Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้

เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต

Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server

ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล

วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก www.

Microsoft เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ Zero-day ใน Internet Explorer (IE) ที่กำลังถูกโจมตีในช่วงนี้
เบื้องต้นทาง Microsoft ระบุว่าการโจมตีดังกล่าวไม่ได้โจมตีเป็นวงกว้าง จำกัดแค่ผู้ใช้งานส่วนหนึ่ง แต่ได้ทำการออกวิธีการแก้ไขปัญหาและการลดผลกระทบที่สามารถนำไปใช้เพื่อป้องกันระบบที่มีช่องโหว่จากการโจมตีเท่านั้น แล้วจะออก Patch สำหรับแก้ไขช่องโหว่ดังกล่าวตามมาในอนาคต
Microsoft อธิบายถึงช่องโหว่ Zero-day ใน IE ซึ่งได้รับ CVE-2020-0674 ว่าเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเข้าถึงระบบ (remote code execution หรือ RCE ) โดยเกิดจากข้อผิดพลาดของหน่วยความจำเสียหายใน IE's scripting engine องค์ประกอบของเบราว์เซอร์ที่จัดการ JavaScript (Jscript9.dll) ช่องโหว่ดังกล่าวส่งผลกระทบกับ IE9 ถึง IE11 บน Windows desktop และ Windows Server
ผู้โจมตีสามารถออกแบบเว็บไซต์เป็นพิเศษเพื่อใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วโน้มน้าวให้ผู้ใช้ดูเว็บไซต์ดังกล่าว เช่น การส่งอีเมล
วิธีการแก้ไขปัญหาและการลดผลกระทบของช่องโหว่ดังกล่าวคือตั้งค่าเพื่อจำกัดการเข้าถึง Jscript9.dll โดยสามารถอ่านวิธีได้จาก microsoft ซึ่ง Microsoft เตือนว่าต้องยกเลิกการตั้งค่าดังกล่าวก่อนที่จะอัปเดต Patch สำหรับช่องโหว่นี้ที่จะออกมาในอนาคต

ที่มา ZDNet

 

ไมโครซอฟท์อัปเดตแพตช์ใหม่แก้ช่องโหว่ Zero day ที่กำลังถูกโจมตี

ด้วยแพตช์ล่าสุดมีการอัปเดตในวันที่ 10 ธันวาคม 2019 ไมโครซอฟท์ได้เตือนผู้ใช้หลายพันล้านคนเกี่ยวกับช่องโหว่ใหม่ใน Windows ที่ผู้โจมตีใช้ประโยชน์จากการทำงานร่วมกันกับ Chrome exploit เพื่อควบคุมคอมพิวเตอร์จากระยะไกล

การอัปเดตด้านความปลอดภัยของ Microsoft ในเดือนธันวาคมนั้นมีการอัปเดตแพตช์เพื่อแก้ไขช่องโหว่ทั้งหมด 36 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงมากที่สุดอยู่ 7 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงสำคัญอยู่ 27 ช่องโหว่ มีช่องโหว่ที่มีความรุนแรงระดับปานกลางอยู่ 1 ช่องโหว่และมี 1 ช่องโหว่ที่มีความรุนแรงต่ำ

CVE-2019-1458 ซึ่งเป็นช่องโหว่ที่กำลังถูกโจมตี เป็นช่องโหว่ที่มีความรุนแรงสำคัญ เป็นช่องโหว่การเพิ่มระดับสิทธิการใช้งาน Win32k ซึ่ง Kaspersky พบว่ากำลังใช้โจมตีในการโจมตีที่ถูกตั้งชื่อว่า Operation WizardOpium ซึ่งผู้โจมตีใช้ช่องโหว่นี้ร่วมกับการหลีกเลี่ยงการตรวจจับจาก Chrome sandbox เพื่อยึดสิทธิ

แม้ว่า Google จะแก้ไขช่องโหว่ใน Chrome sandbox ที่ถูกใช้ร่วมกับ CVE-2019-1458 แล้ว แต่แฮกเกอร์มุ่งโจมตีเป้าหมายเป็นผู้ใช้งานเบราว์เซอร์เวอร์ชันที่มีช่องโหว่

