นักวิจัยจาก IBM พบปัญหาด้านความปลอดภัยบน Cisco Webex เมื่อต้นปีที่ผ่านมา ปัญหาดังกล่าวส่งผลให้ผู้ไม่หวังดีสามารถ

เข้าร่วมการประชุมแบบไม่เห็นตัวตน และสามารถเข้าถึงได้ทั้งเสียง, วิดีโอ, แชท และแชร์สกรีน (CVE-2020-3419)
แม้จะถูกไล่ออกจากห้องแล้ว แต่ก็ยังสามารถได้ยินเสียงในห้องประชุมแบบไม่เห็นตัวตนได้ (CVE-2020-3471)
เข้าถึงข้อมูลของสมาชิกที่เข้าร่วมประชุม อาทิเช่น ชื่อและนามสกุล, อีเมล และ IP Address โดยสามารถเข้าถึงข้อมูลเหล่านี้ได้แม้จะอยู่แค่ใน Lobby room ยังไม่ได้รับอนุญาตให้เข้าห้องก็ตาม (CVE-2020-3441)
ข้อมูลระบุว่าปัญหาดังกล่าวเกิดขึ้นในขั้นตอนการ Handshake ของการติดต่อกันระหว่างสมาชิกในห้องประชุม (Participants) ดังนั้นการโจมตีดังกล่าวนี้จะเกิดขึ้นได้เมื่อผู้ไม่หวังดีรู้ URL ของ Meeting เท่านั้น ปัญหานี้มีผลกระทบต่อ Webex บนระบบปฏิบัติการทั้ง macOS, iOS และ Windows รวมทั้ง Webex Meetings แอพพลิเคชั่น และ Webex Room Kit

ล่าสุด Cisco มีการอัพเดตแพทช์บน Cloud ของ Cisco Webex Meeting แล้ว และปล่อยอัพเดตสำหรับ Cisco Webex Meetings แอพพลิเคชั่นบนอุปกรณ์พกพา และซอฟต์แวร์ของ Cisco Webex Meetings Server แล้ว ผู้ใช้งานควรทำการอัพเดตทันที

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Adobe ได้ออกเเพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ความรุนแรงระดับ “Critical” จำนวน 14 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อ Adobe Acrobat และ Reader สำหรับ Windows และ macOS โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตบนอุปกรณ์ที่มีช่องโหว่ ทั้งนี้ช่องโหว่ที่มีความสำคัญและได้รับการเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-24435 เป็นช่องโหว่ประเภท Heap-based buffer overflow ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2020-24436 เป็นช่องโหว่ประเภท Out-of-bounds write ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2020-24430 และ CVE-2020-24437 เป็นช่องโหว่ประเภท Use-after-free ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต

ผู้ใช้งาน Adobe Acrobat และ Reader สำหรับ Windows และ macOS ควรทำการอัปเดตเเพตซ์และติดตั้งซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี สำหรับผู้ที่สนใจรายละเอียดของช่องโหว่เพิ่มเติมสามารถดูได้ที่นี่: helpx.

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

กลุ่ม Ryuk Ransomware นำช่องโหว่ Zerologon มาปรับใช้เพื่อทำการโจมตีระบบแล้ว

นักวิจัยจาก @TheDFIRReport ออกรายงานพบการโจมตีรูปแบบใหม่ของกลุ่ม Ryuk Ransomware ที่ได้นำช่องโหว่ Zerologon (CVE-2020-1472) มาปรับใช้ในการโจมตี ซึ่งทำให้กลุ่ม Ryuk Ransomware สามารถใช้เวลาในการเข้ารหัสทั้งโดเมนที่ถูกบุกรุกได้ในเวลาเพียงห้าชั่วโมง

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่มีมัลแวร์ Bazar loader จากนั้นผู้โจมตีจะทำการสำรวจระบบด้วยการใช้เครื่องมือ built-in ภายใน Windows เพื่อสำรวจระบบ จากนั้นจะใช้ประโยชน์จากช่องโหว่ของ Zerologon (CVE-2020-1472) เพื่อใช้ในการรีเซ็ตรหัสผ่านเครื่องของโดเมนคอนโทรลเลอร์ จากนั้นผู้โจมตีจะทำการเคลื่อนย้ายไปยังคอนโทรลเลอร์รองภายในระบบด้วย Server Message Block (SMB) และ Windows Management Instrumentation (WMI) ด้วยเครื่องมือ Cobalt Strike ซึ่งในขั้นตอนสุดท้ายของการโจมตีกลุ่ม Ryuk Ransomware ได้ติดตั้งแรนซัมแวร์ลงบนเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ที่เก็บข้อมูลสำรอง ตามด้วยเครื่องที่เหลือทั้งหมด

นักวิจัยยังกล่าวว่าผู้โจมตีสามารถบรรลุวัตถุประสงค์ของพวกเขาได้ในระยะเวลาอันสั้น โดยเหตุการณ์นับจากการโจมตีขั้นแรกด้วยการที่ผู้ใช้งานหลงกลอีเมลฟิชชิงทำให้ Bazar loader ทำงานจนถึงการปล่อยแรนซัมแวร์ใช้เวลาทั้งหมด 5 ชั่วโมงเท่านั้น ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ Zerologon เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

โดยผู้ที่สนใจรายงานดังกล่าวสามารถอ่านรายละเอียดได้จาก : thedfirreport 

ที่มา : threatpost

ทีม NPM Security ลบแพ็คเกจ NPM ที่เป็นอันตราย 4 ชุดที่สามารถเปิด Reverse Shell บนระบบของผู้ใช้ได้

ทีม NPM Security ได้ลบแพ็คเกจ NPM จำนวน 4 ชุดออกจาก NPM Portal หลังจากตรวจพบว่ามีโค้ดที่เป็นอันตรายที่มีลักษณะของ reverse shell และสามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้ายได้

แพ็คเกจทั้ง 4 ที่ทางทีม NPM ทำการตรวจพบคือ plutov-slack-client, nodetest199, nodetest199 และ npmpubman โดยแพ็คเกจทั้ง 4 นี้ถูกดาวน์โหลดไปแล้วมากกว่า 1,000 ครั้งในช่วงสองสามเดือนที่ผ่านมา

แพ็คเกจจำนวน 3 แพ็คเกจคือ plutov-slack-client , nodetest1010 และ nodetest199 จะมีลักษณะโค้ดที่เหมือนกันและแพ็คเกจเหล่านี้สามารถทำงานได้ทั้งบน Windows และระบบที่ใช้ Unix ซึ่งหลังจากติดตั้งแพ็กเกจแล้วโค้ดจะสร้าง reverse shell กลับไปยังเซิร์ฟเวอร์ของผู้โจมตีUnixเพื่อให้ผู้ประสงค์ร้ายสามารถเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้ ทั้งนี้แพ็คเกจสุดท้ายในรายการคือ npmpubman มีโครงสร้างโค้ดและวัตถุประสงค์ที่แตกต่างกันมาก โดยแพ็คเกจจะทำการรวบรวมข้อมูลผู้ใช้จากสภาพแวดล้อมต่างๆ ภายในเครื่องและจะทำการอัปโหลดข้อมูลนี้ไปยังโฮสต์ของผู้ประสงค์ร้าย

ทีม NPM Security ได้ออกคำเเนะนำให้ผู้ใช้หรือผู้ดูแลระบบที่เคยทำการติดตั้งแพ็คเกจทั้ง 4 นี้ควรทำการลบแพ็คเกจออกเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการติดตั้งแพ็คเกจทำการโจมตีระบบ

ที่มา : bleepingcomputer

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

“BLESA” ช่องโหว่ใหม่บน Bluetooth Low Energy ที่จะกระทบกับอุปกรณ์จำนวนหลายพันล้านเครื่อง

กลุ่มนักวิจัยจากมหาวิทยาลัย Purdue ได้เผยเเพร่ถึงผลการการค้นพบช่องโหว่ใหม่ในเทคโนโลยี Bluetooth Low Energy (BLE) โดยนักวิจัยได้ทำการตั้งชื่อช่องโหว่นี้ว่า BLESA (Bluetooth Low Energy Spoofing Attack) ซึ่งช่องโหว่ที่ถูกค้นพบนั้นอยู่ในขั้นตอน Reconnect ของเทคโนโลยี BLE ซึ่งคาดว่าช่องโหว่น่าจะกระทบกับอุปกรณ์หลายพันล้านเครื่อง

Bluetooth Low Energy (BLE) นั้นเป็นมาตรฐานบลูทูธที่ออกแบบมาเพื่อประหยัดพลังงานแบตเตอรี่ในขณะที่ยังคงการเชื่อมต่อบลูทูธไว้ให้นานที่สุด เนื่องจากคุณสมบัติการประหยัดแบตเตอรี่ BLE จึงถูกนำมาใช้อย่างแพร่หลายและกลายมาเป็นเทคโนโลยีที่อยู่ในอุปกรณ์ที่จำนวนหลายพันล้านเครื่อง

ปัญหาของช่องโหว่ที่ถูกค้นพบนี้อยู่ในขึ้นตอนการ Reconnect ซึ่งเกิดขึ้นเมื่ออุปกรณ์ทั้งสองหลุดจากระยะและกลับมาเชื่อมต่อกันใหม่ โดยเมื่อ Reconnect อุปกรณ์ BLE ทั้งสองควรตรวจสอบคีย์การเข้ารหัสของกันและกัน เเต่นักวิจัยพบว่าด้วยข้อกำหนด BLE นั้นไม่มีความชัดเจนจึงทำให้กระบวนการ Reconnect มีปัญหาเชิงระบบดังนี้

