Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือน พบการโจมตีช่องโหว่ใน Fortinet VPN อาจถูกขโมยบัญชีและรหัสผ่าน หน่วยงานในไทยกระทบด้วย ควรรีบอัปเดตและเปลี่ยนรหัสผ่าน

เมื่อวันที่ 19 พฤศจิกายน 2563 มีรายงานการเผยแพร่ IP ของอุปกรณ์ Fortinet VPN ที่มีช่องโหว่ CVE-2018-13379 จำนวนประมาณ 49,000 เครื่อง โดยเป็นอุปกรณ์ในไทยกว่า 900 เครื่อง พร้อมตัวอย่างโค้ดโจมตีช่องโหว่ที่สามารถใช้ขโมยบัญชีและรหัสผ่านจากตัวอุปกรณ์ได้

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ประเภท path traversal ในเว็บพอร์ทัลของอุปกรณ์ Fortinet VPN ผู้ประสงค์ร้ายสามารถส่ง HTTP request อันตรายเพื่อเข้าถึงไฟล์ระบบของอุปกรณ์ รวมถึงข้อมูลการตั้งค่า เช่น ชื่อบัญชีผู้ใช้และรหัสผ่านสำหรับบริหารจัดการอุปกรณ์ Fortinet VPN ตัวช่องโหว่มีผลกระทบกับอุปกรณ์ที่ใช้ FortiOS เวอร์ชัน 6.0.0-6.0.4, 5.6.3-5.6.7 และ 5.4.6-5.4.12

ต่อมา เมื่อวันที่ 25 พฤศจิกายน 2563 มีรายงานการเผยแพร่ชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงอุปกรณ์ Fortinet VPN ที่ยังไม่ได้รับการแก้ไขช่องโหว่ ซึ่งข้อมูลดังกล่าวมีความเสี่ยงที่อาจทำให้หน่วยงานที่ยังคงใช้งานอุปกรณ์เหล่านั้นถูกเจาะระบบ ข้อมูลรั่วไหล ติดมัลแวร์เรียกค่าไถ่ หรือเกิดความเสียหายอื่น ๆ ต่อระบบเครือข่ายของหน่วยงานได้

ทั้งนี้ ไทยเซิร์ตอยู่ระหว่างการประสานไปยังหน่วยงานที่ได้ผลกระทบเพื่อขอให้ตรวจสอบและแก้ไขปัญหา โดยผู้ดูแลระบบที่ใช้งานอุปกรณ์ที่มีช่องโหว่ควรอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง รวมถึงเปลี่ยนรหัสผ่านของอุปกรณ์เนื่องจากอาจมีความเสี่ยงรหัสผ่านรั่วไหล ทั้งนี้ หน่วยงานที่ใช้งานอุปกรณ์ Fortinet VPN สามารถศึกษาข้อมูลเพิ่มเติมเรื่องแพตช์และการตั้งค่าระบบความมั่นคงปลอดภัยได้จากข้อแนะนำของทาง Fortinet (https://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws)

วันที่: 2020-11-23 | ที่มา: Bleeping Computer, National Vulnerability Database | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2563 แก้ไขช่องโหว่ที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 11 พฤศจิกายน 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 112 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด และช่องโหว่สำคัญ (Important) จำนวน 93 จุด ในแพตช์รอบนี้มีการแก้ไขช่องโหว่จำนวน 1 จุดที่มีรายงานว่าถูกใช้โจมตีแล้ว

ช่องโหว่ที่มีรายงานการโจมตีแล้วคือช่องโหว่รหัส CVE-2020-17087 ซึ่งเป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ใน Windows Kernel Cryptography Driver (cng.sys) ระดับความรุนแรง CVSS 7.8 ผลกระทบจากช่องโหว่เปิดโอกาสให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทั้งนี้ถึงแม้ในรายงานจะระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีแบบเจาะจงเป้าหมาย แต่ยังไม่มีการเปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ดังกล่าว

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตี

วันที่: 2020-11-11 | ที่มา: ZDNet, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ร้ายแรงในปลั๊กอิน Ultimate Member ของ WordPress อาจถูกแฮกเว็บไซต์ได้ ควรรีบอัปเดต

เมื่อวันที่ 9 พฤศจิกายน 2563 ทีม Wordfence ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับ WordPress ได้รายงานช่องโหว่ระดับวิกฤต (Critical) จำนวน 3 จุดในปลั๊กอิน Ultimate Member ซึ่งเป็นปลั๊กอินที่ใช้สำหรับบริหารจัดการสิทธิของสมาชิกในเว็บไซต์ โดยมียอดติดตั้งและใช้งานในเว็บไซต์กว่า 100,000 แห่ง

จากรายงาน ทั้ง 3 ช่องโหว่เป็นประเภท Privilege Escalation ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อได้สิทธิของผู้ดูแลระบบ WordPress หากโจมตีสำเร็จจะสามารถแก้ไขหน้าเว็บไซต์หรืออัปโหลดไฟล์อันตรายขึ้นมาบนเว็บไซต์ได้ ตัวช่องโหว่มีระดับความรุนแรง CVSS ที่ 9.9 และ 10 คะแนน มีผลกระทบกับปลั๊กอิน Ultimate Member เวอร์ชัน 2.1.11 หรือเวอร์ชันที่ต่ำกว่า

ทางผู้พัฒนาปลั๊กอิน Ultimate Member ได้ออกอัปเดตเวอร์ชัน 2.1.12 เพื่อแก้ไขช่องโหว่แล้ว เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรรีบอัปเดตปลั๊กอินให้เป็นเวอร์ชันปัจจุบันโดยด่วน

วันที่: 2020-11-10 | ที่มา: Bleeping Computer, Wordfence | Share on Facebook Share on Twitter Share on Google+
ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been Pwned

Wongnai เป็นบริการค้นหาร้านอาหาร ที่พัก สถานที่ท่องเที่ยว ฯลฯ ที่ได้รับความนิยมในประเทศไทย เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ออกแถลงการณ์แจ้งเตือนการโจมตีทางไซเบอร์ที่ส่งผลกระทบกับข้อมูลของผู้ใช้บริการ (อ้างอิง https://www.wongnai.com/pages/wongnai-security-incident) โดยมีรายงานว่าข้อมูลดังกล่าวได้ถูกนำไปประกาศขายในเว็บไซต์ใต้ดิน

เมื่อวันที่ 5 พฤศจิกายน 2563 เว็บไซต์ Have I Been Pwned? รายงานว่าได้รับข้อมูลผู้ใช้งานที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล จำนวนกว่า 4 ล้านรายการ จากทาง Wongnai จุดประสงค์เพื่อให้ผู้ใช้งานได้ตรวจสอบว่าตนเองได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่

Have I Been Pwned? เป็นเว็บไซต์ที่มีจุดประสงค์เพื่อรวบรวมฐานข้อมูลกลางของชุดข้อมูลที่รั่วไหลออกมาจากแหล่งต่าง ๆ เพื่อให้ผู้ที่สงสัยว่าได้รับผลกระทบหรือไม่นั้นสามารถตรวจสอบข้อมูลได้ ตัวเว็บไซต์ดำเนินการโดยนักวิจัยด้านความมั่นคงปลอดภัยชื่อ Troy Hunt (https://haveibeenpwned.com/About) ช่องทางของการได้มาซึ่งชุดข้อมูลรั่วไหลนั้นมีทั้งการซื้อข้อมูลจากตลาดมืด และการได้รับบริจาคข้อมูลโดยหน่วยงานที่ถูกโจมตี

อย่างไรก็ตาม จากแถลงการณ์ของทาง Wongnai ระบุว่ารหัสผ่านที่รั่วไหลนั้นได้รับการเข้ารหัส แต่จากข้อมูลในรายงานหลายแห่ง รวมถึงจากประกาศของ Have I Been Pwned? ระบุว่ารหัสผ่านนั้นถูกเก็บด้วยค่าแฮชแบบ MD5 ซึ่งในทางเทคนิคแล้วอาจมีความเสี่ยงที่ผู้ประสงค์ร้ายจะสามารถหารหัสผ่านที่ตรงกับฐานข้อมูลที่หลุดออกมาได้ หากผู้ใช้งาน Wongnai ใช้รหัสผ่านเดียวกันนี้กับบริการอื่น ก็มีความเสี่ยงที่อาจจะถูกเข้าถึงบัญชีของบริการอื่นได้ด้วย

ข้อแนะนำ

  • ผู้ที่ใช้งาน Wongnai อาจพิจารณาตรวจสอบว่าบัญชีที่ใช้งานอยู่นั้นได้รับผลกระทบหรือไม่ โดยตรวจสอบได้จากเว็บไซต์ Have I Been Pwned? (https://haveibeenpwned.com/) ทั้งนี้ การตรวจสอบสามารถทำได้โดยใส่อีเมลที่สมัครใช้บริการ ควรพิจารณาก่อนกรอกรหัสผ่านที่ใช้งานจริง
  • ผู้ที่ใช้งาน Wongnai ไม่ว่าจะได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่ ควรเปลี่ยนรหัสผ่านในทันที หากใช้รหัสผ่านดังกล่าวกับบริการอื่นควรเปลี่ยนรหัสผ่านของบริการอื่นด้วย โดยควรตั้งรหัสผ่านของแต่ละบริการไม่ให้ซ้ำกัน
  • ควรพิจารณาใช้โปรแกรมบริการจัดการรหัสผ่าน (password manager) เพื่อใช้จัดเก็บรหัสผ่านของแต่ละบริการแยกจากกัน และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication) ในทุกบริการที่สามารถทำได้

วันที่: 2020-11-05 | ที่มา: Have I Been Pwned?, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
CERT/CC เสนอแนวทางการตั้งชื่อช่องโหว่ ใช้ชื่อที่เป็นกลางและจำได้ง่าย

ที่ผ่านมา เมื่อมีการค้นพบช่องโหว่ นอกจากจะมีการตั้งรหัส CVE (Common Vulnerabilities and Exposures) ให้กับช่องโหว่แล้ว ก็มักมีการตั้งชื่อให้กับช่องโหว่นั้นด้วย จุดประสงค์ของการตั้งชื่อช่องโหว่นั้นมีได้ทั้งเพื่อการตลาดหรือเพื่อการสื่อสารให้ง่ายต่อการจดจำ อย่างไรก็ตาม ที่ผ่านมามีหลายช่องโหว่ที่ถูกตั้งชื่อให้ดูร้ายแรงเกินความเป็นจริง หรือเป็นชื่อที่ไม่สอดคล้องกับสิ่งที่เกิดขึ้น ทาง CERT/CC ซึ่งเป็นหน่วยงานหลักของ CERT จึงได้เสนอแนวทางการตั้งชื่อช่องโหว่ที่เป็นกลางและจำได้ง่าย

ทาง CERT/CC สนับสนุนการตั้งชื่อให้กับช่องโหว่ โดยให้เหตุผลว่าการจดจำและการนำเสนอข้อมูลนั้นทำได้ง่ายกว่าการเรียกเป็นรหัส CVE ซึ่งเป็นเหตุผลเดียวกับการใช้ชื่อโดเมนแทนที่จะเป็นไอพี หรือการเรียกชื่อเมืองแทนที่จะใช้เป็นพิกัดทางภูมิศาสตร์ ทั้งนี้ ทาง CERT/CC ได้เสนอแนวทางการตั้งชื่อช่องโหว่โดยใช้คำที่ไม่ก่อให้เกิดความตื่นตระหนก รวมทั้งแนวทางการจับคู่ชื่อเรียกกับชุดของช่องโหว่ด้วย พร้อมทั้งได้เปิดบัญชี Twitter ชื่อ @vulnonym (https://twitter.com/vulnonym) เพื่อใช้เป็น bot สุ่มตั้งชื่อเรียกให้กับ CVE โดยอัตโนมัติ

