กลุ่มแฮกเกอร์พุ่งเป้าโจมตีไปยังรัฐบาลรัซเซีย เป้าหมายคือเข้าควบคุมระบบ

กลุ่มแฮ็กเกอร์มุ่งเป้าโจมตีไปยังรัฐบาลรัสเซียด้วย Trojan โดยปลอมเป็น Windows update

เมื่อช่วงเดือนกุมภาพันธ์ถึงเดือนเมษานที่ผ่านมา กลุ่มแฮ็กเกอร์ได้มุ่งเป้าโจมตีไปที่หน่วยงานรัฐบาลของรัสเซีย โดยมีทั้งอีเมลฟิชชิ่งที่ปลอมเป็นไฟล์อัปเดตด้านความปลอดภัยของ Windows รวมไปถึงวิธีอื่นๆอีกมากมาย โดยมีเป้าหมายสูงสุดของแคมเปญคือการควบคุมเครื่องเป้าหมายจากระยะไกลด้วย remote access trojan (RAT)

รายละเอียดการโจมตี

ผู้เชี่ยวชาญจาก Malwarebytes ได้อธิบายว่า การโจมตีทั้งหมดมาจากกลุ่ม advanced persistent threat (APT) โดยแบ่งเป็น 4 แคมเปญหลักๆ ดังนี้

แคมเปญแรกมาจากฟิชชิ่งอีเมล ซึ่งเกิดขึ้นในเดือนกุมภาพันธ์ ไม่กี่วันหลังจากการรุกรานยูเครนของรัสเซีย โดยทำการแนบไฟล์ RAT ที่ชื่อ “interactive_map_UA.exe” ไปในอีเมล
แคมเปญที่สอง กลุ่มแฮ็กเกอร์มีการวางแผน และเตรียมตัวมามากขึ้น โดยแนบไฟล์ tar.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

Microsoft ออก Patch เเก้ไขช่องโหว่ 129 รายการใน Patch Tuesday ประจำเดือนมิถุนายน

Microsoft ออกเเพตซ์แก้ไขความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday โดยในเดือนมิถุนายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่เป็นจำนวน 129 ซึ่งมี 11 รายการเป็นช่องโหว่ระดับ “Critical” และ 118 รายการเป็นช่องโหว่ระดับ “High”

Microsoft กล่าวว่าการเเก้ไขเเพตซ์ประจำเดือนมิถุนายนนี้ถือว่ามากที่สุดในประวัติศาสตร์ของ Microsoft ซึ่งข่าวดีก็คือช่องโหว่ที่ทำการเเก้ไขนั้นยังไม่พบการใช้เพื่อบุกรุกและแสวงหาประโยชน์ โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

CVE-2020-1181 การเรียกใช้โค้ดจากระยะไกลใน Microsoft SharePoint
CVE-2020-1225 , CVE-2020-1226 การเรียกใช้โค้ดจากระยะไกลใน Microsoft Excel
CVE-2020-1223 การเรียกใช้โค้ดจากระยะไกลใน Word สำหรับ Android
CVE-2020-1248 การเรียกใช้โค้ดจากระยะไกลใน Windows Graphics Device Interface (GDI)
CVE-2020-1281 การเรียกใช้โค้ดจากระยะไกลใน Windows OLE
CVE-2020-1299 การเรียกใช้โค้ดจากระยะไกลในการประมวลผล Windows .LNK files.

April 2018 security update release

ไมโครซอฟต์ปล่อยแพตช์ด้านความปลอดภัยประจำเดือนเกือบ 70 รายการ

ไมโครซอฟต์ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายนแล้วเมื่ออาทิตย์ที่ผ่านมาโดยในรอบนี้ในครอบคลุมช่องโหว่ทั้งหมด 66 รายการ โดยมีช่องโหว่ระดับความร้ายแรงสูงกว่า 22 รายการ

แนะนำให้อัปเดตแพตช์ผ่านทาง Windows Update หรือในช่องทางอื่นๆ โดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าว

ที่มา : Microsoft