การตรวจสอบตัวตนในส่วน Reconnect นั้นเป็นแค่ทางเลือกไม่ใช่ข้อบังคับ
การพิสูจน์ตัวตนนั้นสามารถหลีกเลี่ยงได้ หากอุปกรณ์ของผู้ใช้ไม่สามารถบังคับให้อุปกรณ์ IoT เพื่อพิสูจน์ตัวตนของข้อมูลในระหว่างการสื่อสาร

ด้วยเหตุนี้นักวิจัยจึงได้ทำการทดสอบเพื่อทำการวิเคราะห์การสื่อสาร BLE บนระบบปฏิบัติการต่างๆ ซึ่งจากการทำสอบพบว่าอุปกรณ์ BlueZ (อุปกรณ์ IoT ที่ใช้ Linux), Fluoride (Android) และ iOS BLE stack ล้วนเสี่ยงต่อการโจมตี BLESA ในขณะที่ BLE stack ในอุปกรณ์ Windows นั้นไม่ได้รับผลกระทบ ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่นี้ : Usenix

ที่มา : ZDnet

พบช่องโหว่ในหน่วยความจำของ IBM DB2 ที่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรืออาจทำให้ระบบเกิด DoS ได้

Martin Rakhmanov หัวหน้าทีมวิจัยด้านความปลอดภัยทางไซเบอร์ SpiderLabs จาก Trustwave ได้เปิดเผยถึงรายละเอียดเกี่ยวกับช่องโหว่ในหน่วยความจำของ IBM DB2 Relational Database ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรือทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS) ในฐานข้อมูล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-4414 ช่องโหว่เกิดจากการแชร์หน่วยความจำใน DB2 ด้วยการใช้ Trace facility ซึ่งทำให้ขาดการป้องกันที่ชัดเจน จึงทำให้ผู้โจมตีที่อยู่ภายในระบบสามารถทำการอ่านและเขียนในหน่วยความจำและยังสามารถดัมพ์เนื้อหาที่มี ซึ่งนอกจากนี้ผู้โจมตียังสามารถเขียนข้อมูลที่ไม่ถูกต้องบนพื้นที่หน่วยความจำของเป้าหมายเพื่อทำให้ฐานข้อมูลไม่สามารถเข้าถึงได้และทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS)

ช่องโหว่นี้ส่งผลกระทบกับ IBM DB2 สำหรับ Linux, UNIX และ Windows (9.7, 10.1, 10.5, 11.1, 11.5) ทั้งนี้ IBM เปิดตัวเเพตซ์การแก้ไขสำหรับช่องโหว่แล้วเมื่อวันที่ 30 มิถุนายนที่ผ่านมา ผู้ดูแลระบบควรทำการรีบอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่ดังกล่าวและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | trustwave

บริษัท Adobe System ออกอัพเดตแพตซ์รักษาความปลอดภัยเกี่ยวกับการเรียกใช้โค้ดบนผู้ใช้งาน Windows และช่องโหว่การเปิดเผยข้อมูลบนผู้ใช้ Android

Adobe ได้อัพเดตช่องโหว่ความปลอดภัยที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบปฏิบัติการ Windows ทั้ง 12 ข้อใน Adobe Photoshop, Adobe Prelude และ Adobe Bridge
สำหรับผู้ใช้งาน Windows ที่ไม่ใช่บัญชีผู้ดูแลระบบผลกระทบอาจไม่ร้ายแรง นอกจากจะเจอช่องโหว่อื่นที่สามารถยกระดับสิทธ์ โดยมีรายละเอียดดังนี้

Adobe Bridge มีอัพเดตความปลอดภัย APSB20-44 ที่อาจอนุญาตให้สามารถใช้โค้ดจากระยะไกลด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ Windows ควรติดตั้ง Adobe Bridge 10.1.1 เพื่อแก้ไขช่องโหว่
Adobe Photoshop CC 2019 และ Photoshop CC มีอัพเดต APSB20-45เป็นช่องโหว่การ Remote เพื่อเข้ามาแก้ไข และเขียนไฟล์ ผู้ใช้ควรติดตั้ง Photoshop CC 2019 20.0.10 หรือ Photoshop CC 21.2.1 เพื่อแก้ไขช่องโหว่ดังกล่าว
Adobe Prelude มีอัพเดต APSB20-46 Security การเรียกใช้โค้ดด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ควรติดตั้ง Adobe Prelude 9.01 เพื่อเป็นการอัพเดตแพทซ์ช่องโหว่
Adobe Reader Mobile มีอัพเดต APSB20-50 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญของผู้ใช้งาน ผู้ใช้ Android ควรติดตั้ง Adobe Reader Mobile 20.3 เพื่อแก้ไขช่องโหว่นี้

ที่มา : bleepingcomputer