บริษัท ACROS Security บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์และผู้ให้บริการแพลตฟอร์มอัปเดตความปลอดภัย 0patch ได้ประกาศเปิดตัวไมโครแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ Zero-day ใน Microsoft Internet Explorer (IE) ที่เชื่อว่าถูกแฮกเกอร์ชาวเกาหลีเหนือใช้ประโยชน์ในแคมเปญที่กำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัย

ช่องโหว่ถูกเผยเพร่โดยนักวิจัยจากบริษัท ENKI ซึ่งเป็นบริษัทผู้ให้บริการด้านความปลอดภัยของเกาหลีใต้ที่ได้ทำการเผยแพร่รายงานเกี่ยวกับช่องโหว่ Zero-day บน IE เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา โดยช่องโหว่จะเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน IE เมื่อผู้ใช้เข้าชมเว็บไซต์ที่เป็นอันตราย ซึ่งช่องโหว่จะส่งผลกระทบกับ Windows 7, Windows 10, Server 2008 R2, Server 2016, 2019 สำหรับช่องโหว่นี้นักวิจับเชื่อว่าแฮกเกอร์ชาวเกาหลีเหนือได้ใช้ประโยชน์เพื่อกำหนดเป้าหมายไปยังนักวิจัยด้านความปลอดภัยด้วยไฟล์ MHTML ที่เป็นอันตรายซึ่งอาจนำไปสู่การดาวน์โหลดเพย์โหลดที่เป็นอันตราย

Microsoft ได้รับการรายงานและยืนยันรายงานเกี่ยวกับช่องโหว่แล้ว อย่างไรก็ตามการแก้ไขสำหรับช่องโหว่ Zero-day ไม่ได้ถูกบรรจุในการปรับปรุงการรักษาความปลอดภัยที่ไมโครซอฟท์เปิดตัว Patch Tuesday February 2021 ที่ผ่านมา

ประกาศเปิดตัวไมโครแพตช์สำหรับช่องโหว่ Zero-day ใน IE นี้ทาง ACROS Security ได้ทำการร่วมมือกับ ENKI ซึ่งทำการแชร์ Proof-of-Concept เพื่อช่วยในการแก้ไขและพัฒนาไมโครแพตช์สำหรับช่องโหว่ Zero-day โดยขณะนี้แพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่พร้อมให้บริการแล้วผ่านบริการ 0patch

ทั้งนี้ผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยสามารถทำการอัปเดตแพตช์ได้แล้วผ่านบริการ 0patch สำหรับผู้ใช้ที่ต้องการอัปเดตแพตช์ความปลอดภัยจาก Microsoft ควรทำการติดตามการประกาศการอัปเดตด้านความปลอดภัยอย่างเป็นทางการจาก Microsoft ในเร็วๆ นี้

ที่มา : securityweek

นักวิจัยด้านความปลอดภัยชาวฝรั่งเศส Clément Labro ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day โดยบังเอิญซึ่งส่งผลกระทบต่อระบบปฏิบัติการ Windows 7 และ Windows Server 2008 R2

ช่องโหว่สองรายการที่ถูกค้นพบนี้อยู่ใน Registry key โดยช่องโหว่เกิดจากการกำหนดค่าไม่ถูกต้องในเซอร์วิส PC Endpoint Mapper และ DNSCache ตามพาทดังนี้

HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache

นักวิจัยกล่าวว่าช่องโหว่ที่ถูกค้นพบสามารถทำให้ผู้ประสงค์ร้ายแก้ไข Registry key ได้ โดย Registry key ดังกล่าวจะถูกนำไปใช้ต่อเพื่อเปิดใช้งาน sub-key ในกลไกของ Windows Performance Monitoring ซึ่งโดยปกติแล้วจะเปิดให้นักพัฒนาสามารถโหลดไฟล์ DLL ของตนเองที่ทำการแก้ไขด้วย Custom tool เพื่อการติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ซึ่งด้วยวิธีการนี้ใน Windows เวอร์ชันใหม่ๆ จะมีการจำกัดสิทธิการทำงานนี้ไว้ แต่ด้วยกลไกลที่กล่าวมาของ Windows 7 และ Server 2008 ผู้ประสงค์ร้ายที่อยู่ในระบบสามารถใช้ช่องทางนี้ในการลอบรันโค้ดในระดับ SYSTEM ได้

Clément Labro พบช่องโหว่นี้โดยบังเอิญจากการทำ PrivescCheck เครื่องมือตรวจสอบการตั้งค่าว่า Windows มีการตั้งค่าที่ไม่ถูกต้องและอาจถูกใช้ในการยกระดับสิทธิได้หรือไม่ โดยเขาพบช่องโหว่ดังกล่าวเมื่อทดลอง PrivescCheck กับ Windows 7 ภายหลังจากที่อัปเดต PrivescCheck สู่สาธารณะไปแล้ว จึงเลือกที่จะเผยแพร่การค้นพบช่องโหว่ Zero-day นี้

