ช่องโหว่ Zero-day บน Sophos Firewall ถูกใช้วาง Webshell

เมื่อวันที่ 25 มีนาคม Sophos ได้เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ CVE-2022-1040 ซึ่งเป็นช่องโหว่การ Bypass การตรวจสอบสิทธิ์ที่ส่งผลต่อ User Portal และ Webadmin ของ Sophos Firewall และอาจถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกล สามวันต่อมา บริษัทเตือนว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่เพื่อกำหนดเป้าหมายองค์กรหลายแห่งในภูมิภาคเอเชียใต้

ล่าสุดในสัปดาห์นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ได้ให้รายละเอียดเกี่ยวกับกลุ่มผู้โจมตีจากประเทศจีนที่รู้จักในชื่อ DriftingCloud ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 ตั้งแต่ต้นเดือนมีนาคม ราวๆสามสัปดาห์ก่อนที่ Sophos จะออกแพตช์ ผู้โจมตีได้ใช้ช่องโหว่ Zero-day ดังกล่าวในการเข้าควบคุม firewall เพื่อติดตั้ง Webshell backdoor และมัลแวร์ที่จะเปิดใช้งานการเข้าควบคุมจากภายนอกนอกเครือข่ายที่ได้รับการป้องกันโดย Sophos Firewall

นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีพยายามซ่อนการเชื่อมต่อสำหรับการเข้าถึงของ webshell ด้วยการใช้ชื่อไฟล์ที่ดูเหมือนเป็นปกติอย่าง login.

Qbot malware now uses Windows MSDT zero-day in phishing attacks

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

พบช่องโหว่ zero-day ระดับ Critical บน Atlassian Confluence และกำลังถูกใช้ในการโจมตีจริง

แฮ็กเกอร์กำลังเริ่มโจมตีโดยใช้ช่องโหว่ zero-day ระดับ Critical ** ของ Atlassian Confluence ที่มีหมายเลข CVE-2022-26134 เพื่อติดตั้งเว็บเชลล์ โดยปัจจุบันยังไม่มีวิธีการแก้ไขออกมาจาก Atlassian

วันนี้ (2 มิ.ย. 2565) Atlassian ได้ออกคำแนะนำด้านความปลอดภัยที่เปิดเผยว่าช่องโหว่ CVE-2022-26134 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งพบทั้งใน Confluence Server และ Data Center

Atlassian ยืนยันว่ามีช่องโหว่ใน Confluence Server 7.18.0 และเชื่อว่า Confluence Server และ Data Center 7.4.0 ก็มีความเสี่ยงเช่นกัน โดยคำแนะนำยังเตือนว่าผู้โจมตีกำลังเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าวบน Confluence Server 7.18.0 และยังไม่มีแพตซ์ในปัจจุบัน

Atlassian จึงแนะนำให้ผู้ใช้งานปิดการเชื่อมต่อไปยัง Confluence Server และ Data Center จากอินเทอร์เน็ต หรือปิดการใช้งานไปเลยเป็นการชั่วคราว เนื่องจากยังไม่มีวิธีอื่นในการลดผลกระทบ  ส่วนองค์กรที่ใช้ Atlassian Cloud (เข้าถึงได้ทาง atlassian.

พบช่องโหว่ Zero Day ของ Windows สามารถเข้าควบคุมเครื่องเป้าหมายได้ทันที เพียงแค่เปิดเอกสาร Word

ช่องโหว่ที่ค้นพบนี้ สาเหตุเกิดจาก URI Protocol ที่มีชื่อว่า search-ms ซึ่งทำหน้าที่ให้ Application ต่างๆ และ HTML Link สามารถใช้งานการฟีเจอร์ Windows Search ได้ตามที่ต้องการ

