Clear
Lead Graphic Papers

ข่าวสั้น

ข้อแนะนำเบื้องต้นในการ Work From Home อย่างปลอดภัย ห่างไกลภัยคุกคามไซเบอร์

จากเหตุการณ์การแพร่ระบาดของเชื้อ COVID-19 ระลอกใหม่ ส่งผลให้ประชาชนส่วนใหญ่ต้องหันมาทำงานที่บ้าน พึ่งพาคอมพิวเตอร์และอินเทอร์เน็ตในการทำงานและติดต่อสื่อสารจากระยะไกลมากขึ้น ทำให้ความเสี่ยงด้านความปลอดภัยทางไซเบอร์ต่อผู้ใช้งานและองค์กรมากขึ้นเช่นกัน เนื่องจากการทำงานที่บ้านทำให้ขาดการสนับสนุนจากอุปกรณ์รักษาความปลอดภัยและการสนับสนุนจากเจ้าหน้าที่รักษาความปลอดภัยไซเบอร์ขององค์กรที่ช่วยเฝ้าระวังและป้องกัน ผู้ใช้งานจึงอาจศึกษาและพิจารณาปฏิบัติตามข้อแนะนำเพื่อลดความเสี่ยงจากการถูกโจมตีดังนี้

  1. สำหรับเครื่องคอมพิวเตอร์ หรืออุปกรณ์อื่น ๆ ที่สามารถเข้าถึงข้อมูลงาน เช่น แท็บเล็ตที่อาจมีบัญชีอีเมลขององค์กร ไม่ควรใช้งานร่วมกับสมาชิกในบ้าน เพื่อป้องกันอุบัติเหตุในการไปแก้ไขหรือลบไฟล์ใด ๆ รวมถึงอาจดาวน์โหลดไฟล์อันตรายที่แฝงมัลแวร์มาลงเครื่อง ซึ่งอาจส่งผลกระทบ เช่น ข้อมูลถูกขโมยหรือถูกเข้ารหัสลับทำให้ใช้งานไม่ได้
  2. ติดตั้งที่ปิดกล้อง webcam และปิดไว้ในกรณีที่ไม่ใช้งาน เพื่อลดผลกระทบกรณีที่ผู้ไม่หวังดีเจาะระบบและควบคุมอุปกรณ์ ซึ่งอาจทำให้ข้อมูลหรือความเป็นส่วนตัวของผู้ใช้งานถูกละเมิด
  3. พิจารณาใช้งาน cloud storage เป็นทางเลือกในการเก็บหรือสำรองข้อมูล เพื่อป้องกันข้อมูลสูญหาย
  4. ทบทวนรายการบัญชี โปรแกรม และอุปกรณ์ใช้งานว่ามีอะไรบ้าง ซึ่งอาจรวมถึงอุปกรณ์เราเตอร์ที่ใช้ในบ้าน ทำการสำรวจและเปลี่ยนรหัสผ่านหากมีการใช้งานซ้ำกัน หรือเป็นรหัสที่คาดเดาง่าย
  5. โปรแกรมและอุปกรณ์ใช้งานควรมีการอัปเดตที่ใช้งานให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ และเปิดการยืนยันตัวตน 2 ขั้นตอน หรือ Two-Factor Authentication เพื่อช่วยเพิ่มความมั่นคงปลอดภัย
  6. สำหรับใช้งานโปรแกรมประเภท video conference ควรเลือกใช้โปรแกรมที่มีความสามารถในการรักษาความปลอดภัยและความเป็นส่วนตัวสูงโดยอาจพิจารณาจากรีวิวหลายแหล่ง นอกจากนี้ ในการใช้งานแต่ละครั้งควรตรวจสอบให้แน่ใจว่ามีการตั้งค่าห้องไม่ให้สาธารณะเข้าถึง โดยตั้งรหัสผ่านในการเข้าห้องหรือตั้งค่าให้มีการอนุญาตจากคนในห้องก่อน เพราะอาจเกิดเหตุการณ์ที่คนภายนอกเข้ามาในห้องประชุมโดยพลการและทำให้ข้อมูลรั่วไหลได้
  7. ระมัดระวังการหลอกลวงผ่านช่องทางการสื่อสารต่าง ๆ เช่น อีเมล ไลน์ SMS ซึ่งผู้ไม่หวังดีอาจใช้สถานการณ์ที่เกี่ยวกับการแพร่ระบาดโควิด เพื่อหลอกขโมยข้อมูลหรือรหัสผ่านบัญชีต่าง ๆ (ตัวอย่างการหลอกลวง https://www.thaicert.or.th/newsbite/2020-05-23-01.html) โดยหากพบ และได้ตรวจสอบข้อมูลจากแหล่งทางการแล้ว แต่ยังไม่แน่ใจว่าเป็นการหลอกลวงหรือไม่ ควรหลีกเลี่ยงการเปิดไฟล์แนบ คลิกลิงก์ หรือติดตั้งแอปพลิเคชันตามที่ชักชวน และควรแจ้งเจ้าหน้าที่ไอทีเพื่อตรวจสอบและพิจารณาแจ้งเตือนผู้ใช้งานในองค์กรต่อไป

ทั้งนี้ ในส่วนขององค์กรอาจพิจารณาติดตั้งระบบเพื่อให้พนักงานสามารถเข้าถึงระบบและเครือข่ายขององค์กรได้จากระยะไกลผ่าน VPN หรือหากมีการใช้งานอยู่แล้ว ก็ควรกำหนดนโยบายการตั้งรหัสผ่านให้แข็งแรง หรือใช้งานการยืนยันตัวตน 2 ขั้นตอน เช่นกัน โดยหากผู้อ่านสนใจสามารถศึกษาเพิ่มเติมได้จากที่มาซึ่งมีข้อแนะนำอื่น ๆ ที่ลงรายละเอียดสำหรับทั้งฝั่งองค์กรและผู้ใช้งาน

วันที่: 2021-04-27 | ที่มา: Kaspersky, CISA | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน Pulse Secure พบช่องโหว่ระดับวิกฤต ถูกใช้โจมตีแล้ว ควรรีบตรวจสอบโดยด่วน

เมื่อวันที่ 20 เมษายน 2564 ทาง Pulse Secure ได้แจ้งเตือนช่องโหว่ระดับวิกฤต (Critical) ในผลิตภัณฑ์ Pulse Connect Secure (PCS) ซึ่งเป็นผลิตภัณฑ์ที่ช่วยให้อุปกรณ์พกพาสามารถเชื่อมต่อ VPN เพื่อเข้าถึงข้อมูลหรือบริการต่าง ๆ ขององค์กรได้อย่างปลอดภัย มีรายงานว่าช่องโหว่ดังกล่าวถูกใช้โจมตีแล้วโดยส่งผลกระทบกับ PCS เวอร์ชัน 9.0R3 ขึ้นไป ผู้ดูแลระบบควรรีบตรวจสอบโดยด่วน

ช่องโหว่มีหมายเลข CVE-2021-22893 มีคะแนนความรุนแรง CVSSv3 อยู่ที่ 10 คะแนน เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ส่งผลให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายเพื่อเข้าควบคุม PCS Gateway จากระยะไกลได้ อย่างไรก็ตาม ยังไม่มีการเปิดเผยถึงวิธีการและช่องทางที่ผู้ไม่หวังดีใช้โจมตีแต่อย่างใด อีกทั้งทาง Pulse Secure รายงานว่าผู้ไม่หวังดีได้ใช้ช่องโหว่หมายเลข CVE-2019-11510, CVE-2020-8243 และ CVE-2020-8260 ซึ่งเป็นช่องโหว่ระดับวิกฤตในปีก่อนในการโจมตีร่วมด้วย

เนื่องจากช่องโหว่ดังกล่าวยังไม่มีแพตช์แก้ไข มีเพียงไฟล์ตั้งค่า XML สำหรับแก้ไขปัญหาชั่วคราวจากทาง Pulse Secure เท่านั้น ผู้ดูแลระบบสามารถดาวน์โหลดไฟล์ดังกล่าวไป import ใส่ระบบเพื่อตั้งค่าหยุดการทำงานในส่วนของ Windows File Share Browser และ Pulse Collaboration ที่ได้รับผลกระทบ (https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784) นอกจากนี้ Pulse Secure ได้ออกซอฟต์แวร์ Pulse Connect Secure Integrity Tool เพื่อช่วยตรวจสอบระบบที่ได้รับผลกระทบจากช่องโหว่ให้ผู้ใช้งานสามารถดาวน์โหลดไปใช้ได้ (https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755) ทั้งนี้ ควรติดตามข่าวสารอัปเดตแพตช์แก้ไขช่องโหว่จากทางผู้ผลิตด้วย

วันที่: 2021-04-22 | ที่มา: tenable, Pulse Secure | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน SMS หลอกว่ามีเงินเข้า ชวนติดตั้งแอปพลิเคชันนอก Play Store ขอข้อมูลส่วนบุคคลสำหรับสมัครกู้เงิน

เมื่อวันที่ 16 เมษายน 2564 ไทยเซิร์ตได้รับแจ้งเกี่ยวกับข้อความหลอกลวงทาง SMS ที่มีจุดประสงค์เพื่อชักชวนติดตั้งแอปพลิเคชันนอก Play Store และขอข้อมูลส่วนบุคคลสำหรับสมัครกู้เงิน โดยหลังจากที่ผู้ใช้งานคลิกลิงก์ใน SMS จะถูกเชิญให้แอดบัญชี LINE ชื่อ We Cash 2001 ซึ่งจะส่งข้อความชักชวนให้กดลิงก์เพื่อติดตั้งแอปพลิเคชันดังรูป

ในกรณีที่เครื่องที่ใช้งานเป็นระบบปฏิบัติการ iOS ลิงก์ดังกล่าวจะพาไปยังเว็บไซต์เพื่อชักชวนให้ดาวน์โหลดและติดตั้ง Profile ส่งผลให้ผู้ไม่หวังดีได้รับข้อมูล เช่น ข้อมูลของอุปกรณ์ รายการแอปพลิเคชันที่ติดตั้ง

ในกรณีที่เครื่องที่ใช้งานเป็นระบบปฏิบัติการ Android เว็บไซต์จะชักชวนให้ติดตั้งแอปพลิเคชันชื่อ Quick Loan (QuickLoan1.2.1-0411.apk) ซึ่งจะขอสิทธิที่อาจส่งผลระทบต่อความเป็นส่วนตัว เช่น สิทธิเข้าถึงเข้าถึงกล้อง ไฟล์ในเครื่อง รวมถึงสิทธิการบันทึกเสียง ดังรูป

เมื่อเรียกใช้งานแอปพลิเคชัน จะแสดงผลหน้าสำหรับลงทะเบียนและล็อกอินเพื่อกู้เงิน โดยขั้นตอนการลงทะเบียนจะต้องใช้ หมายเลขโทรศัพท์สำหรับการยืนยัน OTP โดยหลังจากลงทะเบียนเสร็จ แอปพลิเคชันจะขอข้อมูลส่วนบุคคลในการยืนยันตัวตนก่อนเข้าใช้งานดังนี้

  1. ข้อมูลส่วนตัว ได้แก่ ชื่อจริง หมายเลขบัตรประชาชน พร้อมแนบรูปถ่ายทั้งหน้าบัตรและหลังบัตรประชาชน
  2. ข้อมูลทั่วไป ได้แก่ การศึกษา รายได้ส่วนบุคคลต่อปี วัตถุประสงค์ในการกู้ อสังหาริมทรัพย์ และรถยนต์
  3. ข้อมูลบัตรธนาคาร ได้แก่ ชื่อผู้ถือบัตร หมายเลขบัตรประชาชน บัญชีธนาคาร และ หมายเลขบัญชีธนาคาร
  4. หมายเลขโทรศัพท์รับรอง
  5. ลายเซ็นที่เซ็นด้วยลายมือ

ทั้งนี้ การแสดงผลของแอปพลิเคชันเป็นผลลัพธ์จากการเชื่อมต่อกับโดเมน cc56.cc ดังรูป ซึ่งไทยเซิร์ตอยู่ระหว่างการประสานหน่วยงานที่เกี่ยวข้องเพื่อแก้ไขโดเมนดังกล่าวรวมถึงโดเมนอื่นที่ใช้ในการโจมตี


ข้อแนะนำเบื้องต้นในการปัองกันและรับมือ
  1. หลีกเลี่ยงการคลิกลิงก์ในข้อความน่าสงสัยจากผู้ส่งที่ไม่รู้จัก ซึ่งอาจถูกส่งผ่านช่องทางต่าง ๆ เช่น SMS LINE อีเมล โดยอาจพิจารณาบล็อกผู้ส่งดังกล่าวเพื่อลดความเสี่ยง
  2. หลีกเลี่ยงการติดตั้ง Profile บน iOS และควรเลือกติดตั้งแอปพลิเคชันจากแหล่งน่าเชื่อถือ เช่น Google Play Store หรือ App Store
  3. ในกรณีที่ทำการติดตั้ง Profile และแอปพลิเคชันดังกล่าว ผู้ใช้งานควรถอนการติดตั้งเพื่อลดผลกระทบ

ขั้นตอนการตั้งค่าเพื่อถอนการติดตั้ง Profile บน iOS (https://support.apple.com/th-th/guide/iphone/iph6c493b19/ios)

ขั้นตอนการตั้งค่าเพื่อถอนการติดตั้งแอปพลิเคชันบน Android (https://support.google.com/googleplay/answer/2521768?hl=th’>https://support.google.com/googleplay/answer/2521768?hl=th)

วันที่: 2021-04-16 | ที่มา: ThaiCERT | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน OpenSSL ออกแพตช์แก้ไขช่องโหว่ระดับสูงจำนวน 2 จุด ผู้ใช้งานควรรีบอัปเดต

OpenSSL เป็นไลบรารี open source สำหรับใช้ในการเข้ารหัสลับข้อมูลผ่านโพรโทคอล SSL และ TLS ซึ่งมีซอฟต์แวร์หลายประเภทที่ใช้งาน OpenSSL เช่น ระบบปฏิบัติการ Linux, เว็บเซิร์ฟเวอร์, โปรแกรมแช็ท โปรแกรมสำหรับเชื่อมต่อ VPN เป็นต้น อย่างไรก็ตาม เมื่อวันที่ 25 มีนาคม 2564 OpenSSL ได้ออกแพตช์แก้ไขช่องโหว่ระดับสูง (High) จำนวน 2 จุด ส่งผลกระทบกับเวอร์ชัน 1.1.1 เป็นต้นไป ซึ่งผู้ใช้งานควรพิจารณาอัปเดตเพื่อปิดช่องโหว่

ช่องโหว่แรกมีรหัส CVE-2021-3449 เป็นช่องโหว่ประเภท Denial of Service (DoS) ส่งผลให้ผู้ไม่หวังดีสามารถส่งข้อความอันตรายเพื่อโจมตีเซิร์ฟเวอร์ OpenSSL จากเครื่อง client ส่งผลให้เครื่องเซิร์ฟเวอร์ไม่สามารถให้บริการได้ ช่องโหว่ที่สองมีรหัส CVE-2021-3450 เป็นเป็นช่องโหว่ประเภท Improper Certificate Authority ส่งผลให้เกิดความผิดพลาดในการตรวจสอบความถูกต้องของใบรับรอง

ทั้งนี้ เริ่มมีรายงานการเผยแพร่โค้ดสำหรับใช้โจมตีสำหรับช่องโหว่ CVE-2021-3449 แล้ว เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้งาน OpenSSL เวอร์ชัน 1.1.1 เป็นต้นไปควรพิจารณาอัปเดตซอฟร์แวร์ให้เป็นเวอร์ชัน 1.1.1k โดยด่วน

วันที่: 2021-03-30 | ที่มา: OpenSSL | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนมีนาคม 2564 มีช่องโหว่ 0-day ถูกใช้โจมตีแล้ว ควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 9 มีนาคม 2564 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 89 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด ช่องโหว่ระดับสำคัญ (Important) จำนวน 72 จุด ในรอบนี้มีการแก้ไขช่องโหว่ 0-day จำนวน 2 จุด ซึ่งถูกใช้โจมตีและถูกเผยแพร่สู่สาธารณะแล้ว อีกทั้ง ช่องโหว่ Exchange server ที่ถูกปล่อยมาก่อนหน้าถูกรวมอยู่ในแพตช์ประจำเดือนรอบนี้ด้วย (ข่าวเก่า: https://www.thaicert.or.th/newsbite/2021-03-03-01.html)

ช่องโหว่ 0-day ที่ถูกแก้ไข มีหมายเลข CVE-2021-26411 เป็นช่องโหว่ประเภท Memory Corruption ในเว็บเบราว์เซอร์ Internet Explorer ซึ่งถูกใช้โจมตีแล้ว ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขค่าในหน่วยความจำเพื่อรันโค้ดอันตรายได้ ส่วนช่องโหว่ 0-day อีกจุดมีหมายเลข CVE-2021-27077 เป็นช่องโหว่ประเภท Privilege Escalation ใน Win32k.sys ส่งผลให้ผู้ไม่หวังดีสามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้ ช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะแล้วแต่ยังไม่มีรายงานว่าถูกใช้โจมตีแต่อย่างใด นอกจากนี้ ช่องโหว่ระดับวิกฤตส่วนใหญ่ในแพตช์รอบนี้เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ส่งผลให้ผู้ไม่หวังดีสามารถควบคุมเครื่องเหยื่อจากระยะไกลได้ ผู้ดูแลระบบควรตรวจสอบโดยด่วน

เนื่องจากมีช่องโหว่ที่ถูกใช้โจมตีแล้ว เพื่อหลีกเลี่ยงและลดความเสี่ยงที่อาจเกิดขึ้นผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วนโดยสามารถตรวจสอบผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ รวมถึงวิธีแก้ไขปัญหาเบื้องต้นช่องโหว่ได้ (https://msrc.microsoft.com/update-guide/vulnerability)

วันที่: 2021-03-10 | ที่มา: Bleeping Computer, Microsoft, ZDNet | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน Microsoft ออกแพตช์แก้ไขช่องโหว่ Exchange Server พบการโจมตีช่องโหว่แล้ว ผู้ดูแลระบบควรรีบอัปเดตแพตช์โดยด่วน

เมื่อวันที่ 3 มีนาคม 2564 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ประเภท 0-day ในผลิตภัณฑ์ Exchange Server เป็นกรณีพิเศษนอกเหนือจากแพตช์ประจำเดือน เนื่องจากมีรายงานว่ามีการนำช่องโหว่ไปใช้โจมตีจริงโดยกลุ่มผู้ไม่หวังดีชื่อว่า HAFNIUM ได้ใช้ช่องโหว่่โจมตีหน่วยงานในประเทศสหรัฐฯ ทั้งนี้ ช่องโหว่ดังกล่าวส่งผลกระทบกับผลิตภัณฑ์เวอร์ชัน 2013, 2016 และ 2019 ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

ช่องโหว่ที่ได้รับการแก้ไขมีทั้งหมด 4 จุด มีรายละเอียดดังนี้

  1. CVE-2021-26855 เป็นช่องโหว่ประเภท Server-side request forgery (SSFR) ส่งผลให้ผู้ไม่หวังดีสามารถสร้าง request เพื่อยืนยันตัวตนในฐานะ Exchange Server และเข้าถึงข้อมูลต่าง ๆ เช่น อีเมลของผู้ใช้งาน
  2. CVE-2021-26857 เป็นช่องโหว่ประเภท Insecure deserialization ใน Unified messaging service ทำให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายด้วยระดับสิทธิ SYSTEM บนเครื่อง Exchange Server ภายใต้เงื่อนไขว่าผู้ไม่หวังดีต้องได้สิทธิผู้ดูแลระบบก่อน
  3. CVE-2021-26858 และ CVE-2021-27065 เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีที่ได้ยืนยันตัวตนในฐานะ Exchange Server แล้วโดยอาจได้จากการใช้ช่องโหว่ CVE-2021-26855 สามารถเขียนไฟล์บน path ใด ๆ ของเซิร์ฟเวอร์ได้

เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรพิจารณาและรีบอัปเดตแพตช์ KB5000871 เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน หากยังไม่สามารถอัปเดตเดตแพตช์ได้ ควรพิจารณาตั้งค่าอนุญาตให้เชื่อมต่อ Exchange Server เฉพาะจากแหล่งที่น่าเชื่อถือ หรือจำกัดให้เชื่อมต่อผ่าน VPN เท่านั้น นอกจากนี้ ผู้ดูแลระบบสามารถตรวจสอบจากข้อมูล Indicator of Compromise (IoC) เพื่อระบุว่าตกเป็นเหยื่อการโจมตีแล้วหรือไม่จากลิงก์ https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

วันที่: 2021-03-03 | ที่มา: Bleeping Computer, Microsoft, | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนช่องโหว่ระดับสำคัญและวิกฤตในผลิตภัณฑ์ vCenter Server, Cloud Foundation และ ESXi มีโค้ดสาธิตการโจมตีแล้ว ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 23 กุมภาพันธ์ 2564 ทางบริษัท VMWare ได้ออกแพตช์แก้ไขช่องโหว่ ซึ่งส่งผลกระทบกับผลิตภัณฑ์ vCenter Server, Cloud Foundation และ ESXi ผู้ดูแลระบบควรตรวจสอบและอัปเดตแพตช์โดยด่วน

ช่องโหว่ที่น่าสนใจ มีหมายเลข CVE-2021-21972 เป็นช่องโหว่ระดับวิกฤต (Critical) ระดับความรุนแรง CVSSv3 อยู่ที่ 9.8 คะแนน ส่งผลกระทบกับ vCenter Server เวอร์ชัน 6.5, 6.7 และ 7.0 Cloud Foundation เวอร์ชัน 3.x และ 4.x โดยเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่เกิดในปลั๊กอิน vRealize Operations vCenter ซึ่งมาพร้อมกับการติดตั้ง vCenter Server ส่งผลให้ผู้ไม่หวังดีที่สามารถเข้าถึง port 443 สามารถใช้ vSphere Client (HTML5) ส่งคำสั่งอันตรายไปยังปลั๊กอินของ vCenter Server เพื่อเข้าควบคุมระบบด้วยสิทธิสูงสุดได้ ทั้งนี้ มีการเผยโค้ดสาธิตการโจมตีช่องโหว่ดังกล่าวแล้ว

ในส่วนช่องโหว่ในผลิตภัณฑ์ ESXi มีหมายเลข CVE-2021-21974 เป็นช่องโหว่ระดับสำคัญ (Important) ระดับความรุนแรง CVSSv3 อยู่ที่ 8.8 คะแนน ส่งผลกระทบในเวอร์ชัน 6.5, 6.7 และ 7.0 โดยเป็นช่องโหว่ประเภท Heap overflow ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขการทำงานของโปรแกรมหรือรันคำสั่งอันตรายได้ อย่างไรก็ตาม ยังไม่มีรายงานว่ามีการโจมตีช่องโหว่นี้แต่อย่างใด

เพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วน หากยังไม่สามารถอัปเดตแพตช์ได้ผู้ดูแลระบบสามารถปฏิบัติตามขั้นตอนในลิงก์ต่อไปนี้เพื่อแก้ไขปัญหาชั่วคราวได้ (CVE-2021-21972: https://kb.vmware.com/s/article/82374, CVE-2021-21974: https://kb.vmware.com/s/article/76372)

วันที่: 2021-02-25 | ที่มา: VMWare, tenable | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนกุมภาพันธ์ 2564 มีช่องโหว่ระดับวิกฤตหลายรายการ ควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 10 กุมภาพันธ์ 2564 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมดจำนวน 56 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) 11 จุด ช่องโหว่ระดับปานกลาง (Moderate) จำนวน 2 จุด และช่องโหว่ระดับสำคัญ (Important) จำนวน 43 จุด ในรอบนี้มีการแก้ไขช่องโหว่ 0-day จำนวน 1 จุด และช่องโหว่ที่ถูกเผยแพร่แล้วจำนวน 6 จุด

