายประกอบไปด้วยองค์กรสื่อ การทูต องค์กรภาครัฐ และกลุ่มองค์กรที่ทำงานเกี่ยวกับการวิจัย

Stone Panda หรือที่รู้จักกันในชื่ออื่น ๆ ว่า APT10, Bronze Riverside, Cicada และ Potassium เป็นกลุ่มแฮ็กเกอร์ที่เป็นที่รู้จักจากการโจมตีองค์กรต่าง ๆ ที่ถูกระบุว่ามีความสำคัญเชิงกลยุทธ์ต่อประเทศจีน โดยคาดว่ากลุ่มดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2552

กลุ่มดังกล่าวยังเชื่อมโยงกับการโจมตีโดยการใช้มัลแวร์ เช่น SigLoader, SodaMaster และเว็บเชลล์ที่ชื่อว่า Jackpot กับองค์กรต่าง ๆ ในประเทศญี่ปุ่นหลายแห่งตั้งแต่เดือนเมษายน 2564 โดย Trend Micro กำลังติดตามปฏิบัติการของกลุ่มดังกล่าวอยู่ภายใต้ชื่อ Earth Tengshe

การโจมตีครั้งล่าสุดถูกพบเมื่อระหว่างเดือนมีนาคม-มิถุนายน 2565 โดยเกี่ยวข้องกับการใช้ไฟล์ Microsoft Word ปลอม และไฟล์ self-extracting archive (SFX) ในรูปแบบ RAR ผ่านการโจมตีแบบ spear-phishing เพื่อทำการติดตั้ง backdoor ที่ชื่อว่า LODEINFO

โดยปกติผู้โจมตีจะต้องการให้เหยื่อเปิดใช้งาน macro บนไฟล์เอกสารที่เป็นอันตรายเนื่องจากต้องการให้มัลแวร์ทำงาน แต่พบว่าในเดือนมิถุนายน 2565 Stone Panda ได้เปลี่ยนไปใช้ไฟล์ SFX ที่เมื่อเปิดขึ้นมาแล้วจะแสดงเอกสาร Word ที่ดูปกติ เพื่อปกปิดพฤติกรรมที่เป็นอันตราย

(more…)

Trend Micro เตือนผู้ใช้งานให้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่บน Apex One ที่กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

Apex One เป็นซอฟต์แวร์ด้านความปลอดภัย ที่ใช้สำหรับตรวจจับภัยคุกคาม และตอบสนองต่อเครื่องมือ มัลแวร์ และช่องโหว่ที่เป็นอันตรายต่อระบบของผู้ใช้งาน

ช่องโหว่นี้มีหมายเลข CVE-2022-40139 ที่จะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเครื่องที่มีการใช้งานซอฟต์แวร์ที่มีช่องโหว่ได้จากระยะไกล

กลไกการ Rollback ใน Trend Micro Apex One และ Trend Micro Apex One as a Service บนเครื่อง Client นั้นสามารถทำให้ผู้ดูแลระบบ Server ของ Apex One สามารถสั่งการให้เครื่อง Client ทำการดาวน์โหลด Rollback package ที่ไม่ได้รับการยืนยัน ซึ่งอาจนำไปสู่การถูกสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

แต่ยังโชคดีที่ผู้โจมตีนั้นจะต้องสามารถเข้าถึงหน้า console ของผู้ดูแลระบบของ Apex One ได้ก่อนจึงจะสามารถโจมตีช่องโหว่นี้ได้

ถึงแม้ว่านี่จะเป็นการเพิ่มเงื่อนไขในการที่จะโจมตีช่องโหว่นี้ได้สำเร็จ แต่ Trend Micro ก็ได้ส่งคำเตือนไปยังผู้ใช้งานว่าได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง

Trend Micro ระบุว่า “Trend Micro ได้ตรวจพบการพยายามโจมตีช่องโหว่นี้อย่างน้อยหนึ่งครั้ง ดังนั้นผู้ใช้งานควรทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด”

ผู้ใช้งานควรทำการอัปเดตเวอร์ชันของ Apex One ให้เป็นเวอร์ชันล่าสุด โดยเป็นเวอร์ชัน Apex One Service Pack 1 (Server Build 11092 and Agent Build 11088)

ช่องโหว่ Authentication bypass ถูกแก้ไขด้วยในแพตช์นี้

Trend Micro ได้แก้ไขช่องโหว่ระดับความรุนแรงสูง CVE-2022-40144 อีกช่องโหว่บนผลิตภัณฑ์ Apex One ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถ bypass การยืนยันตัวตนได้ โดยการปลอมแปลง request parameters บนเครื่องที่ได้รับผลกระทบ

การใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีจำเป็นต้องเข้าถึงเครื่องที่มีช่องโหว่ได้ก่อน ไม่ว่าจะทางหน้าเครื่อง หรือจากภายนอก อย่างไรก็ตามถึงแม้ช่องโหว่จะจำเป็นต้องใช้เงื่อนไขที่เฉพาะเจาะจง แต่ทาง Trend Micro ก็แนะนำให้ผู้ใช้งานทำการอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เพิ่มเติมจากการอัปเดตแพตช์เป็นประจำ ผู้ใช้งานควรตรวจสอบพฤติกรรมการเข้าถึงระบบที่สำคัญจากภายนอกอยู่อย่างสม่ำเสมอ

ที่มา: bleepingcomputer

Permalink แพตซ์ของ Windows 11 KB5014019 ทำให้ฟีเจอร์การป้องกันแรนซัมแวร์ของ Trend Micro ไม่สามารถทำงานได้

แพตซ์การอัปเดตบน Windows (แบบ Optional) สัปดาห์นี้ ส่งผลกระทบกับผลิตภัณฑ์ security products บางตัวของ Trend Micro ที่ทำให้ความสามารถบางอย่าง รวมถึงคุณสมบัติการป้องกันแรนซัมแวร์ไม่สามารถทำงานได้

Trend Micro กล่าวว่า “Trend Micro endpoint และเซิร์ฟเวอร์ของ Trend Micro หลายตัวที่ใช้ UMH component สำหรับ advanced features บางอย่าง เช่น การป้องกันแรนซัมแวร์ ซึ่งเราพบว่าหากผู้ใช้งานอัปเดต optional แพตซ์บน Microsoft Windows 11 หรือ Windows 2022 (KB5014019) หลังจาก Reboot จะทำให้ไดรเวอร์ UMH ของ Trend Micro หยุดทำงาน"

ปัญหาที่พบส่งผลต่อ component User Mode Hooking (UMH) ที่ใช้ใน Trend Micro endpoint solutions เช่น Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0 และ Worry-Free Business Security Services 6.7

โดย Trend Micro กำลังดำเนินการแก้ไขปัญหานี้ ก่อนที่แพตซ์อัปเดตนี้ซึ่งเป็นส่วนหนึ่งของ Patch Tuesday ประจำเดือนมิถุนายน 2022 จะถูกปล่อยให้อัปเดตกับผู้ใช้งานทั้งหมด

วิธี restore Trend Micro endpoint

แพลตฟอร์ม Windows ที่ได้รับผลกระทบมีทั้งเวอร์ชันไคลเอ็นต์ และเซิร์ฟเวอร์ โดยส่วนมากจะพบปัญหาบน Windows 11, Windows 10 เวอร์ชัน 1809 และ Windows Server 2022

ผู้ใช้งาน Trend Micro ที่ได้ติดตั้ง optional แพตซ์ดังกล่าวของ Windows ไปแล้ว อาจใช้วิธีการถอนการติดตั้ง หรือติดต่อ Trend Micro support เพื่อรับ UMH debug module ที่จะทำให้ endpoint กลับมาทำงานได้ตามปกติ

ผู้ใช้ Windows สามารถลบการอัปเดตโดยใช้คำสั่งต่อไปนี้จาก Elevated Command Prompt

Windows 10 1809: wusa /uninstall /kb:5014022
Windows 11: wusa /uninstall /kb:5014019
Windows Server 2022: wusa /uninstall /kb:5014021

ที่มา : bleepingcomputer