PrestaShop เป็น Open-Source E-commerce Solution ที่ได้รับความนิยมในยุโรป และละตินอเมริกา ซึ่งมีผู้ค้าขายออนไลน์กว่า 300,000 รายทั่วโลกที่ใช้งาน ซึ่งผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-day บน platform ดังกล่าว เพื่อใส่โค้ด Skimmer ที่เป็นอันตราย ที่ออกแบบมาเพื่อขโมยข้อมูลที่มีความสำคัญ
เป้าหมายของการใช้ประโยชน์จากช่องโหว่นี้คือการติดตั้งโค้ดที่เป็นอันตรายที่มีความสามารถในการขโมยข้อมูลการชำระเงินจากลูกค้าที่ใส่ข้อมูลในหน้าชำระเงิน โดยเป้าหมายหลัก ๆ ส่วนใหญ่จะเป็นร้านค้าที่ใช้ software เวอร์ชั่นเก่า ๆ หรือ 3rd party module ที่มีช่องโหว่
ช่องโหว่มีหมายเลข CVE-2022-36408 ที่เกิดปัญหาจากการจัดการกับ Input ที่ผิดปกติ หรือไม่รู้จัก จนนำไปสู่การโจมตีในรูปแบบ SQL Injection ที่จะทำให้ผู้ผู้โจมตีสามารถแทรก หรือแก้ไขคำสั่ง SQL ได้

(more…)

กลุ่มแฮ็กเกอร์จากอิสราเอล Candiru ใช้ช่องโหว่ Zero-day บน Google Chrome เพื่อสอดแนมนักข่าว และบุคคลที่เป็นเป้าหมายในตะวันออกกลางด้วยสปายแวร์ 'DevilsTongue' ช่องโหว่ CVE-2022-2294 เป็นช่องโหว่ heap-based buffer overflow ที่มีระดับความรุนแรงสูงใน WebRTC ซึ่งหากโจมตีได้สำเร็จ จะสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่เป็นเป้าหมายได้ โดย Google ออกอัปเดตแพตซ์ Zero-day ดังกล่าวไปแล้วในวันที่ 4 กรกฎาคม ซึ่ง Google ยอมรับว่าช่องโหว่นี้ถูกใช้ในการโจมตีอยู่จริง แต่ไม่ได้ให้รายละเอียดเพิ่มเติม โดยรายงานจากนักวิจัยจาก Avast ซึ่งค้นพบช่องโหว่ดังกล่าว และเป็นผู้รายงานไปยัง Google เปิดเผยว่าพวกเขาค้นพบช่องโหว่ดังกล่าวหลังจากตรวจสอบการโจมตีด้วยสปายแวร์บนเครื่อง clients จากข้อมูลของ Avast Candiru เริ่มโจมตีโดยใช้ช่องโหว่ CVE-2022-2294 ในเดือนมีนาคม 2022 โดยกำหนดเป้าหมายไปยังผู้ใช้ในเลบานอน, ตุรกี, เยเมน และปาเลสไตน์ โดยผู้โจมตีใช้วิธีการ watering hole ด้วยการโจมตีเพื่อเข้าไปควบคุมเว็ปไซต์ที่เป้าหมายเข้าใช้เป็นประจำ จากนั้นก็ฝัง exploit ที่ใช้สำหรับโจมตี browser ที่มีช่องโหว่ของเป้าหมายที่เข้ามาใช้งานเว็ปไซต์เพื่อติดตั้ง spyware การโจมตีลักษณะนี้ไม่จำเป็นต้องให้เหยื่อคลิกลิงก์ หรือดาวน์โหลดอะไรเลย สิ่งที่พวกเขาต้องการคือให้เหยื่อเปิดเว็บไซต์นั้นๆด้วย Google Chrome หรือ Chromium-based browser ที่มีช่องโหว่เท่านั้น ซึ่งเว็บไซต์เหล่านี้อาจเป็นเว็บไซต์ตามปกติทั่วๆไป หรือเว็บไซต์ที่ถูกสร้างขึ้นโดยผู้โจมตี และหลอกให้เหยื่อเข้าใช้งานผ่านทาง spear phishing ก็ได้ ในกรณีหนึ่ง ผู้โจมตีทำการโจมตีเว็บไซต์ที่สำนักข่าวในเลบานอนใช้งาน และฝังโค้ด JavaScript ที่เปิดใช้งานการโจมตีแบบ XXS (cross-site scripting) และเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ใช้สำหรับโจมตีช่องโหว่บน browser ดังกล่าว