ทั้งนี้ Windows 7 และ Windows Server 2008 R2 ได้สิ้นสุดอายุการซับพอต (End Of Life - EOL) และทาง Microsoft ได้หยุดให้บริการอัปเดตแพตซ์ความปลอดภัยให้แก่ผู้ใช้แล้ว อย่างไรก็ดีผู้ใช้สามารถทำการอัปเดตแพตซ์ความปลอดภัยได้โดยการชำระเงิน (Extended Support Updates - ESU) หรือการอัปเดตแพตช์จาก Third-party เช่น 0patch ของบริษัท ACROS Security ซึ่งได้ทำการอัปเดตแพตซ์ความปลอดภัยและเเก้ไขช่องโหว่ดังกล่าวแล้ว

ที่มา:

zdnet.

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา หรือ FBI ได้ออกเเจ้งเตือนภาคเอกชนของสหรัฐอเมริกาเกี่ยวกับความเสี่ยงของการใช้ Windows 7 ต่อไปหลังจากที่ Windows 7 ได้ End-Of-Life (EOL) อย่างเป็นทางการแล้วเมื่อต้นปีที่ผ่านมา โดยไมโครซอฟต์จะไม่มีแพตช์ความปลอดภัยรวมถึงคำแนะนำด้านความปลอดภัยให้กับผลิตภัณฑ์ที่ End-Of-Life (EOL) ไปแล้ว ยกเว้นแต่มีการซื้อบริการซัพพอร์ตเพิ่ม

FBI ได้สังเกตเห็นอาชญากรทางไซเบอร์ได้ทำการตั้งเป้าหมายเพื่อทำการโจมตีคอมพิวเตอร์ที่ End-Of-Life (EOL) ภายใต้โครงสร้างพื้นฐานเครือข่ายคอมพิวเตอร์ ซึ่งการใช้ Windows 7 มีความเสี่ยงต่อการใช้ประโยชน์หรือเป็นช่องทางให้ผู้ประสงค์ร้ายทำการโจมตีเครือข่ายองค์กรหรือบริษัทเพื่อทำการเเสวงหาผลประโยชน์ในภายหลัง เนื่องจาก Windows 7 นั้นขาดการอัปเดตความปลอดภัยและเเก้ไขช่องโหว่ใหม่ๆ ที่ถูกค้นพบ

FBI ได้เรียกร้องขอให้ภาคเอกชนและบริษัทต่างๆ พิจารณาการอัปเกรด ถึงเเม้ว่าบางกรณีฮาร์ดแวร์พื้นฐานอาจไม่รองรับการอัปเกรดจากจาก Windows 7 ไปเป็น Windows 10 เเต่เพื่อป้องกันการโจมตีจากช่องโหว่ที่พบใน Windows 7 เช่นช่องโหว่ EternalBlue ที่อาจใช้ WannaCry ในการเเพร่กระจายมัลเเวร์ในเครือข่าย หรือเเม้เเต่ช่องโหว่ BlueKeep ซึ่งทำให้ผู้โจมตีสามารถเจาะเข้าไปใน Windows 7 ที่เปิดใช้งานปลายทาง RDP ได้ ซึ่งอาจก่อให้เกิดภัยคุกคามต่อองค์กรและการสูญเสียทรัพย์สินทางปัญญา ทั้งนี้มูลค่าการอัปเกรดนั้นอาจจะน้อยกว่าผลกระทบที่เกิดจากระบบถูกบุกรุก

ในขณะที่องค์กรหรือบริษัทต่างๆ กำลังพิจารณาการอัปเกรดทาง FBI ได้มีคำเเนะนำดังนี้

ตรวจสอบซอฟแวร์ป้องกันไวรัสและไฟร์วอลล์ให้เป็นเวอร์ชั่นปัจจุบันกำหนดค่าอย่างเหมาะสมและปลอดภัย
ทำการตรวจสอบการตั้งค่าในเครือข่ายและแยกระบบคอมพิวเตอร์ที่ไม่สามารถอัปเดตได้
ทำการการตรวจสอบเครือข่ายที่ใช้ RDP และทำการปิดพอร์ต RDP ที่ไม่ได้ใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) และบันทึกการพยายามเข้าสู่ระบบ RDP

ที่มา: zdnet.

