Clear
Lead Graphic Papers

ข่าวสั้น

ระวังภัย พบอีเมลฟิชชิ่งหลอกขโมยรหัส Facebook ด้วยการใส่ลิงก์เว็บปลอมไว้ใน Facebook Notes

ทีมความมั่นคงปลอดภัยจาก First Look Media ได้แจ้งเตือนเทคนิคการโจมตีฟิชชิ่งรูปแบบใหม่ หลอกขโมยรหัสผ่านบัญชี Facebook โดยอาศัยฟีเจอร์ Facebook Notes เป็นตัวพาไปยังเว็บไซต์ปลอม เทคนิคการโจมตี ผู้ประสงค์ร้ายจะสร้างบัญชี Facebook โดยตั้งชื่อบัญชีและรูปโพรไฟล์หลอกว่าเป็นบัญชีของ Facebook Support จากนั้นส่งอีเมลหลอกว่าโพสต์ของผู้ใช้ถูกรายงานการละเมิดและต้องการให้ตรวจสอบ โดยลิงก์ที่ส่งมาในอีเมลนั้นจะพาไปยังเว็บไซต์ Facebook จริงๆ ซึ่งเมื่อคลิกเข้าไปยังลิงก์ดังกล่าวจะถูกพาไปยังหน้า Facebook Notes โดยเนื้อหาข้างในระบุว่าโพสต์ของผู้ใช้ถูกแจ้งระงับเนื่องจากละเมิดลิขสิทธ์ หากผู้ใช้พบว่าข้อมูลนี้เป็นการแจ้งที่ผิดพลาดให้ร้องเรียนมายัง Facebook โดยคลิกลิงก์ที่อยู่ด้านล่างสุดของ Notes

ตัวลิงก์ที่อยู่ด้านล่างของหน้า Notes นั้นระบุ URL ว่าเป็นเว็บไซต์ Facebook แต่หากผู้ใช้หลงเชื่อคลิกลิงก์ดังกล่าวจะถูกพาไปยังเว็บไซต์อื่น ซึ่งเป็นเว็บไซต์ปลอมที่ถูกสร้างเลียนแบบหน้าล็อกอินของ Facebook โดยในหน้าดังกล่าวนอกจากหลอกขโมยรหัสผ่านแล้วยังหลอกให้กรอกหมายเลขโทรศัพท์และข้อมูลวันเกิดด้วย เมื่อผู้ใช้กรอกข้อมูลลงในหน้าดังกล่าว ข้อมูลจะถูกส่งไปให้กับผู้ประสงค์ร้าย จากนั้นตัวหน้าเว็บปลอมจะ redirect กลับมายังหน้าเว็บไซต์จริงของ Facebook เพื่อหลอกให้ผู้ใช้เข้าใจว่าข้อมูลที่ส่งไปก่อนหน้านี้เป็นหน้าของทาง Facebook จริงๆ

ปัจจุบันทาง Facebook ได้ระงับบัญชีปลอมที่ใช้เทคนิคนี้ในการโจมตี รวมถึงนำรายการโดเมนปลอมใส่ไว้ใน block list ของ Facebook ด้วย ซึ่งผู้ใช้จะไม่สามารถโพสต์ลิงก์ไปยังเว็บไซต์ดังกล่าวใน Facebook ได้ จุดประสงค์เพื่อป้องกันไม่ให้มีผู้ตกเป็นเหยื่อเพิ่มอีก

กรณีนี้เป็นตัวอย่างที่ดีของความจำเป็นในการศึกษาและติดตามข่าวสารข้อแนะนำด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ เพราะผู้ประสงค์ร้ายมีการพัฒนาเทคนิคการโจมตีแบบใหม่อยู่ตลอดเวลา ข้อแนะนำเดิมๆ เรื่องการสังเกตฟิชชิ่งนั้นอาจไม่สามารถช่วยป้องกันได้เสมอไป เพราะในตัวอย่างกรณีนี้ผู้ประสงค์ร้ายส่งลิงก์ของเว็บไซต์ Facebook จริงๆ มาในอีเมล ซึ่งเมื่อคลิกเข้าไปก็จะพบว่าโดเมนของเว็บไซต์ที่ปรากฏนั้นเป็นของ Facebook จริงๆ ส่วนเว็บไซต์ปลอมที่ขโมยข้อมูลนั้นตัวโดเมนไม่ใช่ของ Facebook แต่ก็มีการใช้งาน HTTPS ซึ่งการสังเกตแค่ว่ามีการใช้ HTTPS หรือมีสัญลักษณ์กุญแจสีเขียวนั้นไม่เพียงพอ ต้องตรวจสอบโดเมนของเว็บไซต์ทุกครั้งก่อนล็อกอินด้วย

วันที่: 2020-01-24 | ที่มา: First Look Media | Share on Facebook Share on Twitter Share on Google+
Citrix ออกแพตช์แก้ไขช่องโหว่ใน ADC/Gateway พร้อมปล่อยเครื่องมือช่วยตรวจสอบว่าระบบถูกแฮกหรือไม่

ตามที่ได้มีการแจ้งเตือนช่องโหว่ CVE-2019-19781 ในผลิตภัณฑ์ของบริษัท Citrix อย่าง ADC, Gateway, และ SD-WAN WANOP และเริ่มพบการโจมตีตั้งแต่ต้นเดือนมกราคม 2563 แล้วนั้น (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-13-01.html) เมื่อวันที่ 22 มกราคม 2563 ทาง Citrix ได้ปล่อยอัปเดตให้กับระบบที่ได้รับผลกระทบเกือบทั้งหมดแล้ว (ยังเหลือ Citrix ADC/Gateway เวอร์ชัน 10.5 ที่แพตช์จะออกในวันที่ 24 มกราคม 2563) ผู้ดูแลระบบควรตรวจสอบและพิจารณาติดตั้งแพตช์โดยเร็วเพื่อลดความเสี่ยงและผลกระทบ

อย่างไรก็ตาม ในช่วงระหว่างที่ยังไม่มีแพตช์นั้นมีรายงานการโจมตีช่องโหว่นี้เป็นวงกว้าง บางระบบอาจไม่ได้ถูกตั้งค่าเพื่อป้องกันการโจมตีหรือตั้งค่าแล้วแต่ไม่สามารถป้องกันได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-20-01.html) ซึ่งผลกระทบนั้นอาจทำให้ผู้ประสงค์ร้ายสามารถติดตั้งมัลแวร์หรือสั่งแฮกควบคุมเครื่องเซิร์ฟเวอร์ในองค์กรได้ ทาง Citrix จึงได้ร่วมมือกับ FireEye เพื่อพัฒนาเครื่องมือสำหรับใช้ตรวจสอบว่าระบบถูกแฮกแล้วหรือไม่ โดยตัวเครื่องมือนี้จะทำการสแกนไฟล์ โพรเซส หรือพอร์ตที่เกี่ยวข้องกับการโจมตีแล้วเปรียบเทียบกับข้อมูล IOC ที่ถูกค้นพบแล้ว ผู้ดูแลระบบสามารถใช้เครื่องมือนี้เพื่อช่วยประเมินความเสี่ยงได้ ผลการสแกนมีตั้งแต่พบข้อมูลที่สามารถยืนยันได้ว่าระบบมีช่องโหว่และถูกแฮกสำเร็จแล้ว ระบบมีช่องโหว่และยืนยันได้ว่าเคยถูกสแกนช่องโหว่สำเร็จ และระบบถูกสแกนช่องโหว่แต่ไม่สำเร็จ อย่างไรก็ตาม ผลจากเครื่องมือนี้ก็ยังอาจไม่สามารถยืนยันได้ 100%

หากพบว่าระบบถูกแฮกสำเร็จแล้ว หรือหากไม่ได้มีการตั้งค่าป้องกันใดๆ ในช่วงระหว่างที่ทาง Citrix ยังไม่ออกแพตช์ (ซึ่งก็อาจอนุมานได้ว่าระบบถูกโจมตีสำเร็จแล้ว) ผู้ดูแลระบบอาจพิจารณาตรวจพิสูจน์พยานหลักฐานระบบที่เกี่ยวข้องเพื่อหาร่องรอยการบุกรุกและประเมินแนวทางแก้ไขปัญหา รวมถึงอาจพิจารณาติดตั้งระบบใหม่และอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด ข้อมูลอื่นๆ ที่อาจเป็นประโยชน์สำหรับการตรวจพิสูจน์สามารถศึกษาได้จาก https://github.com/x1sec/CVE-2019-19781/blob/master/CVE-2019-19781-DFIR.md

วันที่: 2020-01-24 | ที่มา: Citrix, FireEye | Share on Facebook Share on Twitter Share on Google+
NIST Privacy Framework ออกตัวเต็มแล้ว องค์กรควรศึกษาเพื่อใช้เป็นแนวทางบริหารความเสี่ยงด้านความเป็นส่วนตัว

ปัจจุบันหลายประเทศทั่วโลกต่างให้ความสำคัญทั้งเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัว โดยมีการออกกฎหมายเพื่อให้รองรับกับทั้งสองเรื่องดังกล่าว ทางหน่วยงาน NIST ของสหรัฐฯ เองก็มีความพยายามพัฒนากรอบการทำงาน (framework) ด้านความเป็นส่วนตัวมาเป็นระยะเวลาหนึ่ง โดยหลังจากที่ได้เปิดรับฟังความคิดเห็นมาพอสมควร เมื่อวันที่ 16 มกราคม 2563 ทางหน่วยงาน NIST ก็ได้เผยแพร่เอกสาร Privacy Framework เวอร์ชัน 1.0 ออกมาให้ดาวน์โหลดแล้ว (https://www.nist.gov/privacy-framework) โดยตัวเอกสารนี้เป็นกรอบการทำงานด้านความเป็นส่วนตัว เพื่อใช้ประกอบกับกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework) ที่ออกมาก่อนหน้านี้

โดยภาพรวม NIST Privacy Framework ประกอบด้วย 3 หัวข้อหลักคือ Core, Profiles, และ Implementation Tiers ซึ่งไล่ตามลำดับของกระบวนการทำงาน ตั้งแต่การจัดกลุ่มงานย่อย ตั้งเป้าแผนการทำงาน ไปจนถึงเปรียบเทียบระดับของการใช้งานจริง

ในกรอบการทำงานจะแบ่งความเสี่ยงออกเป็น 2 ด้าน คือความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risks) และความเสี่ยงด้านความเป็นส่วนตัว (Privacy Risks) โดยความเสี่ยงทั้ง 2 ด้านนี้มีจุดร่วมตรงกลางเรียกว่า เหตุการณ์ด้านความเป็นส่วนตัวที่มีความมั่นคงปลอดภัยไซเบอร์มาเกี่ยวข้อง (Cybersecurity-related privacy events)

Core ของ NIST Privacy Framework จะแบ่งออกเป็น 5 ฟังก์ชัน (function) โดยอยู่ใน Privacy Risks จำนวน 4 ฟังก์ชัน (ประกอบด้วย Identify-P, Govern-P, Control-P และ Communicate-P) และอยู่ใน Cybersecurity-related privacy events จำนวน 1 ฟังก์ชัน (Protect-P) ซึ่งในส่วนนี้จะถูกใช้ควบคู่กับฟังก์ชัน Detect, Respond, และ Recover ของ NIST Cybersecurity Framework ด้วย

Profiles เป็นการหยิบฟังก์ชันจาก core มาจัดกลุ่ม โดยรูปแบบคือการประเมินว่าในปัจจุบัน (current) มีการทำงานครอบคลุมในฟังก์ชันไหนบ้างแล้ว และหากต้องการพัฒนาให้ไปถึงเป้าหมาย (target) จะต้องนำฟังก์ชันใดบ้างมาพิจารณาปรับใช้ต่อ

Implementation Tiers เป็นข้อมูลสำหรับผู้มีอำนาจตัดสินใจใช้อ้างอิงประกอบการพิจารณาความคุ้มค่าของการจัดสรรทรัพยากรเพื่อบริหารความเสี่ยง โดยระดับชั้นของการทำงานนั้นต้องอาศัยความร่วมมือทั้งจากระดับนโยบาย ระดับบริหาร และระดับปฏิบัติการ

ทาง NIST ได้จัดทำหน้าเว็บไซต์ Resource Repository เพื่อใช้ประกอบการอ้างอิงฟังก์ชันกับมาตรฐานหรือข้อแนะนำอื่นๆ ที่เคยมีอยู่แล้วก่อนหน้านี้ เพื่อให้การนำไปใช้งานสามารถทำได้ง่ายขึ้น โดยผู้ที่สนใจสามารถดูเพิ่มเติมได้จาก https://www.nist.gov/privacy-framework/resource-repository/browse

ทั้งนี้ การจะนำกรอบการทำงานไปปรับใช้ในองค์กรนั้นจำเป็นต้องพิจารณาความพร้อมด้านทรัพยากร รวมถึงประเมินความเสี่ยงและผลกระทบจากการดำเนินการด้วย ตัวเอกสารนี้เป็นเพียงแนวทางการทำงานเพราะฉะนั้นจะไม่มีรายละเอียดในระดับปฏิบัติ ผู้บริหารอาจต้องพิจารณาแนวปฏิบัติอื่นๆ รวมถึงข้อกฎหมาย และข้อกำหนดจากหน่วยงานกำกับดูแลร่วมด้วย

วันที่: 2020-01-20 | ที่มา: NIST | Share on Facebook Share on Twitter Share on Google+
Citrix ออกแพตช์แก้ไขช่องโหว่ใน Citrix ADC และ Citrix Gateway (เฉพาะเวอร์ชัน 11.1 และ 12.0) ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 19 มกราคม 2563 บริษัท Citrix ได้ออกแพตช์แก้ไขช่องโหว่หมายเลข CVE-2019-19781 ในซอฟต์แวร์ Citrix Application Delivery Controller (Citrix ADC) และ Citrix Gateway ซึ่งเป็นช่องโหว่ที่ส่งผลให้ผู้ประสงค์ร้ายสามารถแฮกเครือข่ายภายในองค์กรหรือสั่งควบคุมเครื่องเซิร์ฟเวอร์ได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-13-01.html) โดยแพตช์ที่ปล่อยออกมาในรอบนี้ยังมีเฉพาะของเวอร์ชัน 11.1 และ 12.0 ส่วนเวอร์ชันอื่น ๆ (10.5, 12.1, 13.0) รวมถึงแพตช์ของ Citrix SD-WAN WANOP เวอร์ชัน 10.2.6 และ 11.0.3 (ซึ่งเป็นระบบที่ได้รับผลกระทบเช่นเดียวกัน) จะปล่อยในวันที่ 24 มกราคม 2563

ผู้ดูแลระบบสามารถดาวน์โหลดแพตช์ได้ตามลิงก์ต่อไปนี้

ทั้งนี้ ระหว่างที่รุ่นอื่น ๆ ยังไม่มีแพตช์ ทางบริษัท Citrix ได้แนะนำให้ผู้ดูแลระบบตั้งค่าเพื่อลดผลกระทบชั่วคราว โดยสามารถศึกษาวิธีตั้งค่าได้จาก https://support.citrix.com/article/CTX267027

อย่างไรก็ตาม มีรายงานจากหน่วยงาน NCSC ประเทศเนเธอร์แลนด์ว่า Citrix ADC และ Citrix Gateway เวอร์ชัน 12.1 ที่เป็น build ก่อน 51.16/51.19 และ 50.31 นั้นถึงแม้จะตั้งค่าลดผลกระทบตามข้อแนะนำในเว็บไซต์ของ Citrix แล้วแต่ก็ยังไม่สามารถป้องกันได้ ควรอัปเดตให้เป็นเวอร์ชันใหม่แล้วค่อยตั้งค่า หรือหากไม่สามารถทำได้อาจพิจารณาปิดระบบเป็นการชั่วคราวจนกว่าจะมีแพตช์เนื่องจากไม่สามารถป้องกันการโจมตีได้

เนื่องจากมีรายงานการโจมตีระบบที่มีช่องโหว่นี้ตั้งแต่ช่วงวันที่ 8 มกราคม 2563 แล้ว ระบบใด ๆ ที่ยังไม่ได้ถูกตั้งค่าเพื่อลดผลกระทบอาจมีความเสี่ยง องค์กรควรพิจารณาตรวจสอบข้อมูล log เพิ่มเติมเพื่อประเมินว่าระบบถูกบุกรุกแล้วหรือไม่ เพื่อเตรียมพร้อมสำหรับการรับมือแก้ไขปัญหาต่อไป

วันที่: 2020-01-20 | ที่มา: Citrix, Bleeping Computer, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
ข้อแนะนำ 3 ประการเพื่อช่วยส่งเสริมทักษะและรักษาบุคลากรที่มีความสามารถไว้กับองค์กร

ความท้าทายของการบริหารทรัพยากรบุคคลด้านความมั่นคงปลอดภัยไซเบอร์ นอกจากจะเป็นเรื่องของการสรรหาบุคลากรเข้ามาทำงานให้เพียงพอกับความต้องการแล้ว (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-11-08-01.html) ยังมีเรื่องของการส่งเสริมทักษะและการรักษาบุคลากรที่มีความสามารถไว้กับองค์กรด้วย ทาง Infosec Institute ได้จัดทำแบบสำรวจช่องว่างทักษะ (skill gap) ของบุคคลด้านความมั่นคงปลอดภัยไซเบอร์ โดยเผยแพร่ออกมาเป็นรายงานข้อแนะนำ 3 ประการสำหรับผู้บริการ ประกอบด้วย การกำหนดความชัดเจนของความก้าวหน้าทางวิชาชีพ การเพิ่มทักษะให้กับบุคลากรที่มีอยู่ และการส่งเสริมการเรียนรู้ด้วยตนเอง

การมีเส้นทางความก้าวหน้าทางวิชาชีพอย่างชัดเจนนั้นเป็นสิ่งสำคัญเพราะสามารถช่วยบอกได้ว่าคนทำงานควรพัฒนาทักษะในด้านไหนและประเมินได้ว่าความรู้ที่ตนเองมีอยู่ในปัจจุบันนั้นเพียงพอหรือไม่กับตำแหน่งงานในอนาคต ทั้งนี้ บุคลากรส่วนใหญ่ที่ทราบความก้าวหน้าทางวิชาชีพระบุว่าพยายามทุ่มเทเวลาว่างจากการทำงานเพื่อศึกษาเรียนรู้ทักษะที่จำเป็นสำหรับตำแหน่งงานในอนาคต ในขณะที่บุคลากรที่ไม่รู้ว่าอนาคตจะไปทางไหนนั้นอาจไม่ให้ความสำคัญกับการพัฒนาทักษะหรือแทบจะไม่มีเลย

การที่องค์กรส่งบุคลากรไปอบรมเพิ่มทักษะหรือสนับสนุนในเรื่องของการพัฒนาความรู้ก็สามารถช่วยให้บุคลากรเหล่านั้นเห็นภาพความก้าวหน้าทางวิชาชีพที่ชัดเจนมากขึ้นได้ ในขณะเดียวกัน บุคลากรที่พบว่าองค์กรไม่สนับสนุนความรู้หรือก้าวหน้าก็มีแนวโน้มที่จะลาออกภายในครึ่งปีหรือเร็วกว่านั้น

การส่งเสริมการพัฒนาความรู้นั้นสามารถทำได้หลายวิธี เช่น การให้ทุนเพื่อสอบใบรับรองหรือสนับสนุนการเรียนรู้ทักษะใหม่ๆ อย่างไรก็ตาม บุคลากรครึ่งหนึ่งมองว่าการมีทักษะนั้นสำคัญกว่าการมีใบรับรอง ในขณะที่ประมาณ 40% มองว่าทักษะกับใบรับรองนั้นมีความสำคัญพอๆ กัน ดังนั้นองค์กรอาจต้องประเมินว่าการสนับสนุนให้บุคลากรไปสอบใบรับรองนั้นมีความจำเป็นมากน้อยแค่ไหนเมื่อเทียบกับการสนับสนุนการเรียนรู้ในทักษะด้านอื่นๆ ทั้งนี้ บุคลากรกว่าครึ่ง (59%) ระบุว่าใช้เวลาว่าง 2-3 ชั่วโมงต่อสัปดาห์เพื่อเรียนรู้ทักษะใหม่ๆ ด้วยตนเองอยู่แล้ว ในขณะที่บุคลากร 15% นั้นระบุว่าใช้เวลามากกว่า 1 ชั่วโมงต่อวันเพื่อศึกษาความรู้ใหม่ๆ ดังนั้นการสร้างวัฒนธรรมที่สนับสนุนให้บุคลากรมีความกระตือรือล้นที่จะศึกษาทักษะใหม่ๆ ด้วยตนเองนั้นจึงเป็นหนึ่งในวิธีที่ช่วยแก้ปัญหาการขาดแคลนบุคลากรที่มีความสามารถได้