ตัวอย่างชื่อเรียกของช่องโหว่ที่ถูกสุ่มตั้งขึ้นมานั้นจะเป็นการนำคำสรรพนามมาจับคู่กับคำนาม (ใกล้เคียงกับการตั้งโค้ดเนมของ Ubuntu) ตัวอย่างเช่น ช่องโหว่รหัส CVE-2020-9875 ถูกตั้งชื่อว่า Scary Seine (https://twitter.com/vulnonym/status/1319403949179441155) ทั้งนี้ แนวทางการตั้งชื่อช่องโหว่ด้วยวิธีดังกล่าวยังเป็นไอเดียทดสอบ ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากที่มา

วันที่: 2020-11-03 | ที่มา: CERT/CC, The Register | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Google Chrome กระทบทั้งเวอร์ชัน Desktop และ Android ควรรีบอัปเดต

เมื่อวันที่ 2 พฤศจิกายน 2563 บริษัท Google ได้ออกอัปเดต Google Chrome เพื่อแก้ไขปัญหาด้านความมั่นคงปลอดภัย โดยทาง Google ระบุว่ามีอย่างน้อย 2 ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว แต่ยังไม่ได้ระบุรายละเอียดหรือขอบเขตของการโจมตีดังกล่าว

ช่องโหว่แรกที่ถูกใช้โจมตีเป็นช่องโหว่ใน Google Chrome เวอร์ชัน desktop โดยเป็นช่องโหว่ประเภท remote code execution (RCE) ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งประมวลผลโค้ดอันตรายเพื่อควบคุมเครื่องของเหยื่อได้จากระยะไกล ช่องโหว่นี้มีหมายเลข CVE-2020-16009 มีผลกระทบกับ Google Chrome ทั้งบนระบบปฏิบัติการ Windows, Mac และ Linux

ช่องโหว่ถัดมามีผลกระทบกับ Google Chrome เวอร์ชัน Android โดยเป็นช่องโหว่ประเภท heap overflow ทำให้สามารถรันคำสั่งนอก sandbox ได้ ช่องโหว่นี้มีหมายเลข CVE-2020-16010

ทาง Google ระบุว่าจะปล่อยอัปเดต Google Chrome เวอร์ชัน 86.0.4240.183 สำหรับผู้ใช้งานบน desktop และเวอร์ชัน 86.0.4240.185 สำหรับผู้ใช้งานบน Android ในเร็ว ๆ นี้ ผู้ใช้งานควรติดตามข่าวสารและอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง

วันที่: 2020-11-03 | ที่มา: Bleeping Computer, Google, Google | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Oracle WebLogic อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบอัปเดต

เมื่อวันที่ 29 ตุลาคม 2563 นักวิจัยจากสถาบัน SANS ได้รายงานปริมาณทราฟฟิกการโจมตีเซิร์ฟเวอร์ที่ใช้งาน Oracle WebLogic เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยการโจมตีนี้เจาะจงช่องโหว่ CVE-2020-14882 ซึ่งเป็นช่องโหว่ระดับวิกฤต (Critical) ประเภท Remote Code Execution (RCE) ใน Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0 ส่งผลให้ผู้ไม่หวังดีสามารถแฮกควบคุมเครื่องได้จากระยะไกล

การโจมตีช่องโหว่ CVE-2020-14882 นั้นไม่ซับซ้อน ผู้ไม่หวังดีสามารถส่งรีเควสต์ HTTP GET ไปยังเซิร์ฟเวอร์ Oracle WebLogic ได้โดยไม่ต้องยืนยันตัวตน ซึ่งหากโจมตีสำเร็จจะสามารถสั่งรันโค้ดอันตรายบนเครื่องเซิร์ฟเวอร์ได้ ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS 9.8 เต็ม 10 รายละเอียดของช่องโหว่สามารถศึกษาเพิ่มเติมได้จาก CVE Base (https://www.cvebase.com/cve/2020/14882) ตัวอย่าง log การโจมตีสามารถดูได้จาก SANS (https://isc.sans.edu/diary/26734)

ทั้งนี้ ช่องโหว่ดังกล่าว ทาง Oracle ได้ออกแพตช์แก้ไขไปตั้งแต่วันที่ 20 ตุลาคม 2563 แล้ว เพื่อป้องกันและลดความเสี่ยง ผู้ดูแลระบบควรรีบอัปเดตแพตช์โดยด่วน

วันที่: 2020-10-30 | ที่มา: Bleeping Computer, The Register | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ควรรีบแพตช์และตรวจสอบการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยง

เมื่อวันที่ 29 ตุลาคม 2563 บริษัท Microsoft ได้แจ้งเตือนการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ซึ่งเป็นช่องโหว่ใน Netlogon Remote Protocol ที่ใช้งานร่วมกับระบบ Active Directory ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแอบอ้างสิทธิของบัญชีในโดเมนเพื่อยึดเครื่องเซิร์ฟเวอร์ได้ แพตช์สำหรับแก้ไขช่องโหว่ดังกล่าวถูกปล่อยให้อัปเดตตั้งแต่เดือนสิงหาคม 2563 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-09-15-01.html) โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

นอกจากรายงานการโจมตีแล้ว ทาง Microsoft ยังได้ปรับปรุงข้อแนะนำการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยงจากช่องโหว่ Zerologon ด้วย โดยสามารถแบ่งขั้นตอนการดำเนินงานออกได้เป็น 4 ช่วง ดังนี้

  1. UPDATE คือการติดตั้งแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2563 หรือใหม่กว่าให้กับเครื่องที่ทำหน้าที่เป็น Domain Controller
  2. FIND คือการตรวจสอบ log event ID 5829 ใน Domain Controller เพื่อค้นหาเครื่องในเครือข่ายที่ยังไม่ได้เชื่อมต่อ Netlogon แบบ secure channel
  3. ADDRESS คือการตรวจสอบ log event ID 5827 และ 5828 ใน Domain Controller เพื่อค้นหาและแก้ไขปัญหาเครื่องในเครือข่ายที่ถูกปฏิเสธการล็อกอิน
  4. ENABLE คือการตั้งค่า Netlogon ให้ล็อกอินแบบ secure channel หรือยอมอนุญาตให้ล็อกอินผ่านช่องทางที่มีช่องโหว่ได้

ทั้งนี้ ทาง Microsoft ได้ให้ข้อมูลเพิ่มเติมว่า จะเริ่มเปิดใช้การตั้งค่า Domain Controller ในแบบ enforcement mode ในแพตช์เดือนกุมภาพันธ์ 2564 ซึ่งอาจมีผลกระทบกับระบบที่ยังไม่รองรับ ผู้ดูแลระบบควรตรวจสอบข้อมูลและรายละเอียดการตั้งค่าเพิ่มเติมจากบทความข้อแนะนำของทาง Microsoft (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc)

วันที่: 2020-10-30 | ที่มา: Microsoft, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด HTML ที่มีสคริปต์ Cross-Site Scripting

เมื่อวันที่ 15 ตุลาคม 2563 ในสหราชอาณาจักรมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า "><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD (อ้างอิง https://www.companysearchesmadesimple.com/company/uk/12956509/script-src-https-mjt-xss-ht-script-ltd/) ซึ่งข้อความดังกล่าวเป็นแท็ก HTML ที่มีโค้ดเรียกสคริปต์จากเว็บไซต์ภายนอกมาแสดงผล เป็นเทคนิคการโจมตีในลักษณะ Cross-Site Scripting (XSS) อย่างไรก็ตาม ชื่อบริษัทดังกล่าวถูกเปลี่ยนเป็น THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD ในหน้าค้นหารายชื่อบริษัทของเว็บไซต์รัฐบาล (อ้างอิง https://find-and-update.company-information.service.gov.uk/company/12956509)

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่มีผู้จดทะเบียนชื่อบริษัทโดยใช้อักขระพิเศษ เมื่อเดือนธันวาคม 2559 เคยมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า ; DROP TABLE "COMPANIES";-- LTD (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-01-05-01.html) ซึ่งข้อความดังกล่าวเป็นคำสั่งโจมตีแบบ SQL injection เพื่อลบฐานข้อมูล

สาเหตุที่บริษัทดังกล่าวสามารถจดทะเบียนด้วยชื่อในลักษณะนี้ได้เนื่องจากกฎหมายของสหราชอาณาจักรอนุญาตให้มีการใช้อักขระพิเศษ เช่น ' < > / ? ในชื่อของบริษัทได้ (อ้างอิง https://www.legislation.gov.uk/uksi/2015/17/schedule/1/made) แต่อักขระพิเศษบางอย่างนั้นมีผลกระทบกับการแสดงผลของเว็บไซต์หรือการทำงานของระบบฐานข้อมูล เนื่องจากเป็นอักขระที่เกี่ยวข้องกับการเขียนสคริปต์หรือคำสั่ง ทำให้หากมีเว็บไซต์หรือแอปพลิเคชันใด ๆ ที่นำชื่อบริษัทเหล่านี้ไปจัดเก็บหรือประมวลผลโดยไม่มีกระบวนการจัดการกับอักขระพิเศษ (sanitize) ที่เหมาะสม ก็อาจส่งผลกระทบต่อการทำงานของระบบได้

วันที่: 2020-10-29 | ที่มา: Hacker News, Reddit | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการส่งอีเมลฟิชชิ่งโดยใช้ลิงก์ไปยัง Google Ads โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก PhishLabs ได้รายงานเทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยฟีเจอร์ redirect ของ Google Ads จุดประสงค์เพื่อหลบเลี่ยงระบบคัดกรองอีเมลสแปม โดยทางทีม PhishLabs พบว่าโครงสร้าง URL ของบริการ Google Ads นั้นเป็นในลักษณะ

hxxps://www[.]googleadservices[.]com/pagead/aclk?sa=[parameters]&adurl=[URL]

ซึ่งพารามิเตอร์ adurl ที่อยู่ท้ายสุดนั้นสามารถใส่ URL เพื่อพาไปยังเว็บไซต์อื่นได้ ผู้ประสงค์ร้ายจึงสามารถใช้ช่องทางนี้ในการส่งอีเมลเพื่อหลอกให้เหยื่อหลงเชื่อคลิกลิงก์ไปยังเว็บไซต์ฟิชชิ่งได้ (ตัวอย่าง URL แบบเต็มสามารถดูได้จากที่มา)

ทาง PhishLabs ระบุว่าการโจมตีแบบฟิชชิ่งที่อาศัยฟีเจอร์ redirect ของเว็บไซต์ที่มีความน่าเชื่อถือนั้นได้รับความนิยมในกลุ่มผู้ประสงค์ร้าย เนื่องจากไม่ต้องตั้งระบบ redirect เอง และระบบคัดกรองอีเมลสแปมส่วนใหญ่จะปล่อยผ่านอีเมลที่มีลิงก์ไปยังเว็บไซต์เหล่านี้เพราะถือว่าเป็นเว็บไซต์ที่น่าเชื่อถือ

ทั้งนี้ ทาง PhishLabs ระบุว่าพบการโจมตีในลักษณะนี้มาก่อนหน้านี้แล้ว โดยนอกจาก Google Ads แล้วก็ยังมีอีกหลายเว็บไซต์ที่สามารถใช้เพื่อโจมตีในลักษณะ redirect ได้อีกเช่นกัน

เนื่องจากรูปแบบการโจมตีในลักษณะนี้สามารถเล็ดรอดผ่านระบบคัดกรองอีเมลสแปมได้ รวมถึงการตรวจสอบความน่าเชื่อถือของเว็บไซต์ด้วยการพิจารณาจากโดเมนในลิงก์ที่แนบมากับอีเมลนั้นอาจจะไม่เพียงพอ เพื่อลดความเสี่ยง ผู้ใช้ควรพิจารณาความน่าเชื่อถือของอีเมล โดยหากพบลิงก์ที่ไม่ได้พาไปยังเว็บไซต์จริงของผู้ให้บริการ หรือพบการ redirect ไปยัง URL ปลายทางที่น่าสงสัย ควรพิจารณาความถูกต้องของเว็บไซต์ดังกล่าวก่อนกรอกข้อมูลเพื่อล็อกอินหรือทำธุรกรรม

วันที่: 2020-10-28 | ที่มา: PhishLabs | Share on Facebook Share on Twitter Share on Google+
ถอดบทเรียนจากผลการสืบสวนกรณีการแฮก Twitter คนร้ายโทรไปหลอกว่าเป็นเจ้าหน้าที่ไอที พาเข้าเว็บฟิชชิ่ง ไม่มีกระบวนการแจ้งเตือนภายใน

จากเหตุการณ์การแฮกบัญชีผู้ใช้ Twitter จำนวนมากเมื่อช่วงกลางเดือนกรกฎาคม 2563 เพื่อหลอกให้โอนเงินผ่าน bitcoin รวมมูลค่าความเสียหายกว่า 118,000 ดอลลาร์สหรัฐฯ นั้น ในเบื้องต้นทาง Twitter แจ้งว่าพนักงานถูกหลอกให้มอบสิทธิเข้าถึงระบบแอดมินให้กับผู้ประสงค์ร้าย จนเป็นเหตุให้บัญชีผู้ใช้ Twitter คนอื่น ๆ ถูกเข้าถึงหรือถูกสวมรอยโพสต์ข้อความโดยไม่ได้รับอนุญาตได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-07-20-01.html)

เมื่อวันที่ 14 ตุลาคม 2563 รัฐนิวยอร์กได้ออกรายงานผลการสืบสวนกรณีการแฮกบัญชีในครั้งนี้ ซึ่งจากรายงานมีประเด็นน่าสนใจที่สามารถถอดบทเรียนมาปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของหน่วยงานได้ สาระสำคัญจากรายงานฉบับดังกล่าวสามารถสรุปได้ดังนี้

  • ลำดับการโจมตีมีทั้งหมด 3 ขั้นตอน ประกอบด้วยการใช้เทคนิค social engineering เพื่อเข้าถึงระบบภายในของ Twitter จากนั้นยึดครองบัญชีผู้ใช้ที่มีมูลค่าสูงเพื่อขายสิทธิในการเข้าถึงบัญชีนั้น และสุดท้ายคือการใช้บัญชีดังกล่าวโพสต์หลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย ซึ่งเหตุการณ์ทั้งหมดนี้เกิดขึ้นภายในเวลา 24 ชั่วโมง
  • ในการโจมตีด้วยเทคนิค social engineering นั้นผู้ประสงค์ร้ายใช้วิธีโทรศัพท์เข้าไปหลอกพนักงานของ Twitter โดยแอบอ้างว่าเป็นเจ้าหน้าที่ help desk ของฝ่ายไอที ติดต่อเข้ามาเนื่องจากได้รับแจ้งว่ามีผู้ใช้รายงานปัญหาในการเชื่อมต่อ VPN โดยในการสนทนานั้นผู้ประสงค์ร้ายได้หลอกให้เหยื่อเข้าไปยังเว็บไซต์ฟิชชิ่งที่ทำหลอกว่าเป็นบริการ VPN ของ Twitter จุดประสงค์เพื่อขโมยบัญชีผู้ใช้และรหัสผ่าน
  • อย่างไรก็ตาม เมื่อผู้ประสงค์ร้ายนำข้อมูลดังกล่าวไปล็อกอินในเว็บไซต์จริงของ Twitter ก็พบว่าหลายบัญชีนั้นไม่สามารถล็อกอินได้เนื่องจากพนักงานคนดังกล่าวได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication หรือ MFA)
  • มีพนักงานของ Twitter อย่างน้อย 1 คนให้ข้อมูลเพิ่มเติมว่า เมื่อพบการแจ้งเตือนการล็อกอินที่ผิดปกติและได้แจ้งไปยังฝ่ายเฝ้าระวังการทุกจริต แต่ก็ถูกเพิกเฉยเพราะเจ้าหน้าที่คิดว่าผู้ประสงค์ร้ายนั้นโกหก
  • เมื่อผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีของพนักงาน Twitter ได้ ก็พบว่าบัญชีดังกล่าวนั้นไม่มีสิทธิเข้าถึงระบบแอดมิน อย่างไรก็ตาม ผู้ประสงค์ร้ายก็ใช้สิทธิของบัญชีดังกล่าวในการเข้าไปดูข้อมูลในระบบ Intranet ของ Twitter จนพบข้อมูลที่บ่งบอกถึงวิธีในการเข้าระบบแอดมินได้ จากนั้นผู้ประสงค์ร้ายจึงเริ่มยึดบัญชีของพนักงานที่มีสิทธิเข้าถึงระบบดังกล่าว
  • หลักจากที่ผู้ประสงค์ร้ายได้สิทธิในการเข้าถึงระบบแอดมินและสามารถยึดครองบัญชีใด ๆ ในระบบได้ ก็เริ่มยึดครองบัญชีที่มีมูลค่าสูงและนำบัญชีดังกล่าวไปขายต่อในตลาดมืด และในเวลาต่อมาได้มีการเผยแพร่ตัวอย่างภาพ screenshot ระบบแอดมินของ Twitter ออกสู่สาธารณะ
  • จากนั้นผู้ประสงค์ร้ายเริ่มยึดครองบัญชีประเภท verified account ซึ่งเป็นบัญชีของผู้มีชื่อเสียงและได้รับการตรวจสอบยืนยันจากทาง Twitter ว่าเป็นบัญชีจริง โดยได้นำบัญชีดังกล่าวไปโพสต์ข้อความเพื่อหลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย อ้างว่าจะได้เงินตอบแทนมูลค่าสูง เหตุการณ์นี้มีผู้ตกเป็นเหยื่อหลงเชื่อโอนเงินไปเป็นจำนวนมาก
  • มีบัญชีผู้ Twitter ทั้งหมด 130 บัญชีที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต และมี 45 บัญชีที่ถูกนำไปใช้โพสต์หลอกให้โอน bitcoin ในรายการเหล่านี้มีทั้งหมด 7 บัญชีที่ผู้ประสงค์ร้ายดาวน์โหลดข้อมูลทั้งหมดของบัญชี รวมถึงข้อความ direct message ออกไป ทั้งนี้ทาง Twitter ระบุว่ามีประมาณ 36 บัญชีที่ผู้ประสงค์ร้ายสามารถเข้าถึง direct message ของบัญชีดังกล่าวได้
  • ถึงแม้ว่าเหตุการณ์การโจมตีจะเริ่มต้นขึ้นตั้งแต่ช่วงบ่ายของวันที่ 14 กรกฎาคม 2563 ตามเวลาในสหรัฐฯ แต่กว่าที่ทีม incident response ของทาง Twitter จะได้รับรายงานและเริ่มดำเนินการนั้นก็เป็นช่วงเช้าของวันที่ 15 กรกฎาคม โดยใช้เวลาเกือบหนึ่งชั่วโมงในการตัดผู้ประสงค์ร้ายออกจากระบบ นอกจากนี้ยังมีกระบวนการจำกัดความเสียหายอื่น ๆ เพิ่มเติมในระหว่างที่กำลังแก้ปัญหา เช่น ระงับการเข้าถึงระบบแอดมินเป็นการชั่วคราว ระงับการเปลี่ยนรหัสผ่านและการโพสต์ข้อความของบัญชีที่ถูกแฮก ยกเลิกสิทธิ์ในการเข้าถึงระบบภายในและให้พนักงานเปลี่ยนรหัสผ่านทั้งหมด เป็นต้น อย่างไรก็ตาม ในขั้นตอนของการแจ้งรายงานสถานการณ์ต่อสาธารณะนั้นทาง Twitter ไม่ได้ให้ข้อมูลที่ชัดเจนเพียงพอ จนทำให้เกิดความสับสนในการสื่อสาร

ในรายงานฉบับนี้นอกจากจะมีรายละเอียดเรื่องการสืบสวนกรณี Twitter ถูกแฮกแล้ว ยังมีเรื่องการสืบสวนร่วมกับบริษัทคริปโทเคอร์เรนซีด้วย เนื่องจากลูกค้าของบริษัทเหล่านั้นถูกหลอกให้โอนเงินออกไป รวมถึงมีบัญชี Twitter ของบริษัทคริปโทเคอร์เรนซีบางรายถูกแฮกและถูกใช้โพสต์หลอกให้โอนเงินด้วย ทั้งนี้ ผู้ให้บริการคริปโทเคอร์เรนซีบางรายได้สั่งระงับการโอนเงินไปยังบัญชีของผู้ประสงค์ร้ายในทันทีที่มีการประกาศว่าระบบของ Twitter ถูกแฮก จุดประสงค์เพื่อระงับความเสียหายและป้องกันไม่ให้มีผู้ตกเป็นเหยื่อเพิ่ม

สรุปสาเหตุและที่มาของปัญหาที่เกิดขึ้น

  • Twitter ไม่มีผู้ปฏิบัติงานในตำแหน่ง Chief Information Security Officer หรือ CISO ตั้งแต่เดือนธันวาคม 2562 หรือกว่า 7 เดือนก่อนที่จะถูกแฮก ซึ่งการไม่มีผู้กำหนดทิศทางด้านความมั่นคงปลอดภัยทำให้เกิดจุดอ่อนทั้งในด้านบุคลากรและกระบวนการประสานงาน
  • จากสถานการณ์ COVID-19 ทำให้ Twitter เริ่มปรับให้พนักงานทำงานจากที่บ้านได้ตั้งแต่เดือนมีนาคม 2563 โดยมีการใช้ VPN เพื่อเชื่อมต่อเข้ามายังระบบของบริษัท เนื่องจากมีพนักงานที่พบปัญหาการเชื่อมต่อ VPN จริง จึงทำให้ผู้ประสงค์ร้ายสามารถใช้ข้ออ้างนี้ในการหลอกลวงได้
  • ถึงแม้จะมีหลายหน่วยงานได้จัดทำข้อแนะนำด้านความมั่นคงปลอดภัยในการทำงานจากนอกสถานที่ แต่ Twitter ก็ไม่ได้ปฏิบัติตามข้อแนะนำใด ๆ จึงทำให้ระบบมีจุดอ่อนทั้งในแง่การป้องกันเชิงเทคนิค (เช่น เปิดใช้งาน MFA) และการสร้างความตระหนักให้กับผู้ใช้งาน

สรุปบทเรียนและข้อแนะนำ

  • บริษัทคริปโทเคอร์เรนซีควรบล็อคการโอนเงินไปยังบัญชีที่ถูกระบุว่าเกี่ยวข้องกับการหลอกลวงเพื่อจำกัดความเสียหาย โดยอาจเพิ่มมาตรการหน่วงเวลาในการโอนเงินไปยังบัญชีที่เพิ่มขึ้นมาใหม่ เพื่อให้ผู้ใช้มีเวลาทบทวนและตัดสินใจ รวมถึงติดตามข่าวสารว่าบัญชีนั้นเกี่ยวข้องกับการหลอกลวงหรือไม่ก่อนที่เงินจะถูกโอนออกไปจริง
  • บริษัทที่ให้บริการควรมีผู้บริหารที่รับผิดชอบด้านการกำหนดนโยบายและการตัดสินใจด้านความมั่นคงปลอดภัย ควรมีกระบวนการควบคุมการเข้าถึงและเปิดใช้งานการล็อกอินอย่างมั่นคงปลอดภัย จัดอบรมสร้างความตระหนักให้กับพนักงาน รวมถึงเฝ้าระวังการโจมตีและทบทวนกระบวนการแจ้งเตือนให้รวดเร็ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้จากที่มา

วันที่: 2020-10-28 | ที่มา: New York State | Share on Facebook Share on Twitter Share on Google+
ENISA เผยภาพรวมภัยคุกคามทางไซเบอร์ในปี 2020 พบการโจมตีโดยอาศัยสถานการณ์ COVID-19 เพิ่มมากขึ้น ส่วนใหญ่เป็นมัลแวร์ การโจมตีเว็บไซต์ และอีเมลฟิชชิ่ง

เมื่อวันที่ 20 ตุลาคม 2563 หน่วยงาน The European Union Agency for Cybersecurity หรือ ENISA ซึ่งรับผิดชอบงานด้านความมั่นคงปลอดภัยไซเบอร์ในสหภาพยุโรป ได้เผยแพร่รายงาน Threat Landscape Report 2020 ซึ่งเป็นการสรุปภาพรวมสถานการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นในภูมิภาคยุโรป ตั้งแต่เดือน มกราคม 2562 จนถึงเมษายน 2563

ในรายงานฉบับปี 2563 นี้ ทาง ENISA ได้แบ่งเนื้อหาออกเป็น 22 ส่วน แยกเป็นเนื้อหาสำหรับผู้อ่านทั่วไปและเนื้อหาเชิงเทคนิค โดยในส่วนของฝั่งผู้อ่านทั่วไปนั้นจะเป็นในเชิงภาพรวมและเชิงกลยุทธ์ สำหรับใช้วางแผนรับมือ ส่วนเนื้อหาของฝั่งเทคนิคนั้นจะมีทั้งข้อมูลรายละเอียดการโจมตีและข้อมูลเชิงสถิติ

ทาง ENISA รวบรวมสถิติของภัยคุกคามที่พบมากที่สุดจำนวน 15 อันดับ โดยในปี 2563 สถิติภัยคุกคามทางไซเบอร์ที่พบมากที่สุด 3 อันดับแรก ได้แก่ การแพร่กระจายมัลแวร์ การโจมตีเว็บไซต์ และการโจมตีแบบฟิชชิ่ง โดยภาพรวม สถิติการโจมตีหลัก ๆ นั้นจะยังคล้ายคลึงกับสถิติของปีก่อนหน้า โดยพบข้อสังเกตสำคัญคือ การโจมตีโดยอาศัยเนื้อหาที่เกี่ยวข้องกับการแพร่ระบาดของโรค COVID-19 เป็นตัวหลอกล่อนั้นมีเพิ่มมากขึ้น อย่างไรก็ตาม จากสถานการณ์ดังกล่าวก็ทำให้บริษัทต่าง ๆ เริ่มให้ความสำคัญและเตรียมความพร้อมเพื่อรับมือภัยคุกคามทางไซเบอร์มากขึ้นด้วย

การศึกษาภาพรวมภัยคุกคามทางไซเบอร์ จะทำให้เห็นภาพว่าสภาพแวดล้อมในพื้นที่และในช่วงเวลานั้นมีภัยคุกคามประเภทใดบ้าง มากน้อยเพียงใด ซึ่งข้อมูลที่ได้สามารถนำมาใช้ประเมินความเสี่ยง ทั้งในแง่สถิติ และการวิเคราะห์แนวโน้มเพื่อวางแผนรับมือร่วมด้วย ทั้งนี้ ผู้ที่สนใจสามารถอ่านและดาวน์โหลดรายงานฉบับเต็มได้จากเว็บไซต์ของ ENISA (https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends)

วันที่: 2020-10-27 | ที่มา: ENISA | Share on Facebook Share on Twitter Share on Google+
FIRST ออกแนวปฏิบัติด้านจริยธรรมสำหรับผู้ปฏิบัติงานด้าน incident response

FIRST หรือ Forum of Incident Response and Security Teams เป็นองค์กรด้านการแลกเปลี่ยนข้อมูลข่าวสารและสนับสนุนการให้ความรู้ด้านความมั่นคงปลอดภัย ตลอดจนพัฒนาแนวทางการรับมือและแก้ไขปัญหาสถานการณ์ภัยคุกคามทางไซเบอร์ มีหน่วยงาน CERT หรือ CSIRT จากประเทศต่าง ๆ ทั่วโลกเข้าร่วม โดย ThaiCERT ก็เป็นหนึ่งในสมาชิกของ FIRST ด้วยเช่นกัน