แม้ว่าการค้นหาของ Windows ส่วนใหญ่จะทำการค้นหาจาก Index บนเครื่อง แต่ด้วยลักษณะการทำงานของ search-ms จึงมีความเป็นไปได้ที่ผู้ไม่หวังดีจะบังคับให้ Windows Search ทำการค้นหาไฟล์จากที่อื่น เพียงแค่ระบุชื่อไปยังโฮสต์ดังกล่าว

ลักษณะการทำงาน

ยกตัวอย่างโปรแกรมยอดนิยมอย่าง Sysinternals ที่เป็นฟรีแวร์สำหรับช่วยแก้ปัญหาต่างๆบนระบบ โดยโปรแกรมนี้ระบุให้ผู้ใช้งานเปิด Network Share ไปยัง live.

ช่องโหว่ MSDT Zero-day บน Windows ถูกใช้โจมตีแล้วโดยกลุ่ม APT จากจีน

แฮ็กเกอร์สัญชาติจีนเริ่มการโจมตีโดยใช้ประโยชน์จากช่องโหว่ zero-day ของ Microsoft Office (หรือที่รู้จักในชื่อ 'Follina')

ช่องโหว่ RCE ดังกล่าวเกิดจาก Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190) ซึ่งส่งผลกระทบต่อทั้ง Windows client และ server ทั้งหมด

กลุ่ม Shadow Chaser ซึ่งเป็นนักวิจัยที่รายงาน zero-day นี้ครั้งแรกในเดือนเมษายนกล่าวว่า ในช่วงแรก Microsoft ประเมินว่าช่องโหว่นี้ไม่ถือว่าเป็น "ปัญหาด้านความปลอดภัย" แต่อย่างไรก็ตาม ในภายหลังกลับปิดเคส(ระบบสำหรับการแจ้งช่องโหว่กับ Microsoft) ว่าเป็นช่องโหว่ที่มีผลกระทบในแบบ Remote Code Execution

เริ่มพบการโจมตีเป็นวงกว้าง

เมื่อวันที่ 30 พ.ค. ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Proofpoint พบว่ากลุ่ม TA413 APT ซึ่งเป็นกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยการส่งไฟล์ Word ที่ถูก ZIP ไว้ผ่านแคมเปญชื่อ 'Women Empowerments Desk’ ของ Central Tibetan Administration และใช้โดเมน tibet-gov.

นักวิจัยเตือนช่องโหว่ Zero-Day ใหม่บน Microsoft Office ที่กำลังถูกใช้ในการโจมตีในปัจจุบัน

นักวิจัยด้านความปลอดภัยทางไซเบอร์แจ้งเตือนให้เฝ้าระวังช่องโหว่ Zero-Day ใหม่ใน Microsoft Office ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนระบบ Windows ที่ได้รับผลกระทบ

ช่องโหว่ถูกพบหลังจากทีมวิจัยความปลอดภัยทางไซเบอร์อิสระที่รู้จักกันในชื่อ nao_sec อัปโหลดเอกสาร "05-2022-0438.doc" ไปยัง VirusTotal จากที่อยู่ IP ในเบลารุส โดยนักวิจัยเรียกช่องโหว่นี้ว่า Follina เนื่องจากไฟล์ตัวอย่างที่เป็นอันตรายใช้ชื่อ 0438 ซึ่งเป็นรหัสพื้นที่ของ Follina ในเมือง Treviso ของอิตาลี

ช่องโหว่นี้ใช้ประโยชน์จาก Remote template feature ของเอกสารเพื่อเรียกใช้ไฟล์ HTML จากเซิร์ฟเวอร์ภายนอก ซึ่งมีรูปแบบ URI "ms-msdt://" เพื่อสั่งรัน PowerShell เพื่อเรียกใช้เพย์โหลดที่เป็นอันตราย เนื่องจาก Microsoft Word รันโค้ดผ่าน MSDT แม้ว่าจะปิดใช้งานมาโคร และที่สำคัญยังสามารถทำงานได้โดยที่ยังไม่ได้เปิดไฟล์เอกสารผ่านทางแท็บแสดงตัวอย่างใน Explorer

