การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.

นักวิจัยด้านความปลอดภัย Oskars Vegeris จาก Evolution Gaming ได้ออกมาประกาศถึงรายละเอียดของช่องโหว่ด้านความปลอดภัยใน Microsoft Teams ซึ่้งได้มีการแจ้งเข้าไปยังไมโครซอฟต์ตั้งแต่เดือนสิงหาคมที่ผ่านมา ก่อนจะถูกไมโครซอฟต์ปฏิเสธไม่กำหนด CVE ให้เนื่องจาก Policy ของไมโครซอฟต์นั้นกำหนดไว้ว่าทางไมโครซอฟต์จะไม่กำหนด CVE ให้กับกลุ่มผลิตภัณฑ์ที่มีกลไกการอัปเดตโดยอัตโนมัติ

จากรายละเอียดของช่องโหว่ที่เปิดเผยโดย Oskars เอง ช่องโหว่ดังกล่าวเป็นช่องโหว่ในลักษณะ Remote code execution (RCE) ซึ่งจะทำงานทันทีที่ผู้ใช้งานเห็นข้อความที่ถูกส่งมาจาก Microsoft Teams โดยมีที่มาจากปัญหา Cross-site scripting (XSS) ในฟังก์ชันเกี่ยวกับ mention ชื่อผู้ใช้งานอื่นซึ่งนำไปสู่การทำ RCE ช่องโหว่สามารถถูกพัฒนาให้แพร่กระจายมัลแวร์ได้ด้วยตัวเอง ทำให้ช่องโหว่ดังกล่าวถูกระบุว่าเป็นช่องโหว่ Wormable ด้วย

ช่องโหว่นี้ส่งผลกระทบกับ Microsoft Team ทุกแพลตฟอร์ม ได้แก่ Microsoft Teams for Windows (v1.3.00.21759), Linux (v1.3.00.16851), macOS (v1.3.00.23764) และแพลตฟอร์ม web (teams.

Ian Beer นักวิจัยจาก Google Project Zero ได้เปิดเผยรายละเอียดของช่องโหว่ที่สำคัญใน iOS ที่มีลักษณะ "wormable" และได้รับการแก้ไขแล้ว ซึ่งช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลสามารถเข้าควบคุมอุปกรณ์ใดๆ ในบริเวณใกล้เคียงได้ผ่าน Wi-Fi ได้อย่างสมบูรณ์

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3843 ได้รับการแก้ไขช่องโหว่แล้วในชุดการอัปเดตการรักษาความปลอดภัยที่เป็นส่วนหนึ่งของการอัปเดต iOS 13.3.1 , MacOS Catalina 10.15.3 และ watchOS 5.3.7 โดยช่องโหว่เกิดจากข้อผิดพลาดจากการเขียนโปรเเกรม Buffer overflow ในไดรเวอร์ Wi-Fi ที่เชื่อมโยงกับ Apple Wireless Direct Link ( AWDL ) ซึ่งเป็นโปรโตคอลเครือข่ายถูกพัฒนาโดย Apple เพื่อใช้ใน AirDrop, AirPlay และอื่น ๆ ทำให้การสื่อสารง่ายขึ้นระหว่างอุปกรณ์ Apple

นักวิจัยกล่าวว่าช่องโหว่จะทำให้สามารถอ่านและเขียนหน่วยความจำเคอร์เนลได้โดยไม่ต้องรับอนุญาติจากระยะไกล โดยใช้ประโยชน์จากการส่งเพย์โหลดเชลล์โค้ดลงในหน่วยความจำเคอร์เนลผ่านกระบวนการ เพื่อหลีกเลี่ยงการป้องกันแซนด์บ็อกซ์ของกระบวนการในการรับข้อมูลจากผู้ใช้ จากนั้นจะใช้ประโยชน์จาก Buffer overflow ใน AWDL เพื่อเข้าถึงอุปกรณ์และเรียกใช้เพย์โหลด ด้วยวิธีการนี้จะช่วยให้ผู้ประสงค์ร้ายสามารถเข้าควบคุมข้อมูลเครื่องและสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมถึงอีเมล, รูปภาพ, ข้อความ, ข้อมูล iCloud และอื่น ๆ

ทั้งนี้ผู้ใช้ iOS ควรทำการอัปเดต iOS ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้

ที่มา: thehackernews | threatpost

Microsoft ออกเเพตซ์เเก้ไขช่องโหว่ระดับ “Critical” ซึ่งอยู่ใน Windows DNS Server โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถทำการโจมตีเพื่อให้ได้รับสิทธิ์ผู้ดูแลระบบโดเมนและสามารถทำการโจมตีระบบ infrastructure ทั้งหมดที่ทำงานอยู่ในองค์กรได้ ช่องโหว่รหัส CVE-2020-1350 ถูกค้นพบโดยนักวิจัยจาก Check Point และถูกตั้งชื่อว่า “SIGRed”

ช่องโหว่นี้เป็นช่องโหว่การเรียกโค้ดโจมตีจากระยะไกล โดยเกิดจากขั้นตอนการประมวลผล DNS response ในโค้ดของไฟล์ dns.

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

แจ้งเตือน 2 ช่องโหว่ใหม่ใน Remote Desktop Services (RDS) รันโค้ดที่เป็นอันตรายได้จากระยะไกล (RCE) คล้าย BlueKeep เอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry

ไมโครซอฟต์ออกแพตช์ตามรอบ Patch Tuesday ประจำเดือนสิงหาคม 2019 โดยสองช่องโหว่ที่ถูกแพตช์นั้นเป็นช่องโหว่ระดับวิกฤติในแพ็คเกจ Remote Desktop Services (RDS) รหัส CVE-2019-1181 (CVSSv3 8.8) และ CVE-2019-1182 (CVSSv3 8.8) ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายกับระบบที่มีช่องโหว่ได้จากระยะไกล

ลักษณะพิเศษของช่องโหว่คือ Wormable หรือเป็นช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายเวิร์มเช่นเดียวกับกรณีของ WannaCry ได้

ระบบปฏิบัติการที่ได้รับผลกระทบ
- Windows 10 ทั้ง 32 และ 64 บิต 1607, 1703, 1709, 1803, 1809 และ 1903
- WIndows 8.1 ทั้ง 32 และ 64 บิต
- Windows RT 8.1
- Windows 7 ทั้ง 32 และ 64 บิต SP1
- Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 1803 และ 1903

ยังไม่พบ IPS signature ที่ช่วยป้องกันการโจมตีได้ในขณะนี้ ทางป้องกันที่ดีที่สุดในตอนนี้คือแพตช์

ที่มา: https://msrc-blog.