ช่องโหว่ 0-day มีหมายเลข CVE-2021-1732 เป็นช่องโหว่ประเภท Privilege Escalation พบใน Win32k.sys ส่งผลให้ผู้ไม่หวังดีสามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้ ช่องโหว่ที่ถูกเผยแพร่เป็นช่องโหว่ระดับวิกฤตจำนวน 1 จุด มีหมายเลข CVE-2021-26701 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ส่งผลกระทบกับ .NET Core ทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายเพื่อควบคุมเครื่องเหยื่อจากระยะไกลได้

นอกจากนี้ ยังมีช่องโหว่หมายเลข CVE-2021-24074, CVE-2021-24094 และ CVE-2021-24086 เป็นช่องโหว่ประเภท RCE และ Denial of Service (DoS) ทำให้ผู้ไม่หวังดีสามารถทำให้เครื่องของเหยื่อไม่สามารถใช้งานได้ชั่วขณะ ส่งผลกระทบกับ Windows TCP/IP ทั้งใน Windows client และ server

เนื่องจากมีช่องโหว่ที่ถูกใช้โจมตีแล้ว เพื่อหลีกเลี่ยงและลดความเสี่ยงที่อาจเกิดขึ้นผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วน โดยสามารถตรวจสอบผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ รวมถึงวิธีแก้ไขปัญหาเบื้องต้นช่องโหว่ Windows TCP/IP ได้จาก (https://msrc.microsoft.com/update-guide/vulnerability)

วันที่: 2021-02-10 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ Google Chrome กระทบเวอร์ชัน Desktop ผู้ใช้งานควรรีบอัปเดต

เมื่อวันที่ 4 กุมภาพันธ์ 2564 บริษัท Google ได้ออกโปรแกรม Google Chrome เวอร์ชัน 88.0.4324.150 สำหรับผู้ใช้งาน desktop บนระบบปฏิบัติการ Windows, Mac และ Linux เพื่อแก้ไขปัญหาช่องโหว่ระดับวิกฤต (Critical) ซึ่งมีรายงานว่าถูกใช้โจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-21148 เป็นช่องโหว่ประเภท Heap buffer overflow ใน V8 JavaScript Engine ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขค่าในหน่วยความจำเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อได้

เพื่อป้องกันและหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้งาน Google Chrome เวอร์ชัน desktop ควรตรวจสอบและอัปเดตให้เป็นเวอร์ชันล่าสุด

วันที่: 2021-02-09 | ที่มา: Bleeping Computer, Google | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน โปรแกรม NoxPlayer ถูกโจมตี ผู้ใช้งานควรตรวจสอบและพิจารณาถอนการติดตั้งหรือหยุดใช้งานชั่วคราว

[อัปเดต ณ วันที่ 5 กุมภาพันธ์ 2564]

เมื่อวันที่ 3 กุมภาพันธ์ 2564 ทาง ESET ได้รับรายงานจากผู้พัฒนาแจ้งว่าได้เพิ่มไฟล์อัปเดตล่าสุดไปยังเซิฟเวอร์แล้ว และเมื่อผู้ใช้งานเปิด NoxPlayer จะมีการตรวจสอบความถูกต้องของไฟล์ที่ติดตั้งไว้ก่อนหน้านี้ในเครื่องผู้ใช้

เมื่อวันที่ 1 กุมภาพันธ์ 2564 นักวิจัยจากบริษัท ESET รายงานว่าโปรแกรม NoxPlayer ซึ่งเป็นโปรแกรมสำหรับจำลองระบบปฏิบัติการ Android บนคอมพิวเตอร์ทั้งใน Windows และ macOS มีผู้ใช้งานกว่า 150 ล้านรายทั่วโลก ถูกโจมตีในลักษณะ Supply chain attack ส่งผลกระทบทำให้อาจมีโปรแกรมอันตรายหรือมัลแวร์ติดตั้งในเครื่องของผู้ใช้งาน

การโจมตีดังกล่าวใช้ชื่อว่า Operation NightScout ซึ่งทาง ESET เริ่มสังเกตเห็นในเดือนกันยายน 2563 พบว่าในขั้นตอนอัปเดตโปรแกรม NoxPlayer มีการดาวน์โหลดมัลแวร์ประเภท Remote Access Trojan (RAT) เข้ามาด้วย ส่งผลให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องหรือขโมยข้อมูลของเหยื่อได้จากระยะไกล อย่างไรก็ตาม ทาง ESET ได้รายงานปัญหาไปยังผู้พัฒนาโปรแกรมแล้ว แต่ยังไม่มีรายงานถึงเวอร์ชันและจำนวนผู้ได้รับผลกระทบ

เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น ผู้ใช้งานควรตรวจสอบว่าตกเป็นเหยื่อหรือไม่ โดยตรวจสอบจากไฟล์ที่สร้างโดยผู้ไม่หวังดี

