Microsoft ออกเเพตซ์เเก้ไขช่องโหว่ระดับวิกฤติ “SIGRed” ใน Windows DNS Server เอามาใช้ทำมัลแวร์ได้แบบ WannaCry

Microsoft ออกเเพตซ์เเก้ไขช่องโหว่ระดับ “Critical” ซึ่งอยู่ใน Windows DNS Server โดยช่องโหว่นี้ทำให้ผู้โจมตีสามารถทำการโจมตีเพื่อให้ได้รับสิทธิ์ผู้ดูแลระบบโดเมนและสามารถทำการโจมตีระบบ infrastructure ทั้งหมดที่ทำงานอยู่ในองค์กรได้ ช่องโหว่รหัส CVE-2020-1350 ถูกค้นพบโดยนักวิจัยจาก Check Point และถูกตั้งชื่อว่า “SIGRed”

ช่องโหว่นี้เป็นช่องโหว่การเรียกโค้ดโจมตีจากระยะไกล โดยเกิดจากขั้นตอนการประมวลผล DNS response ในโค้ดของไฟล์ dns.

‼️‼️ แจ้งเตือนระดับวิกฤต ช่องโหว่ระดับอันตรายสูงสุดที่อาจสามารถทำให้เกิด The Next WannaCry ได้กำลังถูกปล่อยออกมา ‼️‼️

Cisco Talos ทำบล็อกแจ้งเตือนใหม่โดยเผลอหลุดชื่อช่องโหว่ RCE ใน SMBv3 ที่ไมโครซอฟต์กำลังจะออกแพตช์รหัส CVE-2020-0796 โดยช่องโหว่นี้มีลักษณะ Wormable ได้ ซึ่งหมายถึงว่ามันสามารถถูกเอามาใช้แพร่กระจายได้เช่นเดียวกับกรณีของ CVE-2017-0143/0144 ที่ #WannaCry ใช้

ตอนนี้ IPS ก็เริ่มมี signature มาก่อนแล้วโดยที่ข้อมูลช่องโหว่ยังไม่มีออกมา แต่จากรายละเอียดก็พอบอกได้แต่เพียงว่าเป็นช่องโหว่ Buffer Overflow ในส่วนของกระบวนการ compress packet

ด้วยสถานการณ์ตอนนี้ Patch Tuesday ที่กำลังจะมาถึงอาจจะเป็นหนึ่งในแพตช์ที่ช่วยรักษาชีวิตของเราไว้ได้อย่างที่เราคาดไม่ถึงครับ

ที่มา : twitter

First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Microsoft Fixes Critical Windows 10 Wormable Remote Desktop Flaws

แจ้งเตือน 2 ช่องโหว่ใหม่ใน Remote Desktop Services (RDS) รันโค้ดที่เป็นอันตรายได้จากระยะไกล (RCE) คล้าย BlueKeep เอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry

ไมโครซอฟต์ออกแพตช์ตามรอบ Patch Tuesday ประจำเดือนสิงหาคม 2019 โดยสองช่องโหว่ที่ถูกแพตช์นั้นเป็นช่องโหว่ระดับวิกฤติในแพ็คเกจ Remote Desktop Services (RDS) รหัส CVE-2019-1181 (CVSSv3 8.8) และ CVE-2019-1182 (CVSSv3 8.8) ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายกับระบบที่มีช่องโหว่ได้จากระยะไกล

ลักษณะพิเศษของช่องโหว่คือ Wormable หรือเป็นช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายเวิร์มเช่นเดียวกับกรณีของ WannaCry ได้

ระบบปฏิบัติการที่ได้รับผลกระทบ
- Windows 10 ทั้ง 32 และ 64 บิต 1607, 1703, 1709, 1803, 1809 และ 1903
- WIndows 8.1 ทั้ง 32 และ 64 บิต
- Windows RT 8.1
- Windows 7 ทั้ง 32 และ 64 บิต SP1
- Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019, 1803 และ 1903

ยังไม่พบ IPS signature ที่ช่วยป้องกันการโจมตีได้ในขณะนี้ ทางป้องกันที่ดีที่สุดในตอนนี้คือแพตช์

ที่มา: https://msrc-blog.