MacOS Zero-Day Allows Trusted Apps to Run Malicious Code

นักวิจัยพบช่องโหว่ Zero Day บนระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple สามารถหลอกระบบปฏิบัติการให้รันคำสั่งอันตรายได้
Patrick Wardle นักวิจัยด้าน MacOS เปิดเผยช่องโหว่ดังกล่าวเมื่อวันจันทร์ (3 มิถุนายน 2019) ว่าในระบบปฏิบัติการ MacOS รุ่น Mojave ของ Apple มีฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) ซึ่งอนุญาตให้ใช้งานเฉพาะโปรแกรมที่ได้รับอนุญาต (Trusted Apps) ซึ่ง Patrick Wardle พบว่ามีช่องโหว่ในการตรวจสอบว่าโปรแกรมที่ได้รับอนุญาตนั้นถูกดัดแปลงมาหรือไม่ ในกรณีที่เขาดัดแปลงโปรแกรมที่ได้รับอนุญาตให้เป็นโปรแกรมอันตราย เขาจะสามารถใช้ฟังก์ชันจำลองการคลิกเมาส์ดังกล่าวเพื่อเข้าถึงข้อมูลสำคัญได้ เช่น เปิดไมโครโฟน หรือเข้าถึงข้อมูลพิกัด GPS ของเครื่อง
Patrick Wardle ได้แสดง proof-of-concept การโจมตีด้วยช่องโหว่ดังกล่าวด้วยการดัดแปลงโปรแกรม VLC ซึ่งเป็นหนึ่งในโปรแกรมที่ได้รับอนุญาตให้ใช้ฟังก์ชันจำลองการคลิกเมาส์ (Synthetic Click) และสาธิตการโจมตีด้วยการจำลองการคลิกเมาส์โดยไม่ต้องมี user's interaction ทั้งนี้หากผู้โจมตีต้องการโจมตีอย่างแนบเนียนก็จะสามารถสั่งให้มีการจำลองการคลิกเมาส์เฉพาะเวลาที่เครื่องอยู่ในโหมด sleep ได้
ช่องโหว่ดังกล่าวถูกรายงานต่อ Apple แล้วแต่ยังไม่ได้รับการยืนยันว่าจะแก้ไขหรือไม่ โดย Patrick Wardle ระบุว่าการใช้ช่องโหว่ดังกล่าวถือเป็นการโจมตีขั้นที่สองที่ผู้โจมตีต้องสามารถควบคุมเครื่องได้ก่อน หรือสามารถลงโปรแกรมที่ถูกดัดแปลงไว้ได้แล้ว

ที่มา :thehackernews.

New Zero-Day Exploit for Bug in Windows 10 Task Scheduler

SandboxEscaper เผยแพร่ช่องโหว่ zero-day ของระบบปฏิบัติการวินโดวส์อีกครั้งในวันที่ 23 พฤษภาคม 2019 โดยปล่อยช่องโหว่ดังกล่าวหลังจาก Microsoft ออกแพตช์ประจำเดือนพฤษภาคม 2019 เพียง 1 สัปดาห์

ซึ่งช่องโหว่นี้เป็นครั้งที่ห้าที่ SandboxEscaper ออกมาเผยแพร่โดยเริ่มจากเมื่อปลายเดือนสิงหาคม 2018 ช่องโหว่ในครั้งนี้เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์จำกัดสามารถควบคุมไฟล์ที่เข้าถึงได้เฉพาะสิทธิ์สูงสุดอย่าง SYSTEM และ TrustedInstaller เท่านั้น

เช่นเดียวกับช่องโหว่ที่เคยถูกเผยแพร่ SandboxEscaper จะมุ่งเน้นการหาช่องโหว่ใน Task Scheduler โดยใช้ Task Scheduler นำเข้าระบบ tasks เก่าๆ เช่น นำเข้า Task ในรูปแบบ .JOB ซึ่งเป็นรูปแบบ Task ในสมัย Windows XP แต่ยังสามารถเพิ่ม .JOB ในระบบปฏิบัติการเวอร์ชันที่ใหม่กว่าได้

เมื่อ Task Scheduler นำเข้าไฟล์ .JOB ที่มี DACL (discretionary access control list) ที่ไม่ถูกต้อง ระบบจะให้สิทธิ์การเข้าถึงไฟล์แก่ผู้ใช้อย่างเต็มรูปแบบ โดย SandboxEscaper ทำการโจมตี Task Scheduler บน Windows 10 โดยการเรียกใช้คำสั่ง executables 'schtasks.

