Clear
Lead Graphic Papers

ข่าวสั้น

ระวัง พบการส่งอีเมลบอกรัก แนบไฟล์ Zip ข้างในเป็นไฟล์ JavaScript เปิดแล้วติดมัลแวร์

มีรายงานแคมเปญการโจมตีชื่อ "Love Letter" โดยเป็นการส่งอีเมลสแปม หัวข้ออีเมลมีลักษณะคล้ายจดหมายบอกรัก (ใช้ชื่อหัวข้อเช่น I love you หรือ This is my love letter to you) ตัวอีเมลจะไม่มีเนื้อหาแต่มีการแนบไฟล์ .zip ที่เมื่อเปิดดูข้างในจะมีไฟล์ .js (JavaScript) อยู่ ไฟล์ดังกล่าวมีจุดประสงค์เพื่อแพร่กระจายมัลแวร์ หากผู้ใช้เปิดไฟล์ก็จะถูกดาวน์โหลดมัลแวร์มาติดตั้งลงในเครื่องทันที

เนื้อหาโค้ดข้างในไฟล์ JavaScript จะถูกอำพรางให้อ่านได้ยาก (obfuscate) เมื่อไฟล์ถูกเรียกใช้งานจะมีการเรียกคำสั่ง PowerShell เพื่อดาวน์โหลดมัลแวร์มาติดตั้ง ตัวอย่างมัลแวร์ที่อาจจะถูกดาวน์โหลด เช่น GandCrab Ransomware, XMRig miner, หรือ Phorpiex spambot เป็นต้น ทั้งนี้ นอกจากจะติดตั้งมัลแวร์ลงในเครื่องแล้วยังมีการแพร่กระจายมัลแวร์ไปยังไดรฟ์ USB ที่ถูกนำมาเชื่อมต่อกับเครื่องคอมพิวเตอร์ด้วย

ผู้ใช้ควรระมัดระวัง ไม่เปิดไฟล์แนบที่มากับอีเมลในลักษณะนี้ โดยตัวอย่างอีเมล ค่าแฮชของแต่ละไฟล์ ทราฟฟิกของมัลแวร์ และข้อมูล IOC อื่นๆ สามารถดูเพิ่มเติมได้จากที่มา

วันที่: 2019-01-16 | ที่มา: Bleeping Computer, SANS | Share on Facebook Share on Twitter Share on Google+
สถิติช่องโหว่ web application ปี 2018 ช่องโหว่ประเภท injection พบมากสุด WordPress มีช่องโหว่เยอะที่สุด

บริษัท Imperva ผู้พัฒนาระบบ web application firewall ได้เผยแพร่รายงานสถิติช่องโหว่ของ web application ในปี 2018 โดยภาพรวมพบว่าช่องโหว่ประเภท injection เพิ่มขึ้นสูง ในขณะที่ช่องโหว่ของ CMS ที่ได้รับความนิยมอย่าง WordPress หรือ Drupal ก็ยังมีการรายงานออกมาอย่างต่อเนื่อง แต่จำนวนช่องโหว่ของอุปกรณ์ IoT เริ่มลดลง

จำนวนช่องโหว่ web application ในปี 2018 เพิ่มขึ้น 21% จากปีก่อนหน้า โดยช่องโหว่เกินครึ่ง (54%) มีการเผยแพร่โค้ดสำหรับใช้โจมตี (exploit) ออกสู่สาธารณะ ในขณะที่ช่องโหว่ 38% นั้นยังไม่มีวิธีแก้ไข ไม่ว่าจะเป็นการแพตช์หรือวิธีแก้ไขปัญหาแบบชั่วคราว (workaround)

เมื่อเปรียบเทียบจำนวนช่องโหว่กับรายการ OWASP TOP 10 2017 พบว่าช่องโหว่ประเภท injection นั้นมีสัดส่วนมากที่สุดคือ 19% โดยช่องโหว่ประเภท remote command execution (RCE) นั้นมีมากกว่าประเภท SQL injection ส่วนช่องโหว่อันดับสองคือ cross-site scripting ซึ่งมีสัดส่วนอยู่ที่ 14%

