David Wells นักวิจัยมัลแวร์จาก Tenable ได้ค้นพบช่องโหว่ Zero-day ใน PsExec หรือเครื่องมือการจัดการสำหรับผู้ดูแลระบบโดยการสั่งการด้วยคำสั่งต่างๆ ผ่านระบบเน็ตเวิร์คจากระยะไกล ซึ่งช่องโหว่ที่ถูกค้นพบนั้นถูกเรียกว่า pipe hijacking โดยอาศัยการสร้าง pipe ที่ถูกใช้ในการติดต่อสารโดย PsExec เอาไว้ก่อนแล้วด้วยสิทธิ์ที่ต่ำกว่า เมื่อเซอร์วิสของ PsExec มาใช้งานจริงก็จะทำการใช้งาน pipe ที่มีอยู่และจะไม่มีการแก้ไขสิทธิ์เพื่อให้เกิดการใช้งานอย่างปลอดภัย ส่งผลให้ผู้โจมตีซึ่งสร้าง pipe ไว้รอจะสามารถใช้ pipe ดังกล่าวซึ่งจะได้สิทธิ์เป็น Local system และกลายเป็นช่องทางในการยกระดับสิทธิ์ขึ้นมาได้

Wells กล่าวอีกว่าช่องโหว่ Zero-day นี้ถูกพบใน PsExec หลายเวอร์ชันตั้งแต่ v1.72 ที่อยู่ใน Windows XP จนถึงเวอร์ชัน v2.2 ที่อยู่ภายใน Windows 10 ซึ่งหลังจากค้นพบช่องโหว่ Wells ได้รายงานต่อ Microsoft ถึงปัญหาแล้ว โดยเมื่อวันที่ 9 ธันวาคม 2020 หลังจากรายงานช่องโหว่ไปแล้ว 90 วัน Microsoft ไม่สามารถแก้ไขข้อบกพร่องได้ Wells จึงได้ทำการเปิดเผยต่อสาธารณะ

Mitja Kolsek ซีอีโอจากบริษัท ACROS Security ได้ออกมากล่าวถึงการแก้ไขช่องโหว่ดังกล่าว ซึ่งทางบริษัทได้ออกไมโครแพทช์ฟรีเพื่อแก้ไขช่องโหว่การเพิ่มสิทธิพิเศษเฉพาะที่ (Local Privilege Escalation - LPE) ในเครื่องมือการจัดการ Windows PsExec ในเวอร์ชัน 32 บิตและ 64 บิตของ Microsoft ซึ่งพร้อมใช้งานแล้วผ่านแพลตฟอร์ม 0patch

ทั้งนี้ผู้ใช้ควรทำการติดตามการอัปเดตแพตช์การแก้ไขช่องโหว่จาก Microsoft เมื่อมีการแก้ไขช่องโหว่ควรรับทำการอัปเดตแพตช์อย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่ต้องอัปเดตแพตช์ผ่านแพลตฟอร์ม 0patch สามารถเข้าไปดูรายละเอียดได้ที่: https://blog.

นักวิจัยด้านความปลอดภัยชาวฝรั่งเศส Clément Labro ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day โดยบังเอิญซึ่งส่งผลกระทบต่อระบบปฏิบัติการ Windows 7 และ Windows Server 2008 R2

ช่องโหว่สองรายการที่ถูกค้นพบนี้อยู่ใน Registry key โดยช่องโหว่เกิดจากการกำหนดค่าไม่ถูกต้องในเซอร์วิส PC Endpoint Mapper และ DNSCache ตามพาทดังนี้

HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper
HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache

นักวิจัยกล่าวว่าช่องโหว่ที่ถูกค้นพบสามารถทำให้ผู้ประสงค์ร้ายแก้ไข Registry key ได้ โดย Registry key ดังกล่าวจะถูกนำไปใช้ต่อเพื่อเปิดใช้งาน sub-key ในกลไกของ Windows Performance Monitoring ซึ่งโดยปกติแล้วจะเปิดให้นักพัฒนาสามารถโหลดไฟล์ DLL ของตนเองที่ทำการแก้ไขด้วย Custom tool เพื่อการติดตามประสิทธิภาพของแอปพลิเคชันได้ตามต้องการ ซึ่งด้วยวิธีการนี้ใน Windows เวอร์ชันใหม่ๆ จะมีการจำกัดสิทธิการทำงานนี้ไว้ แต่ด้วยกลไกลที่กล่าวมาของ Windows 7 และ Server 2008 ผู้ประสงค์ร้ายที่อยู่ในระบบสามารถใช้ช่องทางนี้ในการลอบรันโค้ดในระดับ SYSTEM ได้

Clément Labro พบช่องโหว่นี้โดยบังเอิญจากการทำ PrivescCheck เครื่องมือตรวจสอบการตั้งค่าว่า Windows มีการตั้งค่าที่ไม่ถูกต้องและอาจถูกใช้ในการยกระดับสิทธิได้หรือไม่ โดยเขาพบช่องโหว่ดังกล่าวเมื่อทดลอง PrivescCheck กับ Windows 7 ภายหลังจากที่อัปเดต PrivescCheck สู่สาธารณะไปแล้ว จึงเลือกที่จะเผยแพร่การค้นพบช่องโหว่ Zero-day นี้

ทั้งนี้ Windows 7 และ Windows Server 2008 R2 ได้สิ้นสุดอายุการซับพอต (End Of Life - EOL) และทาง Microsoft ได้หยุดให้บริการอัปเดตแพตซ์ความปลอดภัยให้แก่ผู้ใช้แล้ว อย่างไรก็ดีผู้ใช้สามารถทำการอัปเดตแพตซ์ความปลอดภัยได้โดยการชำระเงิน (Extended Support Updates - ESU) หรือการอัปเดตแพตช์จาก Third-party เช่น 0patch ของบริษัท ACROS Security ซึ่งได้ทำการอัปเดตแพตซ์ความปลอดภัยและเเก้ไขช่องโหว่ดังกล่าวแล้ว

ที่มา:

zdnet.

Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

นักวิจัยด้านความปลอดภัย Sergei Glazunov จากทีม Google Project Zero ได้เปิดเผยถึงการค้นพบช่องโหว่ Zero-day บนเว็บเบราว์เซอร์ Google Chrome สำหรับ Windows, Mac และ Linux โดยช่องโหว่นี้จะทำให้ผู้โจมตีสามารถ Hijack คอมพิวเตอร์ที่ตกเป็นเป้าหมายได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-15999 เป็นช่องโหว่ประเภท Memory corruption โดยช่องโหว่ถูกพบใน FreeType ซึ่งเป็นไลบรารีการพัฒนาซอฟต์แวร์แบบโอเพนซอร์สยอดนิยมสำหรับการแสดงผลแบบอักษรที่มาพร้อมกับ Chrome

หลังจากค้นพบช่องโหว่ Glazunov ได้ทำการรายงานช่องโหว่ Zero-day ไปยังนักพัฒนา FreeType ทันที ซึ่ง Glazunov มีความกังวลว่าผู้ประสงค์ร้ายจะใช้ช่องโหว่จากไลบรารี FreeType นี้ทำการโจมตีระบบอื่นๆ ซึ่งปุจจุบันยังไม่พบการใช้ประโยชน์จากช่องโหว่ แต่เนื่องจากไลบรารี FreeType เป็นโปรเจ็กต์โอเพ่นซอร์สจึงคาดว่าผู้ประสงค์ร้ายจะสามารถทำ reverse-engineer ของ zero-day ได้และจะสามารถหาช่องโหว่ของตัวเองได้ภายในไม่กี่วันหรือกี่สัปดาห์ โดยเมื่อได้รับการเเจ้งเตือนทีมผู้พัฒนา FreeType ได้ออกแพตช์ฉุกเฉินเพื่อแก้ไขปัญหาดังกล่าวแล้วใน FreeType เวอร์ชัน 2.10.4 แล้ว

ทั้งนี้ Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.111 เพื่อเเก้ไขปัญหาด้านความปลอดภัยดังกล่าว ผู้ใช้ควรทำการอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดทันทีเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีผู้ใช้และระบบ

ที่มา: thehackernews | zdnet

Apple ประกาศแพตช์ด้านความปลอดภัยเมื่ออาทิตย์ที่ผ่านมา โดยแพตช์ซึ่งออกมานั้นมีการปิดการโจมตีช่องโหว่ zero-day ทั้ง 3 รายการใน iOS ซึ่งตรวจพบว่าถูกใช้โดยผู้ไม่ประสงค์ดีแล้วโดย Google Project Zero

Google Project Zero ตรวจพบว่ามีผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ 3 รายการได้แก่ CVE-2020-27930, CVE-2020-27932 และ CVE-2020-27950 ในการโจมตีจริง ช่องโหว่แรกนั้นเป็นช่องโหว่ memory corruption ในไลบรารี FontParser ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากไฟล์ฟอนต์แบบพิเศษได้ สองช่องโหว่ที่เหลือเป็นช่องโหว่สำหรับยกระดับสิทธิ์ และช่องโหว่ที่ช่วยข้ามผ่านมาตราการด้านความปลอดภัย

อุปกรณ์ที่ได้รับการแพตช์ได้แก่ iOS, iPadOS, macOS และ watchOS ซึ่งสามารถทำได้อัปเดตได้ทันทีจากหน้าต่างการตั้งค่าของอุปกรณ์ ขอให้ทำการอัปเดตทันทีเพื่อลดความเสี่ยงจากช่องโหว่

ที่มา: thehackernews

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

Cisco ออกแจ้งเตือนช่องโหว่ Zero-day รหัส CVE-2020-3556 ล่าสุดในซอฟต์แวร์ Cisco AnyConnect Secure Mobility Client การโจมตีช่องโหว่สามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล โดย Cisco ได้มีการระบุว่าใน Advisory ว่าช่องโหว่ CVE-2020-3356 นี้มีโค้ดสำหรับโจมตีแล้ว แต่ยังไม่ตรวจพบการนำมาใช้โจมตีจริง

ช่องโหว่ CVE-2020-3356 เป็นช่องโหว่ซึ่งอยู่ในขั้นตอนการสื่อสารระหว่างโปรเซสในอุปกรณ์ซึ่งทำให้ผู้โจมตีที่มีการพิสูจน์ตัวตนเข้ามาในระบบแล้วรวมไปถึงผู้โจมตีที่ใช้งานอยู่ในเครือข่ายเดียวกันสามารถรันสคริปต์ที่เป็นอันตรายได้ อย่างไรก็ตามช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อฟีเจอร์ Auto Update และ Enable Scripting ถูกเปิดใช้งานอยู่ ซึ่งโดยปกตินั้นจะมีเพียงฟีเจอร์ Auto Update ซึ่งถูกเปิดใช้งานเป็นค่าเริ่มต้น

เนื่องจากยังไม่มีแพตช์ออกมา Cisco ได้ให้คำแนะนำในการลดความเสี่ยงที่จะถูกโจมตีโดยการตรวจสอบและปิดการใช้งานฟีเจอร์ Auto Update และ Enable Scripting ออกไปก่อนจนกว่าจะมีการแพตช์อย่างเสร็จสิ้น ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์อย่างใกล้ชิดและดำเนินการตามมาตรการที่เหมาะสมเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่

ที่มา: bleepingcomputer

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.