Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2023 ซึ่งเป็นการอัปเดตสำหรับช่องโหว่ทั้งหมด 58 รายการ และเป็นช่องโหว่แบบ Zero-Day 5 รายการ

โดยเป็นการแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 14 รายการ แต่มีเพียง 1 รายการที่มีความรุนแรงระดับ Critical โดยช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งหมด 3 รายการ ได้แก่ ช่องโหว่ Azure information disclosure, ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Internet Connection Sharing (ICS) และช่องโหว่ใน Hyper-V Escape ที่ทำให้สามารถเรียกใช้งานโปรแกรมบนโฮสต์ด้วยสิทธิ์ SYSTEM (more…)

พบช่องโหว่ Zero-Days บน Microsoft Exchange จำนวน 4 รายการ ที่ทำให้ Hacker สามารถโจมตีจากภายนอกเพื่อเรียกใช้ หรือเปิดเผยข้อมูลที่มีความสำคัญบน Microsoft Exchange ที่ได้รับผลกระทบ ซึ่งถูกรายงานโดย Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งรายงานช่องโหว่เหล่านี้ไปยัง Microsoft ในวันที่ 7 และ 8 กันยายน 2023 (more…)

ในวันที่สามของการแข่งขัน Pwn2Own นักวิจัยด้านความปลอดภัยได้รับเงินรางวัลรวมกันกว่า 185,000 ดอลลาร์ หลังจากสาธิตการโจมตีด้วยช่องโหว่ Zero-Day 5 รายการ โดยมีเป้าหมายเป็น Windows 11, Ubuntu Desktop และ VMware Workstation

มีการสาธิตช่องโหว่ Zero-Day บน Ubuntu 3 รายการ ที่สามารถโจมตีได้จริง โดย Kyle Zeng จาก ASU SEFCOM (double free bug), Mingi Cho จาก Theori (ช่องโหว่ Use-After-Free) และ Bien Pham (@bienpnn) จาก Qrious Security

สำหรับสองรายชื่อแรกที่สามารถใช้ Zero-Day ในการโจมตีได้ ได้รับเงินรางวัลคนละ 30,000 ดอลลาร์ ในขณะที่ Pham ได้รับเงินรางวัล 15,000 ดอลลาร์ เนื่องจากมี bug collision

Windows 11 ที่ได้รับการอัปเดตล่าสุด ถูกโจมตีได้อีกครั้งในการแข่งขัน โดยมี Thomas Imbert (@masthoon) จาก Synacktiv (@Synacktiv) ได้รับเงินรางวัล 30,000 ดอลลาร์สำหรับช่องโหว่ Use-After-Free (UAF) (more…)

Google ได้ประกาศแพตช์อัปเดตให้กับ Google Chrome Browser เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูง

รายละเอียดของช่องโหว่

โดยปกติแล้ว Google จะไม่มีการเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่ Zero-day จนกว่าผู้ใช้งานส่วนใหญ่จะได้รับการอัปเดตแล้ว

ซึ่งช่องโหว่ในครั้งนี้มีหมายเลข CVE-2022-3075 ซึ่งเป็นช่องโหว่ที่มีระดับความรุนแรงสูง เกี่ยวกับการตรวจสอบข้อมูลไม่ถูกต้องใน Mojo ซึ่งก็คือชุดของ runtime libraries ที่มีกลไก platform-agnostic (แพลตฟอร์มการทำให้ระบบทำงาน หรือสื่อสารกันได้) สำหรับ Inter-process communication (IPC)

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยนิรนามคนหนึ่งเมื่อวันที่ 30 สิงหาคม 2565 ที่ผ่านมา และการอัปเดตครั้งนี้ถือเป็นช่องโหว่ Zero-day ครั้งที่ 6 ของ Google Chrome Browser นับตั้งแต่ต้นปี โดยช่องโหว่ zero-day 5 รายการก่อนหน้านี้ที่ถูกพบ และแก้ไขไปแล้วในปี 2565 ได้แก่ :

CVE-2022-0609 - Use-after-free in Animation - February 14th, 2022
CVE-2022-1096 - Type confusion in V8 - March 25th, 2022
CVE-2022-1364 - Type confusion in V8 - April 14th, 2022
CVE-2022-2294 - Heap buffer overflow in WebRTC - July 4th, 2022
CVE-2022-2856 - Insufficient validation of untrusted input in Intents - September 2nd, 2022

Google แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 105.0.5195.102 สำหรับ Windows, macOS และ Linux และเพื่อลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้นกับผู้ใช้งานเบราว์เซอร์ที่ใช้ Chromium เช่น Microsoft Edge, Brave, Opera และ Vivaldi จึงแนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันก่อนการใช้งาน

