แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

ทีม Project Zero จาก Google ได้เปิดเผยถึงการค้นพบกลุ่มเเฮกเกอร์พยายามใช้ช่องโหว่ Zero-day จำนวน 11 รายการ ในการโจมตีที่กำหนดเป้าหมายไปที่ผู้ใช้ Windows, iOS และ Android

ตามรายงานการโจมตีพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์เกิดขึ้นในสองช่วงเวลาคือในเดือนกุมภาพันธ์และตุลาคม 2020 ที่ผ่านมา โดยช่องโหว่ Zero-day จำนวน 11 รายการ ที่ถูกใช้ในการโจมตีมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-6418 - เป็นช่องโหว่ในโมดูล TurboFan ของ Chrome (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-0938 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1020 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1027 - เป็นช่องโหว่ Client Server Run-Time Subsystem (CSRSS) บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-15999 - เป็นช่องโหว่ Freetype Heap buffer overflow บน Chrome (ถูกแก้ไขช่องโหว่แล้วในตุลาคม 2020)
ช่องโหว่ CVE-2020-17087 - เป็นช่องโหว่ Heap buffer overflow ใน cng.

Microsoft Patch Tuesday ประจำเดือนมีนาคม 2021 โดยในเดือนนี้ Microsoft ได้ออกเเพตช์เพื่อเเก้ไขช่องโหว่เป็นจำนวน 82 รายการ ซึ่งช่องโหว่จำนวน 10 รายการ ถูกจัดเป็นช่องโหว่ที่มีระดับความรุนแรง Critical และอีก 72 รายการ เป็นช่องโหว่ที่มีระดับความรุนแรง Important ซึ่งช่องโหว่จำนวน 82 รายการนี้ไม่รวมช่องโหว่ของ Microsoft Exchange จำนวน 7 รายการและ Chromium Edge อีก 33 รายการที่เผยแพร่เมื่อต้นเดือนนี้ที่ผ่านมา สำหรับเเพตช์ที่ได้รับการเเก้ไขและน่าสนใจมีดังนี้

ช่องโหว่ Zero-day ถูกติดตามด้วยรหัส CVE-2021-26411 ถูกจัดเป็นช่องโหว่ประเภท Memory Corruption ใน Internet Explorer ที่ถูกแฮกเกอร์ชาวเกาหลีเหนือนำไปใช้โจมตีนักวิจัยด้านความปลอดภัย

ช่องโหว่ Zero-day อีกช่องโหว่หนึ่งที่น่าสนใจถูกติดตามด้วยรหัส CVE-2021-27077 ถูกจัดเป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Win32k โดยช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะโดย Trend Micro Zero Day Initiative

นอกจากช่องโหว่ที่กล่าวมานี้ Microsoft ยังออกแพตช์อัปเดตด้านความปลอดภัยสำหรับฟีเจอร์และบริการต่าง ๆ เช่น Microsoft Windows Codecs Library, Windows Admin Center, DirectX, Event Tracing, Registry, Win32K และ Windows Remote Access API

ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย สำหรับข้อมูลเกี่ยวกับการอัปเดตเเพตช์ของ Windows สามารถดูรายละเอียดเพิ่มเติมได้ที่: microsoft

ที่มา: bleepingcomputer

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer

Google ประกาศแพตช์รอบที่สองสำหรับช่องโหว่ Zero-day รหัส CVE-2021-21166 ที่กำลังถูกใช้โจมตีใน Chrome รุ่น 89.0.4389.72 ที่ผ่านมา โดย CVE-2021-21166 เป็นช่องโหว่อยู่ในระดับสูงและเกี่ยวข้องกับคอมโพเนนต์เรื่องเสียงของ Chrome

แม้ว่า Google จะตรวจพบการใช้ CVE-2021-21166 ในการโจมตีจริงแล้ว Google ก็ยังไม่ได้มีการเปิดเผยรายละเอียดการใช้ช่องโหว่ดังกล่าวเพื่อโจมตีออกมา รวมไปถึงข้อมูลประกอบ อาทิ เป้าหมายของการโจมตี หรือกลุ่มที่อยู่เบื้องหลังการโจมตี โดย Google มีการให้เหตุผลว่าข้อมูลของการโจมตีนั้นจะถูกเก็บเอาไว้จนกว่าผู้ใช้งานส่วนใหญ่จะทำการอัปเดตรุ่นของเบราว์เซอร์ Chrome ให้เป็นรุ่นล่าสุด