  • C:\ProgramData\Sandboxie\SbieIni.dat
  • C:\ProgramData\Sandboxie\SbieDll.dll
  • C:\ProgramData\LoGiTech\LBTServ.dll
  • C:\Program Files\Internet Explorer\ieproxysocket64.dll
  • C:\Program Files\Internet Explorer\ieproxysocket.dll

หรือพบการเชื่อมต่อกับเครื่องของผู้ไม่หวังดี

  • 210.209.72[.]180
  • 103.255.177[.]138
  • 185.239.226[.]172
  • 45.158.32[.]65
  • cdn.cloudistcdn[.]com
  • q.cloudistcdn[.]com
  • update.boshiamys[.]com

โดยหากตกเป็นเหยื่อ ควรพิจารณาถอนการติดตั้งหยุดใช้งานโปรแกรมชั่วคราว รวมถึงพิจารณาติดตั้งระบบปฏิบัติการและซอฟต์แวร์ใหม่จากแหล่งน่าเชื่อถือเพื่อให้แน่ใจว่าไม่มีมัลแวร์แฝงอยู่ในระบบ หากไม่ได้รับผลกระทบและไม่อยากถอนการติดตั้ง ผู้ใช้งานควรระงับการดาวน์โหลดหรืออัปเดตใด ๆ จนกว่าจะมีประกาศจากผู้พัฒนาว่าได้แก้ปัญหาดังกล่าวแล้ว

วันที่: 2021-02-02 | ที่มา: Bleeping Computer, ESET | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ในระบบปฏิบัติการ iOS ถูกใช้โจมตีจริงแล้ว ผู้ใช้งานควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 27 มกราคม 2564 ทางบริษัท Apple ได้ออกแพตช์แก้ไขช่องโหว่ จำนวน 3 จุด ซึ่งส่งผลกระทบกับระบบปฎิบัติการ iOS เวอร์ชันที่ต่ำกว่า 14.4 ซึ่งช่องโหว่ทั้ง 3 จุดเป็นช่องโหว่ลักษณะ 0-day ที่ถูกใช้โจมตีอย่างแพร่หลาย ผู้ที่ได้รับผลกระทบจึงควรอัปเดตเพื่อแก้ไขโดยเร็ว

ช่องโหว่แรกมีหมายเลข CVE-2021-1782 เป็นช่องโหว่ประเภท Race condition ซึ่งส่งผลกระทบในระดับ Kernel ของระบบปฏิบัติการทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์ในการโจมตีได้ ส่วนอีก 2 ช่องโหว่มีหมายเลข CVE-2021-1870 และ CVE-2021-1871 เป็นช่องโหว่ประเภท Remote Code Execute ใน WebKit browser engine ทำให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายบนเครื่องเหยื่อได้จากระยะไกล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยคาดว่าผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ทั้ง 3 จุดในการโจมตีร่วมกัน โดยการหลอกให้ผู้ใช้งานเข้าเว็บไซต์อันตรายเพื่อรันโค้ดในการโจมตีช่องโหว่ WebKit จากนั้นจึงโจมตีเพื่อยกระดับสิทธิ์ในภายหลัง

อย่างไรก็ตาม Apple ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวทั้งหมดแล้ว เพื่อป้องกันและลดความเสี่ยงที่อาจเกิดขึ้นผู้ใช้งานควรอัปเดตระบบปฏบัติการ iOS ให้เป็นเวอร์ชัน 14.4 โดยด่วน

วันที่: 2021-01-28 | ที่มา: Apple, ZDNet | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ sudo ใน Linux ผู้ใช้ทั่วไปสามารถยกระดับสิทธิเป็น root ได้ อัปเดตโดยด่วน (CVE-2021-3156)

เมื่อวันที่ 26 มกราคม 2564 นักวิจัยจากบริษัท Qualys ได้ประกาศการพบช่องโหว่ในคำสั่ง sudo ที่ส่งผลให้ยกระดับสิทธิผู้ใช้ทั่วไปเป็น root (CVE-2021-3156) โดยนักวิจัยสามารถสร้างโค้ดสาธิตการโจมตีได้สำเร็จในระบบปฏิบัติการ Ubuntu 20.04 Debian 10 และ Fedora 33 แต่ยังไม่ได้เผยแพร่โค้ดดังกล่าวสู่สาธารณะ ผู้ดูแลระบบที่ได้รับผลกระทบจึงควรรีบแก้ไขเพื่อปิดช่องโหว่

ทั้งนี้ ช่องโหว่ที่พบเป็นช่องโหว่ลักษณะ heap-based buffer overflow ที่เกิดจากข้อผิดพลาดในการการตรวจสอบ escape character ใน argument เมื่อใช้งาน sudoedit แบบ shell mode (sudoedit -s หรือ -i) ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ในการยกระดับสิทธิได้

ช่องโหว่ดังกล่าวส่งผลกระทบกับ sudo เวอร์ชัน 1.8.2 -1.8.31p2 และ 1.9.0 -1.9.5p1 ผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชัน 1.9.5p2 และตรวจสอบว่ายังได้รับผลกระทบหรือไม่ด้วยการพิมพ์คำสั่ง "sudoedit -s /" หากอัปเดตสำเร็จจะได้ผลลัพธ์เป็นข้อความ usage: ตามด้วยข้อความอธิบายการใช้งาน sudoedit

วันที่: 2021-01-28 | ที่มา: Qualys | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนมกราคม 2564 ผู้ใช้งานควรพิจารณาอัปเดต

เมื่อวันที่ 13 มกราคม 2563 ทางบริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 83 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) 10 จุด และช่องโหว่สำคัญ (Important) 73 จุด ในรอบนี้มีการแก้ไขช่องโหว่ 0-day จำนวน 1 จุด และช่องโหว่ที่ถูกเผยแพร่แล้วอีก 1 จุด

ช่องโหว่ 0-day ที่พบเป็นช่องโหว่ความรุนแรงระดับวิกฤต มีหมายเลข CVE-2021-1647 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ในโปรแกรม Microsoft Defender ทำให้ผู้ไม่หวังดีสามารถโจมตีเครื่องเป้าหมายด้วยโค้ดอันตรายเพื่อเข้าควบคุมเครื่องจากระยะไกลได้ ส่วนช่องโหว่ที่ถูกเผยแพร่ เป็นช่องโหว่ความรุนแรงระดับสำคัญ มีหมายเลข CVE-2021-1648 เป็นช่องโหว่ประเภท Privilege Escalation ใน Microsoft splwow64 ทำให้ผู้ไม่หวังดีสามารถโจมตีเพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบได้

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้งานควรอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันและลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

วันที่: 2021-01-13 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการส่งลิงก์ฟิชชิ่งผ่าน LINE หลอกให้ลงทะเบียนรับแก้ว Starbucks อย่าคลิก

ไทยเซิร์ตได้รับรายงานการแพร่กระจายลิงก์ฟิชชิ่งผ่าน LINE และ WhatsApp โดยลักษณะเป็นการส่งข้อความภาษาไทย แจ้งให้เข้าร่วมกิจกรรมเพื่อรับแก้ว Starbucks พร้อมแนบลิงก์สำหรับเข้าร่วมกิจกรรมดังกล่าว อย่างไรก็ตาม ลิงก์ที่ส่งมาไม่ใช่เว็บไซต์ของ Starbucks แต่เป็นเว็บไซต์ปลอมที่แอบอ้างชื่อและโลโก้ หากคลิกเล่นกิจกรรมในหน้าเว็บไซต์ดังกล่าวไปจนถึงขั้นตอนสุดท้ายจะพบการแจ้งให้ส่งข้อความผ่าน WhatsApp หรือ LINE เพื่อเผยแพร่ลิงก์ของเว็บไซต์ฟิชชิ่งให้บุคคลอื่นต่อไป

การส่งลิงก์ฟิชชิ่งเพื่อหลอกให้เข้าเว็บไซต์กิจกรรมชิงรางวัลนั้นเป็นหนึ่งในรูปแบบการโจมตีลักษณะสแกม (scam) ซึ่งในช่วงหลังการโจมตีในลักษณะนี้พบมากขึ้นในช่องทางโปรแกรมแช็ทหรือ SMS เนื่องจากการส่งลิงก์ฟิชชิ่งผ่านช่องทางเหล่านี้มักไม่ได้มีกระบวนการตรวจสอบเว็บไซต์ปลอมที่ทำงานได้ดีเท่าระบบคัดกรองอีเมล อีกทั้งการเปิดลิงก์ฟิชชิ่งผ่านช่องทางดังกล่าวมักเกิดขึ้นบนโทรศัพท์มือถือซึ่งเบราว์เซอร์หรือตัวผู้ใช้งานเองอาจไม่สามารถสังเกตความผิดปกติของ URL ได้ดีเท่าการเปิดบนคอมพิวเตอร์

ถึงแม้ระดับความเสียหายของการโจมตีแบบสแกมอาจยังไม่มากเท่าการโจมตีแบบฟิชชิ่งหรือมัลแวร์ แต่ก็มีความเป็นไปได้ที่ตัวเว็บไซต์สแกมอาจถูกเปลี่ยนเป็นหน้าฟิชชิ่งหรือใช้เพื่อแพร่กระจายมัลแวร์ในภายหลังได้ ผู้ใช้ควรตระหนักและระมัดระวังการคลิกลิงก์หรือส่งต่อข้อความในลักษณะที่น่าสงสัย เช่น ส่งข้อความผ่านบุคคลอื่น หรือลิงก์สำหรับเข้าร่วมกิจกรรมไม่ใช่เว็บไซต์จริงของบริการ เพราะอาจตกเป็นเหยื่อของการโจมตีได้

วันที่: 2020-12-18 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
Clear