ดังที่ The Hacker News รายงานเมื่อเดือนที่แล้ว Operation WizardOpium เกี่ยวข้องกับการโจมตีเว็บข่าวภาษาเกาหลี ที่ถูกบุกรุกแล้ววางโค้ดโจมตีเพื่อทำการแฮกคอมพิวเตอร์ของผู้ที่เข้าไปเยี่ยมชม โดยโค้ดโจมตีดังกล่าวจะโจมตี Chrome ตามด้วย CVE-2019-1458 ซึ่งโค้ดโจมตีนี้ทำงานบน Windows 7 และแม้แต่ใน Windows 10 บางรุ่น หากโจมตีสำเร็จ ผู้โจมตีสามารถเรียกใช้โค้ดอันตรายได้ใน kernel mode

ขณะนี้นักวิจัยไม่สามารถระบุว่า Operation WizardOpium คือผู้โจมตีหรือกลุ่มแฮกเกอร์ใด แต่พวกเขาพบความคล้ายคลึงกันบางอย่างคือโค้ดที่ใช้โจมตีคล้ายกับโค้ดของกลุ่มแฮกเกอร์เกาหลีเหนือ Lazarus

แนะนำผู้ใช้ Windows และผู้ดูแลระบบให้อัปเดตแพตช์ความปลอดภัยล่าสุดเพื่อป้องกันการโจมตี โดยสามารถอ่านรายละเอียดช่องโหว่ทั้งหมดที่อัปเดในแพตช์นี้ได้จาก https://msrc-blog.

แฮกเกอร์เปิดเผยวิธีเลี่ยงแพตช์ของช่องโหว่ที่ได้รับการแก้ไขแล้วใน Windows 10

เมื่อวันที่ 7 มิถุนายน 2019 SandboxEscaper ได้เปิดเผยวิธีโจมตีเพื่อเลี่ยงการแพตช์ช่องโหว่ CVE-2019-0841 ที่ถูกแพตช์ไปแล้ว ทำให้สามารถโจมตีช่องโหว่ดังกล่าวได้อีกครั้ง

SandboxEscaper เป็นที่รู้จักกันดีในเรื่องการหาช่องโหว่ zero-day ที่ยังไม่ได้แก้ไขของ Windows ในปีที่ผ่านมาแฮกเกอร์ได้เปิดเผยช่องโหว่ zero-day มากกว่าครึ่งโหลใน Windows OS โดยไม่สนใจที่จะแจ้งให้ Microsoft ทราบถึงปัญหาก่อน ได้ทำการเปิดเผยวิธี Bypass ช่องโหว่ CVE-2019-0841 เป็นวิธีที่สองเพิ่มจากที่เคยเปิดเผยวิธีแรกไปแล้วก่อนหน้านี้

ช่องโหว่ CVE-2019-0841 เป็นช่องโหว่ที่เกิดจาก Windows AppX Deployment Service (AppXSVC) จัดการ hard link อย่างไม่ถูกต้อง ทำให้สามารถใช้เพื่อยกระดับสิทธิ์ผู้ใช้งานได้ ได้รับการแพตช์แล้วเมื่อเดือนเมษายน 2019 แต่ SandboxEscaper อ้างว่าได้ค้นพบวิธีใหม่ในการเลี่ยงแพตช์ของช่องโหว่ โดยทำวิดีโอสาธิตการเลี่ยงด้วยการใช้เบราวเซอร์ Edge เพื่อเขียน discretionary access control list (DACL) ด้วยสิทธิ์ระดับ SYSTEM