ที่มา : thehackernews

Mozilla ได้เผยแพร่การอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการเพื่อแก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีระหว่างการแข่งขันการแฮ็กในงาน Pwn2Own Vancouver 2022

หากถูกโจมตีด้วยช่องโหว่ระดับ Critical 2 ช่องโหว่นี้ จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ด JavaScript บนอุปกรณ์มือถือ และ Desktop ที่ใช้ Firefox, Firefox ESR, Firefox สำหรับ Android และ Thunderbird ในเวอร์ชันที่มีช่องโหว่

ช่องโหว่ Zero-day ได้รับการแก้ไขแล้วใน Firefox 100.0.2, Firefox ESR 91.9.1, Firefox สำหรับ Android 100.3 และ Thunderbird 91.9.1

Cybersecurity and Infrastructure Security Agency (CISA) ได้มีการแจ้งให้ผู้ดูแลระบบ และผู้ใช้งาน แก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้ เนื่องจากผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าควบคุมระบบที่ได้รับผลกระทบ

โดยทาง Mozilla ได้ใช้เวลาในการแก้ไขช่องโหว่เหล่านี้ 2 วัน หลังจากที่ถูกโจมตีในงานการแข่งขันการแฮ็ก Pwn2Own โดย Manfred Paul ซึ่งโดยปกติ Vendor ต่าง ๆ จะไม่รีบปล่อยแพตช์ของช่องโหว่ที่ถูกใช้หลังจากงาน Pwn2Own เนื่องจากพวกเขามีเวลาราวๆ 90 วันในการแก้ไขช่องโหว่ด้านความปลอดภัย จนกว่าที่จะมีการเปิดเผยรายละเอียดของวิธีการโจมตีต่อสาธารณะ

งาน Pwn2Own 2022 Vancouver ได้สิ้นสุดลงเมื่อวันที่ 20 พฤษภาคมหลังจากที่ผู้เข้าแข่งขัน 17 ราย ได้รับเงินรางวัลรวมทั้งหมด $1,155,000 สำหรับการหาช่องโหว่แบบ Zero-day เป็นระยะเวลา 3 วัน หลังจากมีการพยายามทดสอบการโจมตีไปทั้งสิ้น 21 ครั้ง

ที่มา: bleepingcomputer

 

การอัปเดต Patch Tuesday ครั้งใหญ่ในเดือนมกราคม 2022 ของ Microsoft ** ครอบคลุม CVE ที่สำคัญ 9 รายการ

Microsoft ได้แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 97 รายการในการอัปเดต Patch Tuesday ประจำเดือนมกราคมปี 2022 โดย 9 รายการอยู่ในอันดับ Critical รวมถึง 6 รายการที่มีสถานะเป็น Zero-days ที่ถูกเปิดเผยออกสู่สาธารณะ

การแก้ไขครอบคลุมกลุ่มผลิตภัณฑ์คอมพิวเตอร์ค่ายใหญ่ทั้งหลาย ซึ่งรวมถึง: Microsoft Windows และ Windows Components, Microsoft Edge (ที่ใช้ Chromium), Exchange Server, Microsoft Office และ Office Components, SharePoint Server, .NET Framework, Microsoft Dynamics, ซอฟต์แวร์โอเพ่นซอร์ส , Windows Hyper-V, Windows Defender และ Windows Remote Desktop Protocol (RDP)

Dustin Childs นักวิจัยจาก Zero Day Initiative (ZDI) ของ Trend Micro อธิบายว่า "นี่เป็นการอัปเดตครั้งใหญ่มากผิดปกติในเดือนมกราคม" "ในช่วงไม่กี่ปีที่ผ่านมา จำนวนแพตช์เฉลี่ยที่ออกในเดือนมกราคมมีประมาณครึ่งหนึ่งของครั้งนี้ มีแนวโน้มว่าเราอาจจะพบการอัพเดทจำนวนมากระดับนี้ตลอดทั้งปี"

Zero-Day Tsunami

ถึงจะมี Zero-Day ออกมาจำนวนมาก แต่ยังไม่มี Zero-Day ตัวใดที่ถูกระบุว่าถูกนำไปใช้โจมตีอย่างชัดเจน แม้ว่าจะมีสองรหัสได้แก่ CVE-2022-21919 และ CVE-2022-21836 ที่ถูกนำไปใช้อย่างแพร่หลาย จากทั้งหมดนี้

CVE-2021-22947: HackerOne-assigned CVE in open-source Curl library (RCE)
CVE-2021-36976: MITRE-assigned CVE in open-source Libarchive (RCE)
CVE-2022-21874: Local Windows Security Center API (RCE, CVSS score of 7.8)
CVE-2022-21919: Windows User Profile Service (privilege escalation, CVSS 7.0)
CVE-2022-21839: Windows Event Tracing Discretionary Access Control List (denial-of-service, CVSS 6.1).
CVE-2022-21836: Windows Certificate (spoofing, CVSS 7.8).

