Microsoft แนะนำวิธีการแก้ไขเบื้องต้นสำหรับช่องโหว่ zero-day ของ Office 365 ที่กำลังถูกโจมตีในช่วงนี้

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

Microsoft: Windows 10 version 1803, 1809 และ 1909 สิ้นสุดการให้บริการเรียบร้อยแล้ว

Windows 10 version 1803, 1809 และ 1909 หลายรุ่นได้สิ้นสุดการให้บริการ (End of Service - EOS) ใน Patch Tuesday ของเดือนนี้ Windows 10 รุ่นที่มาถึง EoS จะไม่ได้รับ Technical Support อีกต่อไป รวมไปถึงการแก้ไขข้อบกพร่อง และความปลอดภัยรายเดือนเพื่อปกป้องอุปกรณ์เหล่านี้จากภัยคุกคาม

โดยปกติแล้ว Microsoft จะแนะนำให้ผู้ใช้ผลิตภัณฑ์ที่สิ้นสุดการให้บริการอัปเกรดเป็นเวอร์ชันล่าสุดที่มีให้โดยเร็วที่สุดเพื่อรักษาระบบของตนให้ปลอดภัย แต่บริษัทเองก็จะยังเปิดให้อัปเดต Feature โดยอัตโนมัติสำหรับ Windows บางรุ่นที่เข้าข่าย EoS ไปอีกสักพักหลังจากที่ EoS ไปแล้ว และก็ยังสามารถเลือกเวลาในการรีบูต และอัปเดตให้เสร็จสมบูรณ์ได้

มีข้อยกเว้น 2 ประการสำหรับประกาศการสิ้นสุดการให้บริการ
1) Windows 10 เวอร์ชัน 1809 Enterprise LTSC 2019 และ Windows 10 IoT Core / Enterprise 2019 LTSC จะยังคงได้รับการอัปเดตจนถึงวันที่ 9 มกราคม 2572

2) Windows 10 เวอร์ชัน 1909 Education, Enterprise และ IoT Enterprise จะยังคงได้รับการอัปเดตจนถึงวันที่ 11 พฤษภาคม 2565

ผู้ใช้งานที่ยังคงใช้งาน Windows 10 ที่กำลังจะ EoS แนะนำให้อัปเดตเป็นเวอร์ชันล่าสุดเพื่อรับการอัปเดตด้านความปลอดภัยและการแก้ไขข้อบกพร่องอย่างทันท่วงที

ที่มา : bleepingcomputer.

Google shares PoC exploit for critical Windows 10 Graphics RCE bug

ทีม Project Zero เผยเเพร่โค้ด PoC ของช่องโหว่ที่อยู่ใน Graphics ของ Windows 10

ทีม Project Zero จาก Google ได้เปิดเผยรายละเอียดทางเทคนิคและโค้ดซึ่งใช้ประโยชน์จากช่องโหว่หรือ Proof-of-Concept (PoC) สำหรับช่องโหว่การเรียกใช้โค้ดระยะไกล (Remote Code Execution - RCE) ที่ส่งผลต่อส่วนประกอบกราฟิกบนระบบปฏิบัติการ Windows โดยช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-24093 เป็นช่องโหว่ใน Windows API ที่มีชื่อว่า Microsoft DirectWrite

เนื่องจาก DirectWrite API ถูกใช้เป็นเครื่องมือในการอ่านแบบอักษรเริ่มต้นที่ถูกใช้โดยเว็บเบราว์เซอร์หลัก ๆ เช่น Chrome, Firefox และ Edge สำหรับการแสดงตัวอักษรบนเว็บ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการทำ memory corruption เพื่อให้เกิดความเสียหายในหน่วยความจำซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกล หรือผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้โดยการหลอกล่อเป้าหมายให้เข้าเยื่ยมชมเว็บไซต์ของผู้โจมตีที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งเว็บไซต์อาจทำให้เกิด Heap-based buffer overflow ในฟังก์ชัน fsg_ExecuteGlyph API ซึ่งอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตระบบของเป้าหมายได้จากระยะไกลgเช่นเดียวกันกับกรณีเเรก

