Apache Software Foundation ได้เผยแพร่การอัปเดตความปลอดภัยเพิ่มเติมสำหรับ HTTP Server เพื่อแก้ไขสิ่งที่ถูกระบุว่าเป็น "การแก้ไขที่ไม่สมบูรณ์" สำหรับช่องโหว่ Path Traversal และ Remote Code Execution ซึ่งได้รับการแก้ไขไปก่อนหน้านี้

CVE-2021-42013 ช่องโหว่ใหม่นี้ถูกระบุว่าถูกสร้างขึ้นจากช่องโหว่ CVE-2021-41773 ซึ่งเป็นช่องโหว่ Path Traversal ที่อาจทำให้ผู้โจมตีสามารถเข้าถึง และดูไฟล์ที่จัดเก็บบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้ โดยจะส่งผลกระทบต่อ Apache web servers เวอร์ชัน 2.4.49
แม้ว่าช่องโหว่นั้นจะได้รับการแก้ไขในเวอร์ชัน 2.4.50 แต่เพียงหนึ่งวันหลังจากมีการปล่อยแพตช์ ช่องโหว่นี้ถูกนำไปใช้ในการทำ Remote Code Execution หากโมดูล "mod_cgi" ถูกโหลดและกำหนดค่า "require all denied" จึงทำให้ Apache ต้องออกการอัปเดตแพตช์ฉุกเฉินอีกรอบ

Apache ได้ให้คำแนะนำสำหรับ "การแก้ไขช่องโหว่ CVE-2021-41773 ใน Apache HTTP Server 2.4.50 นั้นไม่เพียงพอ ผู้โจมตีสามารถใช้การโจมตีแบบ Path Traversal เพื่อจับคู่ URL กับไฟล์ที่อยู่นอกไดเรกทอรีที่กำหนดค่าโดยคำสั่ง Alias-like" หากไฟล์ที่อยู่นอกไดเร็กทอรีเหล่านี้ไม่ได้รับการป้องกันโดยการกำหนดค่า Default 'require all dissolve' คำขอเหล่านี้ก็สามารถดำเนินการได้สำเร็จ หากสคริปต์ CGI ถูกเปิดใช้งานสำหรับ aliased paths ซึ่งจะทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

Apache Software Foundation ให้เครดิต Juan Escobar จาก Dreamlab Technologies, Fernando Muñoz จาก NULL Life CTF Team และ Shungo Kumasaka ในการรายงานช่องโหว่

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) กล่าวว่า "พบการสแกนระบบที่มีช่องโหว่อย่างต่อเนื่อง ซึ่งคาดว่าจะเร็วขึ้น และมีแนวโน้มว่าจะนำไปสู่การโจมตี" จึงแนะนำให้ทุกองค์กรดำเนินการแก้ไขช่องโหว่ทันทีหากยังไม่ได้ดำเนินการ

คำแนะนำ
ผู้ใช้ทุกคนควรอัปเดตเป็นเวอร์ชันล่าสุด (2.4.51) เพื่อลดความเสี่ยงที่เกี่ยวข้องกับช่องโหว่ดังกล่าว

ที่มา: thehackernews.

เมื่อวันที่ 5 ตุลาคมที่ผ่านมานี้ ทาง Apache HTTP Server Project ได้มีการออก Patch สำหรับแก้ไข 2 ช่องโหว่

CVE-2021-41524 ซึ่งเป็นช่องโหวที่ตรวจพบ Null Pointer ระหว่างการประมลผลคำขอ HTTP-2 ซึ่งจะช่วยให้ผู้โจมตีทำการโจมตีแบบ Denial of service (DOS) บน Server ได้ ซึ่งล่าสุดยังไม่พบว่าถูกนำมาใช้สำหรับการโจมตี

CVE-2021-41773 ซึ่งเป็นช่องโหว่การข้ามเส้นทางและการเข้าถึงไฟล์ใน Apache HTTP Server ซึ่งเป็น Open-source web server สำหรับ Unix และ Windows ซึ่ง Apache HTTP Server นั้นพบมีการใช้โจมตีอย่างแพร่หลายมากที่สุด

CVE-2021-41773 นั้นถูกนำมาใช้โจมตีกับ Apache HTTP Server ด้วยวิธีการ Path Traversal ใน Version.

นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ใหม่ใน macOS Finder ของ Apple ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งบน Mac ที่ใช้ macOS เวอร์ชันใดก็ได้จนถึง Big Sur รุ่นล่าสุด

Zero-days เป็นช่องโหว่ที่เปิดเผยต่อสาธารณะ ซึ่งยังไม่ได้รับการแก้ไขโดยเจ้าของผลิตภัณฑ์ ในบางกรณีก็มีรายงานว่าถูกใช้ในการโจมตีจริงเรียบร้อยแล้ว หรือได้รับการพิสูจน์แล้วว่าสามารถโจมตีได้จริง ช่องโหว่นี้ถูกพบโดย Park Minchan นักวิจัยด้านความปลอดภัยอิสระ เกิดจากวิธีที่ macOS ประมวลผลไฟล์ inetloc ซึ่งทำให้เรียกใช้คำสั่งที่ผู้โจมตีฝังไว้โดยไม่ตั้งใจ และไม่มีคำเตือนหรือข้อความแจ้ง

บน macOS Internet location files ที่มีนามสกุล .inetloc เป็นบุ๊กมาร์กทั้งระบบที่สามารถใช้เปิดแหล่งข้อมูลออนไลน์ได้ (news://, [ftp://|ftp:], afp://) หรือไฟล์ในเครื่อง (file://) ช่องโหว่ใน macOS Finder ช่วยให้ไฟล์ที่มีนามสกุลเป็น inetloc สามารถรันคำสั่งใดก็ได้ และไฟล์เหล่านี้สามารถฝังอยู่ภายในอีเมลได้ ซึ่งหากผู้ใช้คลิกที่ไฟล์ประเภทนี้ที่แนบมาในอีเมล คำสั่งที่ฝังอยู่ภายในอีเมลเหล่านั้นก็จะทำงานทันทีโดยไม่ต้องขึ้น prompt หรือคำเตือนแก่ผู้ใช้งาน

Apple ดำเนินการ patch แต่ไม่ได้กำหนดหมายเลข CVE

แม้ว่าทาง Apple ได้แก้ไขปัญหาเบื้องต้นไปแล้วโดยไม่มีการระบุหมายเลข CVE แต่ตามที่ Minchan ค้นพบในภายหลัง การแก้ไขช่องโหว่นี้ของ Apple ได้แก้ไขข้อบกพร่องเพียงบางส่วนเท่านั้น เนื่องจากยังคงสามารถโจมตีได้โดยการเปลี่ยนโปรโตคอลที่ใช้ในการรันคำสั่งที่ฝังจาก file:// เป็น FiLe:// เนื่องจาก macOS เวอร์ชันที่อัปเดต (จาก Big Sur) ได้บล็อกเฉพาะคำนำหน้าที่เขียนในรูปแบบ file:// เท่านั้น (คำนำหน้าใน com.

Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐ ออกมาเตือนถึงช่องโหว่ zero-day Zoho ManageEngine ADSelfService Plus ที่กำลังถูกนำมาใช้โจมตีอย่างแพร่หลาย

ช่องโหว่ดังกล่าวมีรหัสช่องโหว่ CVE-2021-40539 ซึ่งสามารถเลี่ยงการตรวจสอบยืนยันตัวตนในส่วน REST API และสามารถเรียกใช้งานโค้ดที่เป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบต่อผลิตภัณฑ์ของ Zoho ที่ใช้งาน ADSelfService Plus 6113 รายการ

ManageEngine ADSelfService Plus คือ ส่วนที่ใช้ในการจัดการรหัสผ่าน และทำ single sign-on สำหรับ Active Directory และ app บนระบบคลาวด์ ผู้ดูแลระบบสามารถบังคับใช้ 2FA ในการเข้าสู่ระบบแอปพลิเคชัน และรีเซ็ตรหัสผ่านของผู้ใช้งาน

CISA ได้ออกมาแจ้งเตือนให้บริษัทหรือองค์กร ดำเนินการตรวจสอบและ update patch ความปลอดภัยล่าสุดกับเซิร์ฟเวอร์ ManageEngine และ ตรวจสอบที่ ADSelfService Plus ไม่ให้สามารถเข้าถึงได้โดยตรงจากอินเทอร์เน็ต

ซึ่งช่องโหว่าที่เกิดขึ้น ADSelfService Plus ยังพบมีอีก 4 ช่องโหว่ด้วยกันคือ CVE-2021-37421 (CVSS score: 9.8), CVE-2021-37417 (CVSS score: 9.8), and CVE-2021-33055 (CVSS score: 9.8) ซึ่งได้รับการแก้ไขเป็นที่เรียบร้อยแล้ว

ช่องโหว่อีก 1 รายการ CVE-2021-28958 (CVSS score: 9.8) ได้รับการแก้ไขแล้วเช่นเดียวกัน

เหตุการณ์นี้เป็นครั้งที่สองที่พบการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Zoho ซึ่งก่อนหน้านี้ในเดือนมีนาคม 2020 พบว่า APT41 ใช้ประโยชน์จากช่องโหว่ RCE ใน ManageEngine Desktop Central (CVE-2020-10189, คะแนน CVSS: 9.8) เพื่อดาวน์โหลดและติดตั้ง payload ที่เป็นอันตรายภายในเครือข่ายองค์กรที่มีการใช้งาน

ที่มา: thehackernews

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day สองช่องโหว่ที่ถูกพบในการโจมตี iPhone และ Mac เพื่อติดตั้งสปายแวร์ Pegasus

ช่องโหว่นี้คือ CVE-2021-30860 และ CVE-2021-30858 โดยช่องโหว่ทั้งสองส่งผลทำให้สามารถมีการรันโค้ดที่เป็นอันตรายที่ถูกฝังไว้ในเอกสารที่ผู้โจมตีสร้างขึ้นได้

ช่องโหว่ CVE-2021-30860 CoreGraphics เป็นบั๊ก integer overflow ที่ค้นพบโดย Citizen Lab ซึ่งช่วยให้ผู้โจมตีสามารถสร้างเอกสาร PDF ที่เป็นอันตรายซึ่งรันคำสั่งเมื่อเปิดใน iOS และ macOS

CVE-2021-30858 เป็นช่องโหว่บน WebKit ที่เมื่อมีการเข้าถึงหน้าเว็ปไซต์ที่ผู้โจมตีสร้างขึ้นด้วย iPhone และ macOS จะทำให้สามารถถูกรันคำสั่งที่เป็นอันตรายที่อยู่บนหน้าเว็ปไซต์ได้ เบื้องต้นทาง Apple ระบุว่าช่องโหว่นี้ถูกเปิดเผยแพร่ออกสู่สาธารณะแล้วอีกด้วย

แม้ว่า Apple จะไม่เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี แต่ Citizen Lab ได้ยืนยันว่า CVE-2021-30860 เป็นการใช้ประโยชน์จาก iMessage แบบ zero-day zero-click ที่ชื่อว่า 'FORCEDENTRY'

พบว่ามีการใช้ช่องโหว่ของ FORCEDENTRY เพื่อหลีกเลี่ยงระบบความปลอดภัยบน iOS BlastDoor เพื่อติดตั้งสปายแวร์ NSO Pegasus บนอุปกรณ์ที่เป็นของนักเคลื่อนไหวชาวบาห์เรน

BleepingComputer ได้ติดต่อ Citizen Lab พร้อมคำถามเพิ่มเติมเกี่ยวกับการโจมตี แต่ยังไม่ได้รับการตอบกลับในขณะนี้