อย่างไรก็ตาม การจะผลักดันให้คนทำงานมีความสนใจในการพัฒนาทักษะความรู้นั้นต้องอาศัยแนวทางการบริหารจัดการอย่างเป็นรูปธรรมร่วมด้วย เพราะนอกจากความชัดเจนเรื่องความก้าวหน้าในหน้าที่การงานแล้ว บุคลากรกว่า 1 ใน 4 ยังพบปัญหาความเหนื่อยล้าจากการทำงาน รวมถึงประสบปัญหาปริมาณงานที่มากเกินไปจนต้องเอางานกลับไปทำต่อที่บ้าน ซึ่งส่งผลให้หน่วยงานเสียโอกาสในการพัฒนาความสามารถของบุคลากรอย่างที่ควรจะเป็น

ข้อมูลเพิ่มเติมเกี่ยวกับผลสำรวจนี้ ผู้ที่สนใจสามารถศึกษาได้จากเอกสาร "2019 Cybersecurity Industry Report" โดยดาวน์โหลดได้จากเว็บไซต์ของ Infosec Institute

วันที่: 2020-01-16 | ที่มา: Infosec Institute | Share on Facebook Share on Twitter Share on Google+
ช่องโหว่ CryptoAPI (CVE-2020-0601) ถูกโจมตีสำเร็จแล้ว ตัวอย่างโค้ดถูกเผยแพร่สู่สาธารณะ ควรรีบอัปเดต

หลังจากที่ทาง Microsoft ได้ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือนมกราคม 2563 ไปเมื่อตอนดึกของวันอังคารที่ 14 มกราคม (ตามเวลาในประเทศไทย) โดยในแพตช์รอบนี้ได้มีการแก้ไขช่องโหว่ระดับวิกฤตอย่างน้อย 2 เรื่อง คือช่องโหว่ในไลบรารี CryptoAPI (CVE-2020-0601) และช่องโหว่ในบริการ Remote Desktop Gateway (CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611) (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-01-15-01.html) ในวันพุธที่ 15 มกราคม ได้มีการเผยแพร่ตัวอย่างโค้ดสำหรับใช้โจมตีช่องโหว่ CryptoAPI ออกสู่สาธารณะแล้วและได้รับการยืนยันว่าสามารถใช้งานได้จริง ส่วนโค้ดสำหรับใช้โจมตีช่องโหว่ในบริการ Remote Desktop Gateway นั้นอยู่ระหว่างการพัฒนา ซึ่งมีความเป็นไปได้ว่าตัวโค้ดที่สามารถใช้งานได้จริงน่าจะถูกเผยแพร่ออกมาในเร็วๆ นี้

ตัวช่องโหว่ในไลบรารี CryptoAPI นั้นสามารถใช้ปลอมแปลงใบรับรองดิจิทัลของเว็บไซต์ที่ใช้ HTTPS หรือหลอกให้ระบบปฏิบัติการเข้าใจว่าแอปพลิเคชันอันตรายนั้นมาจากผู้พัฒนาที่น่าเชื่อถือ ซึ่งผู้พัฒนามัลแวร์อาจใช้ช่องโหว่นี้ในการติดตั้งมัลแวร์ลงในเครื่องของเหยื่อได้ ตัวช่องโหว่นี้มีผลกระทบเฉพาะ Windows 10, Windows Server 2016 และ 2019 ถึงแม้จะยังไม่พบรายงานการนำช่องโหว่นี้มาใช้โจมตีจริง อีกทั้งผลกระทบนั้นขึ้นอยู่กับวิธีการโจมตีและสภาพแวดล้อม แต่หากเป็นไปได้ผู้ใช้งานระบบปฏิบัติการที่ได้รับผลกระทบควรพิจารณาติดตั้งอัปเดตโดยเร็ว (หมายเหตุ: Windows Update มีระบบ certificate pinning ทำให้ไม่ได้รับผลกระทบจากช่องโหว่นี้)

ช่องโหว่ในบริการ Remote Desktop Gateway นั้นนักวิจัยด้านความมั่นคงปลอดภัยที่ใช้ชื่อว่า MalwareTech ได้แจ้งว่าอยู่ระหว่างการพัฒนาโค้ดสำหรับใช้โจมตี โดยเบื้องต้นโค้ดดังกล่าวมีผลทำให้ระบบหยุดทำงาน แต่ในอนาคตหากมีการเผยแพร่รายละเอียดหรือมีการศึกษาช่องโหว่นี้มากขึ้นก็อาจมีผู้พัฒนาโค้ดสำหรับใช้โจมตีเพื่อสั่งควบคุมเครื่องคอมพิวเตอร์จากระยะไกลได้ เนื่องจากช่องโหว่นี้มีโอกาสที่จะเกิดความเสียหายสูง ผู้ดูแลระบบควรพิจารณาติดตั้งอัปเดตโดยเร็วที่สุด

วันที่: 2020-01-16 | ที่มา: SANS ISC, Ars Technica, MalwareTech | Share on Facebook Share on Twitter Share on Google+
Microsoft ปล่อยแพตช์ประจำเดือนมกราคม 2563 แก้ไขช่องโหว่ระดับวิกฤติใน CryptoAPI และ RD Gateway ควรรีบอัปเดต

Microsoft ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือนมกราคม 2563 โดยรอบนี้แก้ไขช่องโหว่ทั้งหมด 49 จุด มีช่องโหว่ระดับวิกฤติ (Critical) จำนวน 7 จุด ซึ่งควรติดตั้งอัปเดตในทันทีที่สามารถทำได้ ในบรรดาช่องโหว่ของเดือนนี้มี 2 เรื่องที่น่าสนใจคือช่องโหว่ใน CryptoAPI และ Remote Desktop Gateway

ช่องโหว่ใน Windows CryptoAPI อยู่ในไลบรารี CRYPT32.DLL ซึ่งใช้สำหรับคำนวณการเข้ารหัสลับ โดยทางหน่วยงาน NSA ของสหรัฐฯ ได้พบว่าไลบรารีนี้มีข้อผิดพลาดในการตรวจสอบกุญแจของใบรับรองดิจิทัลที่สร้างโดยใช้อัลกอริทึม Elliptic Curve Cryptography (ECC) ส่งผลให้ผู้ประสงค์ร้ายสามารถสร้างใบรับรองปลอมมาใช้หลอกกระบวนการตรวจสอบของ Windows ได้ โดยหลักแล้วใบรับรองดิจิทัลจะถูกใช้เพื่อยืนยันว่าเว็บไซต์ ไฟล์ อีเมล หรือโปรแกรมนั้นๆ มาจากเจ้าของหรือผู้พัฒนาตัวจริง ดังนั้นการที่ใบรับรองถูกปลอมได้ก็อาจทำให้ผู้ใช้ถูกขโมยข้อมูล ถูกหลอกให้เชื่อถือเอกสารปลอม หรือถูกหลอกให้ติดตั้งโปรแกรมอันตรายลงในเครื่องได้ ตัวช่องโหว่นี้มีผลกระทบเฉพาะ Windows 10, Windows Server 2016 และ 2019 ส่วน Windows เวอร์ชันก่อนหน้าไม่ได้รับผลกระทบเนื่องจากไม่รองรับการตรวจสอบใบรับรองดิจิทัลแบบ ECC ที่มีพารามิเตอร์ ทั้งนี้ ทาง Microsoft และ NSA ระบุว่ายังไม่พบการนำช่องโหว่นี้มาใช้โจมตีจริง แต่ก็แนะนำให้รีบติดตั้งแพตช์เพราะอาจมีการโจมตีช่องโหว่นี้ได้ในอนาคต (ช่องโหว่นี้มีรหัส CVE-2020-0601 ระดับความรุนแรง CVSS 9.4)

ช่องโหว่ใน Windows Remote Desktop Gateway (RD Gateway) เป็นช่องโหว่ประเภท remote code execution ผู้ประสงค์ร้ายสามารถส่งข้อมูลที่ถูกสร้างมาเฉพาะเข้ามาทางโพรโทคอล remote desktop เพื่อโจมตีระบบที่มีช่องโหว่ได้ โดยหากโจมตีสำเร็จจะสามารถสั่งรันโปรแกรมหรือควบคุมเครื่องปลายทางได้ ช่องโหว่นี้สามารถโจมตีได้จากระยะไกลและไม่ต้องยืนยันตัวตน ตัวช่องโหว่มีผลกระทบตั้งแต่ Windows 7, 8.1, 10, Server 2008, 2012, 2016, และ 2019 ถึงแม้จะยังไม่มีรายงานการโจมตีผ่านช่องโหว่นี้แต่โอกาสโจมตีสำเร็จและความเสียหายมีสูงจึงควรรีบติดตั้งแพตช์ทันที (ช่องโหว่นี้มีรหัส CVE-2020-0609, CVE-2020-0610 และ CVE-2020-0611 ระดับความรุนแรง CVSS 9.8)

วันที่: 2020-01-15 | ที่มา: Microsoft, SingCERT | Share on Facebook Share on Twitter Share on Google+
Windows 7 จะไม่ได้รับอัปเดตความมั่นคงปลอดภัยหลัง 14 มกราคม 2563 พบเครื่องในไทยเกือบ 1 ใน 4 ยังใช้งานอยู่

บริษัท Microsoft จะปล่อยแพตช์ด้านความมั่นคงปลอดภัยให้กับ Windows 7 และ Windows Server 2008 (รวมทั้ง 2008 R2) เป็นครั้งสุดท้ายในช่วงดึกของวันอังคารที่ 14 มกราคม 2563 (ตามเวลาในประเทศไทย) จากนั้นทั้งสองระบบปฏิบัติการนี้จะไม่ได้รับอัปเดตหรือการสนับสนุนทางเทคนิคใดๆ อีก (ข่าวเก่า https://www.thaicert.or.th/newsbite/2019-12-11-01.html) เหตุการณ์นี้จะส่งผลกระทบต่อผู้ใช้และองค์กรจำนวนมากที่ยังคงใช้งานระบบปฏิบัติการเหล่านี้อยู่

จากสถิติของเว็บไซต์ StatCounter พบว่าในเดือนธันวาคม 2562 เกือบ 1 ใน 4 ของเครื่องคอมพิวเตอร์ในประเทศไทยยังคงใช้งาน Windows 7 ในการเข้าถึงอินเทอร์เน็ต นั่นทำให้หลังจากวันที่ 14 มกราคม 2563 เป็นต้นไป เครื่องคอมพิวเตอร์เหล่านี้มีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่และจะไม่มีแพตช์ใดๆ มาแก้ไข

จากข้อมูลของเว็บไซต์ Shodan เมื่อวันที่ 14 มกราคม 2563 มีเครื่องเซิร์ฟเวอร์ในประเทศไทยจำนวน 211 เครื่องที่ยังใช้งาน Windows Server 2008 โดยมี 164 เครื่องเปิดพอร์ต Remote Desktop ให้เข้าถึงได้ผ่านอินเทอร์เน็ต ซึ่งเซิร์ฟเวอร์เหล่านี้มีความเสี่ยงสูงที่จะถูกโจมตีได้ (หรืออาจถูกโจมตีสำเร็จไปก่อนหน้านี้แล้ว)

สำหรับผู้ใช้ทั่วไป ที่ผ่านมาการโจมตีทางไซเบอร์นั้นพัฒนาไปถึงขั้นที่แค่นำคอมพิวเตอร์ไปเชื่อมต่อกับเครือข่ายก็สามารถถูกแฮกหรือติดมัลแวร์ได้แล้วโดยที่ผู้ใช้ไม่ต้องทำอะไรกับเครื่องเลย ตัวอย่างเหตุการณ์ที่เคยเกิดขึ้นแล้วเช่นมัลแวร์เรียกค่าไถ่แพร่กระจายตัวเองโดยอัตโนมัติผ่านเครือข่าย เพราะฉะนั้นการนำคอมพิวเตอร์ที่มีช่องโหว่ด้านความมั่นคงปลอดภัยมาเชื่อมต่อกับอินเทอร์เน็ตโดยเฉพาะอย่างยิ่งการทำธุรกรรมทางการเงินนั้นมีความเสี่ยงสูงมาก มูลค่าความเสียหายหากถูกแฮกบัญชีธนาคารอาจมากกว่าราคา Windows หรือค่าซื้อคอมพิวเตอร์เครื่องใหม่

สำหรับองค์กร ควรพิจารณาเหตุผลความจำเป็นที่ยังคงต้องใช้งานระบบปฏิบัติการ Windows 7 และ Windows Server 2008 โดยเฉพาะอย่างยิ่งเรื่องค่าใช้จ่ายและความเสี่ยงที่อาจส่งผลต่อการให้บริการหรือความเสี่ยงต่อข้อมูล เพราะถึงแม้หากระบบถูกโจมตีทางไซเบอร์แล้วยังมีโอกาสกู้ระบบกลับคืนมาได้ แต่สำหรับเหตุการณ์ข้อมูลรั่วไหลนั้นการแก้ไขปัญหาอาจทำได้ยากรวมถึงอาจมีความเสี่ยงด้านกฎหมายด้วย หากยังจำเป็นต้องใช้งาน Windows 7 และ Windows Server 2008 อาจพิจารณาซื้อการสนับสนุนเพิ่มเติมจาก Microsoft (ค่าใช้จ่ายโดยรวมอาจมากกว่าค่าอัปเกรด Windows) พร้อมกับศึกษาวิธีย้ายระบบควบคู่ไปด้วยเพราะระยะเวลาสนับสนุนเพิ่มเติมนั้นมีถึงแค่เดือนมกราคม 2566

ทั้งนี้ ถึงแม้ตัวระบบปฏิบัติการ Windows 7 และ Windows Server 2008 จะยังคงใช้งานได้ตามปกติหลังจากวันที่ 14 มกราคม 2563 แต่ความเสี่ยงนั้นจะเพิ่มมากขึ้นเรื่อยๆ หลังจากที่มีการค้นพบช่องโหว่แล้วไม่มีแพตช์ ถึงแม้การใช้งานซอฟต์แวร์ด้านความมั่นคงปลอดภัยอาจช่วยป้องกันการโจมตีรูปแบบใหม่ๆ ได้บ้างแต่ก็ไม่มีเสมอไป ผู้ใช้ โดยเฉพาะผู้ดูแลระบบขององค์กรควรประเมินความเสี่ยงและวางแผนแก้ไขปัญหาโดยเร็ว

วันที่: 2020-01-14 | ที่มา: Microsoft Windows 7, Microsoft Windows Server 2008 | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการใช้ Microsoft Sway เพื่อพาไปยังเว็บไซต์ฟิชชิ่ง อาจถูกหลอกขโมยรหัสผ่านหรือหลอกให้ติดตั้งมัลแวร์

ที่ผ่านมาการโจมตีแบบฟิชชิ่งนั้นผู้ประสงค์ร้ายมักจะใช้วิธีสร้างเว็บไซต์ปลอมที่จดชื่อโดเมนให้ใกล้เคียงกับชื่อเว็บไซต์จริงเพื่อความแนบเนียนในการหลอกลวง แต่วิธีการลักษณะนี้เริ่มถูกตรวจพบและถูกป้องกันได้ง่ายเนื่องจากระบบคัดกรองอีเมลปลอมนั้นถูกพัฒนาให้ครอบคลุมมากขึ้น ด้วยเหตุนี้ผู้ประสงค์ร้ายจึงพยายามหาช่องทางใหม่ๆ เพื่อให้การส่งอีเมลฟิชชิ่งมีความแนบเนียนและหลบเลี่ยงระบบตรวจจับได้ หนึ่งในวิธีดังกล่าวคือการอาศัยบริการที่น่าเชื่อถือมาใช้เป็นตัวล่อจากนั้นค่อยพาเหยื่อไปยังเว็บไซต์ปลอมอีกทีหนึ่ง เมื่อวันที่ 9 มกราคม 2563 บริษัท Avanan ได้รายงานเทคนิคการโจมโดยอาศัย Microsoft Sway มาใช้เป็นตัวล่อให้เข้าไปยังเว็บไซต์ฟิชชิ่ง ซึ่งเทคนิคนี้ทำให้อีเมลปลอมสามารถหลุดรอดระบบตรวจจับได้

โปรแกรม Microsoft Sway รองรับการสร้างงานนำเสนอหรือจดหมายข่าว โดยสามารถเข้าใช้งานได้ผ่านเว็บไซต์ sway.office.com เมื่อสร้างเอกสารเสร็จแล้วสามารถแชร์ลิงก์สำหรับเข้าถึงเอกสารดังกล่าวได้ผ่านทางอีเมลหรือช่องทางอื่นๆ ทางบริษัท Avanan พบว่าผู้ประสงค์ร้ายได้อาศัยช่องทางนี้ในการหลอกให้เหยื่อเข้าไปยังเว็บไซต์ปลอม โดยการโจมตีผู้ประสงค์ร้ายจะสร้างเอกสารใน Microsoft Sway ที่เนื้อหาของเอกสารมีลิงก์ไปยังเว็บไซต์ปลอม จากนั้นแชร์เอกสารดังกล่าวผ่านทางอีเมล เนื่องจากลิงก์ที่ปรากฎในอีเมลนั้นพาไปยังเว็บไซต์ที่เป็นบริการของ Microsoft จริงๆ จึงทำให้อีเมลฉบับดังกล่าวสามารถผ่านระบบคัดกรองของผู้ให้บริการต่างๆ ได้

เทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยบริการแชร์ไฟล์หรือบริการแก้ไขเอกสารออนไลน์มาเป็นตัวล่อนั้นไม่ใช่เรื่องใหม่เพราะก่อนหน้านี้ก็เคยมีรายงานการใช้บริการอื่นๆ อย่างเช่น Dropbox, Google Docs หรือ Microsoft Office Online มาแล้ว เนื่องจากเทคนิคการโจมตีแบบฟิชชิ่งนั้นมีการพัฒนาอยู่เรื่อยๆ รวมถึงวิธีการหลอกลวงก็ทำได้แนบเนียนขึ้นมาก ทางฝั่งผู้ใช้จึงจำเป็นต้องตรวจสอบ ระมัดระวัง รวมถึงติดตามข่าวสารด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอ

สำหรับผู้ดูแลระบบ หากในหน่วยงานไม่ได้มีการใช้งาน Microsoft Sway อาจตั้งค่าให้มีการแจ้งเตือนในกรณีพบอีเมลที่ปรากฏลิงก์ไปยังเว็บไซต์ sway.office.com หรือแจ้งเตือนเมื่อมีผู้ใช้เข้าไปยังเว็บไซต์ดังกล่าว เพราะอาจเป็นหนึ่งในช่องทางที่ผู้ประสงค์ร้ายสามารถใช้โจมตีได้ (หมายเหตุ: ข้อแนะนำนี้ไม่ได้แปลว่า Microsoft Sway เป็นบริการไม่ปลอดภัย แต่เนื่องจากพบการโจมตีโดยอาศัยช่องทางดังกล่าว จึงจำเป็นต้องพิจารณาแนวทางรับมือ) ทั้งนี้หน่วยงานควรตั้งค่าอนุญาตให้ผู้ใช้เปิดใช้งานการล็อกอินแบบหลายปัจจัยเพื่อช่วยให้บัญชีมีความมั่นคงปลอดภัยมากยิ่งขึ้น

วันที่: 2020-01-14 | ที่มา: Avanan, Help Net Security | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ใน Citrix ADC และ Citrix Gateway อาจส่งผลให้ถูกแฮกเครือข่ายภายในได้ พบการโจมตีแล้ว ควรตั้งค่าลดความเสี่ยงระหว่างรอแพตช์

Citrix เป็นผู้พัฒนาผลิตภัณฑ์ด้านเครือข่ายและไอทีสำหรับองค์กรขนาดใหญ่ เมื่อปลายเดือนธันวาคม 2562 นักวิจัยจาก Positive Technologies ได้รายงานช่องโหว่ในซอฟต์แวร์ Citrix Application Delivery Controller (NetScaler ADC) และ Citrix Gateway (NetScaler Gateway) โดยตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบเครือข่ายภายในขององค์กรรวมถึงสามารถสั่งรันโค้ดอันตรายจากระยะไกลได้โดยไม่ต้องยืนยันตัวตน ช่องโหว่นี้มีรหัส CVE-2019-19781 มีระดับความรุนแรง CVSS 3.x ที่ 9.8 (Critical)