Avast ระบุในรายงานว่า "เมื่อเหยื่อเข้ามาถึงเซิร์ฟเวอร์ที่ใช้สำหรับโจมตี จะได้รับการพิสูจน์ว่าเป็นเป้าหมายจริงๆหรือไม่ด้วยการตรวจสอบข้อมูลภาษาที่ใช้, timezone, ข้อมูลบนหน้าจอ, ชนิดของอุปกรณ์, ปลั๊กอินบน browser, ข้อมูลบนหน่วยความจำ รวมไปถึงข้อมูล cookie ด้วย" ในกรณีของเลบานอน Zero-day จะช่วยทำให้ผู้โจมตีสามารถสั่งรัน shell code ได้สำเร็จ และหลบเลี่ยงการตรวจจับของแซนด์บ็อกซ์ของ chrome เนื่องจากช่องโหว่อยู่ใน WebRTC จึงส่งผลต่อ browser Safari ของ Apple ด้วย อย่างไรก็ตามการโจมตีที่ถูกตรวจพบโดย Avast สามารถทำงานได้บน Windows เท่านั้น หลังจากการติดตั้งครั้งแรก DevilsTongue จะใช้ขั้นตอน BYOVD ("bring your own driver") เพื่อยกระดับสิทธิ์ และกำหนดสิทธิ์การอ่าน และเขียนข้อมูลไปยังหน่วยความจำของอุปกรณ์ที่ถูกโจมตี

สิ่งที่น่าสนใจคือ Avast ค้นพบว่า BYOVD ที่ Candiru ใช้นั้นเป็น Zero-day เช่นเดียวกัน และแม้ว่าช่องโหว่จะได้รับการอัปเดตไปแล้ว แต่ก็ไม่สามารถป้องกันได้ เนื่องจากเวอร์ชันที่ถูกนำมาใช้กับ spyware คือเวอร์ชันที่ยังมีช่องโหว่อยู่นั่นเอง แม้ว่าจะไม่ชัดเจนว่าผู้โจมตีกำหนดเป้าหมายไปที่ข้อมูลประเภทใด แต่ Avast เชื่อว่าผู้โจมตีใช้ข้อมูลดังกล่าวเพื่อศึกษาเกี่ยวกับข่าวที่นักข่าวกำลังค้นคว้าอยู่ ผู้โจมตีเป็นที่รู้จักดีอยู่แล้วในด้านการพัฒนา หรือใช้ Zero-day เพื่อโจมตีบุคคลที่ตกเป็นเป้าหมาย แต่จากครั้งล่าสุดที่ Candiru ดำเนินการโจมตีถูกเปิดเผยโดย Microsoft และ Citizen Lab จึงทำให้กลุ่มผู้โจมตีได้พัฒนา DevilsTongue ด้วยการโจมตีจาก Zero-days รูปแบบใหม่ตามที่ Avast เปิดเผยในครั้งนี้ เพื่อแก้ไขปัญหานี้ Apple วางแผนที่จะสร้าง iOS 16 ใหม่ที่เรียกว่า 'Lockdown Mode' ซึ่งจำกัดคุณสมบัติ และการทำงานของอุปกรณ์เพื่อป้องกันการรั่วไหลของข้อมูล หรือลดผลกระทบจากการติดสปายแวร์ให้น้อยที่สุด

ที่มา: bleepingcomputer

 

Google ได้ออกแพตซ์อัปเดตบน Chrome เวอร์ชัน 103.0.5060.114 สำหรับผู้ใช้ Windows เพื่อแก้ไขช่องโหว่ Zero-day ที่มีระดับความรุนแรงสูง ซึ่งเป็น Zero-day ตัวที่ 4 ในปี 2565

ปัจจุบัน Chrome เวอร์ชัน 103.0.5060.114 มีการอัปเดตโดยอัตโนมัติเรียบร้อยแล้ว โดย Google ระบุว่าอาจต้องใช้เวลาหลายวัน หรือหลายสัปดาห์กว่ากลุ่มผู้ใช้งานจะสามารถอัปเดตได้ครบทั้งหมด BleepingComputer ทำการตรวจสอบการอัปเดตโดยไปที่เมนู Chrome menu > Help > About Google Chrome เว็บเบราว์เซอร์จะตรวจสอบการอัปเดตใหม่ และติดตั้งโดยอัตโนมัติ

รายละเอียดการโจมตียังไม่ได้มีการเปิดเผย
ช่องโหว่ zero-day ที่ได้รับการแก้ไขในวันนี้ (CVE-2022-2294) เป็นช่องโหว่ heap-based buffer overflow ที่มีความรุนแรงสูงใน WebRTC (Web Real-Time Communications) ถูกรายงานโดย Jan Vojtesek จากทีม Avast Threat Intelligence เมื่อวันศุกร์ที่ 1 กรกฎาคม 2565

ผลกระทบจากช่องโหว่ heap overflow อาจทำให้เกิดการหยุดการทำงานของโปรแกรม และการถูกสั่งรันโค้ดที่เป็นอันตราย ไปจนถึงการหลีกเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยหากมีการเรียกใช้โค้ดที่เป็นอันตรายระหว่างการโจมตี แม้ว่า Google จะบอกว่าช่องโหว่ zero-day นี้เริ่มถูกใช้ในการโจมตีแล้วในปัจจุบัน แต่ก็ยังไม่ได้เปิดเผยรายละเอียดทางเทคนิค หรือข้อมูลใดๆ Google ระบุว่า “รายละเอียดช่องโหว่จะยังไม่ถูกเปิดเผยจนกว่าผู้ใช้ส่วนใหญ่จะได้รับการอัปเดต"

การแก้ไขช่องโหว่ zero-day ของ Chrome ครั้งที่ 4 ในปีนี้

การอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 4 นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 3 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่:

CVE-2022-1364 - April 14th
CVE-2022-1096 - March 25th
CVE-2022-0609 - February 14th

ช่องโหว่ที่ได้รับการแก้ไขในเดือนกุมภาพันธ์ CVE-2022-0609 ถูกใช้โดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือหลายสัปดาห์ก่อนที่จะมีแพตช์อัปเดตออกมาในเดือนกุมภาพันธ์ ตามรายงานของ Google Threat Analysis Group (TAG) โดยการโจมตีครั้งแรกถูกพบเมื่อวันที่ 4 มกราคม พ.ศ. 2565

ที่มา : bleepingcomputer

เมื่อวันพฤหัสบดีทีมรักษาความปลอดภัยของ Jenkins ได้ประกาศช่องโหว่ 34 รายการซึ่งส่งผลกระทบต่อปลั๊กอิน 29 รายการสำหรับ open source automation server ของ Jenkins และช่องโหว่ 29 รายการยังไม่มีการอัปเดตแพตซ์

Jenkins เป็นแพลตฟอร์มที่ได้รับความนิยมอย่างสูง (รองรับปลั๊กอินมากกว่า 1,700 รายการ) ที่องค์กรทั่วโลกใช้ในการสร้าง, ทดสอบ และติดตั้งซอฟต์แวร์

CVSS ของช่องโหว่มีตั้งแต่ระดับความรุนแรงต่ำไปจนถึงระดับสูง และจากสถิติของ Jenkins ปลั๊กอินที่ได้รับผลกระทบมีการติดตั้งไปแล้วมากกว่า 22,000 ครั้ง

รายการช่องโหว่ทั้งหมดที่ยังไม่ได้แก้ไขได้แก่ XSS, Stored XSS, Cross-Site Request Forgery (CSRF) bugs, การตรวจสอบสิทธิ์ที่ไม่ถูกต้อง, รวมไปถึงการเก็บข้อมูลรหัสผ่าน API keys และ Tokens ไว้ในรูปแบบ plain text โชคดีที่ Zero-day ที่มีความรุนแรงสูงส่วนใหญ่ ยังต้องการให้ผู้ใช้งานมีการกระทำบางอย่างจึงจะสามารถโจมตีได้สำเร็จ จากข้อมูลของ Shodan ปัจจุบันมีเซิร์ฟเวอร์ Jenkins ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 144,000 เซิร์ฟเวอร์ ที่อาจตกเป็นเป้าหมายในการโจมตีหากมีใช้งานปลั๊กอินที่ยังไม่ได้รับการอัปเดตแพตช์

 

ในขณะที่ทีม Jenkins ได้แก้ไขปลั๊กอินไปแล้วสี่ตัว, (เช่น GitLab, requests-plugin, TestNG Results, XebiaLabs XL Release) แต่ยังมีอีกหลายรายการที่ยังไม่ได้รับการแก้ไข ซึ่งรวมถึง:

Build Notifications Plugin up to and including 1.5.0
build-metrics Plugin up to and including 1.3
Cisco Spark Plugin up to and including 1.1.1
Deployment Dashboard Plugin up to and including 1.0.10
Elasticsearch Query Plugin up to and including 1.2
eXtreme Feedback Panel Plugin up to and including 2.0.1
Failed Job Deactivator Plugin up to and including 1.2.1
GitLab Plugin up to and including 1.5.34
HPE Network Virtualization Plugin up to and including 1.0
Jigomerge Plugin up to and including 0.9
Matrix Reloaded Plugin up to and including 1.1.3
OpsGenie Plugin up to and including 1.9
Plot Plugin up to and including 2.1.10
Project Inheritance Plugin up to and including 21.04.03
Recipe Plugin up to and including 1.2
Request Rename Or Delete Plugin up to and including 1.1.0
requests-plugin Plugin up to and including 2.2.16
Rich Text Publisher Plugin up to and including 1.4
RocketChat Notifier Plugin up to and including 1.5.2
RQM Plugin up to and including 2.8
Skype notifier Plugin up to and including 1.1.0
TestNG Results Plugin up to and including 554.va4a552116332
Validating Email Parameter Plugin up to and including 1.10
XebiaLabs XL Release Plugin up to and including 22.0.0
XPath Configuration Viewer Plugin up to and including 1.1.1

แม้ว่าจะไม่มีรายการใดที่เป็นช่องโหว่ร้ายแรงที่อาจทำให้ผู้โจมตีสามารถรันโค้ด หรือคำสั่งที่เป็นอันตรายจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่เพื่อเข้าควบคุมได้ในทันที อย่างไรก็ตามผู้โจมตีก็มีแนวโน้มที่จะใช้ zero-day เพื่อทำให้พวกเขาได้ข้อมูลมากขึ้นบนระบบของเป้าหมายเพื่อใช้ในการโจมตีในรูปแบบอื่นๆต่อไป

ที่มา bleepingcomputer

เมื่อวันที่ 25 มีนาคม Sophos ได้เผยแพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับช่องโหว่ CVE-2022-1040 ซึ่งเป็นช่องโหว่การ Bypass การตรวจสอบสิทธิ์ที่ส่งผลต่อ User Portal และ Webadmin ของ Sophos Firewall และอาจถูกโจมตีเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกล สามวันต่อมา บริษัทเตือนว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่เพื่อกำหนดเป้าหมายองค์กรหลายแห่งในภูมิภาคเอเชียใต้

ล่าสุดในสัปดาห์นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ได้ให้รายละเอียดเกี่ยวกับกลุ่มผู้โจมตีจากประเทศจีนที่รู้จักในชื่อ DriftingCloud ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 ตั้งแต่ต้นเดือนมีนาคม ราวๆสามสัปดาห์ก่อนที่ Sophos จะออกแพตช์ ผู้โจมตีได้ใช้ช่องโหว่ Zero-day ดังกล่าวในการเข้าควบคุม firewall เพื่อติดตั้ง Webshell backdoor และมัลแวร์ที่จะเปิดใช้งานการเข้าควบคุมจากภายนอกนอกเครือข่ายที่ได้รับการป้องกันโดย Sophos Firewall

นักวิจัยตั้งข้อสังเกตว่าผู้โจมตีพยายามซ่อนการเชื่อมต่อสำหรับการเข้าถึงของ webshell ด้วยการใช้ชื่อไฟล์ที่ดูเหมือนเป็นปกติอย่าง login.

Qbot เริ่มนำช่องโหว่ Windows MSDT zero-day มาใช้ในการโจมตีแบบฟิชชิ่ง

ช่องโหว่ Zero-day ของ Windows หรือที่รู้จักในชื่อ Follina ซึ่งปัจจุบันยังไม่ได้รับการแก้ไขจาก Microsoft ถูกนำไปใช้ประโยชน์ด้วยการโจมตีผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายซึ่งจะทำให้เหยื่อติดมัลแวร์ Qbot

Proofpoint รายงานเมื่อวันจันทร์ว่ามีการใช้ zero-day ดังกล่าวมาใช้โจมตีในรูปแบบฟิชชิ่ง ซึ่งกำหนดเป้าหมายไปยังหน่วยงานรัฐบาลของสหรัฐอเมริกา และสหภาพยุโรป

โดยเมื่อสัปดาห์ที่ผ่านมา บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พึ่งจะเปิดเผยว่าพบกลุ่มแฮ็คเกอร์ TA413 ของจีนใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีที่กำหนดเป้าหมายไปยังชาวทิเบตเช่นเดียวกัน

ตามรายงานที่นักวิจัยด้านความปลอดภัยของ Proofpoint ได้เผยแพร่ในวันนี้พบว่ากลุ่ม TA570 ได้เริ่มใช้เอกสาร Microsoft Office .docx ที่เป็นอันตรายเพื่อโจมตีโดยใช้ช่องโหว่ Follina CVE-2022-30190 และทำให้เหยื่อติดมัลแวร์ Qbot

ผู้โจมตีใช้วิธีการแนบไฟล์ HTML ไปในอีเมล ซึ่งหากเหยื่อคลิกเปิดไฟล์ มันจะทำการดาวน์โหลดไฟล์ ZIP ที่มีไฟล์ IMG อยู่ภายใน และภายไฟล์ IMG จะประกอบไปด้วยไฟล์ DLL, Word และ shortcut files

ซึ่งไฟล์ shortcut จะโหลด Qbot DLL ที่มากับไฟล์ IMG ส่วนไฟล์ .docx จะเชื่อมต่อกับเซิร์ฟเวอร์ภายนอกเพื่อโหลดไฟล์ HTML ที่ใช้ประโยชน์จากช่องโหว่ Follina เพื่อเรียกใช้โค้ด PowerShell ที่จะดาวน์โหลด และรัน Qbot DLL อีกตัวหนึ่ง

เป็นอีกครั้งในปีนี้ที่เครือข่ายของ Qbot พยายามเปลี่ยนวิธีการโจมตี โดยครั้งแรกในช่วงเดือนกุมภาพันธ์ มันจะใช้กลอุบายที่เก่าที่เรียกว่า Squibbledoo เพื่อแพร่กระจายมัลแวร์ผ่านเอกสาร Microsoft Office โดยใช้ regsvr32.exe

อีกครั้งในเดือนเมษายน หลังจากที่ Microsoft เริ่มเปิดตัวฟีเจอร์ VBA macro autoblock สำหรับผู้ใช้ Office บน Windows กลุ่มแฮ็คเกอร์จึงหยุดใช้เอกสาร Microsoft Office ที่มีมาโครที่เป็นอันตราย และเปลี่ยนเป็นไฟล์แนบไฟล์ ZIP ที่ใส่รหัสผ่าน ที่ภายในมีตัวติดตั้งแบบ MSI Windows Installer แทน

Qbot คืออะไร?