Apple Zero-days อาละวาดในปี 2021
เป็นปีที่หนักมากสำหรับ Apple เพราะดูเหมือนว่าจะมีช่องโหว่ Zero-days อย่างต่อเนื่อง ซึ่งใช้ในการโจมตีเป้าหมายเป็นอุปกรณ์ iOS และ Mac

การโจมตีจาก FORCEDENTRY เปิดเผยในเดือนสิงหาคม (ก่อนหน้านี้ถูกติดตามโดย Amnesty Tech ในชื่อ Megalodon)
iOS zero-days สามช่องโหว่ (CVE-2021-1870, CVE-2021-1871, CVE-2021-1872) ที่ถูกใช้ในการโจมตีในเดือนกุมภาพันธ์
zero-day ใน iOS หนึ่งช่องโหว่ (CVE-2021-30661) ในเดือนมีนาคม ที่อาจมีการใช้ในการโจมตีเป็นวงกว้างได้ในอนาคต
หนึ่งช่องโหว่ zero-days ใน macOS (CVE-2021-30657) เดือนเมษายน ถูกใช้โจมตีโดยมัลแวร์ Shlayer
iOS zero-days อีกสามตัว (CVE-2021-30663, CVE-2021-30665 และ CVE-2021-30666) ในเดือนพฤษภาคม ที่สามารถทำให้มีการรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) จากการเข้าเว็บไซต์ที่เป็นอันตราย
macOS zero-day (CVE-2021-30713) ในเดือนพฤษภาคม ซึ่งถูกใช้โดยมัลแวร์ XCSSET เพื่อเลี่ยง TCC privacy protections ของ Apple
zero-day ของ iOS สองช่องโหว่ (CVE-2021-30761 และ CVE-2021-30762) ในเดือนมิถุนายนที่ถูกใช้ในการแฮ็คเข้าสู่อุปกรณ์ iPhone, iPad และ iPod รุ่นเก่า
Project Zero ยังได้มีการเปิดเผยช่องโหว่ Zero-day อีก 11 ช่องโหว่ในปีนี้ ซึ่งใช้ในการโจมตีที่กำหนดเป้าหมายไปยังอุปกรณ์ Windows, iOS และ Android

อัปเดต 9/13/21: ยืนยันจาก Citizen Labs ว่าการอัปเดตนี้แก้ไขช่องโหว่ของ FORCEDENTRY ได้เรียบร้อยแล้ว

ที่มา : bleepingcomputer

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

Microsoft ได้แก้ไขช่องโหว่ PrintNightmare ใน Windows Print Spooler โดยกำหนดให้ผู้ใช้ต้องมีสิทธิ์ระดับผู้ดูแลระบบเมื่อใช้คุณสมบัติ Point and Print เพื่อติดตั้งไดรเวอร์

ในเดือนมิถุนายน นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ zero-day ที่ชื่อว่า PrintNightmare (CVE-2021-34527) โดยไม่ได้ตั้งใจ เมื่อถูกโจมตี ช่องโหว่นี้จะอนุญาตให้สามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้ และทำให้สามารถเข้าควบคุมเครื่องด้วยสิทธิ์ของ SYSTEM

เมื่อเร็วๆนี้ Microsoft ได้อัปเดตความปลอดภัยที่แก้ไขในส่วนของการรันโค้ดที่เป็นอันตรายจากระยะไกล แต่ยังไม่ได้แก้ไขเรื่องการยกระดับสิทธิ์ในเครื่อง

อย่างไรก็ตาม นักวิจัยพบว่ามีความเป็นไปได้ที่จะใช้ประโยชน์จาก Point and Print เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งอนุญาตให้ผู้ใช้ที่มีสิทธิ์ต่ำยังสามารถโจมตี และสามารถยกระดับสิทธิ์ของผู้ใช้งานเป็น SYSTEM ได้

Point and Print เป็นคุณลักษณะของ Windows ที่ช่วยให้ผู้ใช้สามารถเชื่อมต่อกับ Pinter เซิร์ฟเวอร์ จึงทำให้แม้จะเป็นการเชื่อมต่อจากภายนอก ก็ยังสามารถสั่งดาวน์โหลด และติดตั้งไดรเวอร์ที่เป็นอันตรายได้โดยอัตโนมัติ

หลังการอัพเดทความปลอดภัย Patch Tuesday ในเดือนสิงหาคม 2564 เพื่อแก้ไขช่องโหว่ "PrintNightmare" จะทำให้ Point and Print ต้องใช้สิทธิ์ระดับผู้ดูแลระบบในการติดตั้งไดรเวอร์ Printer เท่านั้น

Microsoft แนะนำว่าอย่าปิดฟังก์ชั่นนี้ เนื่องจากจะทำให้มียังคงมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Windows Print Spooler ได้

ที่มา : bleepingcomputer.

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออกอัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day
2 ช่องโหว่ใน iOS 12.5.3 หลังพบว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง

อัปเดตล่าสุดของ iOS 12.5.4 มาพร้อมกับการแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 ช่องโหว่ คือ memory corruption ใน ASN.1 decoder (CVE-2021-30737) และอีก 2 ช่องโหว่ที่เกี่ยวกับ Webkit browser engine ที่อาจทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีรายละเอียดดังนี้

CVE-2021-30761 – ปัญหา memory corruption ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น โดยช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
CVE-2021-30762 – ปัญหา use-after-free ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น ช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
ทั้ง CVE-2021-30761 และ CVE-2021-30762 ถูกรายงานไปยัง Apple โดยผู้ที่ไม่ประสงค์ออกนาม โดยบริษัทที่อยู่ใน Cupertino ได้ระบุไว้ในคำแนะนำว่าช่องโหว่ดังกล่าวอาจจะถูกใช้ในการโจมตีแล้วในปัจจุบัน โดยปกติแล้ว Apple จะไม่เปิดเผยรายละเอียดใดๆ เกี่ยวกับลักษณะของการโจมตี และเหยื่อที่อาจตกเป็นเป้าหมาย หรือกลุ่มผู้โจมตีที่เกี่ยวข้อง

อย่างไรก็ตามความพยายามในการโจมตี จะเป็นการมุ่งเป้าไปที่อุปกรณ์รุ่นเก่า เช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6) ซึ่ง Apple ได้มีการแก้ไขช่องโหว่ buffer overflow (CVE-2021-30666) ไปเมื่อวันที่ 3 พฤษภาคม
ที่ผ่านมา

นอกจากช่องโหว่ข้างต้นแล้ว Apple ยังได้แก้ไขช่องโหว่ Zero-day อีก 12 ช่องโหว่ ที่อาจส่งผล
กระทบต่อ iOS, iPadOS, macOS, tvOS และ watchOS ตั้งแต่ต้นปี มีรายละเอียดดังนี้

CVE-2021-1782 (Kernel) - ช่องโหว่ในระดับ Kernel ซึ่งส่งผลให้แอพพลิเคชั่นที่เป็นอันตรายสามารถยกระดับสิทธิ์การโจมตีได้
CVE-2021-1870 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021-1871 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021 -1879 (WebKit) - ช่องโหว่ใน Webkit ที่เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้นอาจทำให้ถูกโจมตีในรูปแบบ universal cross-site scripting ได้
CVE-2021-30657 (System Preferences) - ช่องโหว่ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเลี่ยงการตรวจสอบจาก Gatekeeper ได้
CVE-2021-30661 (WebKit Storage) - ช่องโหว่ใน WebKit Storage ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30663 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30665 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30666 (WebKit ) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30713 (TCC framework) - ช่องโหว่ TCC framework ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถ bypass การตั้งค่าความเป็นส่วนตัวได้
แนะนำให้ผู้ใช้อุปกรณ์ Apple อัปเดตระบบปฏบัติการให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากช่องโหว่ข้างต้น

ที่มา: thehackernews.