สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

เกิด Bug ใน Windows 10 ที่ให้แอปพลิเคชั่น Universal Windows Platform (UWP) เข้าถึงไฟล์ทั้งหมดโดยไม่ได้รับความยินยอมจากผู้ใช้

Microsoft แก้ไขข้อบกพร่องในระบบปฏิบัติการ Windows 10 ด้วยแพตช์ประจำเดือนตุลาคมปี 2018 (เวอร์ชัน 1809) ซึ่งอนุญาตให้แอปใน Microsoft Store มีสิทธิ์ในระบบไฟล์ที่ครอบคุลมในการเข้าถึงไฟล์ทั้งหมดในคอมพิวเตอร์ของผู้ใช้โดยไม่ได้รับความยินยอม

Microsoft ได้เปิดตัวแพลตฟอร์มทั่วไปที่เรียกว่า Universal Windows Platform (UWP) เริ่มใช้งานใน Windows 10 ซึ่งช่วยให้แอปพลิเคชั่นสามารถทำงานได้บนอุปกรณ์ที่ใช้ Windows 10 ทั้งหมดได้แก่ PC, Xbox, IoT, Surface Hub และ Mixed-reality headset

แอปพลิเคชั่น UWP มีความสามารถในการเข้าถึง API บางไฟล์เช่นรูปภาพเพลงหรืออุปกรณ์ต่างๆ เช่นกล้องถ่ายรูปและไมโครโฟน UWP สามารถเข้าถึงไดเร็กทอรีที่มีการติดตั้งแอปในระบบของผู้ใช้และแอปสามารถจัดเก็บข้อมูลของผู้ใช้ (local, roaming และ temporary folders) ได้ และมีความสามารถ broadFileSystemAccess (Broad Files System Access) ช่วยให้แอปพลิเคชั่นสามารถเข้าถึงระบบไฟล์ได้ในระดับเดียวกับผู้ใช้ที่เปิดตัวแอปพลิเคชันนั้นๆ แต่ต้องได้รับการยินยอมจากผู้ใช้ก่อน

Sébastien Lachance นักพัฒนาของ Microsoft เรียนรู้เกี่ยวกับข้อผิดพลาดนี้บน Windows 10 รุ่นก่อนหน้าแพตช์ประจำเดือนตุลาคม 2018 ในแอปพลิเคชันที่เขาพัฒนาที่ใช้สิทธิ์ broadFileSystemAccess โดยไม่แสดงข้อความแจ้งเกี่ยวกับสิทธิ์ในการเข้าถึงระบบไฟล์ ทำให้ Windows 10 จนกระทั่งรุ่น 1809 แอปพลิเคชันสามารถเข้าถึงระบบไฟล์ทั้งหมดโดยไม่ต้องแจ้งให้ผู้ใช้อนุญาต

ทั้งนี้วิศวกรของ Microsoft ได้อธิบายกับ Lachance ได้แก้ปัญหาที่เกิดขึ้นโดยการปิดการตั้งค่า 'broadFileSystemAccess' เป็นค่าเริ่มต้น ซึ่งแอปพลิเคชั่น UWP ทั้งหมดอาจจำเป็นต้องได้รับการปรับปรุงเพื่อป้องกันการขัดข้อง

แต่เนื่องจากมีการหยุดให้อัปเดต Windows 10 บนแพตช์ประจำเดือนตุลาคมปี 2018 จึงแนะนำให้ตั้งค่าก่อนที่จะเปิดตัวแอปพลิเคชันแทนก่อน โดยให้เข้าไปปิดการอัพเดต ที่ Windows 10 Settings → Privacy → File system
ที่มา:thehackernews

นักวิจัยด้านความปลอดภัยชื่อ "SandboxEscaper" ได้เผยแพร่ช่องโหว่ Zero-day ใหม่ใน Windows บน Twitter ของตัวเองอีกครั้งเป็นครั้งที่สองในช่วงสองเดือนที่ผ่านมา และเปิดเผย proof-of-concept (POC) ของช่องโหว่ดังกล่าวบน GitHub

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Microsoft Data Sharing (dssvc.

ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet

นักวิจัยด้านความปลอดภัย Dmitri Kaslov จาก Telspace Systems ได้ประกาศการค้นพบช่องโหว่ล่าสุดในส่วน Jscript ซึ่งอยู่ในระบบปฏิบัติการ Windows โดยอาจส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้จากระยะไกล

ช่องโหว่ดังกล่าวเกิดขึ้นจากปัญหาในลักษณะ dangling pointer ซึ่งในช่องโหว่นี้นั้นคือการที่ pointer ของโปรแกรมยังคงชี้ไปยังจุดใดจุดหนึ่งในหน่วยความจำเคยถูกใช้งานแต่ถูกคืนพื้นที่กลับไปแล้ว อาจส่งผลให้ pointer ชี้ไปยังหน่วยความจำที่มีการใช้งานอยู่แต่ไม่เกี่ยวข้องกับการทำงานและเกิดเป็นพฤติกรรมของโปรแกรมที่ไม่สามารถคาดเดาได้ (undefined behavior)

ในการโจมตีช่องโหว่นี้นั้น ผู้โจมตีจำเป็นต้องหลอกล่อให้ผู้ใช้งานทำการเปิดไฟล์หรือเปิดหน้าเว็บเพจเพื่อรันโค้ดสำหรับโจมตี ซึ่งถึงแม้จะโจมตีสำเร็จ โค้ดอันตรายที่ถูกรันก็ยังคงถูกรันอยู่สภาพแวดล้อมควบคุม (sandbox) ทำให้ความเสียหายที่จะเกิดขึ้นนั้นค่อนข้างน้อย

ไมโครซอฟต์รับทราบถึงการมีอยู่ของช่องโหว่แล้ว และจะดำเนินการแก้ไขพร้อมกับปล่อยแพตช์ออกมาในเร็วๆ นี้

ที่มา : bleepingcomputer

Nabeel Ahmed นักวิจัยด้านความปลอดภัยจาก Trend Micro Zero Day Initiative พบช่องโหว่ในฟีเจอร์ Windows Remote Assistance (Quick Assist) (CVE-2018-0878) บน Windows ที่มีผลกระทบต่อ Windows ทุกเวอร์ชันรวมถึง Windows 10, 8.1, RT 8.1 และ 7 ช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายจากระยะไกลเพื่อขโมยข้อมูลสำคัญได้

Windows Remote Assistance เป็นเครื่องมือที่ช่วยให้ผู้ใช้สามารถเข้าถึงเครื่องคอมพิวเตอร์ได้จากระยะไกล เพื่อให้ผู้ใช้สามารถแก้ไขปัญหาได้จากทั่วโลก
ฟีเจอร์ดังกล่าวใช้เซอร์วิช Remote Desktop Protocol (RDP) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยระหว่างผู้ใช้

ช่องโหว่ดังกล่าวมีผลต่อ Microsoft Windows Server 2016, Windows Server 2012 และ R2, Windows Server 2008 SP2 และ R2 SP1, Windows 10 (ทั้ง 32 บิตและ 64 บิต), Windows 8.1 (ทั้ง 32 บิตและ 64 บิต) และ RT 8.1 และ Windows 7 (ทั้ง 32 บิตและ 64 บิต)

Recommendation
ทาง Windows ได้ทำการแก้ไขช่องโหว่ดังกล่าวในแพทช์ประจำเดือนมีนาคม แนะนำให้ผู้ใช้งานอัพเดทแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

ที่มา : thehackernews

ไมโครซอฟต์ออกประกาศเตรียมเพิ่มระบบปฏิบัติการที่สามารถใช้งาน Windows Defender Advanced Threat Protection (ATP) ได้โดยการเพิ่ม Windows 7 SP1 และ Windows 8.1 เข้าไปหลังจากแต่เดิมนั้นใช้ได้เพียง Windows 10 โดยจะเริ่มดำเนินการเร็วนี้ๆ

Windows Defender Advacned Threat Protection (ATP) เป็นบริการแบบเสียตังค์จากไมโครซอฟต์โดยมีแกนหลักเป็นระบบตรวจจับภัยคุกคามที่อาศัยเอนจินบนคลาวด์ โดยอาศัยการตรวจสอบทั้งจากพฤติกรรมของไฟล์ การใช้งานเครือข่ายหรือลักษณะของไฟล์ต่างๆ ในระบบ ATP ยังมีการเพิ่มประสิทธิภาพการตรวจจับโดยใช้เทคโนโลยี machine learning ร่วมด้วย

ที่มา : bleepingcomputer

เทคนิคใหม่ Process Doppelgänging ซ่อนมัลแวร์จากแอนติมัลแวร์และโปรแกรมตรวจสอบหลักฐานดิจิตอลได้

กลุ่มนักวิจัยด้านความปลอดภัยจาก Ensilo ได้แก่ Tal Liberman และ Enguene Kogan ได้เปิดเผยเทคนิคใหม่ภายใต้ชื่อ Process Doppelgänging ที่งานสัมมนาด้านความปลอดภัย Black Hat 2017 ซึ่งจัดที่ลอนดอนเมื่อช่วงกลางสัปดาห์ที่ผ่านมา โดยเทคนิคนี้สามารถช่วยซ่อนมัลแวร์ให้ตรวจพบได้ยากขึ้นได้