ช่องโหว่นี้จะส่งผลกระทบต่อ Windows 10 และ Windows Server หลายรุ่นจนถึง Windows 10 เวอร์ชัน 20H2 ซึ่งเป็นเวอร์ชันล่าสุดที่เพิ่งเปิดตัว โดยหลังจากทีม Project Zero พบช่องโหว่เป็นเวลา 90 วันได้ทำการเผยเเพร่โค้ด PoC สำหรับช่องโหว่สู่สาธารณะ ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

ACROS Security ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน IE ที่ถูกใช้ประโยชน์ในแคมเปญการโจมตีนักวิจัยด้านความปลอดภัย

บริษัท ACROS Security บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการแพลตฟอร์มอัปเดตความปลอดภัย 0patch ได้ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน Microsoft Internet Explorer (IE) ที่เชื่อว่าถูกแฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์ในแคมเปญที่กำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัย

ช่องโหว่ถูกเผยเพร่โดยนักวิจัยจากบริษัท ENKI ซึ่งเป็นบริษัทผู้ให้บริการด้านความปลอดภัยของเกาหลีใต้ที่ได้ทำการเผยแพร่รายงานเกี่ยวกับช่องโหว่ Zero-day บน IE เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา โดยช่องโหว่จะเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน IE เมื่อผู้ใช้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งช่องโหว่จะส่งผลกระทบกับ Windows 7, Windows 10, Server 2008 R2, Server 2016, 2019 สำหรับช่องโหว่นี้นักวิจับเชื่อว่าแฮกเกอร์ชาวเกาหลีเหนือได้ใช้ประโยชน์เพื่อกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยด้วยไฟล์ MHTML ที่เป็นอันตรายซึ่งอาจนำไปสู่การดาวน์โหลดเพย์โหลดที่เป็นอันตราย

Microsoft ได้รับการรายงานและยืนยันรายงานเกี่ยวกับช่องโหว่แล้ว อย่างไรก็ตามการแก้ไขสำหรับช่องโหว่ Zero-day ไม่ได้ถูกบรรจุในการปรับปรุงการรักษาความปลอดภัยที่ไมโครซอฟท์เปิดตัว Patch Tuesday February 2021 ที่ผ่านมา

ประกาศเปิดตัวไมโครแพตช์สำหรับช่องโหว่ Zero-day ใน IE นี้ทาง ACROS Security ได้ทำการร่วมมือกับ ENKI ซึ่งทำการแชร์ Proof-of-Concept เพื่อช่วยในการแก้ไขและพัฒนาไมโครแพตช์สำหรับช่องโหว่ Zero-day โดยขณะนี้แพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่พร้อมให้บริการแล้วผ่านบริการ 0patch

ทั้งนี้ผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยสามารถทำการอัปเดตแพตช์ได้แล้วผ่านบริการ 0patch สำหรับผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยจาก Microsoft ควรทำการติดตามการประกาศการอัปเดตด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft ในเร็วๆ นี้

ที่มา : securityweek

นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องที่จะทำให้ Windows 10 เกิด Blue Screen of Death เมื่อเข้าถึงพาธเฉพาะ

Jonas Lykkegaard นักวิจัยด้านความปลอดภัยด้านระบบปฏิบัติการ Windows ได้เปิดเผยถึงการค้นพบพาธที่จะทำให้ Windows 10 เกิดขัดข้องและจะแสดง Blue Screen of Death (BSOD) ทันทีเพียงแค่เปิดพาทในแถบ Address bar ของเบราว์เซอร์หรือใช้คำสั่งอื่นๆ

Lykkegaard กล่าวว่าเขาได้ค้นพบพาธสำหรับ Win32 device namespace สำหรับอุปกรณ์ในกลุ่ม "console multiplexer driver" ที่สามารถอ้างถึงได้ผ่านพาธ \\.\globalroot\device\condrv\kernelconnect โดยหากมีการพยายามเข้าถึงพาธนี้ไม่ว่าจะในลักษณะใดก็ตาม ระบบจะเกิดการแครชและแสดงหน้า Blue Screen of Death ทันที การวิเคราะห์เบื้องต้นพบว่าพาธดังกล่าวนั้นจำเป็นจะต้องมีการระบุพารามิเตอร์อย่างน้อยหนึ่งรายการ ทั้งนี้หากเรียกพาธดังกล่าวโดยไม่ระบุค่าใดๆ ไป ระบบจะเกิดข้อผิดพลาดจากการตรวจสอบเงื่อนไขนี้ไม่สมบูรณ์ และทำให้เกิดสถานการณ์ดังกล่าว

