Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้
เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต
Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server
ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล
วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก microsoft ซึ่ง Microsoft เตือนว่าต้องยกเลิกการตั้งค่าดังกล่าวก่อนที่จะอัปเดต Patch สำหรับช่องโหว่นี้ที่จะออกมาในอนาคต

ที่มา ZDNet

ไมโครซอฟต์แจ้งเตือนช่องโหว่ระดับวิกฤติ รันโค้ดอันตรายจากระยะไกลผ่าน Windows DNS Server

ไมโครซอฟต์ออกประกาศแจ้งเตือนช่องโหว่ระดับวิกฤติสองรายการเมื่อช่วงสัปดาห์ที่ผานมา โดยช่องโหว่หนึ่งที่มีการประกาศออกมานั้นมีผลลัพธ์ร้ายแรงที่สุดทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตราย (Remote Code Execution - RCE) เพื่อโจมตีระบบจากระยะไกลได้ผ่านช่องโหว่ของฟีเจอร์ DNS

ช่องโหว่แรกรหัส CVE-2018-8611 นั้นเป็นช่องโหว่ยกระดับสิทธิ์ในวินโดวส์เคอร์เนลซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นสิทธิ์ของระบบได้ ส่วนช่องโหว่ที่สองรหัส CVE-2018-8626 นั้นเป็นช่องโหว่ heap overflow ในฟีเจอร์ Windows DNS ซึ่งทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้จากระยะไกลด้วยสิทธิ์ของระบบเช่นเดียวกัน

Recommendation
ทั้งสองช่องโหว่ได้มีการประกาศแพตช์ด้านความปลอดภัยเฉพาะกิจออกมาแล้ว ขอให้ผู้ใช้งานทำการอัปเดตระบบปฏิบัติการเพื่อรับแพตช์ด้านความปลอดภัยใหม่โดยด่วน

Affected Platform
Windows 10, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

ที่มา : darkreading

สัปดาห์ที่ผ่านมา มีการแจ้งเตือนว่า Windows Server, Redis และ Apache Solr กำลังตกเป็นเป้าหมายในการโจมตีและติดตั้งมัลแวร์ coinminer เป็นจำนวน การโจมตีดังกล่าวนั้นสามารถแยกออกได้เป็น 2 รูปแบบ

** รูปแบบการโจมตีที่พุ่งเป้า Redis และ Windows Server **

จากรายงาน Imperva ได้ตั้งชื่อสำหรับแคมเปญนี้ว่า RedisWannaMine โดยแฮกเกอร์จะอาศัยช่องโหว่ของ Redis ที่เป็นเวอร์ชั่นเก่าๆ ที่ได้รับหมายเลขช่องโหว่ CVE-2017-9805 เพื่อโจมตีเซิร์ฟเวอร์ผ่านทางอินเตอร์เน็ต เมื่อเข้าถึงเครื่องเหยื่อสำเร็จแล้ว แฮกเกอร์จะทำการติดตั้งมัลแวร์ ReddisWannaMine หลังจากนั้นก็จะทำการรัน coinminer นอกจากนี้ ReddisWannaMine ยังสามารถแพร่กระจายตัวเองด้วยการสแกนหาเครื่องเหยื่อที่มีการใช้งาน SMB เพื่อโจมตีผ่านช่องโหว่อีกด้วย

** รูปแบบการโจมตีที่พุ่งเป้า Apache Solr **

ทีม ISC SANS กล่าวว่ายังมี Apache Solr ที่ตกเป็นเป้าหมายในการโจมตีครั้งนี้อีกด้วย โดยโจมตีผ่านทางช่องโหว่ Apache Solr ที่ไม่ได้ทำการอัพเดทแพทช์หมายเลข CVE-2017-12629 แต่การทำงานก็ไม่ได้ต่างจาก ReddisWannaMine มากนัก โดยจะเน้นไปที่ใช้เครื่องเหยื่อที่ติดไวรัสเพื่อขุดเหมือง ทาง ISC SANS ได้ระบุถึงเครื่อง เซิร์ฟเวอร์ ที่ได้รับผลกระทบโดยประมาณ 1,777 ราย เกิดขึ้นในช่วง วันที่ 28 กุมภาพันธ์ และวันที่ 8 มีนาคม ที่ผ่านมา

ที่มา : bleepingcomputer