เทคนิค Process Doppelgänging ใช้ฟีเจอร์หนึ่งของวินโดวส์ชื่อว่า NTFS Transaction ซึ่งแต่เดิมเป็นฟีเจอร์ที่ใช้ในการจัดการไฟล์ในระบบไฟล์ NTFS ร่วมกับ process loader รุ่นเก่าที่มีมาตั้งแต่ Windows XP จนถึงรุ่นปัจจุบัน การดำเนินการใดๆ ที่อยู่ในลักษณะ transaction จะเกิดขึ้นบนหน่วยความจำเท่านั้นและไม่มีการเขียนไฟล์ลงบนดิสก์จริงๆ จนกว่าจะมีการ commit

เริ่มต้นจากการสร้าง transaction เพื่อแก้ไขไฟล์ที่ไม่เป็นอันตรายโดยการสอดแทรกเนื้อหาของมัลแวร์ลงไปในไฟล์ดังกล่าว (ซึ่งแน่นอนว่าเกิดขึ้นบนหน่วยความจำ) โดยการแก้ไขดังกล่าวนั้นมีค่าเทียบเท่ากับการสร้างพื้นที่บนหน่วยความจำที่มีโค้ดของมัลแวร์อยู่ จากนั้นเพื่อลบหลักฐานการแก้ไขไฟล์ไป ผู้โจมตีจะต้องดำเนินการ rollback เพื่อย้อนคืนการแก้ไขใดๆ บนไฟล์ดังกล่าวออก ท้ายที่สุดผู้โจมตีจะทำการใช้ process loader ในการสร้างโปรเซสโดยอ้างอิงไปยังพื้นที่บนหน่วยความจำที่มีโค้ดที่เป็นอันตรายและยังคงอยู่ ทำให้เกิดการรันโค้ดที่เป็นอันตรายโดยไม่ทิ้งร่องรอยไว้ได้

เทคนิค Process Doppelgänging ถูกทดสอบแล้วว่าสามารถใช้งานได้บนวินโดวส์ตั้งแต่ Vista จนถึงวินโดวส์ 10 และในขณะนี้โปรแกรมป้องกันมัลแวร์กว่า 12 รายการยังไม่สามารถตรวจพบเทคนิคนี้ได้ที่ https://thehackernews.

CERT/CC ออกประกาศได้ความปลอดภัย VU#817544 เมื่ออาทิตย์ที่ผ่านมาหลังจากมีการค้นพบข้อผิดพลาดใน Windows 8 หรือใหม่กว่าซึ่งเป็นผลการทำงานของฟังก์ชันด้านความปลอดภัยหนึ่งไม่สมบูรณ์ และอาจส่งผลต่อความปลอดภัยของระบบในภาพรวมได้

ฟังก์ชันหรือฟีเจอร์ด้านความปลอดภัยนี้มีชื่อว่า ASLR ซึ่งเริ่มใช้งานตั้งแต่ Windows Vista เป็นต้นมา ฟังก์ชันนี้ช่วยป้องกันการโจมตีแบบ code-reuse หรือที่รู้จักกันในชื่อ Return-oriented programming (ROP) ได้โดยการทำให้โมดูลหรือไลบรารีที่ถูกโหลดขึ้นมานั้นอยู่ในตำแหน่งแบบสุ่มแทนที่จะอยู่ในตำแหน่งที่คาดเดาได้จากผู้โจมตี

ตั้งแต่ Windows 8 เป็นต้นมา โปรแกรม EMET (หรือ Windows Defender Exploit Guard) เข้ามามีส่วนสำคัญในการอิมพลีเมนต์ ASLR ให้กับแอปพลิเคชันอื่นๆ อย่างไรก็ตามมีการค้นพบการอิมพลีเมนต์ ASLR โดยโปรแกรม EMET หรือ Windows Defender Exploit Guard ไม่สมบูรณ์และอาจทำให้โปรแกรมไม่ได้ถูกปกป้องโดย ASLR อย่างที่ผู้ใช้งานคาดหวังได้

Recommendation สำหรับวิธีการแก้ปัญหาในเบื้องต้น (workaround) นั้น ผู้ใช้งานสามารถดำเนินแก้ไขข้อผิดพลาดนี้ได้โดยการแก้ไขค่ารีจิสทรีตามข้อมูลจากแหล่งที่มา อย่างไรก็ตามเราแนะนำให้ผู้ใช้งานและผู้ดูแลระบบคอยตรวจสอบวิธีการในการแก้ไขปัญหาอย่างเป็นทางการจากทางไมโครซอฟต์อีกครั้ง

ที่มา : KB.Cert