Qbot (หรือที่รู้จักว่า Qakbot, Quakbot และ Pinkslipbot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร และด้วยความสามารถของมันที่แพร่กระจายบนระบบในลักษณะ worm ทำให้มันสามารถแพร่กระจายไปบนเครือข่ายของเหยื่อได้เป็นจำนวนมากผ่านการโจมตีด้วยวิธีการ brute-force บัญชีผู้ดูแลระบบบน Active Directory

มัลแวร์นี้ถูกใช้มาตั้งแต่ปี 2550 เพื่อเก็บข้อมูลธนาคาร, ข้อมูลส่วนบุคคล, ข้อมูลทางการเงิน และเป็นแบ็คดอร์เพื่อแอบติดตั้ง Cobalt Strike beacons

บริษัทในเครือ Ransomware ที่เชื่อมโยงกับการดำเนินการในลักษณะ Ransomware as a Service (RaaS) (รวมถึง REvil, PwndLocker, Egregor, ProLock และ MegaCortex) ต่างก็ใช้ Qbot เพื่อเข้าถึงเครือข่ายองค์กร

ที่มา: www.

แฮ็กเกอร์กำลังเริ่มโจมตีโดยใช้ช่องโหว่ zero-day ระดับ Critical ** ของ Atlassian Confluence ที่มีหมายเลข CVE-2022-26134 เพื่อติดตั้งเว็บเชลล์ โดยปัจจุบันยังไม่มีวิธีการแก้ไขออกมาจาก Atlassian

วันนี้ (2 มิ.ย. 2565) Atlassian ได้ออกคำแนะนำด้านความปลอดภัยที่เปิดเผยว่าช่องโหว่ CVE-2022-26134 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งพบทั้งใน Confluence Server และ Data Center

Atlassian ยืนยันว่ามีช่องโหว่ใน Confluence Server 7.18.0 และเชื่อว่า Confluence Server และ Data Center 7.4.0 ก็มีความเสี่ยงเช่นกัน โดยคำแนะนำยังเตือนว่าผู้โจมตีกำลังเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าวบน Confluence Server 7.18.0 และยังไม่มีแพตซ์ในปัจจุบัน

Atlassian จึงแนะนำให้ผู้ใช้งานปิดการเชื่อมต่อไปยัง Confluence Server และ Data Center จากอินเทอร์เน็ต หรือปิดการใช้งานไปเลยเป็นการชั่วคราว เนื่องจากยังไม่มีวิธีอื่นในการลดผลกระทบ  ส่วนองค์กรที่ใช้ Atlassian Cloud (เข้าถึงได้ทาง atlassian.

ช่องโหว่ที่ค้นพบนี้ สาเหตุเกิดจาก URI Protocol ที่มีชื่อว่า search-ms ซึ่งทำหน้าที่ให้ Application ต่างๆ และ HTML Link สามารถใช้งานการฟีเจอร์ Windows Search ได้ตามที่ต้องการ

แม้ว่าการค้นหาของ Windows ส่วนใหญ่จะทำการค้นหาจาก Index บนเครื่อง แต่ด้วยลักษณะการทำงานของ search-ms จึงมีความเป็นไปได้ที่ผู้ไม่หวังดีจะบังคับให้ Windows Search ทำการค้นหาไฟล์จากที่อื่น เพียงแค่ระบุชื่อไปยังโฮสต์ดังกล่าว

ลักษณะการทำงาน

ยกตัวอย่างโปรแกรมยอดนิยมอย่าง Sysinternals ที่เป็นฟรีแวร์สำหรับช่วยแก้ปัญหาต่างๆบนระบบ โดยโปรแกรมนี้ระบุให้ผู้ใช้งานเปิด Network Share ไปยัง live.