New Google Chrome Zero-Day Vulnerability Found Actively Exploited in the Wild

นักวิจัยด้านความปลอดภัย Clement Lecigne รายงานช่องโหว่ร้ายแรงที่พบบน Google Chrome เมื่อช่วงปลายเดือนที่ผ่านมา ซึ่งอาจส่งผลให้ผู้โจมตีสามารถ remote ควบคุมเครื่องได้เกิดจากช่องโหว่ใน FileReader ซึ่งเป็น API มาตรฐานที่ได้รับการออกแบบมาเพื่อให้เว็บแอปพลิเคชันอ่านเนื้อหาของไฟล์ ช่องโหว่ในองค์ประกอบ FileReader สามารถเปิดโอกาสให้ผู้โจมตีที่ได้รับสิทธิพิเศษบนเว็บเบราว์เซอร์ Chrome ทำให้พวกเขาสามารถหลบหนีการป้องกันและเรียกใช้ควบคุมเครื่องเป้าหมาย
CVE-2019-5786 นั้นมีผลกระทบต่อ Google Chrome ทั้งบนระบบปฏิบัติการ Microsoft Windows, Apple macOS และ Linux โดย Google เตือนว่าช่องโหว่ zero-day RCE นี้กำลังถูกโจมตี โดย Google แก้ไขช่องโหว่ด้านความปลอดภัยนี้แล้วใน Chrome เวอร์ชัน 72.0.3626.121 สำหรับระบบปฏิบัติการ Windows, Mac และ Linux ดังนั้นผู้ใช้ควรตรวจสอบให้แน่ใจว่าระบบของคุณใช้งานเว็บเบราว์เซอร์ Chrome รุ่น 72.0.3626.121 ดังกล่าว

ที่มา: thehackernews.

PoC for Windows VCF zero-day published online

นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดและรหัสการทดสอบการใช้โปรแกรม (PoC) สำหรับช่องโหว่ของ Windows ที่ยังไม่ได้แก้ไข ซึ่งทำให้ส่งผลกระทบต่อ Windows handles vCard files (VCFs) โดยช่องโหว่ดังกล่าวถูกค้นพบเมื่อปีแล้วโดย John Page (@hyp3rlinx) นักวิจัยด้านความปลอดภัยรายงานไปยัง Microsoft ผ่านทางโปรแกรมการเปิดเผยช่องโหว่ Zero Day Initiative (ZDI) ของ Trend Micro

บริษัทไมโครซอฟท์เปิดเผยว่าเดือนตุลาคมมีการแก้ไขช่องโหว่ VCF และอัพเดท patch การรักษาความปลอดภัยในเร็วๆนี้ ทางผู้ผลิตระบบปฏิบัติวินโด้จะเปลี่ยนชื่อวินโด้เวอร์ชั่นใหม่เป็น Windows v.Next (ชื่อเวอร์ชันหลักถัดไปของระบบปฏิบัติการ Windows ปัจจุบันรู้จักกันในนาม 19H1 ซึ่งจะเปิดตัวในเดือนเมษายน 2019)

นักวิจัยด้านภัยคุกคามทางไซเบอร์สามารถสร้างไฟล์อันตราย VCF ที่จะแสดงการเชื่อมโยงที่เป็นอันตราย เมื่อผู้ใช้คลิกลิ้งจะทำให้เปิดใช้งานและเรียกใช้โค้ดที่เป็นอันตราย ซึ่งข่าวดีก็คือช่องโหว่นี้สามารถนำไปสู่การเรียกใช้โค้ดจากระยะไกลได้ แต่ไม่สามารถใช้ประโยชน์จากการเรียกใช้โค้ดระยะไกลเนื่องจากต้องมีการตอบกลับจากผู้ใช้ก่อนเพื่อให้เป้าหมายเข้าไปที่หน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย แม้ว่าการโจมตีจะต้องอาศัยการโต้ตอบจากผู้ใช้

ที่มา: Zdnet

SandboxEscaper released PoC code for a new Windows zero-day

นักวิจัยด้านความปลอดภัยทางไซเบอร์ออกมาเปิดเผยช่องโหว่ Zero-day บนระบบปฏิบัติการวินโดวส์ ทำให้สามารถบันทึกหรือเขียนไฟล์ทับข้อมูลของเป้าหมายได้ตามใจชอบโดยไม่ต้องได้รับอนุญาต การทำงานของ Proof-of-Concept (PoC) ที่เผยแพร่ออกมานั้น เป็นช่องโหว่ที่ทำให้เกิดการบันทึก 'pci.

ทำความรู้จักช่องโหว่ Zero-day ใหม่บน Windows อ่านไฟล์ได้แม้ไม่มีสิทธิ์

สรุปย่อ
เมื่อวันที่ 19 ธันวาคม 2018 ตามเวลาประเทศไทย นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ เป็นช่องโหว่ที่ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านไฟล์ใดๆ บนเครื่องได้แม้แต่ไฟล์ที่ให้สิทธิ์เฉพาะผู้ใช้งานระดับ Administrator ผลกระทบที่อาจเกิดจากช่องโหว่นี้คือ ผู้ใช้งานที่มีสิทธิ์ต่ำหรือโปรแกรมอันตรายสามารถอ่านและสามารถคัดลอกไฟล์ได้แม้ไม่มีสิทธิ์เข้าถึงไฟล์เหล่านั้น
รายละเอียดของช่องโหว่

นักวิจัยด้านความปลอดภัยที่ใช้ชื่อบนทวิตเตอร์ว่า SandboxEscaper ได้เผยแพร่ Proof-of-Concept (PoC) ของช่องโหว่ Zero-day ในระบบปฏิบัติการวินโดวส์ นับเป็นช่องโหว่ที่สามแล้วที่มีการเผยแพร่ในปีนี้ โดยช่องโหว่ทั้งสามมีลักษณะคล้ายกันที่เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ได้ (Elevation of Privilege) ซึ่งสามารถอ่านรายละเอียดของช่องโหว่ที่ผ่านมาได้จาก ทำความรู้จักช่องโหว่ zero-day ใหม่ ใน Task Scheduler บน Windows และ Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

Internet Explorer scripting engine becomes North Korean APT’s favorite target in 2018

Script engine ของ Internet Explorer เป็นเป้าหมายที่ได้รับความสนใจจากกลุ่มผู้โจมตีทางไซเบอร์ของเกาหลีเหนือในปีนี้ หลังจากที่แฮกเกอร์ได้ใช้ช่องโหว่ zero-day ทั้งใหม่และเก่าเพื่อเป็นเครื่องมือในการโจมตี

DarkHotel กลุ่มผู้โจมตีทางไซเบอร์ที่ McAfee และผู้เชี่ยวชาญจากหลายๆ องค์กรเชื่อว่าน่าจะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเคยถูกระบุในรายงานของ Kaspersky เมื่อปี 2014 ว่าเป็นกลุ่มที่ทำการโจมตีระบบ WiFi ของโรงแรมมากกว่า 100 แห่งเพื่อทำการแพร่กระจายมัลแแวร์ ล่าสุดกลุ่มดังกล่าวก็ได้ลงมืออีกครั้งในปีนี้ผ่านการใช้ช่องโหว่ของ VBScript engine ของ Internet Explorer 2 ตัว ได้แก่ CVE-2018-8174 ในเดือนเมษายน และ CVE-2018-8373 ในเดือนสิงหาคม ซึ่งทั้งสองช่องโหว่ได้รับการแพทช์โดย Microsoft ไปเรียบร้อยแล้ว และที่เพิ่งถูกรายงานออกมาล่าสุดจาก Qihoo 360 Core ได้ระบุว่ากลุ่มนี้มีการใช้วิธีการโจมตีใหม่ผ่านช่องโหว่ของ IE Script เก่า 2 ตัว คือ CVE-2017-11869 และ CVE-2016-0189

ทั้งนี้ Internet Explorer เป็นจุดที่ค่อนข้างน่ากังวลมากด้านความปลอดภัย เนื่องจากถูกพัฒนามานานมากแล้ว ทำให้ Code บางส่วนอาจจะไม่ปลอดภัยในปัจจุบัน Microsoft เองก็ได้เล็งเห็นถึงจุดนี้ ในเดือนกรกฎาคมปี 2017 จึงได้ปิดความสามารถการรัน VBScript อัตโนมัติบน IE เวอร์ชั่นใหม่ๆ การปรับปรุงในครั้งนั้นอาจจะช่วยป้องกันให้ผู้โจมตีไม่สามารถรัน VBScript ที่เป็นอันตรายบนเครื่อง Windows 10 ผ่าน IE ได้ แต่ก็ไม่สามารถหยุดการโจมตีจากกลุ่ม DarkHotel ซึ่งได้เปลี่ยนวิธีการใหม่เป็นการแนบ Code ไปในเอกสาร Word เพื่อทำการเรียกหน้าเว็บผ่าน IE Frame แทน

ที่มา : zdnet

Microsoft Windows zero-day disclosed on Twitter, again, impacts Windows 10, Server 2016, and Server 2019 only.

นักวิจัยด้านความปลอดภัยชื่อ "SandboxEscaper" ได้เผยแพร่ช่องโหว่ Zero-day ใหม่ใน Windows บน Twitter ของตัวเองอีกครั้งเป็นครั้งที่สองในช่วงสองเดือนที่ผ่านมา และเปิดเผย proof-of-concept (POC) ของช่องโหว่ดังกล่าวบน GitHub

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Microsoft Data Sharing (dssvc.

Researcher Discloses New Zero-Day Affecting All Versions of Windows

ทีมนักวิจัย security เปิดเผยช่องโหว่ zero-day ที่ยังไม่ได้รับการแพตช์ของระบบปฏิบัติการ windows หลังจากที่ Microsoft ไม่สามารถออกแพตช์เพื่อแก้ไขได้ทันภายใน 120 วันที่ทีมนักวิจัยตั้งเส้นตายไว้

จากการค้นพบของ Lucas Leong ทีมวิจัยของ Trend Micro ช่องโหว่ zero-day ดังกล่าวอยู่ภายใน Microsoft Jet Database Engine มันสามารถทำให้ผู้โจมตีสามารถโจมตีแบบ Remote execution ได้ Microsoft JET Database Engine หรือที่เรียกง่ายๆ ว่า simply JET (Joint Engine Technology) คือเครื่องมือที่คอยจัดการฐานข้อมูลที่มีความซับซ้อนอยู่ภายในหลายผลิตภัณฑ์ของ Microsoft รวมไปถึง Microsoft Access และ Visual Basic จากคำแนะนำของ Zero Day Initiative (ZDI) ช่องโหว่ดังกล่าวเป็นปัญหาเกี่ยวกับการจัดการ index ภายใน Jet database engine ถ้าสามารถ exploit สำเร็จจะทำให้สามารถเขียน out-of-bounds memory ได้ ทำให้เกิดการ remote code execution ทั้งนี้ผู้โจมตีจะต้องโน้มน้าวเหยื่อให้เปิดไฟล์ JET database ที่ถูกสร้างมาเพื่อใช้โจมตีช่องโหว่

นักวิจัย ZDI อ้างว่าช่องโหว่มีอยู๋ใน Windows ทุกเวอร์ชันที่ยังได้รับการ support อยู่ นั่นคือ Windows 10, Windows 8.1, Windows 7 และ Windows Server Edition 2008 ถึง 2016 ทั้งนี้มีการเผยแพร่ Proof of concept โค้ดแล้วบน GitHub อย่างไรก็ตาม Microsoft กำลังพัฒนาแพตช์ของช่องโหว่ แต่เนื่องจากไม่ได้อยู่ในแพตช์เดือนกันยายน จึงคาดวาช่องโหว่จะถูกแก้ไขในแพตช์เดือนตุลาคมแทน ซึ่ง Trend Micro แนะนำให้ผู้ที่ได้รับผลกระทบทุกคนใช้งานเฉพาะไฟล์ที่เชื่อถือได้เท่านั้นจนกว่า Microsoft จะทำการออกแพตช์

ที่มา : thehackernews

Windows Task Scheduler Zero Day Exploited by Malware

ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet