นักวิจัยด้านความปลอดภัยจาก RACK911 Labs กล่าวว่าพวกเขาพบช่องโหว่ "Symlink Race" ใน 28 ผลิตภัณฑ์ป้องกันไวรัสยอดนิยมในปัจจุบัน โดยผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่เกิดกับโปรแกรมป้องกันไวรัสทำการลบไฟล์ในระบบซึ่งอาจทำให้ระบบปฏิบัติการเกิดปัญหาหรือทำให้ไม่สามารถใช้งานได้

Vesselin Bontchev นักวิจัยจากห้องปฏิบัติการไวรัสวิทยาของสถาบันวิทยาศาสตร์แห่งบัลแกเรียกล่าวว่าช่องโหว่ Symlink race เป็นช่องโหว่ที่เกิดขั้นจากการเชื่อมโยงไฟล์ที่เป็นอันตรายเข้ากับไฟล์ที่ถูกต้องเพื่อทำการยกระดับสิทธิ์ไฟล์ที่เป็นอันตรายให้สูงขึ้นเพื่อใช้ในการโจมตี Elevation-of-Privilege (EoP)

นักวิจัยด้านความปลอดภัยจาก RACK911 ได้ทำการทดสอบช่องโหว่โดยการสร้างสคริปต์เพื่อทำการพิสูจน์ช่องโหว่ Symlink Race พบว่าในการทดสอบบน Windows, macOS และ Linux พวกเขาใช้ช่องโหว่ Symlink race ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสและสามารถลบไฟล์ที่สำคัญในซอฟต์แวร์ป้องกันไวรัสได้โดยที่ซอฟต์แวร์ป้องกันไวรัสไม่ได้แสดงผลการแจ้งเตือนและพวกเขายังทดสอบช่องโหว่โดยทำการลบไฟล์ที่สำคัญในระบบปฏิบัติการ ผลลัพธ์คือระบบปฏิบัติการเกิดความเสียหายอย่างมากถึงขึ้นต้องทำการติดตั้งระบบปฏิบัติการใหม่เพื่อซ่อมแซมระบบปฏิบัติการที่เกิดความเสียหาย

นักวิจัยด้านความปลอดภัยจาก RACK911 กล่าวว่าช่องโหว่นี้อยู่ในผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัส 28 รายกาย บนระบบปฏิบัติการ Linux, Mac และ Windows และได้รายงานให้เจ้าของผลิตภัณฑ์ป้องกันไวรัสรับทราบและเจ้าของผลิตภัณฑ์ได้ทำการการแก้ไขแล้ว อย่างไรก็ตามผู้ใช้งานควรทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อความปลอดภัยของระบบและข้อมูลของผู้ใช้งาน

ที่มา : zdnet

กลุ่ม Lazarus มีมัลแวร์ตัวใหม่ Dacls โจมตีทั้ง Linux และ Windows
Qihoo 360 Netlab พบมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Dacls ทำงานทั้งบน Windows และ Linux ซึ่งมัลแวร์ตัวนี้มีความเชื่อมโยงกับกลุ่ม Lazarus ที่ถูกสนับสนุนโดยรัฐบาลเกาหลีเหนือ กลุ่มนี้เป็นรู้จักในการแฮก Sony Films ในปี 2014 และเป็นเบื้องหลังในการระบาด WannaCry ไปทั่วโลกในปี 2017 อีกด้วย
นี่เป็นครั้งแรกที่พบมัลแวร์ที่ทำงาน Linux จากกลุ่ม Lazarus โดย Qihoo 360 Netlab เชื่อมโยงความเกี่ยวข้องระหว่าง Dacls กับกลุ่ม Lazarus จากการใช้งาน thevagabondsatchel[.]com ซึ่งเคยมีประวัติว่าถูกใช้งานโดยกลุ่ม Lazarus ในอดีต
Dacls ใช้ TLS และ RC4 ในการเข้ารหัสสองชั้นเพื่อรักษาความปลอดภัยในการสื่อสารกับ command and control (C2) รวมถึงใช้ AES encryption ในการเข้ารหัสไฟล์ตั้งค่า
นักวิจัยพบ Dacls สำหรับ Windows และ Linux พร้อมทั้งโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-3396 ใน Atlassian Confluence บนเซิร์ฟเวอร์ บ่งชี้ถึงความเป็นไปได้ว่ากลุ่ม Lazarus จะใช้ช่องโหว่ดังกล่าวติดตั้ง Dacls นักวิจัยจึงแนะนำให้ผู้ใช้ Confluence ทำการแพตช์ระบบให้เร็วที่สุดเท่าที่จะทำได้
สามารถอ่านรายงานวิเคราะห์ Dacls และดูข้อมูล IOC ได้จาก https://blog.

Libarchive ที่มีอยู่ใน Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD และ NetBSD distros มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ แต่ไม่กระทบกับ macOS และ Windows

ช่องโหว่ใน LIBARCHIVE (CVE-2019-18408) ซึ่งเป็นไลบรารีสำหรับการอ่านและสร้างไฟล์บีบอัดที่ถูกใช้บน Linux / BSD อย่างแพร่หลาย ในสัปดาห์ที่ผ่านมามีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวออกมา หลังจากที่ Linux และ FreeBSD distros หลายตัวได้ปล่อยการอัพเดตแพทช์สำหรับ Libarchive ที่ใช้งานอยู่

ช่องโหว่ส่งผลให้ผู้โจมตีสามารถรันโค้ดบนระบบของผู้ใช้ผ่านไฟล์บีบอัดที่มีการดัดแปลงมาแล้ว ถูกค้นพบตั้งแต่เดือนมิถุนายน แต่ใช้เวลาพอสมควรในการแก้ไขเพื่อปล่อยให้ระบบปฏิบัติการทั้งหมดทำการอัพเดตได้ นอกเหนือจากการเป็นช่องโหว่ในระบบปฏิบัติการแล้ว ยังส่งผลให้เกิดช่องโหว่ในส่วนของ file browsers และเครื่องมืออื่นๆ ที่ใช้ในการประมวลผลเกี่ยวกับ multimedia ด้วย

ที่มา: zdnet

อาจเป็นที่ทราบกันดีอยู่แล้วว่าเมื่อใดก็ตามที่เราเพิ่มคุณลักษณะด้านความปลอดภัย (Security) ให้มากยิ่งขึ้น คุณสมบัติด้านอื่นๆ อาทิ ความง่ายในการใช้งาน (Usability) และฟังก์ชันการทำงาน (Functionality) อาจจะสูญเสียไป แนวคิดนี้ยังส่งผลมาถึงคอมพิวเตอร์ซึ่งเราซื้อและใช้ในชีวิตประจำวันโดยทั่วไปของเราที่ถูกออกแบบมาให้คุณลักษณะด้านความปลอดภัย, ความง่ายในการใช้งานและฟังก์ชันการทำงานนั้นสมดุลกัน

อย่างไรด้วยฟีเจอร์อันมหาศาลในระบบปฏิบัติการอย่าง Windows ที่เราไม่เคยใช้หรือไม่เคยรู้ว่ามันมีอยู่ การยอมสละความง่ายในการใช้งานและฟังก์ชันการทำงานบางอย่างเพื่อเสริมความปลอดภัยในการใช้งานก็อาจเป็นแนวคิดที่สมเหตุสมผล

ดังนั้นในโพสต์นี ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงวิธีการง่ายๆ ที่จะช่วยเสริมความปลอดภัยให้กับ Windows โดยไม่เสี่ยงสูญเสียคุณลักษณะด้านอื่นไป โดยใช้เครื่องมือและคำแนะนำในการตั้งค่า Security Baseline ที่มาจาก Microsoft เองให้ลองไปทำตามกันดูครับ
ทำความรู้จัก Security Baseline
Security Baseline เป็นรายการของการตั้งค่าซึ่งอยู่ใน Security Compliance Toolkit ที่ทาง Microsoft เปิดให้ผู้ใช้งานสามารถทำการดาวโหลดได้ฟรี รายการตั้งค่านี้มาจากความเห็นร่วมกันของฝ่ายความปลอดภัยไมโครซอฟต์และผู้ใช้งานหลายๆ กลุ่มว่าสามารถช่วยเสริมความปลอดภัยในการใช้งานได้

เราสามารถดาวโหลด Security Baseline ได้จากแพ็คของ Security Compliance Toolkit โดยในการใช้งานนั้น เราจะต้องเลือก Baseline ที่ตรงกับรุ่นของระบบปฏิบัติการที่เราใช้เพื่อป้องกันผลกระทบที่เกิดจากการแก้ไขการตั้งค่าครับ
ทำความเข้าใจการตั้งค่าด้วย Policy Analyzer
แม้ว่าผลกระทบที่เกิดจากการตั้งค่าอาจจะต่ำสำหรับผู้ใช้งานทั่วไป เราก็ขอแนะนำให้ผู้ใช้งานทำความเข้าใจการตั้งค่าที่จะเกิดขึ้นโดยการใช้เครื่องมือที่มากับ Security Compliance Toolkit ชื่อ Policy Analyzer ซึ่งจะช่วยให้เราทำความเข้าใจการตั้งค่าที่เราจะใช้งานรวมไปถึงเปรียบเทียบการตั้งค่าที่มีอยู่แล้วในปัจจุบันกับ Security Baseline ที่เราดาวโหลดมาว่ามีลักษณะเป็นอย่างไรบ้าง

การใช้งาน Policy Analyzer เพื่อเปรียบเทียบการตั้งค่าปัจจุบันของคอมพิวเตอร์ของเรากับการตั้งค่าจาก Security Baseline สามารถทำได้ตามขั้นตอนดังนี้ครับ

เปิดโปรแกรม PolicyAnalyzer.

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

นักวิจัยด้านความปลอดภัยออกมาเปิดเผยรายละเอียดสำหรับช่องโหว่ CVE-2018-8476 บนWindows Server ช่องโหว่ดังกล่าวถูกแก้ไขในแพตช์ประจำเดือนพฤศจิกายน ปี 2561 ที่ผ่านมา ช่องโหว่นี้ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธีแทรกแซง Windows Server installation และใช้บริการ Windows Deployment Services (WDS) ในทางที่ผิดเพื่อยึดเครื่องและวาง backdoor ได้ โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อตั้งแต่ Windows Server 2008 SP2 ไปจนถึงรุ่นล่าสุดและกระทบ Windows Deployment Services (WDS) ที่มาพร้อมกับระบบ
Omri Herscovici นักวิจัย Check Point ได้ทดสอบสร้างแพ็กเก็ตที่มีรูปแบบไม่ถูกต้องซึ่งจะทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายบน Windows Server ทำให้แฮกเกอร์สามารถเข้ายึด Windows Server ได้
ทั้งนี้หากแฮกเกอร์เข้าควบคุม Windows Server ได้เขาจะสามารถควบคุมเครือข่ายทั้งหมดได้อย่างสมบูรณ์และสามารถใช้บริการ WDS เดียวกันเพื่อลงโปรแกรมอันตราย เช่น backdoor ไปยังระบบภายในได้อย่างง่ายดาย
ทางด้าน Microsoft และ Herscovici ยังไม่พบการโจมตีใด ๆ จากช่องโหว่นี้ แต่หลังจากมีการเผยแพร่รายงานนี้อาจมีผู้ไม่หวังดีพยายามโจมตีช่องโหว่ได้
ข้อแนะนำ: ผู้ดูแลระบบควรอัพเดทแพทช์ประจำเดือนพฤศจิกายน 2561 ให้กับ Windows Server 2008 SP2 ไปจนถึงรุ่นล่าสุด