สถิติ CMS ที่มีจำนวนช่องโหว่เยอะที่สุดคือ WordPress รองลงมาคือ Joomla, Drupal และ Magento ตามลำดับ ข้อมูลที่น่าสนใจคือช่องโหว่ 98% ของ WordPress นั้นอยู่ในส่วนของ Plugin แทนที่จะเป็นส่วน core ของระบบ ในขณะที Drupal ถึงแม้จะมีจำนวนผู้ใช้และจำนวนช่องโหว่น้อยกว่า WordPress แต่ก็มีช่องโหว่ระดับความร้ายแรงสูงที่ส่งผลให้ผู้ประสงค์ร้ายสามารถยึดเว็บไซต์และเข้าถึงระบบฐานข้อมูลได้ ซึ่งเป็นสาเหตุที่ทำให้เว็บไซต์จำนวนมากถูกเจาะระบบในปี 2018

ทาง Imperva ได้คาดการณ์ความเป็นไปได้ในปี 2019 โดยประเมินว่าเมื่อ PHP เวอร์ชัน 5.6 และ 7.0 หมดระยะเวลาการสนับสนุนทางเทคนิค (สิ้นสุดตั้งแต่เดือนธันวาคม 2018) แต่เว็บไซต์จำนวนมากยังคงมีการใช้งานซอฟต์แวร์เวอร์ชันเก่าอยู่ หากมีช่องโหว่ด้านความมั่นคงปลอดภัย เว็บไซต์เหล่านี้จะถูกโจมตีได้ง่าย

วันที่: 2019-01-11 | ที่มา: Imperva | Share on Facebook Share on Twitter Share on Google+
Microsoft และ Adobe ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือนมกราคม 2562

Microsoft และ Adobe ปล่อยแพตช์ความมั่นคงปลอดภัยเป็นประจำทุกวันอังคารที่ 2 ของเดือน โดยของเดือนมกราคม 2562 ทาง Microsoft ได้แก้ไขช่องโหว่ทั้งหมด 51 จุด ซึ่งช่องโหว่ระดับ Critical ส่วนใหญ่จะอยู่ใน DHCP Client, Hyper-V และ Chakra Engine ของ Microsoft Edge รายละเอียดข้อมูลช่องโหว่สามารถตรวจสอบได้จากเว็บไซต์ของ Microsoft (https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/b4384b95-e6d2-e811-a983-000d3a33c573)

ในส่วนของ Adobe เดือนนี้ไม่มีแพตช์ของโปรแกรม Flash Player หรือ Acrobat Reader เหมือนกับรอบที่ผ่านมา โดยหลักๆ จะเป็นการแก้ไขช่องโหว่ใน Adobe Connect และ Adobe Digital Editions (อย่างไรก็ตาม แพตช์ของ Acrobat Reader ได้มีการเผยแพร่ไปก่อนหน้านี้แล้ว https://www.thaicert.or.th/newsbite/2019-01-04-01.html) ผู้ใช้ทั่วไปและผู้ดูแลระบบโปรดตรวจสอบและติดตั้งแพตช์ล่าสุดหากทำได้เพื่อลดความเสี่ยงและผลกระทบที่อาจจะเกิดขึ้น

วันที่: 2019-01-09 | ที่มา: US-CERT, US-CERT | Share on Facebook Share on Twitter Share on Google+
กุญแจรับรอง DNSSEC ตัวเก่าจะใช้งานไม่ได้หลังจากวันที่ 11 มกราคม 2562 ผู้ดูแลระบบโปรดตรวจสอบและอัปเดต

หน่วยงาน ICANN ได้ประกาศเปลี่ยน Key Signing Key (KSK) ซึ่งเป็นกุญแจสำหรับใช้ในการรับรองชื่อโดเมนในโพรโทคอล DNSSEC ไปตั้งแต่วันที่ 11 ตุลาคม 2561 ซึ่งระบบที่มีการใช้งาน DNSSEC ควรจะรองรับกุญแจตัวใหม่โดยอัตโนมัติหากมีการอัปเดตเวอร์ชันของซอฟต์แวร์ ปัจจุบันนี้ DNSSEC ยังมีการใช้งานทั้งกุญแจเก่าและใหม่ไปควบคู่กัน อย่างไรก็ตาม หลังจากวันศุกร์ที่ 11 มกราคม 2562 กุญแจตัวเก่าจะถูกเพิกถอน (revoke) ซึ่งส่งผลให้ระบบที่ยังไม่ได้อัปเดตให้รองรับกุญแจตัวใหม่อาจไม่สามารถใช้งานได้ตามปกติ (เช่น ไม่สามารถค้นหา DNS ได้)

