ACROS Security ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน IE ที่ถูกใช้ประโยชน์ในแคมเปญการโจมตีนักวิจัยด้านความปลอดภัย

บริษัท ACROS Security บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการแพลตฟอร์มอัปเดตความปลอดภัย 0patch ได้ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน Microsoft Internet Explorer (IE) ที่เชื่อว่าถูกแฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์ในแคมเปญที่กำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัย

ช่องโหว่ถูกเผยเพร่โดยนักวิจัยจากบริษัท ENKI ซึ่งเป็นบริษัทผู้ให้บริการด้านความปลอดภัยของเกาหลีใต้ที่ได้ทำการเผยแพร่รายงานเกี่ยวกับช่องโหว่ Zero-day บน IE เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา โดยช่องโหว่จะเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน IE เมื่อผู้ใช้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งช่องโหว่จะส่งผลกระทบกับ Windows 7, Windows 10, Server 2008 R2, Server 2016, 2019 สำหรับช่องโหว่นี้นักวิจับเชื่อว่าแฮกเกอร์ชาวเกาหลีเหนือได้ใช้ประโยชน์เพื่อกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยด้วยไฟล์ MHTML ที่เป็นอันตรายซึ่งอาจนำไปสู่การดาวน์โหลดเพย์โหลดที่เป็นอันตราย

Microsoft ได้รับการรายงานและยืนยันรายงานเกี่ยวกับช่องโหว่แล้ว อย่างไรก็ตามการแก้ไขสำหรับช่องโหว่ Zero-day ไม่ได้ถูกบรรจุในการปรับปรุงการรักษาความปลอดภัยที่ไมโครซอฟท์เปิดตัว Patch Tuesday February 2021 ที่ผ่านมา

ประกาศเปิดตัวไมโครแพตช์สำหรับช่องโหว่ Zero-day ใน IE นี้ทาง ACROS Security ได้ทำการร่วมมือกับ ENKI ซึ่งทำการแชร์ Proof-of-Concept เพื่อช่วยในการแก้ไขและพัฒนาไมโครแพตช์สำหรับช่องโหว่ Zero-day โดยขณะนี้แพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่พร้อมให้บริการแล้วผ่านบริการ 0patch

ทั้งนี้ผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยสามารถทำการอัปเดตแพตช์ได้แล้วผ่านบริการ 0patch สำหรับผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยจาก Microsoft ควรทำการติดตามการประกาศการอัปเดตด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft ในเร็วๆ นี้

ที่มา : securityweek

นักวิจัยด้านความปลอดภัยค้นพบข้อบกพร่องที่จะทำให้ Windows 10 เกิด Blue Screen of Death เมื่อเข้าถึงพาธเฉพาะ

Jonas Lykkegaard นักวิจัยด้านความปลอดภัยด้านระบบปฏิบัติการ Windows ได้เปิดเผยถึงการค้นพบพาธที่จะทำให้ Windows 10 เกิดขัดข้องและจะแสดง Blue Screen of Death (BSOD) ทันทีเพียงแค่เปิดพาทในแถบ Address bar ของเบราว์เซอร์หรือใช้คำสั่งอื่นๆ

Lykkegaard กล่าวว่าเขาได้ค้นพบพาธสำหรับ Win32 device namespace สำหรับอุปกรณ์ในกลุ่ม "console multiplexer driver" ที่สามารถอ้างถึงได้ผ่านพาธ \\.\globalroot\device\condrv\kernelconnect โดยหากมีการพยายามเข้าถึงพาธนี้ไม่ว่าจะในลักษณะใดก็ตาม ระบบจะเกิดการแครชและแสดงหน้า Blue Screen of Death ทันที การวิเคราะห์เบื้องต้นพบว่าพาธดังกล่าวนั้นจำเป็นจะต้องมีการระบุพารามิเตอร์อย่างน้อยหนึ่งรายการ ทั้งนี้หากเรียกพาธดังกล่าวโดยไม่ระบุค่าใดๆ ไป ระบบจะเกิดข้อผิดพลาดจากการตรวจสอบเงื่อนไขนี้ไม่สมบูรณ์ และทำให้เกิดสถานการณ์ดังกล่าว

หลังจากพบข้อบกพร่องนักวิจัยได้ทำการแจ้งต่อ Microsoft แล้วเมื่อสัปดาห์ที่ผ่านเพื่อให้ Microsoft ทำการตรวจสอบปัญหาด้านความปลอดภัยที่ได้รับรายงานและจัดเตรียมการอัปเดตสำหรับอุปกรณ์ที่ได้รับผลกระทบโดยเร็วที่สุด

ที่มา: bleepingcomputer

 

“wsreset” เครื่องมือบน Windows 10 Store ช่วยให้ผู้โจมตี Bypass โปรแกรมป้องกันไวรัส

Daniel Gebert นักวิจัยระบบด้านความปลอดภัยได้เปิดเผยการค้นพบเทคนิคใหม่ที่ใช้ประโยชน์จากเครื่องมือบน Windows 10 Microsoft Store ที่เรียกว่า “wsreset.

ช่องโหว่การตั้งค่าความเป็นส่วนตัวบน Windows 10 ทำให้ผู้ใช้ทั่วไปสามารถเปลี่ยนการตั้งค่าของผู้ดูแลระบบได้

นักวิจัยด้านความปลอดภัย Kushal Arvind Shah จาก FortiGuard Labs ได้เปิดเผยถึงช่องโหว่ใน Windows Diagnostics & feedback (CVE-2020-1296) ซึ่งช่องโหว่จะสามารถทำให้ผู้ใช้งานทั่วไปสามารถเปลี่ยนการตั้งค่าของผู้ดูแลระบบได้

ช่องโหว่ CVE-2020-1296 นั้นเกิดจากการตั้งค่า Windows Diagnostic Data Feedback ซึ่งผู้ที่สามารถตั้งค่าได้คือผู้ดูแลระบบเท่านั้น โดยการตั้งค่า Diagnostics & Feedback นั้นคือการตั้งค่าว่าจะส่งข้อมูลการวินิจฉัยทั้งหมดไปยัง Microsoft เพื่อทำการวิเคราะห์ในกรณีที่เกิดข้อขัดข้องหรือความผิดปกติอื่นๆ ที่ตรวจพบเมื่อผู้ดูแลระบบทำการตั้งค่า Diagnostics & Feedback เป็นแบบ Full นั้นจะทำให้ผู้ใช้บัญชีอื่นในเครื่องสามารถตั้งค่า Windows Diagnostic Data feedback ได้เช่นเดียวกับผู้ดูแลระบบ

แม้ว่าปัญหาที่เกิดขึ้นจะดูเล็กน้อย Shah กล่าวว่าการตั้งค่านี้ถูกจัดอยู่ในกลุ่มช่องโหว่ "Security bypass" ซึ่งทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำสามารถเปลี่ยนการตั้งค่าในการรับแพตช์ความปลอดภัย รวมไปถึงทำให้ความปลอดภัยของระบบในภาพรวมลดลงได้

รุ่นที่ได้รับผลกระทบ Windows 10 Version 1809, 1903, 1909 สำหรับ 32 bit และ 64 bit , Windows Server 2019, 1903, 1909 (Server Core)

คำแนะนำสำหรับการแก้ไขช่องโหว่ผู้ใช้ควรทำการติดตั้งแพตซ์อัปเดตจาก Microsoft ให้เป็นเวอร์ชั่นล่าสุด

ที่มา:

bleepingcomputer
portal.

Microsoft แก้ไขข้อบกพร่องการสแกนของ Windows Defender ด้วยอัพเดทแพตช์ใหม่

Microsoft ได้แก้ไขข้อผิดพลาดการทำงานของ Windows Defender ข้อผิดพลาดเกิดขึ้นจากการที่ Windows Defender Antivirus สแกนข้ามรายการที่สแกนเนื่องจากการยกเว้นหรือการตั้งค่าการสแกนเครือข่าย ทำให้การแจ้งเตือนของ Windows Defender เกิดข้อผิดพลาด

ข้อผิดพลาดเกิดจากการอัปเดตสแกนเนอร์ของ Windows Defender ที่ปิดใช้งานการสแกนเครือข่ายโดยอัตโนมัติสำหรับรุ่นที่ใหม่กว่าหลังจากที่เปิดการใช้งานมาแล้วก่อนหน้านี้

Microsoft แก้ไขปัญหาด้วยการเปิดตัวแพตช์อัพเดต KB4052623 ที่จะเพิ่มเวอร์ชันของเอ็นจินการสแกนเป็น 4.18.2003.8 และจะป้องกันการแจ้งเตือนของไฟล์ที่ถูกข้ามไม่ให้ปรากฏ ผู้ใช้ควรทำการอัปเดตแพตช์ KB4052623 ได้โดยอัตโนมัติผ่านทาง Windows Update แพตช์อัพเดต KB4052623 สามารถอัพเดตได้ใน Windows 10 (รุ่น Enterprise, Pro และ Home), Windows Server 2019 และ Windows Server 2016

ที่มา: bleepingcomputer

Windows 10 Y3K Bug: Won’t Install After January 18, 3001

Windows 10 Y3K Bug: ไม่สามารถติดตั้ง Windows หากตั้งเวลาไปหลัง 18 มกราคม 3001

พบข้อผิดพลาดที่ผลกระทบต่อผู้ใช้ Windows 10 version 1909 บน เมนบอร์ด Gigabyte H370 HD3 (Intel CPUs) และ Gigabyte x570 Aorus Elite (AMD CPUs) ส่งผลให้ผู้ใช้สามารถตั้งค่าวันที่ BIOS บนเมนบอร์ด ไปหลังวันที่ 19-01-3001 หรือมากกว่านั้น มีผลทำให้ไม่สามารถติดตั้ง Windows ได้จนเสร็จสิ้นกระบวนการ โดยเมื่อผู้ใช้งานพยายามเข้าสู่ระบบหลังจากมีการตั้งค่านี้แล้ว ระบบจะไม่ยินยอมให้เข้าถึงและค้างไปหลังจากมีการ reboot ครั้งที่ 2 การตั้งค่าวันที่ที่ไม่ถูกต้องใน BIOS จะยังคงมีผลกับอุปกรณ์เมนบอร์ดใหม่ซึ่งนำมาใช้งานด้วย

การแก้ไขปัญหาสามารถทำได้ตามขั้นตอนดังต่อไปนี้

แก้ไขวันที่ใน BIOS ไปก่อนวันที่ 19-01-3001
Restart เครื่องจาก แผ่นการติดตั้ง (USB flash drive หรือ DVD)
ลบข้อมูลบน SSD/HDD ที่ต้องการติดตั้ง Windows แล้วทำการติดตั้งอีกครั้ง

ที่มา : bleepingcomputer

Microsoft releases out-of-band security update to fix IE zero-day & Defender bug

Microsoft ออกแพตช์ด่วนให้ช่องโหว่ zero-day IE และบัคใน Defender

Microsoft ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาด้านความปลอดภัยช่องโหว่ ได้แก่ช่องโหว่ zero-day ใน Internet Explorer scripting engine และข้อบกพร่องของ Microsoft Defender โดยพบการโจมตีที่ใช้ช่องโหว่ของ Internet Explorer ดังกล่าวแล้ว

ผู้ใช้ Windows ควรติดตั้งการอัปเดตโดยเร็วที่สุด โดยแพตช์สำหรับ IE จะต้องอัปเดตด้วยตนเองในขณะที่ Defender bug จะได้รับการแก้ไขผ่านการอัปเดตแบบอัตโนมัติ

ช่องโหว่ของ Internet Explorer ดังกล่าวเป็นช่องโหว่ที่ร้ายแรงมากเป็นช่องโหว่ remote code execution (RCE) โดยได้รับ CVE-2019-1255 ซึ่งจะทำให้ผู้โจมตีสามารถรันโค้ดได้จากระยะไกลได้เมื่อทำให้หน่วยความจำเสียหาย

ผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่จะได้รับสิทธิ์ผู้ใช้เช่นเดียวกับ User ที่กำลังใช้งาน Internet Explorer ซึ่งผู้โจมตีสามารถทำการโจมตีโดยหลอกให้เหยื่อเข้าชมเว็บไซต์ที่เป็นอันตราย

ผู้ใช้งาน Internet Explorer ควรศึกษาคำแนะนำของ Microsoft ที่แนะนำวิธีอัปเดตและวิธีลดความเสี่ยงในกรณีที่ไม่สามารถอัปเดตได้จาก https://portal.

Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

นักวิจัยด้านความปลอดภัยชื่อ "SandboxEscaper" ได้เผยแพร่ช่องโหว่ Zero-day ใหม่ใน Windows บน Twitter ของตัวเองอีกครั้งเป็นครั้งที่สองในช่วงสองเดือนที่ผ่านมา และเปิดเผย proof-of-concept (POC) ของช่องโหว่ดังกล่าวบน GitHub

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Microsoft Data Sharing (dssvc.

Windows 10’s “Controlled Folder Access” Anti-Ransomware Feature Is Now Live

เมื่อสัปดาห์ที่ผ่านมา Windows ได้ทำการเปิดตัว Windows 10 Fall Creators พร้อมฟีเจอร์ใหม่นี้มีชื่อว่า Controlled Folder Access โดยฟีเจอร์ Controlled Folder Access ช่วยให้ผู้ใช้สามารถควบคุมการอนุญาตเข้าถึงโฟลเดอร์ได้ ทั้งนี้ฟีเจอร์ดังกล่าวตั้งอยู่บนทฤษฎีที่ว่า "การปิดกั้นทุกอย่างโดยปริยาย" จะสามารถช่วยป้องกันมัลแวร์เรียกค่าไถ่(Ransomware) ได้ กล่าวคือหากไม่ได้รับการอนุญาตให้เข้าถึง จะไม่สามารถดำเนินการใดๆกับโฟลเดอร์ดังกล่าวได้(Block) จึงสามารถช่วยป้องกันการเข้ารหัสไฟล์ที่เก็บไว้ในโฟลเดอร์เหล่านั้นได้

BleepingComputer ได้ทำการทดสอบฟีเจอร์ "Controlled Folder Access" ด้วย Ransomware Asasin Locky variant , the Comrade HiddenTear variant และ the Wyvern BTCWare variant โดยผลการทดลองคือโฟลเดอร์ที่ใช้ฟีเจอร์ดังกล่าวสามารถป้องกันการโจมตีจาก Ransomware ได้สำเร็จ

แม้ว่า BleepingComputer แนะนำให้ทุกคนใช้ Controlled Folder Access แต่ก็ไม่อยากให้ยึดถือเป็นฟีเจอร์หลักในการป้องกัน Ransomware ทั้งนี้ Microsoft ได้กล่าวว่าหากเครื่อง Windows 10 ของท่านมีการเปิด Automatically Update เอาไว้ก็ไม่จำเป็นต้องดำเนินการใดๆ ระบบจะทำการอัพเดตให้ท่านเองโดยอัตโนมัติ และในส่วนของขั้นตอนการเปิดใช้งานฟีเจอร์ดังกล่าวสามารถดูได้จาก link ที่มาด้านล่าง

ที่มา: bleepingcomputer