หลังจากที่มีการเผยแพร่ข้อมูลช่องโหว่ ทาง Citrix ได้ออกข้อแนะนำในการตั้งค่าระบบเพื่อลดความเสี่ยง โดยระบุว่าแพตช์สำหรับแก้ไขช่องโหว่นั้นอยู่ระหว่างการทดสอบและจะปล่อยให้ดาวน์โหลดภายในช่วงปลายเดือนมกราคม 2563 อย่างไรก็ตาม เมื่อช่วงวันที่ 10 มกราคม 2563 ได้มีการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่ออกสู่สาธารณะและเริ่มพบการนำโค้ดดังกล่าวมาใช้โจมตีระบบของหน่วยงานที่มีช่องโหว่แล้ว

เบื้องต้นนักวิจัยคาดการณ์ว่าน่าจะมีเซิร์ฟเวอร์ประมาณ 80,000 เครื่องทั่วโลกที่ได้รับผลกระทบจากช่องโหว่นี้ โดยทางไทยเซิร์ตได้รับแจ้งว่ามีเซิร์ฟเวอร์ประมาณ 36 เครื่องในประเทศไทยที่อาจถูกโจมตีจากช่องโหว่ดังกล่าว ปัจจุบันอยู่ระหว่างการรวบรวมข้อมูลเพื่อให้การสนับสนุนด้านการป้องกันและแก้ไขปัญหา

แนวทางการลดผลกระทบ ระหว่างรอแพตช์ผู้ดูแลระบบควรตั้งค่าบริการ Citrix ADC และ Citrix Gateway ตามข้อแนะนำในเว็บไซต์ของ Citrix (https://support.citrix.com/article/CTX267679) รวมถึงอาจตั้งค่าระบบตรวจจับและป้องกันการโจมตีทางเครือข่ายเพิ่มเติมด้วย ปัจจุบันมีการเผยแพร่การตั้งค่า rule สำหรับโปรแกรมตรวจจับ เช่น Snort หรือ Sigma ออกมาแล้ว ทั้งนี้ผู้ดูแลระบบควรตรวจสอบข้อมูลข่าวสารโดยเฉพาะติดตามแพตช์จากผู้พัฒนาอย่างสม่ำเสมอ

วันที่: 2020-01-13 | ที่มา: Citrix, Reddit | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบอีเมลฟิชชิ่งโจมตีผู้ใช้ Office 365 หลอกให้ติดตั้ง Add-Ins เพื่อสวมรอยบัญชี

ทีมวิจัยจาก PhishLabs รายงานการโจมตีผู้ใช้ Office 365 โดยอาศัยการหลอกให้ติดตั้ง Add-Ins เพื่อให้ได้สิทธิ์เข้าถึงข้อมูลในอีเมล วิธีการโจมตีผู้ไม่หวังดีจะส่งอีเมลฟิชชิ่งหลอกว่าส่งมาจาก Office 365 (เช่น อ้างว่ามีการแชร์เอกสารมาเพื่อขอให้ช่วยรีวิว) หากเหยื่อหลงเชื่อคลิกลิงก์จะถูกพาไปยังหน้าเว็บไซต์สำหรับติดตั้ง Add-Ins ของ Office 365 ซึ่งตัว Add-Ins ดังกล่าวจะขอสิทธิ์ในการเข้าถึงข้อมูลอีเมลและรายชื่อผู้ติดต่อ การโจมตีด้วยวิธีนี้เหยื่อจะสังเกตความผิดปกติได้ยากอีกทั้งแม้เปลี่ยนรหัสผ่านไปแล้วแต่ผู้ไม่หวังดีก็ยังสามารถเข้าถึงบัญชีดังกล่าวได้เพราะไม่ได้เป็นการหลอกขโมยรหัสผ่านแต่เป็นการหลอกให้อนุญาตสิทธิ์แอปพลิเคชัน

โดยปกติแล้วผู้ใช้ Office 365 สามารถติดตั้ง Add-Ins เพื่อเชื่อมต่อแอปพลิเคชันของนักพัฒนาภายนอกเข้ากับบัญชีของตนเองได้ อย่างไรก็ตาม การติดตั้ง Add-Ins นั้นสามารถสั่งติดตั้งผ่านเว็บไซต์ภายนอกได้ ไม่จำเป็นต้องติดตั้งผ่าน Office Store ด้วยเหตุนี้จึงเป็นช่องทางที่ผู้ไม่หวังดีสามารถใช้หลอกให้เหยื่อติดตั้ง Add-Ins ใดๆ ก็ได้โดยไม่จำเป็นต้องส่ง Add-Ins นั้นให้ทาง Microsoft ตรวจสอบ

ผู้ใช้ Office 365 สามารถตรวจสอบรายการแอปพลิเคชันที่ได้รับสิทธิ์ในการเชื่อมต่อบัญชีได้จากเว็บไซต์ https://myapps.microsoft.com หรือเข้าไปที่หน้า Settings เลือก My account แล้วเลือกหัวข้อ App permissions ทั้งนี้ผู้ดูแลระบบ Office 365 สามารถตรวจสอบและเพิกถอนสิทธิ์ของ Add-Ins ของผู้ใช้ในองค์กรได้

แนวทางการป้องกัน นอกจากให้ความรู้กับผู้ใช้ในเรื่องการตรวจสอบและป้องกันอีเมลฟิชชิ่งในลักษณะที่เป็นการหลอกขอสิทธิ์ Add-Ins แล้ว ผู้ดูแลระบบ Office 365 ยังสามารถตั้งค่าการอนุญาตสิทธิ์ของแอปพลิเคชันภายนอกได้ด้วย (เช่น กำหนดให้ติดตั้งได้เฉพาะแอปพลิเคชันที่มาจาก Office Store เท่านั้น) โดยรายละเอียดต่างๆ สามารถศึกษาได้จากเว็บไซต์ของ Microsoft 365 Security (https://docs.microsoft.com/en-us/microsoft-365/)

วันที่: 2020-01-09 | ที่มา: PhishLabs, Krebs on Security | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ใน Pulse Secure VPN ถูกใช้โจมตีแพร่มัลแวร์เรียกค่าไถ่ พบในไทยมีความเสี่ยงประมาณ 50 เครื่อง

เมื่อเดือนเมษายน 2562 บริษัท Pulse Secure ได้ประกาศแจ้งเตือนและออกแพตช์แก้ไขช่องโหว่ระดับวิกฤติในซอฟต์แวร์ VPN โดยช่องโหว่เหล่านี้ส่งผลให้ผู้ประสงค์ร้ายสามารถเข้าถึงและดูรหัสผ่านของบัญชีในองค์กรได้ (ข้อมูลเพิ่มเติม https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44101/) เดือนสิงหาคมของปีเดียวกันได้มีการเผยแพร่โค้ดสำหรับสแกนและโจมตีช่องโหว่โดยอัตโนมัติ เนื่องจาก Pulse Secure เป็นซอฟต์แวร์ VPN ที่นิยมใช้ในระดับองค์กร ส่งผลให้หน่วยงานจำนวนมากตกเป็นเป้าการโจมตี

เมื่อต้นเดือนมกราคม 2563 มีรายงานการโจมตีผ่านช่องโหว่ของ Pulse Secure VPN เพื่อใช้ติดตั้งมัลแวร์เรียกค่าไถ่ โดยผู้ประสงค์ร้ายได้เข้าถึงระบบเครือข่ายภายในผ่าน VPN จากนั้นใช้บัญชีของผู้ดูแลระบบโดเมนเพื่อปิดการทำงานของโปรแกรมแอนติไวรัสและแพร่กระจายมัลแวร์ไปยังเครื่องคอมพิวเตอร์อื่นๆ ในเครือข่าย

จากสถิติของ Bad Packets (อ้างอิง https://docs.google.com/spreadsheets/d/12G1wTxGgQNi6eDpOLy0wL9gHdWveDMBYx_83TWR9fYc/edit?usp=sharing) เมื่อวันที่ 3 มกราคม 2563 พบเครื่องคอมพิวเตอร์ในประเทศไทยจำนวน 50 ไอพีที่คาดว่ายังใช้งาน Pulse Secure VPN เวอร์ชันที่มีช่องโหว่ (รหัส CVE-2019-11510) ผู้ดูแลระบบโปรดตรวจสอบและอัปเดตซอฟต์แวร์ VPN เพื่อลดความเสี่ยงและผลกระทบเนื่องจากพบรายงานการโจมตีจริงแล้ว

วันที่: 2020-01-07 | ที่มา: Double Pulsar, Dark Reading | Share on Facebook Share on Twitter Share on Google+
บริษัทในสหรัฐฯ ประกาศปิดทำการและปลดพนักงานกว่า 300 คน เหตุติดมัลแวร์เรียกค่าไถ่ จ่ายเงินไปแล้วแต่ยังกู้ข้อมูลคืนไม่ได้

บริษัท The Heritage Company ในรัฐอาคันซัส ประเทศสหรัฐอเมริกา ได้ประกาศปิดทำการชั่วคราวพร้อมปลดพนักงานกว่า 300 คน สาเหตุจากระบบไอทีของบริษัทติดมัลแวร์เรียกค่าไถ่ตั้งแต่เดือนตุลาคม 2562 โดยทางบริษัทได้จ่ายเงินค่าไถ่ไปแล้วแต่กลับไม่ได้รับกุญแจสำหรับใช้ปลดล็อกข้อมูลกลับคืน ทางทีมไอทีพยายามกู้คืนระบบแล้วแต่ไม่สามารถทำได้จึงจำเป็นต้องปิดบางแผนกและปลดพนักงานกว่า 300 คนออกเพื่อลดภาระค่าใช้จ่าย

ทาง CEO ของบริษัทชี้แจงว่าในตอนแรกนั้นได้ประเมินว่าการกู้คืนระบบให้กลับมาใช้งานได้น่าจะใช้เวลาประมาณหนึ่งสัปดาห์ แต่พอผ่านไปสองเดือนแล้วก็ยังไม่สามารถทำให้ระบบกลับมาทำงานได้ตามปกติ เหตุการณ์นี้ก่อให้เกิดมูลค่าความเสียหายรวมแล้วกว่าแสนดอลลาร์ ทั้งนี้ทางสำนักข่าวท้องถิ่นได้ตรวจสอบข้อมูลเพิ่มเติมพบว่าพนักงานจำนวนมากได้ลงทะเบียนว่างงานพร้อมหางานใหม่แล้วเพราะเชื่อว่าบริษัทไม่สามารถอยู่รอดได้

เหตุการณ์นี้เป็นกรณีศึกษาที่สำคัญสองอย่าง หนึ่งคือการจ่ายเงินให้กับผู้พัฒนามัลแวร์เรียกค่าไถ่นั้นไม่สามารถรับประกันได้ว่าจะสามารถกู้คืนข้อมูลได้เสมอไป สองคือการลงทุนด้านความมั่นคงปลอดภัยไซเบอร์ โดยเฉพาะการวางแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) นั้นเป็นสิ่งจำเป็น เพราะการป้องกันเพียงอย่างเดียวนั้นอาจไม่เพียงพอกับภัยคุกคามที่พัฒนาไปทุกวัน จำเป็นต้องมีแผนรับมือในกรณีที่ระบบเกิดปัญหาเพื่อให้ธุรกิจยังสามารถดำเนินต่อไปได้ การลงทุนเพื่อรับมือการโจมตีทางไซเบอร์นั้นถึงแม้จะมีต้นทุนที่ค่อนข้างสูงแต่ก็อาจเทียบไม่ได้เลยกับค่าใช้จ่ายในการแก้ไขปัญหาหรือกู้คืนเพื่อให้ระบบกลับมาทำงานต่อได้

วันที่: 2020-01-07 | ที่มา: ZDNet, KATV | Share on Facebook Share on Twitter Share on Google+
NCSC UK แจกอีบุ๊ก CyBOK สำหรับใช้ประกอบการเรียนรู้ด้านความมั่นคงปลอดภัยไซเบอร์

ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Centre) ของสหราชอาณาจักร ได้ร่วมกับมหาวิทยาลัยชั้นนำหลายแห่งจัดทำหนังสือ Cyber Security Body of Knowledge (CyBOK) เพื่อใช้เป็นสื่อประกอบการเรียนการสอนด้านความมั่นคงปลอดภัยไซเบอร์

เนื้อหาของหนังสือจะแบ่งออกเป็น 5 ส่วนใหญ่ๆ ซึ่งแต่ละส่วนจะมีบทแยกย่อยอยู่ภายใน โดยหลักจะเน้นการอธิบายภาพรวมในเชิงทฤษฎี ตัวอย่างเนื้อหาในแต่ละส่วน ได้แก่

1. Human, Organisational & Regulatory Aspects เน้นในเรื่องของการบริหารจัดการความเสี่ยง กฎหมายที่เกี่ยวข้อง และแนวทางการรับมือข้อผิดพลาดที่มักมีสาเหตุมาจากมนุษย์
2. Attacks & Defences เน้นในเรื่องแนวทางการโจมตีและการป้องกัน เช่นการรับมือภัยคุกคามและการตรวจพิสูจน์พยานหลักฐาน
3. System Security เน้นในส่วนของการออกแบบระบบ เช่น วิทยาการเข้ารหัสลับ กระบวนการยืนยันและพิสูจน์ตัวตน
4. Software Platform Security เน้นเรื่องความปลอดภัยของซอฟต์แวร์ เช่น ตัวอย่างรูปแบบช่องโหว่และแนวทางการพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย
5. Infrastructure Security เน้นในเรื่องการออกแบบความมั่นคงปลอดภัยของระบบโครงสร้างพื้นฐาน เช่น ระบบเครือข่าย ฮาร์ดแวร์ และการรักษาความปลอดภัยทางกายภาพ

หนังสือ CyBOK เผยแพร่ในรูปแบบอีบุ๊กและยังมีเฉพาะเวอร์ชันภาษาอังกฤษ ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมและดาวน์โหลดหนังสือฉบับดังกล่าวได้จากเว็บไซต์ https://www.cybok.org/

วันที่: 2020-01-02 | ที่มา: NCSC UK | Share on Facebook Share on Twitter Share on Google+