หลังจากพบข้อบกพร่องนักวิจัยได้ทำการแจ้งต่อ Microsoft แล้วเมื่อสัปดาห์ที่ผ่านเพื่อให้ Microsoft ทำการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงานและจัดเตรียมการอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: bleepingcomputer

 

“wsreset” เครื่องมือบน Windows 10 Store ช่วยให้ผู้โจมตี Bypass โปรแกรมป้องกันไวรัส

Daniel Gebert นักวิจัยระบบด้านความปลอดภัยได้เปิดเผยการค้นพบเทคนิคใหม่ที่ใช้ประโยชน์จากเครื่องมือบน Windows 10 Microsoft Store ที่เรียกว่า “wsreset.

ช่องโหว่การตั้งค่าความเป็นส่วนตัวบน Windows 10 ทำให้ผู้ใช้ทั่วไปสามารถเปลี่ยนการตั้งค่าของผู้ดูแลระบบได้

นักวิจัยด้านความปลอดภัย Kushal Arvind Shah จาก FortiGuard Labs ได้เปิดเผยถึงช่องโหว่ใน Windows Diagnostics & feedback (CVE-2020-1296) ซึ่งช่องโหว่จะสามารถทำให้ผู้ใช้งานทั่วไปสามารถเปลี่ยนการตั้งค่าของผู้ดูแลระบบได้

ช่องโหว่ CVE-2020-1296 นั้นเกิดจากการตั้งค่า Windows Diagnostic Data Feedback ซึ่งผู้ที่สามารถตั้งค่าได้คือผู้ดูแลระบบเท่านั้น โดยการตั้งค่า Diagnostics & Feedback นั้นคือการตั้งค่าว่าจะส่งข้อมูลการวินิจฉัยทั้งหมดไปยัง Microsoft เพื่อทำการวิเคราะห์ในกรณีที่เกิดข้อขัดข้องหรือความผิดปกติอื่นๆ ที่ตรวจพบเมื่อผู้ดูแลระบบทำการตั้งค่า Diagnostics & Feedback เป็นแบบ Full นั้นจะทำให้ผู้ใช้บัญชีอื่นในเครื่องสามารถตั้งค่า Windows Diagnostic Data feedback ได้เช่นเดียวกับผู้ดูแลระบบ

แม้ว่าปัญหาที่เกิดขึ้นจะดูเล็กน้อย Shah กล่าวว่าการตั้งค่านี้ถูกจัดอยู่ในกลุ่มช่องโหว่ "Security bypass" ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำสามารถเปลี่ยนการตั้งค่าในการรับแพตช์ความปลอดภัย รวมไปถึงทำให้ความปลอดภัยของระบบในภาพรวมลดลงได้

รุ่นที่ได้รับผลกระทบ Windows 10 Version 1809, 1903, 1909 สำหรับ 32 bit และ 64 bit , Windows Server 2019, 1903, 1909 (Server Core)

คำแนะนำสำหรับการแก้ไขช่องโหว่ผู้ใช้ควรทำการติดตั้งแพตซ์อัปเดตจาก Microsoft ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:

bleepingcomputer
portal.

Microsoft แก้ไขข้อบกพร่องการสแกนของ Windows Defender ด้วยอัพเดทแพตช์ใหม่

Microsoft ได้แก้ไขข้อผิดพลาดการทำงานของ Windows Defender ข้อผิดพลาดเกิดขึ้นจากการที่ Windows Defender Antivirus สแกนข้ามรายการที่สแกนเนื่องจากการยกเว้นหรือการตั้งค่าการสแกนเครือข่าย ทำให้การแจ้งเตือนของ Windows Defender เกิดข้อผิดพลาด

ข้อผิดพลาดเกิดจากการอัปเดตสแกนเนอร์ของ Windows Defender ที่ปิดใช้งานการสแกนเครือข่ายโดยอัตโนมัติสำหรับรุ่นที่ใหม่กว่าหลังจากที่เปิดการใช้งานมาแล้วก่อนหน้านี้

Microsoft แก้ไขปัญหาด้วยการเปิดตัวแพตช์อัพเดต KB4052623 ที่จะเพิ่มเวอร์ชันของเอ็นจินการสแกนเป็น 4.18.2003.8 และจะป้องกันการแจ้งเตือนของไฟล์ที่ถูกข้ามไม่ให้ปรากฏ ผู้ใช้ควรทำการอัปเดตแพตช์ KB4052623 ได้โดยอัตโนมัติผ่านทาง Windows Update แพตช์อัพเดต KB4052623 สามารถอัพเดตได้ใน Windows 10 (รุ่น Enterprise, Pro และ Home), Windows Server 2019 และ Windows Server 2016

ที่มา: bleepingcomputer

Windows 10 Y3K Bug: Won’t Install After January 18, 3001

Windows 10 Y3K Bug: ไม่สามารถติดตั้ง Windows หากตั้งเวลาไปหลัง 18 มกราคม 3001

พบข้อผิดพลาดที่ผลกระทบต่อผู้ใช้ Windows 10 version 1909 บน เมนบอร์ด Gigabyte H370 HD3 (Intel CPUs) และ Gigabyte x570 Aorus Elite (AMD CPUs) ส่งผลให้ผู้ใช้สามารถตั้งค่าวันที่ BIOS บนเมนบอร์ด ไปหลังวันที่ 19-01-3001 หรือมากกว่านั้น มีผลทำให้ไม่สามารถติดตั้ง Windows ได้จนเสร็จสิ้นกระบวนการ โดยเมื่อผู้ใช้งานพยายามเข้าสู่ระบบหลังจากมีการตั้งค่านี้แล้ว ระบบจะไม่ยินยอมให้เข้าถึงและค้างไปหลังจากมีการ reboot ครั้งที่ 2 การตั้งค่าวันที่ที่ไม่ถูกต้องใน BIOS จะยังคงมีผลกับอุปกรณ์เมนบอร์ดใหม่ซึ่งนำมาใช้งานด้วย

การแก้ไขปัญหาสามารถทำได้ตามขั้นตอนดังต่อไปนี้

แก้ไขวันที่ใน BIOS ไปก่อนวันที่ 19-01-3001
Restart เครื่องจาก แผ่นการติดตั้ง (USB flash drive หรือ DVD)
ลบข้อมูลบน SSD/HDD ที่ต้องการติดตั้ง Windows แล้วทำการติดตั้งอีกครั้ง

ที่มา : bleepingcomputer

Microsoft releases out-of-band security update to fix IE zero-day & Defender bug

Microsoft ออกแพตช์ด่วนให้ช่องโหว่ zero-day IE และบัคใน Defender

Microsoft ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาด้านความปลอดภัยช่องโหว่ ได้แก่ช่องโหว่ zero-day ใน Internet Explorer scripting engine และข้อบกพร่องของ Microsoft Defender โดยพบการโจมตีที่ใช้ช่องโหว่ของ Internet Explorer ดังกล่าวแล้ว

ผู้ใช้ Windows ควรติดตั้งการอัปเดตโดยเร็วที่สุด โดยแพตช์สำหรับ IE จะต้องอัปเดตด้วยตนเองในขณะที่ Defender bug จะได้รับการแก้ไขผ่านการอัปเดตแบบอัตโนมัติ

ช่องโหว่ของ Internet Explorer ดังกล่าวเป็นช่องโหว่ที่ร้ายแรงมากเป็นช่องโหว่ remote code execution (RCE) โดยได้รับ CVE-2019-1255 ซึ่งจะทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกลได้เมื่อทำให้หน่วยความจำเสียหาย

ผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่จะได้รับสิทธิ์ผู้ใช้เช่นเดียวกับ User ที่กำลังใช้งาน Internet Explorer ซึ่งผู้โจมตีสามารถทำการโจมตีโดยหลอกให้เหยื่อเข้าชมเว็บไซต์ที่เป็นอันตราย

ผู้ใช้งาน Internet Explorer ควรศึกษาคำแนะนำของ Microsoft ที่แนะนำวิธีอัปเดตและวิธีลดความเสี่ยงในกรณีที่ไม่สามารถอัปเดตได้จาก https://portal.