เมื่อวันที่ 21 ตุลาคม 2563 องค์กร FIRST ได้ออกแนวปฏิบัติด้านจริยธรรม (ethical guideline) สำหรับผู้ปฏิบัติงานด้าน incident response ภายใต้ชื่อ EthicsfIRST จุดประสงค์เพื่อใช้เป็นแนวทางและหลักการทำงานที่ควรยึดถือ เนื่องจากผู้ปฏิบัติงานด้าน incident response นั้นมีโอกาสเข้าถึงข้อมูลช่องโหว่ ข้อมูลส่วนบุคคล ข้อมูลที่มีระดับชั้นความลับ รวมถึงต้องรับผิดชอบด้านการประสานงานและการตัดสินใจ ทั้งกับผู้ที่แจ้งเหตุและผู้ได้รับผลกระทบ จึงจำเป็นต้องมีหลักการทำงานเพื่อให้สามารถตัดสินใจเลือกปฏิบัติในสิ่งที่เหมาะสม

แนวปฏิบัตินี้มีทั้งหมด 12 ข้อ สรุปแต่ละข้อได้ดังนี้

  1. รักษาความน่าเชื่อถือและความไว้วางใจ เช่น การรักษาข้อตกลงร่วมกันของทีม
  2. การรับแจ้ง ประสานงาน และเปิดเผยข้อมูลช่องโหว่ ต้องจำกัดแค่ผู้ที่เกี่ยวข้อง และเลือกวิธีดำเนินการที่เกิดความเสียหายน้อยที่สุด
  3. รักษาความลับ เช่น เปิดเผยหรือส่งต่อข้อมูลโดยเคารพข้อตกลง Traffic Light Protocol (TLP)
  4. เมื่อได้รับแจ้งเหตุ ควรตอบกลับผู้แจ้งภายในเวลาที่เหมาะสม รวมถึงควรอัปเดตความคืบหน้าให้ผู้แจ้งรับทราบเป็นระยะ
  5. เมื่อได้รับสิทธิในการเข้าถึงระบบใด ๆ ควรดำเนินการภายใต้ขอบเขตของระบบที่ได้รับอนุญาต และต้องได้รับการอนุมัติก่อนเปลี่ยนแปลงการตั้งค่าใด ๆ
  6. แจ้งสถานการณ์และความเสี่ยงในการปฏิบัติงานให้ผู้ที่เกี่ยวข้องทราบ ครอบคลุมทั้งในด้านความปลอดภัย (safety) และความมั่นคงปลอดภัย (security)
  7. หากต้องปฏิบัติงานกับข้อมูลส่วนบุคคลหรือข้อมูลที่มีระดับชั้นความลับต้องเคารพสิทธิมนุษยชน ไม่ควรตัดสินใจโดยใช้อคติ
  8. รักษาสภาพแวดล้อมในการทำงานเพื่อถนอมสุขภาพกายและสุขภาพจิตของผู้ร่วมปฏิบัติงาน
  9. ศึกษาและพัฒนาความรู้อย่างสม่ำเสมอเพื่อให้สามารถปฏิบัติงานที่รับผิดชอบได้ดียิ่งขึ้น รวมถึงบำรุงรักษาระบบที่เกี่ยวข้องให้พร้อมกับการให้บริการ
  10. การรวบรวมพยานหลักฐานเพื่อวิเคราะห์เหตุภัยคุกคามต้องเคารพสิทธิของเจ้าของข้อมูล กฎหมาย และความเป็นส่วนตัว
  11. เมื่อต้องปฏิบัติงานในเรื่องที่เกี่ยวข้องกับกฎหมาย ควรเคารพกฎหมายของแต่ละประเทศ และดำเนินการภายใต้สิทธิที่ได้รับอนุญาต
  12. ตรวจสอบความถูกต้องของข้อมูลก่อนส่งต่อให้กับผู้อื่น กระบวนการทำงานในขั้นตอนต่าง ๆ ควรมีหลักฐานและความโปร่งใส

ในภาคผนวกของแนวปฏิบัตินี้ระบุว่า หากต้องตัดสินใจในกรณีที่แนวปฏิบัติบางข้อนั้นขัดแย้งกันเอง (dilemma) ควรยึดหลักการและเหตุผลเพื่อชี้แจงกับผู้ที่เกี่ยวข้องเพื่อหาวิธีการปฏิบัติงานที่ขัดต่อจริยธรรมน้อยที่สุด ทั้งนี้ ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากเว็บไซต์ของ EthicsfIRST (https://ethicsfirst.org/)

วันที่: 2020-10-22 | ที่มา: DarkReading | Share on Facebook Share on Twitter Share on Google+
พบการโจมตีช่องโหว่ใน Google Chrome อาจถูกแฮกเครื่องได้ ควรรีบอัปเดต

เมื่อวันที่ 20 ตุลาคม 2563 บริษัท Google ได้ออกโปรแกรม Google Chrome เวอร์ชัน 86.0.4240.111 เพื่อแก้ไขช่องโหว่หมายเลข CVE-2020-15999 ซึ่งเป็นช่องโหว่ประเภท Memory Corruption ในไลบรารี FreeType ที่ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขค่าในหน่วยความจำเพื่อสั่งรันโค้ดอันตรายในเครื่องของเหยื่อได้

ช่องโหว่นี้มีผลกระทบกับ Google Chrome ทั้งบนระบบปฏิบัติการ Windows, Mac และ Linux ทั้งนี้ มีรายงานว่าพบการโจมตีผ่านช่องโหว่แล้ว แต่ยังไม่มีข้อมูลว่าโจมตีในวงกว้างหรือโจมตีในวงจำกัด ผู้ใช้งานควรรีบอัปเดต Google Chrome ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง

วันที่: 2020-10-22 | ที่มา: Google, The Hacker News | Share on Facebook Share on Twitter Share on Google+
Clear