นอกเหนือจากแพตช์สำหรับ CVE-2021-21166 ที่ถูกแพตช์ในรอบนี้ด้วยความเร่งด่วนแล้ว Chrome จะมีการปล่อยแพตช์ให้กับอีก 47 ช่องโหว่ซึ่งโดยส่วนใหญ่ถูกพบโดยนักวิจัยด้านความปลอดภัยภายนอกด้วย ขอให้ผู้ใช้ ทำการอัปเดต Chrome ให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่

ที่มา: bleepingcomputer

บริษัทด้านความปลอดภัย Qualys ออกมาประกาศว่าตนเป็นเหยื่อรายล่าสุด ได้รับผลกระทบจากการรั่วไหลของข้อมูลซึ่งเกิดจากการโจมตีช่องโหว่ในระบบ Accellion FTA โดยกลุ่มมัลแวร์เรียกค่าไถ่ Clop ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ได้มีการปล่อยตัวอย่างของไฟล์ทีได้มาจากการโจมตี ขึ้นบนเว็บไซต์ของกลุ่มแล้ว

ช่องโหว่ในระบบ Accellion FTA ถูกแจ้งเตือนตั้งแต่ช่วงกลางเดือนกุมภาพันธ์ โดยมี Singtel และอีกหลายบริษัทตกเป็นเหยื่อ ย้อนดูข่าวเก่าของเราได้ที่นี่ facebook

อ้างอิงการยืนยันโดยทีมงานของ Bleeping Computer นั้น Qualys เคยมีการใช้งานระบบ Accellion FTA อยู่จริงที่ fts-na.

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

SonicWall ประกาศเปิดตัวการอัปเดตเฟิร์มแวร์ครั้งที่สองสำหรับช่องโหว่ Zero-day ใน SMA-100 ซึ่งเป็นช่องโหว่ที่ถูกใช้ในการโจมตีแล้วและทาง SonicWall ได้ออกแจ้งเตือนให้ผู้ดูแลระบบทำการติดตั้งอัปเดตเฟิร์มแวร์ทันที

สืบเนื่องมาจากเมื่อเดือนที่แล้วทาง SonicWall ได้เปิดเผยถึงระบบภายในถูกโจมตีโดยการใช้ช่องโหว่ Zero-day ในอุปกรณ์ SMA-100 และสัปดาห์ต่อมา NCC Group ได้ตรวจพบช่องโหว่ Zero-day ดังกล่าวในการโจมตีจริงอย่างต่อเนื่อง ซึ่งเมื่อวันที่ 3 กุมภาพันธ์ที่ผ่านมา SonicWall ได้เปิดตัวแพตช์การแก้ไขสำหรับช่องโหว่ Zero-day ดังกล่าวและขอแนะนำให้ผู้ใช้ทุกคนทำการอัปเดตแพตช์อย่างทันที

เมื่อวันที่ 19 กุมภาพันธ์ที่ผ่านมา SonicWall ได้ประกาศการอัปเดตเฟิร์มแวร์ใหม่สำหรับอุปกรณ์ SMA-100 ซีรี่ส์ ซึ่งได้ทำการแก้ไขและเพิ่มการป้องกันเพิ่มเติมสำหรับการอัปเดตครั้งล่าสุด

ทั้งนี้เฟิร์มแวร์เวอร์ชันใหม่สำหรับเฟิร์มแวร์รหัส 10.x และ 9.x ในผลิตภัณฑ์ SMA 100 ซีรี่ส์ ซึ่งประกอบด้วย SMA 200, 210, 400, 410 สำหรับ Physical appliance และอุปกรณ์ MA 500v Virtual Appliance พร้อมสำหรับการใช้งานแล้ว ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตเฟิร์มแวร์โดยทันทีเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer