Docker ทำการเเก้ไขช่องโหว่ที่ทำให้สามารถดำเนินการด้วยสิทธ์ SYSTEM บน Windows
Docker ทำการแก้ไขช่องโหว่ความปลอดภัยใน Docker สำหรับ Windows Desktop ที่อนุญาตให้ผู้โจมตีสามารถดำเนินการคำสั่งด้วยสิทธิ์ SYSTEM ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-11492
Docker Desktop สำหรับ Windows หลังจากการติดตั้งจะเริ่มต้นของแอปพลิเคชันด้วยการสร้าง child โปรเซสที่ใช้เชื่อมต่อกับเซอร์วิสของ Windows ชื่อว่า pipes ซึ่งเป็น child โปรเซสที่จะอนุญาตให้เซิร์ฟเวอร์ทำการเชื่อมต่อกับไคลเอนต์ด้วยสิทธิ์ SYSTEM ผู้โจมตีสามารถใช้ประโยน์จากสิ่งนี้เพื่อทำการยกระดับสิทธิ์บนระบบที่ทำการบุกรุก
ช่องโหว่นี้มีผลกับ Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ที่ได้ทำการเเก้ไขก่อนจะปล่อยให้ทำการอัพเดตเมื่อวันที่ 11 พฤษภาคมที่ผ่านมา
ทั้งนี้ผู้ใช้งาน Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ควรทำการอัพเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ดังกล่าวและลดความเสี่ยงจากการถูกผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: bleepingcomputer

Microsoft Patch Tuesday ประจำเดือนพฤษภาคมทำการเเก้ไขช่องโหว่ 111 รายการ

Microsoft ได้เปิดตัวเเพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคมซึ่งในเดือนนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ 111 รายการแบ่งเป็นช่องโหว่ระดับ Critical จำนวน 16 รายการ และระดับ Important จำนวน 96 รายการใน 12 ผลิตภัณฑ์ได้เเก่ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET และ Power BI

ช่องโหว่ที่น่าสนใจและสามารถเป็นช่องทางให้โจมตีนำไปใช้ในอนาคตได้เเก่

ช่องโหว่ CVE-2020-1023 , CVE-2020-1024 และ CVE-2020-1102 เป็นช่องโหว่การเรียกใช้โค้ดทำการระยะไกลใน Microsoft SharePoint
ช่องโหว่ CVE-2020-1067 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Windows OS
ช่องโหว่ CVE-2020-1064 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน MSHTML
ช่องโหว่ CVE-2020-1096 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Edge PDF
ช่องโหว่ CVE-2020-1051, CVE-2020-1174, CVE-2020-1175 และ CVE-2020-1176 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Jet Database Engine
ทั้งนี้ผู้ใช้งาน Windows 10, Windows RT 8.1 สามารถทำการอัพเดตได้ผ่าน Windows Update สำหรับผู้ใช้งาน Windows 7, Windows Server 2008 R2 หรือ Windows Server 2008 จำเป็นต้องซื้อ Extended Security Update (ESU) ก่อนทำการอัพเดต

ที่มา : zdnet

นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา : zdnet

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

Libarchive ที่มีอยู่ใน Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD และ NetBSD distros มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ แต่ไม่กระทบกับ macOS และ Windows

ช่องโหว่ใน LIBARCHIVE (CVE-2019-18408) ซึ่งเป็นไลบรารีสำหรับการอ่านและสร้างไฟล์บีบอัดที่ถูกใช้บน Linux / BSD อย่างแพร่หลาย ในสัปดาห์ที่ผ่านมามีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวออกมา หลังจากที่ Linux และ FreeBSD distros หลายตัวได้ปล่อยการอัพเดตแพทช์สำหรับ Libarchive ที่ใช้งานอยู่

ช่องโหว่ส่งผลให้ผู้โจมตีสามารถรันโค้ดบนระบบของผู้ใช้ผ่านไฟล์บีบอัดที่มีการดัดแปลงมาแล้ว ถูกค้นพบตั้งแต่เดือนมิถุนายน แต่ใช้เวลาพอสมควรในการแก้ไขเพื่อปล่อยให้ระบบปฏิบัติการทั้งหมดทำการอัพเดตได้ นอกเหนือจากการเป็นช่องโหว่ในระบบปฏิบัติการแล้ว ยังส่งผลให้เกิดช่องโหว่ในส่วนของ file browsers และเครื่องมืออื่นๆ ที่ใช้ในการประมวลผลเกี่ยวกับ multimedia ด้วย

ที่มา: zdnet

อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน

อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล

ดังนั้นในโพสต์นี ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงวิธีการง่ายๆ ที่จะช่วยเสริมความปลอดภัยให้กับ Windows โดยไม่เสี่ยงสูญเสียคุณลักษณะด้านอื่นไป โดยใช้เครื่องมือและคำแนะนำในการตั้งค่า Security Baseline ที่มาจาก Microsoft เองให้ลองไปทำตามกันดูครับ
ทำความรู้จัก Security Baseline
Security Baseline เป็นรายการของการตั้งค่าซึ่งอยู่ใน Security Compliance Toolkit ที่ทาง Microsoft เปิดให้ผู้ใช้งานสามารถทำการดาวโหลดได้ฟรี รายการตั้งค่านี้มาจากความเห็นร่วมกันของฝ่ายความปลอดภัยไมโครซอฟต์และผู้ใช้งานหลายๆ กลุ่มว่าสามารถช่วยเสริมความปลอดภัยในการใช้งานได้

เราสามารถดาวโหลด Security Baseline ได้จากแพ็คของ Security Compliance Toolkit โดยในการใช้งานนั้น เราจะต้องเลือก Baseline ที่ตรงกับรุ่นของระบบปฏิบัติการที่เราใช้เพื่อป้องกันผลกระทบที่เกิดจากการแก้ไขการตั้งค่าครับ
ทำความเข้าใจการตั้งค่าด้วย Policy Analyzer
แม้ว่าผลกระทบที่เกิดจากการตั้งค่าอาจจะต่ำสำหรับผู้ใช้งานทั่วไป เราก็ขอแนะนำให้ผู้ใช้งานทำความเข้าใจการตั้งค่าที่จะเกิดขึ้นโดยการใช้เครื่องมือที่มากับ Security Compliance Toolkit ชื่อ Policy Analyzer ซึ่งจะช่วยให้เราทำความเข้าใจการตั้งค่าที่เราจะใช้งานรวมไปถึงเปรียบเทียบการตั้งค่าที่มีอยู่แล้วในปัจจุบันกับ Security Baseline ที่เราดาวโหลดมาว่ามีลักษณะเป็นอย่างไรบ้าง

การใช้งาน Policy Analyzer เพื่อเปรียบเทียบการตั้งค่าปัจจุบันของคอมพิวเตอร์ของเรากับการตั้งค่าจาก Security Baseline สามารถทำได้ตามขั้นตอนดังนี้ครับ

เปิดโปรแกรม PolicyAnalyzer.

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

นักวิจัยด้านความปลอดภัยออกมาเปิดเผยรายละเอียดสำหรับช่องโหว่ CVE-2018-8476 บนWindows Server ช่องโหว่ดังกล่าวถูกแก้ไขในแพตช์ประจำเดือนพฤศจิกายน ปี 2561 ที่ผ่านมา ช่องโหว่นี้ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธีแทรกแซง Windows Server installation และใช้บริการ Windows Deployment Services (WDS) ในทางที่ผิดเพื่อยึดเครื่องและวาง backdoor ได้ โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อตั้งแต่ Windows Server 2008 SP2 ไปจนถึงรุ่นล่าสุดและกระทบ Windows Deployment Services (WDS) ที่มาพร้อมกับระบบ
Omri Herscovici นักวิจัย Check Point ได้ทดสอบสร้างแพ็กเก็ตที่มีรูปแบบไม่ถูกต้องซึ่งจะทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายบน Windows Server ทำให้แฮกเกอร์สามารถเข้ายึด Windows Server ได้
ทั้งนี้หากแฮกเกอร์เข้าควบคุม Windows Server ได้เขาจะสามารถควบคุมเครือข่ายทั้งหมดได้อย่างสมบูรณ์และสามารถใช้บริการ WDS เดียวกันเพื่อลงโปรแกรมอันตราย เช่น backdoor ไปยังระบบภายในได้อย่างง่ายดาย
ทางด้าน Microsoft และ Herscovici ยังไม่พบการโจมตีใด ๆ จากช่องโหว่นี้ แต่หลังจากมีการเผยแพร่รายงานนี้อาจมีผู้ไม่หวังดีพยายามโจมตีช่องโหว่ได้
ข้อแนะนำ: ผู้ดูแลระบบควรอัพเดทแพทช์ประจำเดือนพฤศจิกายน 2561 ให้กับ Windows Server 2008 SP2 ไปจนถึงรุ่นล่าสุด

ที่มา: zdnet.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.