โดยในแพตช์ประจำเดือนมิถุนายน 2019 ที่เพิ่งออกนี้ยังไม่มีการแก้ไขกรณีดังกล่าว

ที่มา : thehackernews

นักวิจัยพบช่องโหว่ Zero Day บนระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple สามารถหลอกระบบปฏิบัติการให้รันคำสั่งอันตรายได้
Patrick Wardle นักวิจัยด้าน MacOS เปิดเผยช่องโหว่ดังกล่าวเมื่อวันจันทร์ (3 มิถุนายน 2019) ว่าในระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple มีฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) ซึ่งอนุญาตให้ใช้งานเฉพาะโปรแกรมที่ได้รับอนุญาต (Trusted Apps) ซึ่ง Patrick Wardle พบว่ามีช่องโหว่ในการตรวจสอบว่าโปรแกรมที่ได้รับอนุญาตนั้นถูกดัดแปลงมาหรือไม่ ในกรณีที่เขาดัดแปลงโปรแกรมที่ได้รับอนุญาตให้เป็นโปรแกรมอันตราย เขาจะสามารถใช้ฟังก์ชันจำลองการคลิกเมาส์ดังกล่าวเพื่อเข้าถึงข้อมูลสำคัญได้ เช่น เปิดไมโครโฟน หรือเข้าถึงข้อมูลพิกัด GPS ของเครื่อง
Patrick Wardle ได้แสดง proof-of-concept การโจมตีด้วยช่องโหว่ดังกล่าวด้วยการดัดแปลงโปรแกรม VLC ซึ่งเป็นหนึ่งในโปรแกรมที่ได้รับอนุญาตให้ใช้ฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) และสาธิตการโจมตีด้วยการจำลองการคลิกเมาส์โดยไม่ต้องมี user's interaction ทั้งนี้หากผู้โจมตีต้องการโจมตีอย่างแนบเนียนก็จะสามารถสั่งให้มีการจำลองการคลิกเมาส์เฉพาะเวลาที่เครื่องอยู่ในโหมด sleep ได้
ช่องโหว่ดังกล่าวถูกรายงานต่อ Apple แล้วแต่ยังไม่ได้รับการยืนยันว่าจะแก้ไขหรือไม่ โดย Patrick Wardle ระบุว่าการใช้ช่องโหว่ดังกล่าวถือเป็นการโจมตีขั้นที่สองที่ผู้โจมตีต้องสามารถควบคุมเครื่องได้ก่อน หรือสามารถลงโปรแกรมที่ถูกดัดแปลงไว้ได้แล้ว

ที่มา :thehackernews.

SandboxEscaper เผยแพร่ช่องโหว่ zero-day ของระบบปฏิบัติการวินโดวส์อีกครั้งในวันที่ 23 พฤษภาคม 2019 โดยปล่อยช่องโหว่ดังกล่าวหลังจาก Microsoft ออกแพตช์ประจำเดือนพฤษภาคม 2019 เพียง 1 สัปดาห์

ซึ่งช่องโหว่นี้เป็นครั้งที่ห้าที่ SandboxEscaper ออกมาเผยแพร่โดยเริ่มจากเมื่อปลายเดือนสิงหาคม 2018 ช่องโหว่ในครั้งนี้เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์จำกัดสามารถควบคุมไฟล์ที่เข้าถึงได้เฉพาะสิทธิ์สูงสุดอย่าง SYSTEM และ TrustedInstaller เท่านั้น

เช่นเดียวกับช่องโหว่ที่เคยถูกเผยแพร่ SandboxEscaper จะมุ่งเน้นการหาช่องโหว่ใน Task Scheduler โดยใช้ Task Scheduler นำเข้าระบบ tasks เก่าๆ เช่น นำเข้า Task ในรูปแบบ .JOB ซึ่งเป็นรูปแบบ Task ในสมัย Windows XP แต่ยังสามารถเพิ่ม .JOB ในระบบปฏิบัติการเวอร์ชันที่ใหม่กว่าได้

เมื่อ Task Scheduler นำเข้าไฟล์ .JOB ที่มี DACL (discretionary access control list) ที่ไม่ถูกต้อง ระบบจะให้สิทธิ์การเข้าถึงไฟล์แก่ผู้ใช้อย่างเต็มรูปแบบ โดย SandboxEscaper ทำการโจมตี Task Scheduler บน Windows 10 โดยการเรียกใช้คำสั่ง executables 'schtasks.

นักวิจัยด้านความปลอดภัย Clement Lecigne รายงานช่องโหว่ร้ายแรงที่พบบน Google Chrome เมื่อช่วงปลายเดือนที่ผ่านมา ซึ่งอาจส่งผลให้ผู้โจมตีสามารถ remote ควบคุมเครื่องได้เกิดจากช่องโหว่ใน FileReader ซึ่งเป็น API มาตรฐานที่ได้รับการออกแบบมาเพื่อให้เว็บแอปพลิเคชันอ่านเนื้อหาของไฟล์ ช่องโหว่ในองค์ประกอบ FileReader สามารถเปิดโอกาสให้ผู้โจมตีที่ได้รับสิทธิพิเศษบนเว็บเบราว์เซอร์ Chrome ทำให้พวกเขาสามารถหลบหนีการป้องกันและเรียกใช้ควบคุมเครื่องเป้าหมาย
CVE-2019-5786 นั้นมีผลกระทบต่อ Google Chrome ทั้งบนระบบปฏิบัติการ Microsoft Windows, Apple macOS และ Linux โดย Google เตือนว่าช่องโหว่ zero-day RCE นี้กำลังถูกโจมตี โดย Google แก้ไขช่องโหว่ด้านความปลอดภัยนี้แล้วใน Chrome เวอร์ชัน 72.0.3626.121 สำหรับระบบปฏิบัติการ Windows, Mac และ Linux ดังนั้นผู้ใช้ควรตรวจสอบให้แน่ใจว่าระบบของคุณใช้งานเว็บเบราว์เซอร์ Chrome รุ่น 72.0.3626.121 ดังกล่าว

ที่มา: thehackernews.

นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดและรหัสการทดสอบการใช้โปรแกรม (PoC) สำหรับช่องโหว่ของ Windows ที่ยังไม่ได้แก้ไข ซึ่งทำให้ส่งผลกระทบต่อ Windows handles vCard files (VCFs) โดยช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีแล้วโดย John Page (@hyp3rlinx) นักวิจัยด้านความปลอดภัยรายงานไปยัง Microsoft ผ่านทางโปรแกรมการเปิดเผยช่องโหว่ Zero Day Initiative (ZDI) ของ Trend Micro

บริษัทไมโครซอฟท์เปิดเผยว่าเดือนตุลาคมมีการแก้ไขช่องโหว่ VCF และอัพเดท patch การรักษาความปลอดภัยในเร็วๆนี้ ทางผู้ผลิตระบบปฏิบัติวินโด้จะเปลี่ยนชื่อวินโด้เวอร์ชั่นใหม่เป็น Windows v.Next (ชื่อเวอร์ชันหลักถัดไปของระบบปฏิบัติการ Windows ปัจจุบันรู้จักกันในนาม 19H1 ซึ่งจะเปิดตัวในเดือนเมษายน 2019)

นักวิจัยด้านภัยคุกคามทางไซเบอร์สามารถสร้างไฟล์อันตราย VCF ที่จะแสดงการเชื่อมโยงที่เป็นอันตราย เมื่อผู้ใช้คลิกลิ้งจะทำให้เปิดใช้งานและเรียกใช้โค้ดที่เป็นอันตราย ซึ่งข่าวดีก็คือช่องโหว่นี้สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้ แต่ไม่สามารถใช้ประโยชน์จากการเรียกใช้โค้ดระยะไกลเนื่องจากต้องมีการตอบกลับจากผู้ใช้ก่อนเพื่อให้เป้าหมายเข้าไปที่หน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย แม้ว่าการโจมตีจะต้องอาศัยการโต้ตอบจากผู้ใช้

ที่มา: Zdnet

นักวิจัยด้านความปลอดภัยทางไซเบอร์ออกมาเปิดเผยช่องโหว่ Zero-day บนระบบปฏิบัติการวินโดวส์ ทำให้สามารถบันทึกหรือเขียนไฟล์ทับข้อมูลของเป้าหมายได้ตามใจชอบโดยไม่ต้องได้รับอนุญาต การทำงานของ Proof-of-Concept (PoC) ที่เผยแพร่ออกมานั้น เป็นช่องโหว่ที่ทำให้เกิดการบันทึก 'pci.

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.