cURL bug ถูกเปิดเผยโดย HackerOne เมื่อเดือนกันยายน 2564 Childs กล่าวในการวิเคราะห์ Patch Tuesday ของ ZDI"
และแพตช์นี้ได้รวมไลบรารี cURL ล่าสุดไว้ในผลิตภัณฑ์ของ Microsoft ด้วยนี่คือเหตุผลที่ CVE นี้ถูกทำให้รู้จักกันอย่างแพร่หลาย ในทำนองเดียวกัน แพตช์สำหรับไลบรารี Libarchive ก็ถูกเปิดเผยในปี 2021 และเวอร์ชันล่าสุดของไลบรารีนี้กำลังถูกรวมเข้ากับผลิตภัณฑ์ของ Microsoft ด้วย"

ช่องโหว่ระดับ Critical และช่องโหว่ในลักษณะ Wormable แนะนำให้รีบ Patch โดยทันที

ปัญหา Remote Code-execution (RCE) ในสแต็คโปรโตคอล HTTP นั้นเป็นที่สนใจสำหรับนักวิจัย เนื่องจากมันสามารถใช้ในการแพร่กระจายการโจมตีได้อย่างรวดเร็ว กล่าวคือ ช่องโหว่นี้สามารถแพร่กระจายตัวเองได้เองผ่านเครือข่าย โดยไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆ โดยช่องโหว่นี้มีระดับความรุนแรงของช่องโหว่สูงที่สุดของการอัปเดตทั้งหมด โดยมีคะแนนอยู่ที่ 9.8

ช่องโหว่ CVE-2022-21907 ทำงานโดยการส่งแพ็กเก็ตที่สร้างขึ้นเป็นพิเศษไปยังระบบเป้าหมายโดยใช้ HTTP protocol stack (http.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

IBM ปฏิเสธที่จะแก้ไข หลังนักวิจัยทำการเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager

Pedro Ribeiro ผู้อำนวยการฝ่ายวิจัยของ Agile Information Security ได้เปิดเผยช่องโหว่ ‘Zero-days’ 4 รายการใน IBM Data Risk Manager (IDRM) และทำการรายงานต่อ IBM โดยนักวิจัยด้านความปลอดภัยจาก IBM ปฏิเสธที่จะแก้ไขและยอมรับรายงานช่องโหว่ที่ส่งผ่าน CERT / CC

หลังจากถูกปฏิเสธ Pedro ตัดสินใจเผยเเพร่ช่องโหว่ที่ค้นพบลง GitHub ซึ่งช่องโหว่ที่เเพร่นี้ถูกพบใน IBM Data Risk Manager (IDRM) ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อช่วย วิเคราะห์ข้อมูลและแสดงภาพความเสี่ยงที่เกี่ยวข้องกับทางธุรกิจ

ช่องโหว่ที่ Ribeiro ค้นพบคือการ Bypass Authentication, Command Injection, การใช้ Default Password และการดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต

Ribeiro กล่าวว่าจากการทดสอบข้อบกพร่องด้านความปลอดภัยโดยใช้ช่องโหว่ที่เกี่ยวเนื่องกันสามรายการ ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดจากระยะไกลในฐานะ Root บนระบบ นอกจากนี้เมื่อรวมช่องโหว่ที่หนึ่งและช่องโหว่ที่สี่ ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดาวน์โหลดไฟล์จากระบบได้

Ribeiro ยังกล่าวว่าหลังจากที่เขาได้ทำการรายงานช่องโหว่ ‘Zero-days’ ต่อ IBM แต่เขาได้รับการปฏิเสธการรายงานช่องโหว่จาก IBM จึงทำให้เขาตัดสินใจเปิดเผยข้อมูลทั้งหมดต่อสาธารณะเพื่อให้บริษัทต่างๆ รับรู้ถึงปัญหาเพื่อที่จะสามารถป้องกันการใช้ประโยชน์จากช่องโหว่ดังกล่าว

สำหรับช่องโหว่ command injection และช่องโหว่การดาวน์โหลดไฟล์โดยไม่ได้รับอนุญาต รุ่นที่ได้รับผลกระทบคือ IBM Data Risk Manager (IDRM) เวอร์ชัน 2.0.1 และเวอร์ชันที่สูงกว่า

การเเก้ไขช่องโหว่
IBM ได้ทำการแนะนำให้ทำการอัปเกรด IBM Data Risk Manager (IDRM) เป็นเวอร์ชัน 2.0.4

ที่มา : bleepingcomputer