Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือนการโจมตีแบบ APT จากกลุ่ม Calypso ขโมยข้อมูลสำคัญทั้งจากหน่วยงานระดับสูง ไทยเสี่ยงโดนด้วย

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Positive Technologies ได้เผยแพร่รายงานบทวิเคราะห์การโจมตีของกลุ่ม Calypso ซึ่งเป็นกลุ่มที่โจมตีในลักษณะ Advance Persistent Threat (APT) โดยมีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากหน่วยงานระดับสูงของรัฐบาลหลายๆ ประเทศ โดยในรายงานได้ระบุว่าประเทศไทยตกเป็นเป้าหมายด้วย

จากรายงาน ทีมวิจัยคาดว่าการโจมตีของกลุ่ม Calypso น่าจะเริ่มดำเนินการมาแล้วตั้งแต่เดือนกันยายน 2559 โดยช่องทางการโจมตีในขั้นแรก (initial vector) จะเจาะระบบเว็บไซต์แล้ววางไฟล์ web shell (.aspx) ไว้ในเครื่องเซิร์ฟเวอร์ จุดประสงค์เพื่อใช้เป็นช่องทางพิเศษในการรับคำสั่ง จากนั้นจะใช้เครื่องเซิร์ฟเวอร์ดังกล่าวเป็นช่องทางเพื่อขยายต่อไปยังเครื่องอื่นๆ ในเครือข่ายต่อไป (lateral movement)

ในขั้นตอนถัดมาจะมีการติดตั้งเครื่องมือสำหรับใช้ในการรวบรวมข้อมูลหรือแพร่กระจายมัลแวร์ไปยังเครื่องอื่นๆ ในเครือข่าย ซึ่งเครื่องมือที่ใช้ส่วนใหญ่เป็นเครื่องมือที่สามารถดาวน์โหลดได้จากอินเทอร์เน็ต เช่น Sysinternals, Mimikatz, Netcat หรือเครื่องมือสำหรับโจมตีช่องโหว่อย่าง DoublePulsar และ EternalBlue เป็นต้น โดยเครื่องมือเหล่านี้จะถูกดาวน์โหลดมาเก็บไว้ในไดเรกทอรี C:\RECYCLER หรือ C:\ProgramData ทั้งนี้ จากรายงานพบว่ามีการใช้เครื่องมือเฉพาะของกลุ่ม APT อื่นมาประกอบการโจมตีด้วย แต่ยังไม่ยืนยันว่ากลุ่ม Calypso นี้มีความเชื่อมโยงกับกลุ่ม APT อื่นๆ หรือไม่

หลังจากรวบรวมข้อมูลจนพบเครื่องที่เป็นเป้าหมายจะมีการติดตั้งเครื่องมีเฉพาะเพื่อใช้ในการขโมยข้อมูลแล้วส่งกลับ โดยเครื่องมือเฉพาะของกลุ่ม Calypso จะเป็นมัลแวร์ประเภท Remote Access Trojan (RAT) หน้าที่หลักใช้เพื่อรับคำสั่งและติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ รายละเอียดเพิ่มเพิ่มเกี่ยวกับเครื่องมือของกลุ่ม Calypso สามารถศึกษาได้จากที่มา

เนื่องจากพบข้อมูลที่อาจเป็นไปได้ว่าหน่วยงานในไทยตกเป็นเหยื่อด้วย ผู้ดูแลระบบควรตรวจสอบข้อมูลการเชื่อมต่อเครือข่ายและข้อมูลเฉพาะของมัลแวร์ เพื่อประเมินว่าเครื่องคอมพิวเตอร์ในหน่วยงานเข้าข่ายถูกโจมตีหรือไม่ โดยในรายงานฉบับเต็มนั้นมีข้อมูล Indicator of compromise (IOC) ประกอบด้วยรายการไอพีและโดเมนที่มัลแวร์เชื่อมต่อออกไป รวมถึงค่าแฮชของไฟล์มัลแวร์และไฟล์ที่เกี่ยวข้อง โดยผู้ดูแลระบบสามารถนำข้อมูล IOC ดังกล่าวไปตรวจสอบในเครื่องคอมพิวเตอร์หรือ log ของอุปกรณ์เครือข่ายได้

วันที่: 2019-11-15 | ที่มา: Positive Technologies | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ประจำเดือนพฤศจิกายน 2562 มีแก้ไขช่องโหว่ระดับวิกฤติใน Internet Explorer ควรรีบอัปเดต

เมื่อวันที่ 12 พฤศจิกายน 2562 บริษัท Microsoft ได้ออกแพตช์ประจำเดือนเพื่อแก้ไขช่องโหว่ทั้งหมด 74 จุด โดยมีช่องโหว่ระดับวิกฤตจำนวน 13 จุด มีบางช่องโหว่เป็นประเภท Remote Code Execution ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อได้จากระยะไกล

เนื่องจากแพตช์ในรอบนี้มีการแก้ไขช่องโหว่ระดับวิกฤติในเบราเซอร์ Internet Explorer (CVE-2019-1429) ซึ่งช่องโหว่นี้ถูกใช้โจมตีในวงกว้างแล้ว ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาติดตั้งอัปเดตโดยเร็วเพื่อลดผลกระทบที่อาจเกิดขึ้น

วันที่: 2019-11-14 | ที่มา: Bleeping Computer, ZDNet | Share on Facebook Share on Twitter Share on Google+
(ISC)² ออกรายงานผลการศึกษาแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ประจำปี 2562

หน่วยงาน (ISC)² ได้เผยแพร่รายงาน Cybersecurity Workforce Study 2019 ซึ่งเป็นสรุปผลการศึกษาแรงงานด้านความมั่นคงปลอดภัยไซเบอร์ประจำปี 2562 จุดประสงค์เพื่อให้เห็นภาพรวมของตลาดแรงงานในด้านนี้ทั้งในแง่ปริมาณและคุณภาพ โดยข้อมูลในรายงานได้จากการสำรวจบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์กว่า 3,200 คนทั่วโลก องค์กรต่างๆ สามารถนำข้อมูลจากรายงานนี้ไปใช้เป็นแนวทางเพื่อปรับปรุงกระบวนการทำงานให้สอดคล้องกับสภาพตลาดแรงงานในปัจจุบันได้

ในภาพรวม ตลาดแรงงานทั่วโลกยังขาดแคลนบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์รวมแล้วกว่า 4 ล้านตำแหน่ง โดยภูมิภาคเอเชียแปซิฟิกนั้นขาดแคลนมากที่สุด ในฝั่งบริหาร องค์กร 65% ยังขาดแคลนบุคลากรที่มีทักษะและประสบการณ์ โดยเฉพาะอย่างยิ่งในธุรกิจขนาดเล็ก (มีบุคลากรน้อยกว่า 50 คน) ในขณะที่ฝั่งผู้ปฏิบัติงาน 27% พบปัญหาการขาดแคลนทรัพยากรที่จะช่วยให้ทำงานออกมาสัมฤทธิ์ผล และอีก 24% พบปัญหาการจัดสมดุลระหว่างเรื่องงานกับชีวิตส่วนตัว (work-life balance) สาเหตุจากปริมาณคนไม่เพียงพอกับงาน

บุคลากรส่วนใหญ่จบปริญญาตรี (38%) รองลงมาคือปริญญาโท (28%) โดยมากจบจากสายคอมพิวเตอร์หรือไอทีโดยตรง ในขณะที่บางส่วนจบจากสายอื่นเช่นวิศวกรรมหรือสายธุรกิจ อายุเฉลี่ยของผู้ปฏิบัติงานส่วนใหญ่ในสายนี้อยู่ที่ช่วง 35-44 ปี (33%) รองลงมาคือ 25-34 ปี (32%) คนทำงานเกินครึ่งเป็นเพศชาย รายได้เฉลี่ยต่อปีที่อเมริกาเหนือนั้นได้มากที่สุด ส่วนรายได้ในเอเชียแปซิฟิกกับยุโรปนั้นพอๆ กัน ในขณะทีรายได้ในฝั่งละตินอเมริกานั้นได้น้อยสุด

สัดส่วนแรงงาน โดยรวมมีฝ่ายบริหารและตรวจประเมินมากกว่าฝ่ายปฏิบัติงานที่ต้องอาศัยความรู้เฉพาะทาง (63% กับ 37%) โดยสายงานที่มีผู้ทำงานเยอะที่สุด 2 อันดับแรกคือ Security Operations (22%) รองลงมาคือ Security Administration (15%) ในขณะที่สายงานที่มีผู้ทำงานน้อยที่สุดคือ Penetration Testing และ Forensics (8% ทั้งคู่)

ในรายงาน ทาง (ISC)² ได้มีข้อแนะนำในการพัฒนาและรักษาบุคลากร นอกจากนี้ยังมีรายละเอียดอื่นๆ อีกเช่นใบรับรองหรือข้อมูลสถิติในเชิงบริหาร ซึ่งผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากรายงานฉบับเต็ม

วันที่: 2019-11-08 | ที่มา: (ISC)², Infosecurity Magazine | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการใช้ช่องโหว่ BlueKeep (CVE 2019-0708) สั่งโจมตีให้เครื่องจอฟ้า ควรรีบอัปเดต

BlueKeep คือชื่อของช่องโหว่ประเภท Remote Code Execution ในบริการ Remote Desktop บน Windows ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ประสงค์ร้ายสามารถส่งโค้ดอันตรายเข้ามาประมวลผลที่เครื่องคอมพิวเตอร์ของเหยื่อได้ การโจมตีผ่านช่องโหว่นี้สามารถทำได้อัตโนมัติผ่านเครือข่าย ที่ผ่านมาทาง Microsoft และนักวิจัยด้านความมั่นคงปลอดภัยได้ประเมินว่าช่องโหว่นี้มีโอกาสที่จะถูกใช้เพื่อแพร่กระจายมัลแวร์ผ่านเครือข่ายได้ แต่ปัจจุบันยังพบแค่การโจมตีเพื่อให้เครื่องคอมพิวเตอร์ปลายทางขึ้นจอฟ้า (BSOD)

ระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่นี้คือ Windows XP, Windows 2003, Windows 7, และ Windows Server 2008 โดยทาง Microsoft ได้ออกแพตช์มาเพื่อแก้ไขปัญหาตั้งแต่เดือนพฤษภาคม 2562 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-05-24-01.html) แต่ปัจจุบันก็ยังมีรายงานเครื่องคอมพิวเตอร์จำนวนหนึ่งที่เชื่อมต่อกับอินเทอร์เน็ตโดยไม่ได้ติดตั้งแพตช์ดังกล่าว

เมื่อวันที่ 2 พฤศจิกายน 2562 นักวิจัยด้านความมั่นคงปลอดภัยชื่อ Kevin Beaumont ได้รายงานว่าพบการนำช่องโหว่ BlueKeep มาโจมตีเครื่องคอมพิวเตอร์ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อให้ขึ้นจอฟ้า โดยเขาได้ข้อมูลนี้จากเครื่อง honeypot ที่เปิดรับการโจมตีไว้ นอกจากนี้ นักวิจัยชื่อฯ Marcus Hutchins ก็ได้ออกมายืนยันว่าพบการโจมตีในลักษณะเดียวกัน โดยได้ให้ข้อมูลเพิ่มเติมว่า รูปแบบการโจมตีที่พบนี้ยังไม่ใช่การโจมตีลักษณะ worm ที่ให้เครื่องในเครือข่ายแพร่กระจายการโจมตีกันไปเองได้ แต่น่าจะเป็นการกำหนดค่า IP ของเครื่องปลายทางแล้วทยอยส่งโค้ดไปยิงทีละเครื่องมากกว่า

จากข้อมูลการวิเคราะห์ นักวิจัยฯ พบว่าผู้โจมตีน่าจะใช้โค้ดสำหรับโจมตีช่องโหว่ BlueKeep จาก Metasploit โดยจุดประสงค์เพื่อติดตั้งมัลแวร์ขุดเงินดิจิทัลในเครื่องของเหยื่อ แต่การโจมตีทำไม่สำเร็จจึงทำให้เครื่องขึ้นจอฟ้า ในอนาคตอาจเป็นไปได้ว่าผู้โจมตีสามารถปรับรูปแบบการโจมตีเพื่อให้เกิดความเสียหายมากกว่านี้ได้

เพื่อลดความเสี่ยงและผลกระทบ ผู้ใช้ Windows XP, Windows 2003, Windows 7, และ Windows Server 2008 ควรอัปเดตระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด หรือติดตั้งแพตช์ทีแก้ไขช่องโหว่นี้

ผู้ใช้ Windows 7, Windows Server 2008 R2, และ Windows Server 2008 สามารถดาวน์โหลดอัปเดตได้จาก https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 หรือติดตั้งอัตโนมัติผ่าน Windows Update

ผู้ใช้ Windows XP และ Windows Server 2003 สามารถดาวน์โหลดอัปเดตได้จาก https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

หากยังไม่สามารถติดตั้งแพตช์ได้ ทาง Microsoft ได้แนะนำวิธีแก้ไขปัญหาเฉพาะหน้าคือเปิดใช้งาน Network Level Authentication (NLA) สำหรับบริการ Remote Desktop เพื่อป้องกันไม่ให้ผู้ไม่หวังดีสามารถโจมตีช่องโหว่นี้ได้โดยไม่ต้องรู้ชื่อบัญชีหรือรหัสผ่าน แต่วิธีนี้ก็ไม่สามารถป้องกันได้ทั้งหมด นอกจากนี้ ผู้ดูแลระบบอาจพิจารณาปิดไม่ให้ใช้งานบริการ Remote Desktop หากไม่จำเป็น หรืออนุญาตให้ล็อกอินได้เฉพาะจากเครือข่ายภายใน ซึ่งหากจะเข้าใช้งานบริการนี้ได้ต้องล็อกอินผ่าน VPN อีกชั้นหนึ่ง

วันที่: 2019-11-06 | ที่มา: Kryptos Logic, Forbes | Share on Facebook Share on Twitter Share on Google+
หน่วยงาน FTC สหรัฐฯ ออกข้อแนะนำในการป้องกันการโจมตีด้วยวิธีสลับซิม (SIM swapping)

คณะกรรมาธิการการค้าของรัฐบาลกลางสหรัฐอเมริกา (U.S. Federal Trade Commission หรือ FTC) ได้เผยแพร่ข้อแนะนำแนวทางการป้องกันตัวจากการถูกโจมตีด้วยวิธีสลับซิม (SIM swapping) ซึ่งเป็นเทคนิคที่ผู้ประสงค์ร้ายใช้สวมรอยขโมยซิมของเหยื่อเพื่อนำซิมดังกล่าวมารับรหัส SMS OTP สำหรับใช้ในการทำธุรกรรมออนไลน์

ถึงแม้การใช้ SMS เพื่อยืนยันตัวตนจะถูกระบุว่าไม่ปลอดภัยแล้วก็ตาม แต่ปัจจุบันผู้ให้บริการออนไลน์ส่วนใหญ่ก็ยังคงใช้กระบวนการนี้ในการอนุมัติการทำธุรกรรมกันอยู่ ไม่ว่าจะเป็นการล็อกอิน การโอนเงิน หรือการซื้อสินค้าผ่านบัตรเครดิต เป็นต้น ซึ่งที่ผ่านมาก็มีรายงานเหตุการณ์การโจมตีด้วยวิธีสลับซิมกันอยู่อย่างสม่ำเสมอ ไม่ว่าจะเป็นในประเทศไทยหรือในต่างประเทศ

ในการโจมตี ผู้ไม่หวังดีอาจใช้วิธีหลอกพนักงานเครือข่ายโทรศัพท์มือถือว่าทำซิมหายเพื่อขอออกซิมใหม่เบอร์เดิม หรืออาจร่วมมือกับพนักงานเพื่อทุจริตออกซิมใหม่โดยที่เจ้าของซิมตัวจริงไม่ได้ยินยอม ซึ่งหากทำได้สำเร็จผู้ไม่หวังดีก็จะสามารถใช้ซิมดังกล่าวในการรับรหัส SMS OTP เพื่อใช้ทำธุรกรรมอื่นๆ ต่อได้

ทาง FTC ได้มีข้อแนะนำในการป้องกันตัว ดังนี้

  • อย่าหลงเชื่อโทรศัพท์ อีเมล หรือ SMS ที่สอบถามข้อมูลส่วนตัว เนื่องจากผู้ไม่หวังดีอาจใช้วิธีนี้เพื่อหลอกสอบถามข้อมูลสำหรับใช้ในการรีเซ็ตรหัสผ่านบัญชีหรือใช้เพื่อแอบอ้างออกซิมใหม่ได้
  • ตระหนักและระวังการโพสต์ข้อมูลส่วนตัวแบบสาธารณะ โดยเฉพาะข้อมูลที่อาจใช้เพื่อแอบอ้างสวมรอยได้ เช่น ชื่อเต็ม ที่อยู่ วันเกิด หรือหมายเลขโทรศัพท์
  • หากผู้ให้บริการออนไลน์นั้นรองรับกระบวนการยืนยันตัวตนด้วยวิธีอื่นที่ปลอดภัยกว่า SMS (เช่น ใช้รหัสจากแอปพลิเคชันหรือ hardware token) ควรเปลี่ยนจาก SMS ไปใช้รูปแบบอื่นที่ปลอดภัยกว่า (บางธนาคารในไทยรองรับแล้ว สามารถสอบถามข้อมูลเพิ่มเติมได้จากผู้ให้บริการ)

หากพบว่าตกเป็นเหยื่อของการสลับซิม เช่น โทรศัพท์มือถือไม่มีสัญญาณ หรือได้รับข้อความแจ้งว่ามีการออกซิมใหม่ ควรรีบติดต่อผู้ให้บริการเครือข่ายโทรศัพท์มือถือโดยเร็ว รวมถึงตรวจสอบข้อมูลกับทางธนาคารและผู้ให้บริการบัตรเครดิตว่ามีการใช้งานหรือการโอนเงินที่ผิดปกติหรือไม่ เพื่อจะได้แจ้งดำเนินการแก้ไขปัญหาได้ทัน รวมถึงอาจพิจารณาติดต่อกับเจ้าหน้าที่ทางกฎหมายร่วมด้วย

วันที่: 2019-10-28 | ที่มา: Bleeping Computer, FTC | Share on Facebook Share on Twitter Share on Google+
ระวังภัย เบราว์เซอร์ Maxthon มีช่องโหว่อ่าน path ไม่ครบและรันไฟล์ด้วยสิทธิ์ของระบบ อาจถูกแฮกเครื่องได้

Maxthon เป็นเบราว์เซอร์ที่ถูกพัฒนาโดยบริษัทในประเทศจีนและได้รับความนิยมในประเทศไทยอยู่พอสมควร จากหน้าเว็บไซต์ของผู้พัฒนาระบุว่าตัวเบราว์เซอร์นี้มีผู้ใช้งานทั่วโลกรวมกว่า 670 ล้านคน (https://www.maxthon.com/) เมื่อวันที่ 23 ตุลาคม 2562 นักวิจัยจากบริษัท SafeBreach ได้รายงานช่องโหว่ในเบราว์เวอร์ Maxthon เวอร์ชัน Windows ซึ่งเป็นข้อผิดพลาดในการอ่าน path และรันไฟล์จาก path ดังกล่าวด้วยสิทธิ์ของระบบ ทำให้ผู้ไม่หวังดีอาจใช้ช่องโหว่นี้สั่งรันโปรแกรมอันตรายเพื่อแฮกเครื่องได้

นักวิจัยพบว่าเบราว์เซอร์ Maxthon จะติดตั้ง service ที่ชื่อ “MxService” (MxService.exe) ไว้ในเครื่อง โดย service ดังกล่าวถูกรันด้วยสิทธิ์ของ “NT AUTHORITY\SYSTEM” ซึ่งเป็นสิทธิ์ที่สามารถแก้ไขหรือเปลี่ยนแปลงการทำงานของระบบได้ ตัว service มีข้อผิดพลาดในการเรียก path โดยไม่ระบุเครื่องหมาย quote ทำให้เมื่อมีการเรียก path ที่มี space อยู่ในชื่อ เช่น C:\Program Files ตัวโปรแกรมจะไปเรียกไฟล์ที่อยู่ในพาธ C:\Program.exe ขึ้นมาแทน ทำให้ผู้ไม่หวังดีสามารถวางโปรแกรมอันตรายไว้ใน path ดังกล่าวเพื่อให้ถูกเรียกขึ้นมาทำงานได้ นอกจากนี้ เนื่องจาก service ดังกล่าวจะเริ่มทำงานโดยอัตโนมัติทุกครั้งที่เปิดเครื่อง ทำให้ผู้ประสงค์ร้ายสามารถใช้ช่องทางนี้ในการทำให้โปรแกรมอันตรายยังคงอยู่ในระบบไปตลอด

ช่องโหว่นี้มีรหัส CVE-2019-16647 (ยังไม่มีข้อมูลระดับความรุนแรงและความซับซ้อนของการโจมตี) ตัวช่องโหว่มีผลกระทบกับเบราว์เซอร์ Maxthon for Windows เวอร์ชัน 5.1.0 ถึง 5.2.7 ซึ่งเป็นเวอร์ชันล่าสุด ณ เวลาที่เขียนข่าว เนื่องจากตัวช่องโหว่ยังไม่มีแพตช์และทางผู้พัฒนายังไม่ระบุขอบเขตระยะเวลาที่ชัดเจนในการแก้ไข ผู้ที่ใช้งานเบราว์เซอร์ Maxthon อาจพิจารณาถอนการติดตั้งโปรแกรมออกก่อนเป็นการชั่วคราวเพื่อลดความเสี่ยงและผลกระทบ

วันที่: 2019-10-24 | ที่มา: SafeBreach, ZDNet | Share on Facebook Share on Twitter Share on Google+
พบปัญหา Samsung Galaxy S 10/Note 10 อ่านค่าลายนิ้วมือผิดพลาดเมื่อติดฟิล์มบางประเภท อาจทำให้บุคคลอื่นปลดล็อคเครื่องได้

โทรศัพท์มือถือ Samsung Galaxy S 10 และ Note 10 ใช้ระบบสแกนลายนิ้วมือแบบ ultrasonic โดยตัวเซ็นเซอร์สำหรับอ่านค่าลายนิ้วมือจะถูกฝังอยู่ใต้หน้าจอ หลักการทำงานคือจะส่งคลื่นเสียงออกไปแล้ววัดค่าที่สะท้อนกลับมาเพื่อเก็บเป็นข้อมูลลายนิ้วมือ เมื่อวันที่ 14 ตุลาคม 2562 มีรายงานว่าตัวเซ็นเซอร์นี้จะอ่านค่าผิดพลาดหากผู้ใช้ติดฟิล์มกันรอยบางประเภท ทำให้ใครก็ตามสามารถปลดล็อคเครื่องได้

จากรายงาน ปัญหานี้คาดว่าเกิดจากการติดฟิล์มกันรอยประเภทเจล ซึ่งตัวฟิล์มจะมีความหนากว่าแบบพลาสติกและมีความยืดหยุ่นซึ่งอาจทำให้เนื้อฟิล์มเปลี่ยนสภาพได้ตามแรงกด เมื่อเซ็นเซอร์อ่านค่าตอนลงทะเบียนลายนิ้วมือจะได้ค่าจากตัวฟิล์มที่ติดอยู่แทนที่จะได้ค่าลายนิ้วมือจริงๆ ทำให้เมื่อนำนิ้วมือใดๆ มาสแกนก็สามารถปลดล็อกเครื่องได้เพราะลายนิ้วมือที่ถูกบันทึกไว้ในเครื่องนั้นเป็นค่าจากตัวฟิล์ม ไม่ใช่ลายนิ้วมือของเจ้าของเครื่องตั้งแต่แรก

ทาง Samsung ได้ออกมายอมรับว่ามีปัญหานี้จริง พร้อมทั้งเสริมว่าหากฟิล์มกันรอยนั้นมีรอยขูดขีดหรือมีความสกปรก เซ็นเซอร์อ่านค่าลายนิ้วมือก็อาจทำงานผิดพลาดได้ด้วย โดยทาง Samsung อยู่ระหว่างออกแพตช์มาเพื่อแก้ไขปัญหานี้ อย่างไรก็ตาม ระหว่างที่ยังไม่มีแพตช์ ผู้ที่ใช้งาน Samsung Galaxy S 10 หรือ Note 10 ควรตรวจสอบว่าฟิล์มกันรอยที่ใช้งานอยู่นั้นได้รับการรับรองจากทาง Samsung และบริเวณเซ็นเซอร์สแกนลายนิ้วมือนั้นไม่มีร่องรอยขูดขีดหรือมีความสกปรก ทั้งนี้หากกังวลเรื่องความมั่นคงปลอดภัยหรือความเป็นส่วนตัวอาจปิดระบบสแกนลายนิ้วมือก่อนชั่วคราวแล้วใช้การปลดล็อคหน้าจอด้วยรหัสผ่านหรือ PIN แทนไปก่อน

วันที่: 2019-10-18 | ที่มา: The Verge, Forbes, Graham Cluley | Share on Facebook Share on Twitter Share on Google+
เผยเทคนิคกลุ่มแฮกเกอร์ใช้ steganography เพื่อซ่อนมัลแวร์ไว้ในไฟล์ WAV

Steganography เป็นเทคนิคการซ่อนข้อมูลลับไว้ในสื่อที่ไม่ได้เป็นความลับ โดยมีจุดประสงค์เพื่ออำพรางให้ตรวจสอบความผิดปกติได้ยาก ตัวอย่างการใช้งานเทคนิคนี้ เช่น ซ่อนข้อมูลลับไว้ในไฟล์รูปภาพ ซึ่งผู้ที่เปิดดูไฟล์นี้ก็จะเห็นเป็นรูปภาพปกติ แต่ผู้ที่รู้ว่าภาพนี้มีข้อมูลซ่อนอยู่ก็สามารถใช้วิธีเฉพาะในการสกัดข้อมูลที่ซ่อนไว้ออกมาได้ ซึ่งที่ผ่านมาก็ได้มีผู้พัฒนามัลแวร์หลายรายนำเทคนิคนี้มาใช้เป็นส่วนประกอบการโจมตีอยู่เรื่อยๆ

ทีมนักวิจัยจาก BlackBerry Cylance ได้เผยแพร่รายงานการโจมตีของกลุ่มแฮกเกอร์ที่ใช้เทคนิค steganography เพื่อฝังมัลแวร์ไว้ในไฟล์ WAV ซึ่งเป็นไฟล์เสียงที่สามารถเปิดฟังได้โดยใช้โปรแกรมทั่วไป โดยทางนักวิจัยพบว่ากลุ่มแฮกเกอร์ได้ใช้เทคนิคนี้เพื่อแพร่กระจายมัลแวร์ XMRig ซึ่งเป็นมัลแวร์ขุดเงินดิจิทัลสกุล Monero รวมถึงใช้เพื่ออำพรางโค้ดสำหรับโจมตีระบบ สาเหตุที่ทางนักวิจัยสามารถตรวจพบการโจมตีด้วยเทคนิคเหล่านี้ได้เนื่องจากพบไฟล์ที่ใช้สกัดข้อมูลออกมาจากไฟล์ WAV ดังกล่าว

จากรายงาน นักวิจัยพบว่าผู้พัฒนามัลแวร์ใช้ 2 อัลกอริทึมหลักๆ ในการอำพรางและสกัดข้อมูลออกมาจากไฟล์ WAV โดยอัลกอริทึมแรกคือการใช้ Least Significant Bit (LSB) ซึ่งเป็นการซ่อนข้อมูลไว้ใน bit สุดท้ายของแต่ละ block ซึ่งการสกัดข้อมูลออกมาก็จะใช้วิธีวนลูปอ่านค่ามาทีละ block แล้วนำ bit สุดท้ายมาต่อกัน จนสุดท้ายได้เป็นไฟล์มัลแวร์ออกมา ส่วนอัลกอริทึมที่สองจะใช้ฟังก์ชัน rand() ของ Windows ซึ่งเป็นฟังก์ชันที่ใช้สำหรับสร้างชุดเลขสุ่มเทียม (Pseudo Random Number Generator) หากกำหนดตัวตั้งต้น (seed) เป็นค่าเดียวกัน ตัวฟังก์ชันจะให้ค่าของเลขสุ่มออกมาเป็นลำดับชุดเดียวกันเสมอ ตัวอย่างไฟล์ WAV และโค้ดของโปรแกรมที่ใช้สกัดข้อมูลออกมาจากไฟล์ดังกล่าวสามารถดูเพิ่มเติมได้จากเว็บไซต์ของ Cylance

ทางทีมนักวิจัยได้ให้ข้อมูลเพิ่มเติมว่า การตรวจสอบหรือวิเคราะห์การโจมตีที่ใช้เทคนิค steganography นี้ถือเป็นเรื่องที่ท้าทาย เนื่องจากต้องมีความเข้าใจเรื่องรูปแบบโครงสร้างไฟล์ รวมถึงเทคนิค encoding/decoding เป็นอย่างดีด้วย นอกจากนี้การตรวจจับหรือป้องกันก็อาจทำได้ยากเนื่องจากประเภทของไฟล์ที่ถูกใช้เพื่อซ่อนอำพรางข้อมูลนั้นรูปแบบที่นิยมใช้งานกันทั่วไปและมีการรับส่งกันเป็นปกติ

วันที่: 2019-10-17 | ที่มา: Cylance, ZDNet | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ sudo ใน Linux สามารถใช้สิทธิ์ root ได้โดยใส่ user ID เป็น -1 หรือ 4294967295 มีแพตช์แล้ว

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Apple ได้รายงานช่องโหว่ในโปรแกรม sudo บน Linux โดยพบข้อผิดพลาดในฟังก์ชันการแปลงค่าตัวเลขซึ่งอาจทำให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถสั่ง sudo ด้วยสิทธิ์ของ root ได้

ในกระบวนการทำงานของ Linux ผู้ใช้ที่มีสิทธิ์สูงสุดในระบบคือผู้ใช้ที่ชื่อ 'root' ซึ่งมีรหัส user ID เท่ากับ 0 แต่โดยปกติแล้วเพื่อความปลอดภัย หากผู้ดูแลระบบต้องการให้ผู้ใช้อื่นที่มีสิทธิ์ในระดับผู้ใช้ทั่วไปสามารถใช้คำสั่งด้วยสิทธิ์ของ root ได้ จะไม่ได้ใช้วิธีให้รหัสผ่านของ root ไปโดยตรง แต่จะให้เรียกใช้งานผ่านคำสั่ง sudo ซึ่งเป็นการอนุญาตให้ผู้ใช้สั่งงานด้วยสิทธิ์ของ root ได้เฉพาะภายใต้คำสั่งที่กำหนด ซึ่งกระบวนการนี้สามารถทำได้โดยเพิ่มข้อมูลของผู้ใช้ดังกล่าวลงในไฟล์ /etc/sudoers

นอกจาก sudo จะสามารถใช้เพื่อให้ผู้ใช้ทั่วไปสามารถรันคำสั่งด้วยสิทธิ์ของ root ได้แล้ว ยังสามารถใช้เพื่อรันคำสั่งภายใต้สิทธิ์ของผู้ใช้อื่นได้ด้วย โดยใช้คำสั่ง sudo -u ตามด้วยชื่อผู้ใช้หรือรหัส ID ของผู้ใช้นั้น เช่น คำสั่ง sudo -u#1002 vim จะเป็นการเรียกโปรแกรม vim ขึ้นมาทำงานโดยใช้สิทธิ์ของผู้ใช้ที่มีรหัส user ID 1002 ทั้งนี้ ผู้ดูแลระบบสามารถกำหนดในไฟล์ /etc/sudoers ได้ว่าอนุญาตให้ผู้ใช้สามารถรันคำสั่งผ่าน sudo เพื่อให้ได้สิทธิ์ของผู้ใช้อื่นเท่านั้น แต่ไม่สามารถรันคำสั่งด้วยสิทธิ์ของ root ได้

อย่างไรก็ตาม นักวิจัยได้พบข้อผิดพลาดในฟังก์ชันการแปลงค่าตัวเลขของคำสั่ง sudo โดยหากระบุค่า user ID เป็น -1 หรือ 4294967295 (ซึ่งเป็นค่าสูงสุดของ unsigned 32-bit integer) ตัวฟังก์ชันจะแปลงค่านี้ให้เป็น 0 ซึ่งเป็นรหัส user ID ของ root ทำให้ผู้ใช้ที่ได้รับอนุญาตให้ใช้ sudo สามารถรันคำสั่งด้วยสิทธิ์ของ root ได้ถึงแม้จะไม่ได้รับอนุญาตให้ได้สิทธิ์ดังกล่าว ตัวอย่างเช่น คำสั่ง sudo -u#-1 id จะเป็นการเรียกโปรแกรม id เพื่อตรวจสอบข้อมูล user ID ของผู้ใช้ที่รันคำสั่งนี้ ซึ่งหากคำสั่งนี้ถูกรันบนระบบที่มีช่องโหว่ ผลลัพธ์จะแสดงค่า uid=0 ซึ่งหมายความว่าใช้สิทธิ์ของ root ในการรัน

ช่องทางการโจมตีผ่านช่องโหว่นี้สามารถทำได้โดยการเพิ่มข้อมูลในไฟล์ /etc/sudoers ให้ผู้ใช้ที่มีสิทธิ์ sudo สามารถเรียกโปรแกรมที่สามารถประมวลผลคำสั่งของระบบได้ (เช่น vim ซึ่งสามารถกด :! เพื่อรันคำสั่งอื่นๆ ของ shell ได้)

เนื่องจากช่องโหว่นี้มีผลกระทบกับระบบที่มีการตั้งค่าแบบเฉพาะ และวิธีการโจมตีให้สำเร็จต้องอาศัยองค์ประกอบหลายอย่าง ดังนั้นระดับความเสียหายจึงยังค่อนข้างจำกัด อย่างไรก็ตาม ปัจจุบันทางผู้พัฒนา Linux หลายรายได้ออกอัปเดต sudo เวอร์ชัน 1.8.28 มาเพื่อแก้ไขปัญหานี้แล้ว ผู้ดูแลระบบควรพิจารณาอัปเดตเพื่อลดความเสี่ยง

วันที่: 2019-10-15 | ที่มา: Bleeping Computer, The Hacker News, sudo | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบมัลแวร์เรียกค่าไถ่ BitPaymer โจมตีช่องโหว่ Apple Software Update บน Windows รีบแพตช์ด่วน

เมื่อวันที่ 10 ตุลาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Morphisec ได้รายงานช่องโหว่ในโปรแกรม Apple Software Update บน Windows ที่ถูกผู้พัฒนามัลแวร์เรียกค่าไถ่ BitPaymer ใช้ในการติดตั้งมัลแวร์ลงในเครื่องของเหยื่อ โดยล่าสุดทาง Apple ได้ออกแพตช์แก้ไขช่องโหว่แล้ว ผู้ใช้ควรรีบอัปเดตเพื่อลดความเสี่ยง

เมื่อผู้ใช้ Windows ติดตั้งโปรแกรมของ Apple เช่น iTunes, iCloud, หรือ Boot Camp Assistant จะมีโปรแกรม Apple Software Update (หรือ Bonjour service) ติดตั้งมาด้วย ซึ่งโปรแกรมดังกล่าวใช้สำหรับตรวจสอบการอัปเดตโปรแกรมของ Apple (ดูรายละเอียดเพิ่มเติมเกี่ยวกับโปรแกรมนี้ได้จากเว็บไซต์ของ Apple https://support.apple.com/en-us/HT208038) นักวิจัยฯ จากบริษัท Morphisec พบว่าโปรแกรม Apple Software Update มีช่องโหว่ประเภท Unquoted Search Path (CWE-428) ที่ทำให้ผู้ประสงค์ร้ายสามารถใช้ประมวลผลคำสั่งอันตรายในเครื่องได้

ช่องโหว่ Unquoted Search Path เกิดจากข้อผิดพลาดในการเขียนโปรแกรมที่มีการเรียก path ที่มี space อยู่ในชื่อ แต่ไม่ได้ใส่เครื่องหมาย quote ครอบ path ดังกล่าว ทำให้เมื่อโปรแกรมทำงาน จะเรียก path ไม่ครบตามที่ระบุไว้ (path จะถูกตัดหลังพบเครื่องหมาย space) ตัวอย่างข้อผิดพลาดนี้ เช่น เขียนโค้ดให้มีการเรียกไฟล์จาก "C:\\Program Files\\Foo\\Bar" ซึ่งเมื่อโปรแกรมทำงานแล้วพบการเรียก path ที่ดังกล่าว จะไปเรียกไฟล์ "C:\Program.exe" มาประมวลผล แทนที่จะเป็นการเรียกไฟล์จาก path เต็ม (ดูรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่นี้ได้จากเว็บไซต์ CWE https://cwe.mitre.org/data/definitions/428.html)

นักวิจัยฯ ค้นพบว่ามัลแวร์เรียกค่าไถ่ BitPaymer ได้ใช้ช่องโหว่นี้ในการโจมตี จึงได้วิเคราะห์ช่องโหว่และแจ้งให้ทางบริษัท Apple ทราบ โดยทาง Apple ได้ออกอัปเดตโปรแกรม iCloud และ iTunes for Windows มาเพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลดไฟล์อัปเดตได้จากเว็บไซต์ของ Apple

ทั้งนี้ เนื่องจากโปรแกรม Apple Software Update นั้นถูกติดตั้งเพิ่มเติมแยกออกมาจากตัวโปรแกรมหลัก ทำให้ถึงแม้ผู้ใช้จะลบ iTunes หรือ iCloud ออกจากเครื่องแล้ว แต่โปรแกรม Apple Software Update นั้นจะยังอยู่ ดังนั้นหากไม่จำเป็นต้องใช้งานโปรแกรมของ Apple แล้วควรลบโปรแกรมนี้ออกจากเครื่องเพื่อลดความเสี่ยง

วันที่: 2019-10-11 | ที่มา: Morphisec, Bleeping Computer, The Hacker News | Share on Facebook Share on Twitter Share on Google+
อัปเดตด่วน พบช่องโหว่ร้ายแรงในโปรแกรม iTerm2 อาจถูกแฮกเครื่องได้ (CVE-2019-9535)

iTerm2 เป็นโปรแกรม terminal emulator ที่ได้รับความนิยมในหมู่ผู้ใช้งานระบบปฏิบัติการ macOS เมื่อวันที่ 9 ตุลาคม 2562 นักวิจัยด้านความมั่นคงปลอดภัยจาก Mozilla ได้รายงานช่องโหว่ประเภท remote code execution ในโปรแกรม iTerm2 ซึ่งอาจส่งผลให้ผู้ใช้ถูกแฮกเครื่องได้ โดยทางผู้พัฒนาได้แก้ไขช่องโหว่และออกอัปเดตเวอร์ชันใหม่แล้ว

ช่องโหว่ที่พบนี้อยู่ในฟีเจอร์ tmux ของ iTerm2 ผู้ประสงค์ร้ายสามารถทำให้ iTerm2 แสดงผลข้อความเฉพาะบางอย่าง ซึ่งแทนที่ข้อความนั้นจะปรากฎออกมาบนหน้าจอ ตัวโปรแกรมกลับนำข้อความนั้นมาประมวลผลแทน ส่งผลให้มีการเรียกใช้งานโปรแกรมในเครื่องหรือทำให้เครื่องประมวลผลคำสั่งอันตรายได้ โดยนักวิจัยได้ยกตัวอย่างการใช้โปรแกรม iTerm2 เชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์ที่ถูกผู้ประสงค์ร้ายควบคุม เมื่อการเชื่อมต่อสำเร็จตัวเซิร์ฟเวอร์จะส่งข้อความบางอย่างกลับมาและทำให้ iTerm2 ประมวลผลคำสั่งนั้นทันที ตัวอย่างช่องทางการโจมตีอื่นๆ ที่อาจเป็นไปได้ เช่น คำสั่ง curl หรือคำสั่งที่ใช้ดูไฟล์ log ที่มีโค้ดอันตรายฝังอยู่ (ช่องโหว่นี้มีรหัส CVE-2019-9535)

ถึงแม้ช่องทางการโจมตีนั้นต้องอาศัยตัวผู้ใช้งานเป็นคนพิมพ์คำสั่ง อีกทั้งขอบเขตความเสียหายยังค่อนข้างจำกัด แต่เนื่องจากวิธีการโจมตีนั้นสามารถทำได้จากการใช้คำสั่งที่ใช้งานทั่วไป จึงอาจมีความเสี่ยงหากผู้ใช้ยังคงใช้งานซอฟต์แวร์ที่ยังมีช่องโหว่อยู่ ทั้งนี้ทางผู้พัฒนา iTerm2 ได้ออกอัปเดตเวอร์ชัน 3.3.6 มาเพื่อแก้ไขช่องโหว่แล้ว ผู้ใช้ควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็ว

วันที่: 2019-10-10 | ที่มา: The Hacker News, Mozilla | Share on Facebook Share on Twitter Share on Google+
แฮกมาแฮกกลับ เหยื่อมัลแวร์เรียกค่าไถ่ Muhstik แฮกเซิร์ฟเวอร์ของผู้พัฒนามัลแวร์ ปล่อยกุญแจกู้คืนไฟล์ให้ใช้งานได้ฟรี

Muhstik เป็นมัลแวร์เรียกค่าไถ่ (ransomware) ที่มีการแพร่ระบาดมาตั้งแต่ช่วงเดือนกันยายน 2562 ช่องทางการโจมตีจะอาศัยการ brute force รหัสผ่านร่วมกับช่องโหว่การตั้งค่า SQL และ phpMyAdmin ในอุปกรณ์ QNAP NAS โดยหลังจากที่มัลแวร์ได้สิทธิ์เข้าถึงตัวอุปกรณ์แล้วจะเข้ารหัสลับข้อมูลข้างใน จากนั้นจะเปลี่ยนนามสกุลไฟล์เป็น ".muhstik" และส่งข้อมูลสำหรับใช้สร้างกุญแจถอดรหัสลับกู้คืนไฟล์ไปที่เครื่องเซิร์ฟเวอร์ของผู้พัฒนามัลแวร์

หนึ่งในผู้ที่ตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่สายพันธุ์นี้คือนาย Tobias Frömel ซึ่งเป็นนักพัฒนาซอฟต์แวร์ โดยหลังจากที่เขาได้จ่ายเงินค่าไถ่เพื่อกู้ไฟล์กลับคืนมาแล้ว (0.09 บิตคอยน์หรือประมาณ 700 ดอลลาร์สหรัฐฯ) เขาได้วิเคราะห์ตัวมัลแวร์ดังกล่าวเพื่อศึกษาช่องทางการแพร่กระจายและหาข้อมูลการติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ โดยหลังจากที่พบข้อมูล เขาได้ตัดสินใจเจาะระบบเว็บไซต์ดังกล่าวและพบว่าข้างในมีไฟล์ที่สามารถใช้สร้างกุญแจสำหรับถอดรหัสลับข้อมูลได้ นอกจากนี้เขายังพบฐานข้อมูลที่มีกุญแจของเครื่องที่ตกเป็นเหยื่อถึง 2,858 เครื่องด้วย

หลังจากที่ได้ข้อมูลดังกล่าว เขาได้แชร์กุญแจสำหรับถอดรหัสลับข้อมูลในเว็บบอร์ดที่ให้คำปรึกษากับผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ โดยได้รับการยืนยันจากเหยื่อคนอื่นๆ ว่ากุญแจเหล่านี้สามารถใช้งานได้จริง ในเวลาต่อมาบริษัท Emsisoft ได้พัฒนาเครื่องมือสำหรับใช้ถอดรหัสลับกู้คืนข้อมูลได้แล้ว โดยผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ Muhstik สามารถดาวน์โหลดได้จาก https://www.emsisoft.com/ransomware-decryption-tools/muhstik

วันที่: 2019-10-08 | ที่มา: Bleeping Computer, ZDNet, | Share on Facebook Share on Twitter Share on Google+
Google รายงานช่องโหว่ร้ายแรงใน Android ที่อาจทำให้ถูกแฮกยึดเครื่องได้ พบการโจมตีแล้ว อยู่ระหว่างออกแพตช์

เมื่อวันที่ 4 ตุลาคม 2562 ทีม Project Zero ของ Google ได้รายงานช่องโหว่ใน Android ที่มีผลกระทบกับโทรศัพท์มือถือหลายรุ่น ตัวช่องโหว่สามารถใช้โจมตีเพื่อให้ได้สิทธิ์ root ของเครื่อง ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกยึดเครื่องได้ จากรายงาน ทาง Google พบว่าช่องโหว่นี้ถูกใช้โจมตีแล้ว กำลังทยอยออกแพตช์ให้กับอุปกรณ์ที่ได้รับผลกระทบ ระหว่างนี้ผู้ใช้ควรระวังไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ

จากรายงานของทีม Project Zero ช่องโหว่นี้เกิดจากข้อผิดพลาดประเภท use-after-free ในส่วน binder driver ของ Linux kernel ซึ่งตัวช่องโหว่ได้ถูกแก้ไขไปแล้วใน kernel เวอร์ชัน 4.14 เมื่อต้นปี 2561 โดยที่การแก้ไขนั้นไม่ได้มีการบันทึกข้อมูล CVE ของช่องโหว่นี้ไว้ ทำให้เมื่อทางทีมพัฒนา Android นำโค้ดของ Linux kernel ไปพัฒนาต่อจึงไม่ได้มีการดึงแพตช์ที่ว่านี้ไปรวมด้วย อีกทั้งตัวแพตช์นี้อยู่ในส่วนของ kernel จึงไม่ได้ถูกใส่ไว้ในแพตช์ประจำเดือน ส่งผลให้อุปกรณ์ที่วางจำหน่ายหรือใช้ซอฟต์แวร์ที่พัฒนาในระหว่างนั้นได้รับผลกระทบด้วย (ปัจจุบันช่องโหว่นี้มีรหัส CVE-2019-2215)

ตัวอย่างรายชื่อโทรศัพท์มือถือที่ได้รับการยืนยันว่ามีช่องโหว่นี้ได้แก่ Google Pixel 1 และ 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, มือถือ LG รุ่นที่ใช้ Android Oreo, และ Samsung Galaxy S7 จนถึง S9 (รุ่นที่ไม่อยู่ในรายชื่อนี้อาจไม่มีช่องโหว่หรืออาจยังไม่ได้ยืนยัน)

ทาง Google รายงานว่าพบการนำช่องโหว่นี้ไปใช้โจมตีจริงแล้ว โดยช่องทางการโจมตีนั้นทาง Google ยืนยันว่าช่องโหว่นี้ยังไม่สามารถใช้เพื่อแฮกยึดเครื่องจากระยะไกลได้ แนวทางการโจมตีที่เป็นไปได้คือต้องติดตั้งแอปพลิเคชันที่โจมตีช่องโหว่นี้ลงในเครื่อง หากจะโจมตีผ่านเว็บไซต์จำเป็นต้องใช้ช่องโหว่อื่นร่วมด้วย ดังนั้นเบื้องต้นในระหว่างที่รอแพตช์ผู้ใช้ควรลดความเสี่ยงด้วยการไม่ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ ทั้งนี้ ทาง Google แจ้งว่าแพตช์สำหรับ Pixel 1 และ 2 จะปล่อยมาพร้อมกับแพตช์เดือนตุลาคม ส่วนแพตช์ของผู้ผลิตมือถือรายอื่นๆ นั้นผู้ใช้ต้องตรวจสอบกับทางผู้ผลิตอีกครั้งหนึ่ง

วันที่: 2019-10-07 | ที่มา: Ars Technica, Google Project Zero | Share on Facebook Share on Twitter Share on Google+
อัปเดตด่วน vBulletin ปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงที่ทำให้ถูกแฮกเซิร์ฟเวอร์ได้ พบการโจมตีแล้ว

vBulletin เป็นซอฟต์แวร์พัฒนาเว็บไซต์ที่ได้รับความนิยมสูง มีการใช้งานซอฟต์แวร์นี้ในเว็บไซต์หลายแห่งของหน่วยงานในไทยและในต่างประเทศ เมื่อวันที่ 24 กันยายน 2562 ได้มีผู้เผยแพร่โค้ดสำหรับใช้โจมตีช่องโหว่ของโปรแกรม vBulletin เวอร์ชัน 5.0.0 - 5.5.4 ซึ่งช่องโหว่นี้เป็นประเภท remote code execution หากโจมตีสำเร็จผู้ประสงค์ร้ายจะสามารถสั่งรันโค้ดหรือควบคุมเครื่องเซิร์ฟเวอร์ได้ ช่องโหว่นี้มีรหัส CVE-2019-16759 หลังจากที่มีการเผยแพร่โค้ดดังกล่าวออกมาก็มีรายงานว่าเว็บไซต์หลายแห่งถูกโจมตีแล้ว

เมื่อวันที่ 25 กันยายน 2562 ทาง vBulletin ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้ว โดยมีแพตช์เฉพาะเวอร์ชัน 5.5.2 - 5.5.4 ทาง vBulletin แจ้งว่าผู้ที่ยังใช้ซอฟต์แวร์เวอร์ชันเก่ากว่านั้นควรอัปเกรดให้เป็นเวอร์ชันล่าสุด ทั้งนี้ทางผู้พัฒนาไม่ได้แนะนะวิธีแก้ไขปัญหาเฉพาะหน้าหากยังไม่สามารถติดตั้งอัปเดตได้ เนื่องจากช่องโหว่นี้มีรายงานการโจมตีและมีผลกระทบสูง ผู้ดูแลระบบควรตรวจสอบและอัปเดต vBulletin โดยเร็ว

วันที่: 2019-09-26 | ที่มา: The Hacker News, vBulletin | Share on Facebook Share on Twitter Share on Google+