ที่มา: zdnet.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

เกิด Bug ใน Windows 10 ที่ให้แอปพลิเคชั่น Universal Windows Platform (UWP) เข้าถึงไฟล์ทั้งหมดโดยไม่ได้รับความยินยอมจากผู้ใช้

Microsoft แก้ไขข้อบกพร่องในระบบปฏิบัติการ Windows 10 ด้วยแพตช์ประจำเดือนตุลาคมปี 2018 (เวอร์ชัน 1809) ซึ่งอนุญาตให้แอปใน Microsoft Store มีสิทธิ์ในระบบไฟล์ที่ครอบคุลมในการเข้าถึงไฟล์ทั้งหมดในคอมพิวเตอร์ของผู้ใช้โดยไม่ได้รับความยินยอม

Microsoft ได้เปิดตัวแพลตฟอร์มทั่วไปที่เรียกว่า Universal Windows Platform (UWP) เริ่มใช้งานใน Windows 10 ซึ่งช่วยให้แอปพลิเคชั่นสามารถทำงานได้บนอุปกรณ์ที่ใช้ Windows 10 ทั้งหมดได้แก่ PC, Xbox, IoT, Surface Hub และ Mixed-reality headset

แอปพลิเคชั่น UWP มีความสามารถในการเข้าถึง API บางไฟล์เช่นรูปภาพเพลงหรืออุปกรณ์ต่างๆ เช่นกล้องถ่ายรูปและไมโครโฟน UWP สามารถเข้าถึงไดเร็กทอรีที่มีการติดตั้งแอปในระบบของผู้ใช้และแอปสามารถจัดเก็บข้อมูลของผู้ใช้ (local, roaming และ temporary folders) ได้ และมีความสามารถ broadFileSystemAccess (Broad Files System Access) ช่วยให้แอปพลิเคชั่นสามารถเข้าถึงระบบไฟล์ได้ในระดับเดียวกับผู้ใช้ที่เปิดตัวแอปพลิเคชันนั้นๆ แต่ต้องได้รับการยินยอมจากผู้ใช้ก่อน

Sébastien Lachance นักพัฒนาของ Microsoft เรียนรู้เกี่ยวกับข้อผิดพลาดนี้บน Windows 10 รุ่นก่อนหน้าแพตช์ประจำเดือนตุลาคม 2018 ในแอปพลิเคชันที่เขาพัฒนาที่ใช้สิทธิ์ broadFileSystemAccess โดยไม่แสดงข้อความแจ้งเกี่ยวกับสิทธิ์ในการเข้าถึงระบบไฟล์ ทำให้ Windows 10 จนกระทั่งรุ่น 1809 แอปพลิเคชันสามารถเข้าถึงระบบไฟล์ทั้งหมดโดยไม่ต้องแจ้งให้ผู้ใช้อนุญาต

ทั้งนี้วิศวกรของ Microsoft ได้อธิบายกับ Lachance ได้แก้ปัญหาที่เกิดขึ้นโดยการปิดการตั้งค่า 'broadFileSystemAccess' เป็นค่าเริ่มต้น ซึ่งแอปพลิเคชั่น UWP ทั้งหมดอาจจำเป็นต้องได้รับการปรับปรุงเพื่อป้องกันการขัดข้อง

แต่เนื่องจากมีการหยุดให้อัปเดต Windows 10 บนแพตช์ประจำเดือนตุลาคมปี 2018 จึงแนะนำให้ตั้งค่าก่อนที่จะเปิดตัวแอปพลิเคชันแทนก่อน โดยให้เข้าไปปิดการอัพเดต ที่ Windows 10 Settings → Privacy → File system
ที่มา:thehackernews