พบ Zero-day ใหม่ใน Zoom รันโค้ดอันตรายผ่านการกระทำของผู้ใช้ กระทบกับ Windows 7 และ Windows Server 2008 R2

บริษัทรักษาความปลอดภัยทางด้านไซเบอร์ ACROS Security ได้เปิดเผยถึงช่องโหว่ Zero-day ใหม่ในแอปพลิเคชัน Zoom ซึ่งช่องโหว่นี้กระทบไคลเอนต์ Zoom ที่ใช้งานบน Windows 7 และ Windows Server 2008 R2 และรุ่นก่อนหน้า

Mitja Kolsek ซีอีโอของบริษัท ACROS Security ได้กล่าวว่าช่องโหว่ Zero-day นี้ทำให้ผู้โจมตีสามารถโจมตีจากระยะไกลสามารถโดยการสั่งรันโปรแกรมบนคอมพิวเตอร์ของเหยื่อที่ติดตั้ง Zoom Client สำหรับ Windows ได้โดยให้ผู้ใช้ดำเนินการบางอย่างเพื่อเป็นการเริ่มโจมตีช่องโหว่ เช่น เปิดไฟล์เอกสาร

Kolsek ยังกล่าวอีกว่าช่องโหว่ Zero-day นี้จะไม่มีผลกับไคลเอนต์ Zoom ที่ใช้งานบน Windows 8 หรือ Windows 10 และทาง ACROS ได้ทำการเเจ้งให้ทาง Zoom ถึงช่องโหว่ดังกล่าวแล้ว ซึ่งทางโฆษกของ Zoom ได้ออกยืนยันช่องโหว่และความถูกต้องของรายงาน

บริษัท ACROS Security ไม่ได้ทำการเผยเเพร่เทคนิคใดๆ ของช่องโหว่ Zero-day เเก่สาธารณะ ซึ่งทาง ACROS ได้ทำการเเก้ไขช่องโหว่และทำการอัปเดตแพตซ์ใน 0patch เพื่อป้องกันผู้ใช้งานตกเป็นเหยื่อของผู้ประสงค์ร้ายในระหว่างที่ Zoom ทำการอัปเดตไคลเอนต์เป็นเวอร์ชั่นใหม่

ที่มา: zdnet

เว็บไซต์ 0patch ผู้ใช้บริการแพลตฟอร์ม Micropatch ได้ทำการแก้ไขช่องโหว่การโจมตีระยะไกล (RCE) ใน Windows Graphics Device Interface (GDI +) สำหรับผู้ใช้ Windows 7 และ Server 2008 R2 ที่ไม่สามารถอัพเดตแพตช์จากบริการ Extended Security Updates (ESU) ของ Microsoft

รายละเอียดช่องโหว่
ช่องโหว่ CVE-2020-0881 (CVSS 8.8) เป็นช่องโหว่การโจมตีระยะไกล (RCE) โดยเรียกใช้งานจากการจัดการกับข้อมูลในหน่วยความจำของ Windows Graphics Device Interface (GDI) ผู้โจมตีช่องโหว่สามารถเข้าควบคุมระบบและสามารถติดตั้งโปรแกรม ดูข้อมูล, เปลี่ยนแปลงข้อมูล, ลบข้อมูลหรือสร้างแอคเค้าท์ใหม่ที่มีสิทธิ์ของผู้ดูแลระบ (SYSTEM)

การเเก้ไข
Microsoft ได้เปิดให้อัพเดตแพตช์ตั้งเเต่วันที่ 10 มีนาคม โดย ESU ที่ลงทะเบียนจะได้รับการอัพเดตแพตช์สำหรับผู้ใช้ระบบ Windows 7 หรือ Server 2008 R2 ที่มีช่องโหว่ทั้งหมด สำหรับผู้ใช้แพลตฟอร์ม Micropatch ลูกค้าที่ชำระเงินจะได้รับการอัพเดตแพตช์อัตโนมัติโดยไม่ต้องรีสตาร์ทระบบ

 

ที่มา: bleepingcomputer.

ช่องโหว่สำคัญในแพตช์ประจำเดือนมกราคม 2020 จากไมโครซอฟต์
ไมโครซอฟต์ออกแพตช์ประจำเดือนมกราคม 2020 แก้ไขทั้งหมด 49 ช่องโหว่ โดยแพตช์นี้จะเป็นแพตช์ด้านความปลอดภัยสุดท้ายสำหรับ Windows Server 2008 และ Windows 7 ที่หมดระยะการสนับสนุนแล้ว ในช่องโหว่เหล่านั้นมีช่องโหว่ที่สำคัญและควรให้ความสนใจเป็นพิเศษ 4 ช่องโหว่ เป็นช่องโหว่ระดับ Critical ทั้งหมด เป็นช่องโหว่ใน CryptoAPI 1 ช่องโหว่ (CVE-2020-0601) และช่องโหว่ใน Windows RD Gateway และ Windows Remote Desktop Client 3 ช่องโหว่ (CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611)
ช่องโหว่ใน CryptoAPI (CVE-2020-0601) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถปลอม digital certificate เพื่อทำให้โปรแกรมอันตรายน่าเชื่อถือได้ หรือปลอมเพื่อทำ man-in-the-middle (MiTM) เพราะ Windows CryptoAPI ทำการตรวจสอบความถูกต้องของ digital certificate ได้ไม่ดีพอ ช่องโหว่นี้ส่งผลกระทบกับ Windows 10 ทั้งหมดซึ่งจะรวมไปถึง Windows Server 2016 และ 2019 ช่องนี้ค้นพบโดย National Security Agency (NSA) ซึ่งได้ให้คำแนะนำเกี่ยวกับช่องโหว่ไว้ที่ Media Defense