DNSSEC เป็นส่วนขยายของโพรโทคอล DNS โดยเพิ่มกระบวนการใช้ลายเซ็นดิจิทัลเพื่อรับรองความถูกต้องของข้อมูลโดเมน ซึ่งจำเป็นต้องใช้กุญแจในการเข้าและถอดรหัสลับข้อมูลที่รับส่ง การปรับปรุงเวอร์ชันของกุญแจก็เป็นส่วนหนึ่งที่จะทำให้กระบวนการทำงานมีความน่าเชื่อถือมากขึ้น อย่างไรก็ตาม ที่ผ่านมากุญแจตัวเก่า (KSK-2010) นั้นได้ถูกใช้งานมานานเกินกว่าที่วางแผนไว้ โดยก่อนหน้านี้ทาง ICANN เคยเลื่อนแผนการเปลี่ยนกุญแจมาแล้วหนึ่งรอบเนื่องจากมีบางระบบที่ยังไม่ได้ปรับปรุงให้รองรับกุญแจตัวใหม่ (KSK-2017) จนในที่สุดจึงได้ตัดสินใจประกาศใช้งานกุญแจตัวใหม่ในวันที่ 11 ตุลาคม 2561 และจะยกเลิกการใช้งานกุญแจตัวเก่าในวันที่ 11 มกราคม 2562 การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับระบบที่มีการใช้งาน DNSSEC

ผู้ดูแลระบบโปรดตรวจสอบว่ามีการใช้งาน DNSSEC หรือไม่และระบบได้รองรับ KSK ตัวใหม่แล้วหรือยัง โดยสามารถศึกษาข้อมูลและรายละเอียดทางเทคนิคเพิ่มเติมได้จากเว็บไซต์ของ ICANN (https://www.icann.org/dns-resolvers-updating-latest-trust-anchor)

วันที่: 2019-01-07 | ที่มา: ICANN, ICANN | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนช่องโหว่ร้ายแรงใน Adobe Reader อาจถูกแฮกเครื่องได้แค่เปิดไฟล์ PDF

เมื่อวันที่ 3 มกราคม 2562 บริษัท Adobe ได้ออกอัปเดตแก้ไขช่องโหว่ระดับ Critical จำนวน 2 จุดในโปรแกรม Adobe Reader ซึ่งทั้ง 2 ช่องโหว่นี้หากนำมาใช้งานร่วมกัน ผู้ประสงค์ร้ายจะสามารถหลอกให้เหยื่อเปิดไฟล์ PDF แล้วแฮกเครื่องเพื่อติดตั้งโปรแกรมอันตราย หรือเปิดช่องทางให้เชื่อมต่อเข้ามาควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ในภายหลัง ซึ่งการควบคุมเครื่องนี้ผู้ประสงค์ร้ายจะได้รับสิทธิ์ของผู้ดูแลระบบด้วย

ช่องโหว่ที่ถูกแก้ไขในอัปเดตนี้ประกอบไปด้วย CVE-2018-16018 เป็นช่องโหว่ประเภท Privilege Escalation ผู้ประสงค์ร้ายสามารถยกระดับสิทธิ์จากผู้ใช้ธรรมดามาเป็นผู้ดูแลระบบของเครื่องได้ ส่วนอีกช่องโหว่คือ CVE-2018-16011 เป็นประเภท Arbitrary Code Execution เปิดโอกาสให้เรียกใช้หรือหรือติดตั้งโปรแกรมใด ก็ได้ลงในเครื่อง

เวอร์ชันของโปรแกรมแกรมที่ได้รับผลกระทบคือ

  • Acrobat DC และ Acrobat Reader DC เวอร์ชัน 2019.010.20064 หรือเก่ากว่า
  • Acrobat 2017 และ Acrobat Reader 2017 เวอร์ชัน 2017.011.30110 หรือเก่ากว่า
  • Acrobat DC (Classic) และ Acrobat Reader DC (Classic) เวอร์ชัน 2015.006.30461 หรือเก่ากว่า

ผู้ที่ใช้งานโปรแกรม Adobe Reader เวอร์ชันที่ได้รับผลกระทบ ควรติดตั้งอัปเดตเวอร์ชันปัจจุบันโดยทันทีที่ทำได้ เพื่อป้องกันและลดความเสียหายจากการถูกโจมตี

สำหรับการตรวจสอบและติดตั้งอัปเดต ผู้ใช้ทั่วไปสามารถเปิดโปรแกรม Adobe Reader และเลือกเมนู Help > Check for Updates หรือดาวน์โหลดเวอร์ชันล่าสุดได้จากเว็บไซต์ของ Adobe (https://get.adobe.com/reader/) ส่วนผู้ดูแลระบบสามารถดาวน์โหลดเครื่องมือสำหรับนำโปรแกรมไปติดตั้งในเครื่องอื่นๆ ขององค์กรได้จากหน้า FTP ของ Adobe (ftp://ftp.adobe.com/pub/adobe/)

วันที่: 2019-01-04 | ที่มา: US-CERT, Adobe | Share on Facebook Share on Twitter Share on Google+
Windows Defender เพิ่มคุณสมบัติใหม่ ผู้ดูแลระบบสามารถกำหนดสิทธิ์การใช้งานไดรฟ์แบบ USB ได้

Microsoft ได้เผยแพร่บทความอธิบายรายละเอียดคุณสมบัติใหม่ที่ถูกเพิ่มเข้ามาใน Windows Defender เวอร์ชันล่าสุด (ติดตั้งมาพร้อมกับ Windows 10) โดยเป็นความสามารถในการควบคุมการใช้งานไดรฟ์แบบ USB จุดประสงค์เพื่อลดความเสี่ยงและลดโอกาสที่จะถูกโจมตีจากการใช้งานไดรฟ์ USB เช่น การติดมัลแวร์ หรือข้อมูลรั่วไหล เป็นต้น ตัวอย่างสิ่งที่ผู้ดูแลระบบสามารถควบคุมได้ เช่น

1. กำหนดให้การใช้งานไดรฟ์แบบ USB สามารถทำได้เฉพาะผู้ใช้ที่ได้รับอนุญาต หรือตั้งค่าให้ใช้งานได้เฉพาะอุปกรณ์ตามยี่ห้อและรุ่นที่กำหนด เพื่อป้องกันไม่ให้มีการนำอุปกรณ์หรือไดรฟ์ USB แปลกปลอมมาเชื่อมต่อกับคอมพิวเตอร์ขององค์กร

2. ป้องกันการแพร่กระจายมัลแวร์ โดยผู้ดูแลระบบสามารถปิดไม่ให้มีการเรียกใช้งานโปรแกรมใดๆ จากไดรฟ์ USB รวมถึงสามารถปิดการเข้าถึงหน่วยความจำโดยตรง (direct memory access) หากผู้ใช้ล็อกหน้าจอไว้ จุดประสงค์เพื่อป้องกันการแอบนำไดรฟ์ USB มาเชื่อมต่อกับเครื่องคอมพิวเตอร์ตอนที่ผู้ใช้ไม่อยู่แล้วขโมยข้อมูลจากหน่วยความจำของระบบ

3. ป้องกันปัญหาข้อมูลรั่วไหล โดยเปิดใช้งานคุณสมบัติการเข้ารหัสลับข้อมูลในไดรฟ์ (เช่น BitLocker) หรือคุณสมบัติใหม่ที่ชื่อ Windows Information Protection ซึ่งสามารถกำหนดได้ว่าข้อมูลที่มีเนื้อหาที่เป็นความลับ (เช่น มีข้อความที่กำหนด) จะไม่อนุญาตให้คัดลอกลงในไดรฟ์แบบ USB หรือแจ้งเตือนเมื่อมีการพยายามคัดลอกไฟล์ออกไป

Microsoft จะเผยแพร่อัปเดตคุณสมบัติเหล่านี้ให้กับ Windows 10 เวอร์ชันล่าสุด อย่างไรก็ตาม บางคุณสมบัติอาจมีให้ใช้เฉพาะใน Windows Defender เวอร์ชันองค์กร ผู้ดูแลระบบสามารถตรวจสอบข้อมูลเพิ่มเติมรวมถึงวิธีการตั้งค่าได้จากเว็บไซต์ของ Microsoft

วันที่: 2019-01-03 | ที่มา: Microsoft, Microsoft, Microsoft | Share on Facebook Share on Twitter Share on Google+
รัฐบาลสหราชอาณาจักรประกาศแผนพัฒนาบุคลากรความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เริ่มใช้ต้นปี 2562

รัฐบาลสหราชอาณาจักรได้ประกาศแผนการพัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งสอดคล้องตามยุทธศาสตร์ด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Strategy) เพื่อแก้ไขปัญหาการขาดแคลนบุคลากรที่มีความเชี่ยวชาญในด้านนี้

แผนการพัฒนาบุคลากรฯ ประกอบด้วย 4 หัวข้อหลัก ดังนี้

1. กำหนดโครงสร้างตำแหน่งงานและเส้นทางสายวิชาชีพที่ชัดเจน

เนื่องจากเทคโนโลยีมีการเปลี่ยนแปลงอย่างรวดเร็วและความเชี่ยวชาญของแต่ละสายงานในด้านความมั่นคงปลอดภัยไซเบอร์นั้นมีความแตกต่างกันค่อนข้างสูง ทำให้ทักษะที่จำเป็นต้องใช้ในการทำงานแต่ละสายนั้นมีความแตกต่างกันตามไปด้วย การกำหนดโครงสร้างตำแหน่งงานและความก้าวหน้าที่ชัดเจนจะช่วยให้การพัฒนาบุคลากรเป็นไปได้อย่างมีประสิทธิภาพมากขึ้น และช่วยให้ได้บุคลากรที่มีทักษะตรงตามความต้องการของสายงานตามไปด้วย ทั้งนี้ ทักษะที่จำเป็นนั้นมีทั้งด้านเทคนิคและด้านที่ไม่ใช่เทคนิค (เช่น ทักษะการบริการหรือทักษะการสื่อสาร)

2. ปรับปรุงสภาพแวดล้อมของการสอนและการฝึกอบรม

แบ่งแนวทางการพัฒนาทักษะออกเป็น 2 ส่วน คือการฝึกอบรมบุคลากรที่ทำงานในด้านนี้อยู่แล้ว กับปรับปรุงหลักสูตรการเรียนการสอนด้านความมั่นคงปลอดภัยไซเบอร์เพื่อให้มีผู้ที่จะเข้ามาทำงานในด้านนี้มากขึ้น โดยในระดับมัธยมศีกษา ทางรัฐบาลมีแผนที่จะเพิ่มทักษะความรู้ของอาจารย์ผู้สอนในสาย STEM (วิทยาศาสตร์ เทคโนโลยี วิศวกรรมศาสตร์ และคณิตศาสตร์) เพื่อปูพื้นฐานสำหรับการสอนในเรื่องที่เกี่ยวข้องกับความมั่นคงปลอดภัยฯ ส่วนในระดับมหาวิทยาลัย จะมีทั้งการเตรียมความพร้อมสำหรับปฏิบัติงานจริง (หลักสูตร ป.ตรี) และการฝึกปฏิบัติงานกับหน่วยงานในภาคอุตสาหกรรม (หลักสูตร ป.โท และ ป.เอก) นอกจากนี้ ทางรัฐบาลยังมีแผนพัฒนาความรู้สำหรับผู้ที่ไม่ได้ศึกษาในระดับมหาวิทยาลัยหรือศึกษาอยู่ในระดับสายอาชีพด้วย โดยจะมีทั้งการอบรมหลักสูตรพิเศษเพื่อเพิ่มทักษะ และการจัดสอนเนื้อหาที่เกี่ยวข้องกับความมั่นคงปลอดภัยฯ

3. เสริมสร้างทักษะด้านความมั่นคงปลอดภัยฯ ให้กับบุคคลทั่วไป

การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์นั้นไม่ได้เป็นแค่หน้าที่ของผู้ที่ทำงานด้านนี้เท่านั้น แต่เป็นความรับผิดชอบของทุกภาคส่วน รวมถึงผู้ใช้งานทั่วไปด้วย ดังนั้นการเสริมสร้างทักษะความรู้ที่จำเป็น เช่น การสร้างความตระหนัก จึงเป็นอีกหนึ่งช่องทางที่จะสามารถแก้ไขปัญหาการขาดแคลนบุคลากรได้ แนวทางการดำเนินงานตามแผนนี้ เช่น เปิดหลักสูตรความรู้พื้นฐานด้านทักษะดิจิทัลให้บุคคลทั่วไปเข้ามาเรียนได้ ซึ่งเนื้อหาจะครอบคลุมเรื่องความปลอดภัยและความเสี่ยงในโลกออนไลน์ รวมถึงมีการจัดอบรมให้ความรู้กับผู้ประกอบธุรกิจขนาดเล็กไปจนถึงหน่วยงานขนาดใหญ่เพื่อให้สามารถเข้าใจและรับมือกับภัยคุกคามทางไซเบอร์ได้

4. เป็นผู้นำในด้านการพัฒนาและรักษาบุคลากร

สร้างความร่วมมือกับภาคส่วนต่างๆ เพื่อดึงดูดบุคลากรที่มีความสามารถ พัฒนาทักษะของผู้ที่ทำงานอยู่ในปัจจุบัน และรักษาผู้มีความเชี่ยวชาญให้ยังอยู่ทำงานต่อ ซึ่งงานในส่วนนี้จำเป็นต้องได้รับความร่วมมือจากหลายภาคส่วน ตั้งแต่ระดับบฏิบัติการไปจนถึงระดับผู้บริหาร โดยทางรัฐบาลมีแผนที่จะสร้างเครือข่ายเพื่อดึงดูดบุคลากรจากประเทศอื่นๆ ให้เข้ามาทำงานในสหราชอาณาจักรด้วย ทั้งนี้จะมีการจัดตั้งหน่วยงาน National Cyber Security Programme (NCSP) เพื่อทำหน้าที่ในส่วนนี้ภายในช่วงปลายปี 2564

แผนการพัฒนาบุคลากรฯ นี้จะเริ่มดำเนินการในช่วงต้นปี 2562 รายละเอียดการดำเนินการและเอกสารต่างๆ จะมีการเผยแพร่ผ่านทางเว็บไซต์ของ NCSC ผู้ที่สนใจสามารถติดตามรายละเอียดได้จากเว็บไซต์ดังกล่าว

วันที่: 2018-12-26 | ที่มา: UK Government | Share on Facebook Share on Twitter Share on Google+
NIST เผยแพร่เอกสาร Risk Management Framework 2.0 ครอบคลุมด้านความมั่นคงปลอดภัย ความเป็นส่วนตัว และห่วงโซ่อุปทาน

หน่วยงาน NIST ของสหรัฐอเมริกาได้เผยแพร่เอกสาร NIST Special Publication (SP) 800-37 Revision 2 ชื่อเต็มคือ Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy (ชื่อย่อ RMF 2.0) โดยเอกสารนี้เป็นฉบับปรับปรุงจากเวอร์ชันก่อนหน้า

ทาง NIST เผยว่า RMF 2.0 นี้เป็นกรอบการทำงานที่ครอบคลุมทั้งด้านความมั่นคงปลอดภัย ความเป็นส่วนตัว และห่วงโซ่อุปทาน จุดประสงค์หลักเพื่อใช้เป็นแนวทางบริหารจัดการความเสี่ยงของระบบสารสนเทศภายในองค์กร โดยเนื้อหาจะมีตั้งแต่เรื่องแนวคิด โครงสร้าง กระบวนการทำงาน การควบคุม การประเมินผล และการเฝ้าระวัง ตัวเอกสารมีทั้งหมด 183 หน้า ผู้ที่สนใจสามารถดาวน์โหลดได้จากเว็บไซต์ของ NIST (https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final)

วันที่: 2018-12-26 | ที่มา: Healthcare IT News, NIST | Share on Facebook Share on Twitter Share on Google+
อัปเดตด่วน พบการใช้ช่องโหว่ร้ายแรงใน Internet Explorer ที่ทำให้เครื่องถูกแฮกได้

เมื่อวันที่ 19 ธันวาคม 2561 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ความร้ายแรงระดับวิกฤติ (Critical) ในโปรแกรม Internet Explorer โดยช่องโหว่นี้อยู่ในไลบรารี Scripting Engine ที่ใช้สำหรับประมวลผลสคริปต์ในหน้าเว็บไซต์ ตัวช่องโหว่นี้เป็นประเภท remote code execution มีผลให้ผู้ประสงค์ร้ายสามารถติดตั้ง สั่งเรียกใช้งานโปรแกรม หรือควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้ การโจมตีจะใช้วิธีหลอกให้เหยื่อเข้าไปยังเว็บไซต์ที่มีคำสั่งอันตรายฝังอยู่ หากใช้ Internet Explorer เวอร์ชันที่มีช่องโหว่เปิดเข้าไปยังเว็บไซต์ดังกล่าวก็อาจถูกแฮกเครื่องได้ทันที ช่องโหว่นี้มีรหัส CVE-2018-8653

การเผยแพร่แพตช์ในครั้งนี้เป็นแบบเร่งด่วน อยู่นอกเหนือจากรอบการอัปเดตตามปกติ เนื่องจากพบว่ามีการใช้ช่องโหว่นี้โจมตีแล้ว อย่างไรก็ตาม รายละเอียดการโจมตีนั้นยังไม่ได้เปิดเผยสู่สาธารณะ

ผู้ใช้และผู้ดูแลระบบควรติดตั้งแพตช์โดยเร็วที่สุด หากยังไม่สามารถทำได้ อาจใช้วิธีแก้ปัญหาเฉพาะหน้า (Workarounds) ด้วยการจำกัดสิทธิ์ไลบรารี Scripting Engine เพื่อลดผลกระทบหากถูกโจมตี โดยศึกษาวิธีการตั้งค่าได้จากเว็บไซต์ของ Microsoft (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653) ทั้งนี้ วิธีแก้ปัญหาแบบเฉพาะหน้าอาจมีปัญหากับบางเว็บไซต์ทำให้ไม่สามารถใช้งานได้ตามปกติ

วันที่: 2018-12-20 | ที่มา: The Register | Share on Facebook Share on Twitter Share on Google+
รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-14 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือนการโจมตีทางไซเบอร์ "Operation Sharpshooter" มุ่งเป้าเจาะระบบหน่วยงานด้านความมั่นคงและโครงสร้างพื้นฐานสำคัญของประเทศ

เมื่อวันที่ 12 ธันวาคม 2561 บริษัท McAfee ได้เผยแพร่รายงาน "Operation Sharpshooter" ระบุถึงการโจมตีทางไซเบอร์ที่มุ่งเป้าไปยังหน่วยงานด้านนิวเคลียร์ การเงิน ความมั่นคง และพลังงาน โดยทาง McAfee พบว่ามัลแวร์แพร่กระจายไปยังหน่วยงาน 87 แห่งทั่วโลกรวมถึงประเทศไทยตั้งแต่ช่วงเดือนตุลาคมถึงพฤศจิกายน ส่วนใหญ่เป็นหน่วยงานด้านความมั่นคงหรือหน่วยงานที่มีความเกี่ยวข้องกับรัฐบาล (อยู่ระหว่างตรวจสอบเพื่อยืนยันข้อมูลหน่วยงานที่ได้รับผลกระทบ)

รูปแบบการโจมตีจะใช้วิธีหลอกให้เหยื่อเปิดไฟล์ Microsoft Word ที่หลอกว่าเป็นเอกสารที่เกี่ยวข้องกับการรับสมัครงาน ช่องทางแพร่กระจายจะอัปโหลดไฟล์ Microsoft Word ขึ้นไปไว้บน Dropbox โดยในไฟล์ Word จะมีโค้ดอันตรายฝังอยู่ หากผู้ใช้เปิดไฟล์ดังกล่าวและอนุญาตให้มีการใช้งาน Macro โค้ดอันตรายจะถูกเรียกขึ้นมาทำงานเพื่อดาวน์โหลดไฟล์มัลแวร์จากเซิร์ฟเวอร์ภายนอกมาติดตั้งลงในเครื่องอีกทีหนึ่ง ตัวมัลแวร์นี้ทาง McAfee ตั้งชื่อว่า Rising Sun มีความสามารถในการฝังตัวเพื่อขโมยข้อมูลและส่งออกไปยังเซิร์ฟเวอร์ภายนอก ตัวอย่างข้อมูลที่ถูกส่งออกไปโดยหลัก ๆ จะเป็นรายละเอียดเบื้องต้นของเครื่องที่ติดมัลแวร์ เช่น ชื่อเครื่อง ชื่อบัญชีผู้ใช้ ที่อยู่ไอพี เวอร์ชันของระบบปฏิบัติการ เป็นต้น โดยข้อมูลที่ถูกส่งออกไปจะถูกเข้ารหัสลับเพื่อไม่ให้สามารถถูกตรวจจับความผิดปกติได้

ทาง McAfee ได้เผยแพร่ข้อมูล IOC สำหรับใช้ตรวจสอบและป้องกันการโจมตี โดยประกอบด้วยค่าแฮชของไฟล์ที่เกี่ยวข้อง ที่อยู่ไอพีและโดเมนของเซิร์ฟเวอร์ที่ใช้ควบคุมและสั่งการเครื่องที่ติดมัลแวร์ หน่วยงานที่อยู่ในกลุ่มเสี่ยงที่ว่ามีโอกาสตกเป็นเป้าหมายของการโจมตีควรเฝ้าระวัง อัปเดตข้อมูลสำหรับใช้ในการตรวจจับการโจมตี และอัปเดตระบบอย่างสม่ำเสมอ

วันที่: 2018-12-14 | ที่มา: McAfee, McAfee | Share on Facebook Share on Twitter Share on Google+
รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-13 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
รัฐบาลออสเตรเลียออกข้อแนะนำความมั่นคงปลอดภัย เสนอให้ผู้ดูแลระบบบล็อกโฆษณาในเว็บไซต์, ปิด Flash Player, Java, และ Office Macro

หน่วยงาน Australian Cyber Security Centre (ACSC) ของรัฐบาลออสเตรเลียได้เผยแพร่เอกสาร Australian Government Information Security Manual เพื่อใช้เป็นคู่มือสำหรับการปฏิบัติงานและการตั้งค่าความมั่นคงปลอดภัยให้กับระบบในหน่วยงานภาครัฐ ตัวเอกสารมีหลายหัวข้อ ครอบคลุมตั้งแต่การแบ่งลำดับหน้าที่การทำงาน การจัดทำเอกสาร การรักษาความมั่นคงปลอดภัยทั้งตัวอุปกรณ์ บุคลากร และระบบเครือข่าย ไปจนถึงแนวทางการตั้งค่าระบบและการพัฒนาซอฟต์แวร์ให้มีความมั่นคงปลอดภัย

ตัวเอกสารนี้ได้มีการปรับปรุงอยู่เรื่อยๆ ทุกปี โดยเอกสารฉบับล่าสุดของปี 2018 ได้ถูกเพิ่มข้อแนะนำการตั้งค่าความมั่นคงปลอดภัยให้กับเครื่องคอมพิวเตอร์ของหน่วยงาน ตัวอย่างเช่น ปิดไม่ให้มีการแสดงผลโฆษณาในหน้าเว็บไซต์ ปิดการใช้งาน Adobe Flash Player ปิดไม่ให้ Java เชื่อมต่อกับอินเทอร์เน็ต รวมถึงปิดไม่ให้มีการใช้งาน Microsoft Office Macro จากไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต เป็นต้น นอกจากนี้ยังมีการเพิ่มข้อกำหนดอื่นๆ อย่างเช่น ต้องมีการตรวจสอบสิทธิ์บัญชีผู้ใช้ในระบบอย่างสม่ำเสมอ ปรับปรุงกระบวนการสำรองและกู้คืนข้อมูล ปรับปรุงการส่งข้อมูลข้ามหน่วยงาน เป็นต้น

ข้อแนะนำส่วนใหญ่ออกมาในแนวภาพรวมแบบกว้างๆ โดยอ้างอิงมาตรฐานสากลอย่างเช่น NIST โดยบางข้อกำหนดมีข้อมูลหรือแนวทางการปฏิบัติเพิ่มเติมได้สามารถศึกษาต่อได่ด้วย ผู้ที่สนใจสามารถดูเอกสารนี้ได้จาก https://cyber.gov.au/infrastructure/publications/australian-government-information-security-manual-ism/pdf/Australian_Government_Information_Security_Manual.pdf

วันที่: 2018-12-13 | ที่มา: IT News | Share on Facebook Share on Twitter Share on Google+
Microsoft และ Adobe ออกแพตช์ประจำเดือนธันวาคม 2018 แก้ไขช่องโหว่ร้ายแรงที่ถูกใช้ในการโจมตีจริงแล้ว

เมื่อวันที่ 11 ธันวาคม 2561 ทาง Microsoft และ Adobe ได้ออกแพตช์แก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยประจำเดือนธันวาคม โดยมีการแก้ไขช่องโหว่ระดับวิกฤติ (Critical) ที่เคยถูกใช้ในการโจมตีหน่วยงานในต่างประเทศมาแล้ว ผู้ดูแลระบบควรตรวจสอบและอัปเดตระบบที่ใช้งานอยู่เพื่อลดโอกาสที่จะเกิดความเสียหาย

แพตช์ของ Microsoft แก้ไขช่องโหว่ทั้งหมด 39 จุด โดยมี 9 จุดเป็นช่องโหว่ระดับวิกฤติแต่ยังไม่พบว่าเคยถูกใช้ในการโจมตีมาก่อน อย่างไรก็ตาม มีช่องโหว่ 1 จุดที่เป็นระดับ Important แต่เคยถูกใช้ในการโจมตีมาแล้ว คือช่องโหว่รหัส CVE-2018-8611 ที่เป็นประเภทยกระดับสิทธิ์จากผู้ใช้ทั่วไปเป็นผู้ดูแลระบบ (Elevation of Privilege) ก่อนหน้านี้มีรายงานว่าพบมัลแวร์ที่ใช้เทคนิคนี้ในการโจมตีมาแล้ว

สำหรับแพตช์ของ Adobe หลักๆ จะเน้นการแก้ไขช่องโหว่ของ Adobe Acrobat และ Adobe Reader เป็นหลัก โดยแก้ไขช่องโหว่ทั้งหมด 9 จุด ซึ่งมี 6 จุดเป็นช่องโหว่ระดับวิกฤติที่ส่งผลให้ผู้ประสงค์ร้ายสามารถสั่งประมวลผลคำสั่งอันตรายบนเครื่องของเหยื่อได้

วันที่: 2018-12-13 | ที่มา: Krebs on Security, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+