Microsoft November 2020 Patch Tuesday fixes 112 vulnerabilities

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

Google เปิดตัว Chrome เวอร์ชันใหม่เเก้ไขช่องโหว่ RCE แบบ Zero-day

Google เปิดตัว Chrome เวอร์ชัน 86.0.4240.183 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 10 รายการรวมถึงช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Rmote Code Execution - RCE) แบบ Zero-day หลังพบผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ช่องโหว่ CVE-2020-16009 เป็นช่องโหว่ในการใช้งานที่ไม่เหมาะสมใน V8 ซึ่งเป็นเอ็นจิ้น JavaScript โอเพ่นซอร์สของ Chrome ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกลได้ผ่านหน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ นอกจากนี้ Google ยังแก้ไขช่องโหว่ CVE-2020-17087 ช่องโหว่การยกระดับสิทธ์ในเคอร์เนล, CVE-2020-16004, CVE-2020-16005, CVE-2020-16006, CVE-2020-16007, CVE-2020-16008 และ CVE-2020-16011 ใน Chrome เวอร์ชัน 86.0.4240.183

ทั้งนี้ผู้ใช้ควรทำการอัปเดต Google Chrome เป็นเวอร์ชัน 86.0.4240.183 หรือเวอร์ชันใหม่ล่าสุด โดยเข้าไปที่การตั้งค่า -> ความช่วยเหลือ -> เกี่ยวกับ Google Chrome จากนั้นเว็บเบราว์เซอร์จะทำการตรวจสอบการอัปเดตใหม่โดยอัตโนมัติและติดตั้งเมื่อพร้อมใช้งาน

ที่มา: bleepingcomputer

ฉุกเฉิน! แจ้งเตือนช่องโหว่ Zero-day ใน Cisco AnyConnect VPN มีโค้ดสำหรับโจมตีแล้ว

Cisco ออกแจ้งเตือนช่องโหว่ Zero-day รหัส CVE-2020-3556 ล่าสุดในซอฟต์แวร์ Cisco AnyConnect Secure Mobility Client การโจมตีช่องโหว่สามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล โดย Cisco ได้มีการระบุว่าใน Advisory ว่าช่องโหว่ CVE-2020-3356 นี้มีโค้ดสำหรับโจมตีแล้ว แต่ยังไม่ตรวจพบการนำมาใช้โจมตีจริง

ช่องโหว่ CVE-2020-3356 เป็นช่องโหว่ซึ่งอยู่ในขั้นตอนการสื่อสารระหว่างโปรเซสในอุปกรณ์ซึ่งทำให้ผู้โจมตีที่มีการพิสูจน์ตัวตนเข้ามาในระบบแล้วรวมไปถึงผู้โจมตีที่ใช้งานอยู่ในเครือข่ายเดียวกันสามารถรันสคริปต์ที่เป็นอันตรายได้ อย่างไรก็ตามช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อฟีเจอร์ Auto Update และ Enable Scripting ถูกเปิดใช้งานอยู่ ซึ่งโดยปกตินั้นจะมีเพียงฟีเจอร์ Auto Update ซึ่งถูกเปิดใช้งานเป็นค่าเริ่มต้น

เนื่องจากยังไม่มีแพตช์ออกมา Cisco ได้ให้คำแนะนำในการลดความเสี่ยงที่จะถูกโจมตีโดยการตรวจสอบและปิดการใช้งานฟีเจอร์ Auto Update และ Enable Scripting ออกไปก่อนจนกว่าจะมีการแพตช์อย่างเสร็จสิ้น ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์อย่างใกล้ชิดและดำเนินการตามมาตรการที่เหมาะสมเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่

ที่มา: bleepingcomputer

Google ประกาศรายละเอียดช่องโหว่ Zero-day ใน Windows เร่งด่วน พบการโจมตีแล้ว ยังไม่มีการแพตช์ในขณะนี้

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

FireEye/Mandiant ออกรายงานความเคลื่อนไหวกลุ่ม APT “UNC1945” ใช้ Zero-day ใน Solaris ในการโจมตี

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.

ฉุกเฉิน! แจ้งเตือนช่องโหว่ Zero-day ใน Cisco AnyConnect VPN มีโค้ดสำหรับโจมตีแล้ว

Cisco ออกแจ้งเตือนช่องโหว่ Zero-day รหัส CVE-2020-3556 ล่าสุดในซอฟต์แวร์ Cisco AnyConnect Secure Mobility Client การโจมตีช่องโหว่สามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล โดย Cisco ได้มีการระบุว่าใน Advisory ว่าช่องโหว่ CVE-2020-3356 นี้มีโค้ดสำหรับโจมตีแล้ว แต่ยังไม่ตรวจพบการนำมาใช้โจมตีจริง

ช่องโหว่ CVE-2020-3356 เป็นช่องโหว่ซึ่งอยู่ในขั้นตอนการสื่อสารระหว่างโปรเซสในอุปกรณ์ซึ่งทำให้ผู้โจมตีที่มีการพิสูจน์ตัวตนเข้ามาในระบบแล้วรวมไปถึงผู้โจมตีที่ใช้งานอยู่ในเครือข่ายเดียวกันสามารถรันสคริปต์ที่เป็นอันตรายได้ อย่างไรก็ตามช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อฟีเจอร์ Auto Update และ Enable Scripting ถูกเปิดใช้งานอยู่ ซึ่งโดยปกตินั้นจะมีเพียงฟีเจอร์ Auto Update ซึ่งถูกเปิดใช้งานเป็นค่าเริ่มต้น

เนื่องจากยังไม่มีแพตช์ออกมา Cisco ได้ให้คำแนะนำในการลดความเสี่ยงที่จะถูกโจมตีโดยการตรวจสอบและปิดการใช้งานฟีเจอร์ Auto Update และ Enable Scripting ออกไปก่อนจนกว่าจะมีการแพตช์อย่างเสร็จสิ้น ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์อย่างใกล้ชิดและดำเนินการตามมาตรการที่เหมาะสมเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่

ที่มา: bleepingcomputer.

แจ้งเตือน IoT Botnet ใหม่ “Ttint” ที่ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Tenda Router ในการเเพร่กระจาย

Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

Cisco warns of actively exploited IOS XR zero-day

Cisco เเจ้งเตือนช่องโหว่ Zero-day ใหม่ในอุปกรณ์ที่ใช้งานซอฟเเวร์ Cisco IOS XR ที่อาจส่งผลต่อหน่วยความจำของอุปกรณ์

Cisco ออกเตือนถึงช่องโหว่ Zero-day ใหม่ที่ถูกพบในฟีเจอร์ Distance Vector Multicast Routing Protocol (DVMRP) ของซอฟต์แวร์ในระบบปฏิบัติการ Cisco IOS XR ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีการประมวลผลหน่วยความจำของอุปกรณ์ที่ได้รับผลกระทบ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-3566 (CVSS: 8.6) ช่องโหว่เกิดจากการจัดการคิวไม่เพียงพอสำหรับแพ็กเก็ต Internet Group Management Protocol (IGMP) ในฟีเจอร์ DVMRP ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งทราฟิก IGMP ที่สร้างขึ้นไปยังอุปกรณ์ที่ได้รับผลกระทบ ซึ่งการโจมตีในลักษณะอาจทำให้ผู้โจมตีทำให้เกิด memory exhaustion ในอุปกรณ์และอาจส่งผลให้กระบวนการอื่น ๆ ในอุปกรณ์ไม่เสถียร

ช่องโหว่นี้มีผลกับอุปกรณ์ที่ใช้ระบบปฏิบัติการ Cisco IOS XR ที่ทำงานบนแพลตฟอร์มเราเตอร์หลายตระกูลเช่น NCS 540 และ 560, NCS 5500, 8000 และ ASR 9000

ในขณะนี้ยังไม่มีเเพตซ์การเเก้ไขช่องโหว่ Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการบรรเทาภัยจากช่องโหว่ดังนี้

จำกัด Rate limiting เพื่อลดอัตราการรับส่งข้อมูลทราฟฟิก IGMP
ผู้ดูแลระบบสามารถปรับการใช้งาน Access Control Entry (ACE) ไปยังการควบคุมอินเตอร์เฟสของ Access Control List (ACL) ที่มีอยู่หรืออีกวิธีหนึ่งคือผู้ดูแลระบบสามารถสร้าง ACL เฉพาะอินเทอร์เฟซโดยการ deny inbound DVRMP ทราฟิกบนอินเทอร์เฟซนั้น
ปิดใช้งาน IGMP routing บนอินเทอร์เฟซที่ไม่จำเป็น

ที่มา : tools.

นักวิจัยทำการเผยเเพร่ PoC ช่องโหว่ Zero-day ในฟอรั่มยอดนิยม vBulletin

นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin

ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว

Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2

ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้

ไปที่ vBulletin administrator control panel
คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
กด “Save”

ที่มา:

bleepingcomputer.

ช่องโหว่ Zero-Day ใหม่ที่อยู่ใน Vanity URL ของ Zoom ที่อาจทำให้ผู้โจมตีสามารถเลียนเเบบองค์กรได้

นักวิจัยของ Check Point ได้ทำการเปิดเผยช่องโหว่ Zero-Day ใหม่ในแอปพลิเคชันยอดนิยม Zoom ซึ่งช่องโหว่จะเปิดทางให้ผู้โจมตีสามารถปลอมเเปลงเป็นองค์กรเพื่อหลอกพนักงานหรือหุ้นส่วนธุรกิจให้เปิดเผยข้อมูลส่วนบุคคลหรือข้อมูลลับอื่น ๆ โดยใช้กลวิธีทาง Social-engineering

นักวิจัยของ Check Point กล่าวว่าช่องโหว่นี้อยู่ในฟีเจอร์ Vanity URL ของ Zoom ซึ่งฟีเจอร์นี้ได้เปิดให้ผู้ใช้งานในรูปเเบบบริษัทสามารถทำการกำหนดโดเมน Zoom meeting ที่เชื่อมโยงไปยังห้องการประชุม Zoom ได้เช่น https://organization_name.