แฮ็กเกอร์สัญชาติจีนเริ่มการโจมตีโดยใช้ประโยชน์จากช่องโหว่ zero-day ของ Microsoft Office (หรือที่รู้จักในชื่อ 'Follina')

ช่องโหว่ RCE ดังกล่าวเกิดจาก Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190) ซึ่งส่งผลกระทบต่อทั้ง Windows client และ server ทั้งหมด

กลุ่ม Shadow Chaser ซึ่งเป็นนักวิจัยที่รายงาน zero-day นี้ครั้งแรกในเดือนเมษายนกล่าวว่า ในช่วงแรก Microsoft ประเมินว่าช่องโหว่นี้ไม่ถือว่าเป็น "ปัญหาด้านความปลอดภัย" แต่อย่างไรก็ตาม ในภายหลังกลับปิดเคส(ระบบสำหรับการแจ้งช่องโหว่กับ Microsoft) ว่าเป็นช่องโหว่ที่มีผลกระทบในแบบ Remote Code Execution

เริ่มพบการโจมตีเป็นวงกว้าง

เมื่อวันที่ 30 พ.ค. ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Proofpoint พบว่ากลุ่ม TA413 APT ซึ่งเป็นกลุ่มที่คาดว่าได้รับการสนับสนุนจากรัฐบาลจีนเริ่มโจมตีโดยใช้ประโยชน์จากช่องโหว่ดังกล่าว โดยการส่งไฟล์ Word ที่ถูก ZIP ไว้ผ่านแคมเปญชื่อ 'Women Empowerments Desk’ ของ Central Tibetan Administration และใช้โดเมน tibet-gov.

นักวิจัยด้านความปลอดภัยทางไซเบอร์แจ้งเตือนให้เฝ้าระวังช่องโหว่ Zero-Day ใหม่ใน Microsoft Office ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนระบบ Windows ที่ได้รับผลกระทบ

ช่องโหว่ถูกพบหลังจากทีมวิจัยความปลอดภัยทางไซเบอร์อิสระที่รู้จักกันในชื่อ nao_sec อัปโหลดเอกสาร "05-2022-0438.doc" ไปยัง VirusTotal จากที่อยู่ IP ในเบลารุส โดยนักวิจัยเรียกช่องโหว่นี้ว่า Follina เนื่องจากไฟล์ตัวอย่างที่เป็นอันตรายใช้ชื่อ 0438 ซึ่งเป็นรหัสพื้นที่ของ Follina ในเมือง Treviso ของอิตาลี

ช่องโหว่นี้ใช้ประโยชน์จาก Remote template feature ของเอกสารเพื่อเรียกใช้ไฟล์ HTML จากเซิร์ฟเวอร์ภายนอก ซึ่งมีรูปแบบ URI "ms-msdt://" เพื่อสั่งรัน PowerShell เพื่อเรียกใช้เพย์โหลดที่เป็นอันตราย เนื่องจาก Microsoft Word รันโค้ดผ่าน MSDT แม้ว่าจะปิดใช้งานมาโคร และที่สำคัญยังสามารถทำงานได้โดยที่ยังไม่ได้เปิดไฟล์เอกสารผ่านทางแท็บแสดงตัวอย่างใน Explorer

MSDT ย่อมาจาก Microsoft Support Diagnostics Tool ซึ่งเป็น Utility ที่ใช้ในการแก้ไขปัญหา รวบรวมข้อมูลบนระบบเพื่อใช้ในการแก้ไขปัญหาของระบบ support

Microsoft Office หลายเวอร์ชัน รวมถึง Office 2016 และ Office 2021 ได้รับผลกระทบจากช่องโหว่ดังกล่าว และคาดว่าเวอร์ชันอื่นๆก็มีช่องโหว่เช่นกัน

Richard Warren จาก NCC Group ได้ลองทดสอบช่องโหว่ดังกล่าวบน Office ProfessionalPro ด้วยแพตช์ล่าสุดเดือนเมษายน 2022 ที่ทำงานบนเครื่อง Windows 11 เวอร์ชันล่าสุด โดยเปิดใช้งานบนหน้าต่างแสดงตัวอย่าง

โดยนักวิจัยได้ติดต่อไปยัง Microsoft เพื่อขอความคิดเห็นเกี่ยวกับช่องโหว่ดังกล่าวเรียบร้อยแล้ว ซึ่งคาดว่า Microsoft น่าจะต้องออกแพตซ์อัปเดตช่องโหว่ดังกล่าวในเร็วๆนี้

วิดิโอตัวอย่าง คลิก

ที่มา : thehackernews