ช่องโหว่ใน Windows RD Gateway (CVE-2020-0609 และ CVE-2020-0610) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) โดยที่ผู้โจมตีไม่จำเป็นต้องเข้าสู่ระบบ เพียงแค่เชื่อมต่อด้วย RDP และส่ง request อันตรายไปยังเครื่องเป้าหมายเท่านั้น ส่งผลกระทบ Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 และ Windows Server 2019
ช่องโหว่ใน Windows Remote Desktop Client (CVE-2020-0611) เป็นช่องโหว่ที่ทำให้สามารถรันคำสั่งจากระยะไกลได้ (Remote Code Execution) เมื่อ Windows Remote Desktop Client เชื่อมต่อไปยัง server ที่เป็นอันตราย ซึ่งการเชื่อมต่อไปยัง server ที่เป็นอันตรายอาจเกิดได้จาก social engineering, Domain Name Server (DNS) poisoning, man-in the-middle หรือผู้โจมตีสามารถควบคุมเครื่อง server ได้ ส่งผลกระทบ Windows ทุกรุ่นที่ยังได้รับการสนับสนุน และมีแพตช์ให้กับ Windows 7 และ Windows 2008 R2
ผู้ใช้งานและผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย

ที่มา - bleepingcomputer - Us-Cert

more info
https://thehackernews.

 

เมื่อ Windows 7 กำลังจะสิ้นสุดการสนับสนุนวันที่ 14 มกราคม 2020 ซึ่งทำให้ Microsoft จะหยุดการอัปเดต Microsoft Security Essentials (MSE) สำหรับ Windows 7 และจะไม่อัปเดต Microsoft Security Essentials ให้กับบริษัทที่ซื้อ Windows 7 Extended Security Updates (ESU) ด้วย

ดังนั้นบริษัทที่ยังคงใช้ Windows 7 Extended Security Updates (ESU) แล้วใช้โปรแกรมป้องกันไวรัส Microsoft Security Essentials จะไม่ได้รับการสนับสนุน จึงควรเลือกใช้โปรแกรมป้องกันไวรัสตัวอื่นทดแทน

ที่มา : zdnet

Microsoft แนะนำผู้ใช้งาน Windows 7 รวมถึงในเวอร์ชั่นของ Windows Server 2008 ที่ได้ติดตั้งแพทช์อัพเดทรหัส 2823324 ใน Microsoft Security Bulletin MS13-036 ให้ทำการถอนการติดตั้งหรือบล็อก Bulletin รหัสดังกล่าวออก เนื่องจากพบว่าผู้ใช้บางคนมีปัญหาการใช้งานทำให้เครื่อง Restart หรือโปรแกรมไม่ทำงาน

สำหรับแพทช์อัพเดทรหัส 2823324 ใน Microsoft Security Bulletin MS13-036 ถูกปล่อยเมื่อวันอังคารที่ 9 เมษายนที่ผ่านมา โดยหลังจากรับทราบปัญหารการใช้งาน Microsoft จึงได้ลบออกจากรายการอัพเดทแล้ว เพื่อทำการตรวจสอบต่อไป

ที่มา: nakedsecurity.

Microsoft แนะนำผู้ใช้งาน Windows 7 รวมถึงในเวอร์ชั่นของ Windows Server 2008 ที่ได้ติดตั้งแพทช์อัพเดทรหัส 2823324 ใน Microsoft Security Bulletin MS13-036 ให้ทำการถอนการติดตั้งหรือบล็อก Bulletin รหัสดังกล่าวออก เนื่องจากพบว่าผู้ใช้บางคนมีปัญหาการใช้งานทำให้เครื่อง Restart หรือโปรแกรมไม่ทำงาน

สำหรับแพทช์อัพเดทรหัส 2823324 ใน Microsoft Security Bulletin MS13-036 ถูกปล่อยเมื่อวันอังคารที่ 9 เมษายนที่ผ่านมา โดยหลังจากรับทราบปัญหารการใช้งาน Microsoft จึงได้ลบออกจากรายการอัพเดทแล้ว เพื่อทำการตรวจสอบต่อไป

ที่มา: nakedsecurity.