MSDT ย่อมาจาก Microsoft Support Diagnostics Tool ซึ่งเป็น Utility ที่ใช้ในการแก้ไขปัญหา รวบรวมข้อมูลบนระบบเพื่อใช้ในการแก้ไขปัญหาของระบบ support

Microsoft Office หลายเวอร์ชัน รวมถึง Office 2016 และ Office 2021 ได้รับผลกระทบจากช่องโหว่ดังกล่าว และคาดว่าเวอร์ชันอื่นๆก็มีช่องโหว่เช่นกัน

Richard Warren จาก NCC Group ได้ลองทดสอบช่องโหว่ดังกล่าวบน Office ProfessionalPro ด้วยแพตช์ล่าสุดเดือนเมษายน 2022 ที่ทำงานบนเครื่อง Windows 11 เวอร์ชันล่าสุด โดยเปิดใช้งานบนหน้าต่างแสดงตัวอย่าง

โดยนักวิจัยได้ติดต่อไปยัง Microsoft เพื่อขอความคิดเห็นเกี่ยวกับช่องโหว่ดังกล่าวเรียบร้อยแล้ว ซึ่งคาดว่า Microsoft น่าจะต้องออกแพตซ์อัปเดตช่องโหว่ดังกล่าวในเร็วๆนี้

วิดิโอตัวอย่าง คลิก

ที่มา : thehackernews

 

Predator Spyware ใช้การโจมตีด้วยช่องโหว่ Zero-day เพื่อกำหนดเป้าหมายไปยังอุปกรณ์ Android

ในวันพฤหัสบดีที่ 19 พฤษภาคม Threat Analysis Group (TAG) ของ Google รายงานว่า Cytrox ผู้พัฒนาสปายแวร์ ได้พัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่ Zero-day 5 รายการ เพื่อกำหนดเป้าหมายไปยังผู้ใช้ Android ด้วยสปายแวร์

มีการใช้งานช่องโหว่ Zero-day ร่วมกับช่องโหว่ n-day เพื่อติดตั้งสปายแวร์ โดยได้มีการพัฒนาเครื่องมือที่ใช้ในการโจมตีช่องโหว่สำหรับ Chrome Zero-day และ 1 ช่องโหว่สำหรับ Android Zero-day

CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 in Chrome
CVE-2021-1048 in Android

นักวิจัย TAG Clement Lecigne และ Christian Resell อธิบายว่ามีการใช้งานเครื่องมือที่ใช้ในการโจมตี Zero-day ร่วมกับ n-day โดยผู้โจมตีพยายามใช้ประโยชน์จากความแตกต่างของระยะเวลาในการออกแพตช์ในระดับ Critical บางตัว ซึ่งบางครั้งแพตช์เหล่านี้ไม่ได้ถูกปล่อยออกมาพร้อมกันบนอุปกรณ์ Android ทั้งหมดจากผู้ให้บริการในแต่ละราย

ตามข้อมูลของ Google ช่องโหว่ดังกล่าวรวมอยู่ในรายการสปายแวร์ของ Cytrox ที่ขายให้กับผู้ดำเนินการที่มีส่วนเกี่ยวข้องกับภาครัฐของชาติต่างๆ เช่น อียิปต์ อาร์เมเนีย กรีซ มาดากัสการ์ โกตดิวัวร์ เซอร์เบีย สเปน และอินโดนีเซีย ซึ่งผู้โจมตีกำลังใช้สปายแวร์ Predator ใน 3 แคมเปญที่แตกต่างกันในรายงานการวิเคราะห์จาก Citizen Lab ของมหาวิทยาลัยโตรอนโต

TAG ตรวจสอบ 3 แคมเปญ และได้สรุปว่าผู้โจมตีจะทำการส่งลิงก์ไปยังผู้ใช้ Android ผ่าน spear-phishing emails ลิงก์เหล่านี้จะถูกย่อโดยใช้ URL shortener ที่ใช้ทั่วไป ซึ่งผู้โจมตีจะมุ่งเป้าไปยังเหยื่อเพียงไม่กี่ราย เมื่อเหยื่อคลิกที่ URL เหล่านี้ ก็จะทำให้ถูกเปลี่ยนเส้นทางไปยังโดเมนภายใต้การควบคุมของผู้โจมตีซึ่งใช้ในการโจมตีช่องโหว่ดังกล่าว ก่อนที่จะเปลี่ยนเส้นทางกลับไปยังเว็บไซต์ที่ถูกต้อง การกระทำดังกล่าวใช้เพื่อส่ง ALIEN Android banking Trojan ที่ทำหน้าที่เป็นตัวโหลด Cytrox's Predator

(more…)

Ubuntu Desktop & Windows 11 ถูกแฮ็กได้สำเร็จในงาน Pwn2Own วันที่ 3

ในวันที่ 3 ของงาน Pwn2Own งานแข่งขันของแฮ็กเกอร์ซึ่งปีนี้ถูกจัดขึ้นที่แวนคูเวอร์ประเทศแคนาดา นักวิจัยด้านความปลอดภัยได้ใช้ช่องโหว่ Zero-day 3 รายการแฮ็กระบบปฏิบัติการ Windows 11 ของ Microsoft ได้สำเร็จ

ในความพยายามครั้งแรกของทีม DoubleDragon ในการพยายามแฮ็กผ่าน Microsoft Teams ไม่สำเร็จ เนื่องจากไม่สามารถโจมตีได้สำเร็จภายในระยะเวลาที่ Microsoft กำหนด แต่ก็ยังมีผู้เข้าแข่งขันรายอื่นๆที่สามารถแฮ็ก Windows 11 ได้สำเร็จถึงสามครั้ง รวมไปถึงการแฮ็ก Ubuntu Desktop ด้วยอีกหนึ่งครั้ง ซึ่งทำให้ผู้เข้าแข่งขันได้รับเงินไปทั้งหมด $160,000

(more…)

CISA เตือนผู้ดูแลระบบให้รีบแก้ไขช่องโหว่ Spring, Zyxel โดยด่วน

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่อีก 2 รายการเข้าสุ่รายการเฝ้าระวังช่องโหว่ร้ายแรงที่กำลังถูกนำมาใช้ในการโจมตีจริง ช่องโหว่แรกคือช่องโหว่ code injection บน Spring Cloud Gateway library และอีกหนึ่งช่องโหว่ command injection ในเฟิร์มแวร์ของ Zyxel บนอุปกรณ์ไฟร์วอลล์ และ VPN

โดยช่องโหว่ Spring Framework (CVE-2022-22947) เป็นช่องโหว่ระดับ Critical ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนเครื่องที่ยังไม่ได้อัปเดตแพตซ์

ซึ่งปัจจุบัน Botnet ที่รู้จักกันในชื่อ Sysrv เริ่มดำเนินการโจมตีเพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

ผู้โจมตียังโจมตีโดยใช้ช่องโหว่ในเฟิร์มแวร์ของ Zyxel (CVE-2022-30525) ซึ่งพึ่งได้รับการแก้ไขไปเมื่อวันที่ 12 พฤษภาคม และเริ่มพบการโจมตีทันทีหลังจากวันที่ทาง Zyxel ออกแพตซ์อัปเดตออกมา

Rapid7 พบผลิตภัณฑ์ของ Zyxel ที่มีช่องโหว่มากกว่า 15,000 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ในขณะที่ Shadowserver ตรวจพบอุปกรณ์ที่อาจได้รับผลกระทบอย่างน้อย 20,000 เครื่อง

นับตั้งแต่การโจมตีเริ่มต้นขึ้น Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA ยังเตือนผู้ดูแลระบบเกี่ยวกับการโจมตีที่เริ่มพบมากขึ้นเรื่อยๆ และแนะนำให้รีบอัปเดตเฟิร์มแวร์ของไฟร์วอลล์ Zyxel โดยเร็วที่สุด

(more…)

Apple ออกอัปเดตฉุกเฉิน แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการแฮ็กเครื่อง Mac และ Apple Watch

Apple ออกแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ในการโจมตีไปยังอุปกรณ์ Mac และ Apple Watch

ในคำแนะนำด้านความปลอดภัยที่ออกมาเมื่อวันจันทร์จาก Apple มีการระบุว่าทาง Apple ได้รับทราบถึงรายงานของช่องโหว่ด้านความปลอดภัยนี้แล้ว และยังคาดว่าอาจมีการนำไปใช้ในการโจมตีจริง นักวิจัยที่ไม่ได้ระบุชื่อเป็นผู้รายงานช่องโหว่ดังกล่าว และได้รับการแก้ไขจาก Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5 โดยช่องโหว่เกิดจาก out-of-bounds write issue (CVE-2022-22675) ใน AppleAVD (kernel extension สำหรับการถอดรหัสเสียง และวิดีโอ) ที่ทำให้แอปสามารถสั่งรันโค้ดได้ตามต้องการด้วยสิทธิ์ของ kernel

อุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ Apple TV HD

แม้ว่า Apple ได้เปิดเผยรายงานว่าคาดว่าน่าจะมีการโจมตีเกิดขึ้นจริงแล้ว แต่ก็ยังไม่มีข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว

Apple ตั้งเป้าอัปเดตด้านความปลอดภัยบน Apple Watch และ Mac ให้กับผู้ใช้งานให้ได้มากที่สุด ก่อนที่ผู้โจมตีจะรู้รายละเอียดของ Zero-day และเริ่มนำมาปรับใช้ในการโจมตีส่วนอื่นๆ แม้ว่า Zero-day นี้ส่วนใหญ่จะใช้โจมตีได้แค่บางอุปกรณ์เท่านั้น แต่ทาง Apple ก็แนะนำให้ผู้ใช้งานรีบอัปเดต macOS และ watchOS โดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

5 Zero-days ที่ถูกแพตช์ในปี 2022

ในเดือนมกราคม Apple ได้ทำการแพตช์ Zero-days อีกสองตัวที่ถูกใช้ในการโจมตีเป็นวงกว้าง โดยผู้โจมตีสามารถเรียกใช้โค้ดด้วยสิทธิ์เคอร์เนล (CVE-2022-22587) และเก็บข้อมูลการเข้าใช้งานเว็บไซต์, ข้อมูลประจำตัวผู้ใช้แบบเรียลไทม์ (CVE-2022-22594)

หนึ่งเดือนต่อมา Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-days (CVE-2022-22620) ใหม่ ซึ่งถูกใช้ในการแฮ็ก iPhone, iPad และ Mac ซึ่งสามารถทำให้เกิด OS crashes รวมถึงการสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ Apple ที่ถูกโจมตีได้

ในเดือนมีนาคมก็มีการพบ Zero-days อีกสองตัวใน Intel Graphics Driver (CVE-2022-22674) และ AppleAVD media decoder (CVE-2022-22675) ใน macOS เวอร์ชันเก่า, watchOS 8.6 และ tvOS 15.5

Zero-days ทั้ง 5 นี้ส่งผลกระทบต่อ iPhone (iPhone 6s ขึ้นไป), Mac ที่ใช้ macOS Monterey และ iPad หลายรุ่น

ซึ่งตลอดปีที่ผ่านมา Apple ยังได้ออกแพตซ์แก้ไขช่องโหว่ Zero-days อีกจำนวนมากที่ถูกมุ่งเป้าโจมตีไปยังอุปกรณ์ iOS, iPadOS และ macOS

ที่มา: bleepingcomputer