Cisco เตือน พบการโจมตีผ่านช่องโหว่ใน AnyConnect Client บน Windows

Cisco เตือน พบการโจมตีผ่านช่องโหว่ใน AnyConnect Client บน Windows ผู้ใช้งานควรรีบทำการอัปเดต

 

Credit: ShutterStock.com

Cisco ได้ออกประกาศเตือนถึงช่องโหว่ใน Cisco AnyConnect Secure Mobility Client for Windows จำนวน 2 ตัว ได้แก่ CVE-2020-3433 และ CVE-2020-3153 มีความรุนแรงตาม CVSS score 7.8 และ 6.5 ตามลำดับ ถูกพบตั้งแต่สองปีที่แล้ว ทำให้ผู้ที่ทำการโจมตีจากภายในสามารถทำ DLL hijacking และวางไฟล์ไว้ใน System directory ได้ด้วยสิทธิระดับ System-level อย่างไรก็ตามช่องโหว่นี้ผู้โจมตีจำเป็นต้องมี Credential สำหรับเข้าสู่เครื่องก่อนจึงจะสามารถโจมตีได้ ทำให้ความรุนแรงไม่สูงมากนัก แต่เมื่อผู้โจมตีอาศัยช่องโหว่อื่นๆ เช่น Windows Privilege Escalation อาจทำให้เกิดความเสียหายมากได้

 

ล่าสุด Cisco PSIRT ได้รายงานว่าพบการโจมตีผ่านช่องโหว่นี้แล้ว นอกจากนี้ CISA ยังได้เพิ่มช่องโหว่นี้เข้าไปใน Know Exploited Vulnerability catalog เพื่อเฝ้าระวังอีกด้วย ผู้ใช้งานจึงควรทำการอัปเกรดเป็นเวอร์ชัน 4.9.00086 ขึ้นไปเพื่ออุดช่องโหว่ดังกล่าว

 

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-admins-to-patch-anyconnect-flaws-exploited-in-attacks/

from:https://www.techtalkthai.com/cisco-warns-vulnerability-on-anyconnect-windows-client-being-exploited-in-the-wild/

VMware ออกอัปเดตอุดช่องโหว่ DLL-hijacking ที่พบใน VMware Workstation และ Horizon View Agent

VMware ออกอัปเดตอุดช่องโหว่ DLL-hijacking ที่พบใน VMware Workstation และ Horizon View Agent

Credit: Pavel Ignatov/ShutterStock

 

ช่องโหว่นี้ (CVE-2019-5539) พบได้ใน VMware Workstation Pro/Player เวอร์ชัน 15.x และ VMware Horizon View Agent เวอร์ชัน 7.x.x ซึ่งทำให้ผู้ไม่หวังดีสามารถโจมตีด้วย DLL-hijacking ด้วยการโหลด DLL ไฟล์ที่ไม่ปลอดภัยผ่านทางโมดูลของ Cortado Thinprint ได้ ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิของตนเองขึ้นเป็นระดับ Administrator บน Windows เครื่องนั้นได้ทันที ช่องโหว่นี้มีระดับความรุนแรง CVSSv3 อยู่ที่ 6.3 คะแนน โดยผู้ใช้งานสามารถอัปเดดเพื่อแก้ไขปัญหานี้ได้แล้วใน VMware Workstation Pro/Player เวอร์ชัน 15.5.1 และ VMware Horizon View Agent 7.11.0, 7.10.1 หรือ 7.5.4

 

ที่มา: https://www.vmware.com/security/advisories/VMSA-2019-0023.html

from:https://www.techtalkthai.com/vmware-releases-dll-hijacking-patch-for-workstation-and-horizon-agent/

Trend Micro แพตช์อุดช่องโหว่ในผลิตภัณฑ์ Password Manager

สำหรับผู้ใช้งานผลิตภัณฑ์ Password Manager ของ Trend Micro ได้มีการประกาศอุดช่องโหว่การยกระดับสิทธิ์ 2 รายการ จึงแนะนำผู้ใช้งานเร่งอัปเดต

credit : Trend Micro

นักวิจัยจาก SafeBreach ได้ค้นพบช่องโหว่ใน pwmSvc.exe หรือ Central Control Service ที่ใช้สิทธิ์ระดับสูง โดยพบว่าโปรแกรมมีความพยายามในการโหลด DLL จากไดเรกทอรี่ของ Python เป็นค่าพื้นฐานแทนที่จะระบุ Path ที่ชัดเจน พร้อมกับยังขาดการตรวจสอบ Digital Certificate ขณะดาวน์โหลด DLL จึงเปิดโอกาสให้ทำการ DLL Hijacking ได้เกิดเป็นช่องโหว่ 2 รายการคือ CVE-2019-14684 และ CVE-2019-14687

โดย Password Manager มีทั้งซอฟต์แวร์แบบ Standalone หรือมาพร้อมกับการเป็นส่วนหนึ่งของโซลูชัน Premium Security และ Maximum Security ซึ่งทางบริษัทได้ออกแพตช์ตั้งแต่วันที่ 31 กรกฎาคมที่ผ่านมาแล้วพร้อมกับอธิบายรายละเอียดช่องโหว่ไว้ที่นี่

ที่มา :  https://www.infosecurity-magazine.com/news/trend-micro-patches-password/ และ  https://www.darkreading.com/vulnerabilities—threats/trend-micro-patches-privilege-escalation-bug-in-its-password-manager/d/d-id/1335525

from:https://www.techtalkthai.com/trend-micro-patches-password-manager/

Adobe ออกแพตช์เร่งด่วนอุต Zero-Day บน Flash Player หลังพบถูกใช้ในรัสเซีย

Qihoo 360 ทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากจีนและ Gigamon ผู้ให้บริการโซลูชันด้านเครือข่ายได้ตรวจพบการโจมตีแบบ APT ที่ใช้ช่องโหว่บน Flash Player เกิดขึ้นกับคลีนิกเสริมความงามแห่งหนึ่งในรัสเซียที่มีลูกจ้างระดับสูงของสหพันธรัฐเข้าไปใช้บริการจึงคาดว่าน่าจะเป็นประเด็นทางการเมือง โดยการโจมตีครั้งนี้ถูกเรียกว่า “Operation Poison Needles”

credit : Bleepingcomputer

ไอเดียคือหลังจากคนร้ายเลือกเหยื่อแล้วจะส่งแบบสอบถามลูกจ้างที่คนร้ายได้ปลอมขึ้นมาชื่อ ’22.docx’ ผ่านทางอีเมลไปหาเหยื่อซึ่งภายในจะมีไฟล์ rar ที่บรรจุไฟล์สำหรับใช้งานช่องโหว่ Flash อีกที โดย Word เองก็มีการแจ้งเตือนแล้วว่า “ไฟลฺ์ที่ฝังมาในเอกสารนี้อาจไม่ปลอดภัย” แต่หากเหยื่อกดดำเนินงานต่อจะทำให้เกิดการ Execute Code (ตามรูปด้านล่าง) ในไฟล์ชื่อ backup.exe ที่ทำตัวเนียนเป็นแอปพลิเคชันของ Nvidia อีกทั้งยังได้มีการใช้ Certificate ที่ถูกขโมยมาและถูกเรียกคืนไปแล้วด้วย นอกจากนี้ผู้เชี่ยวชาญเผยว่า backup.exe จะมีการทำสำเนาตัวเองไปยัง Path : %LocalAppData%\NVIDIAControlPanel\NVIDIAControlPanel.exe และยังส่งข้อมูลคอมพิวเตอร์พร้อมกับแอปพลิชันที่ติดตั้งบนเครื่องนั้นกลับไปหาคนร้ายได้ด้วย รวมถึงยังทำการดาวน์โหลดและรัน Shell Code บนเครื่องด้วย

credit : Bleepingcomputer

หมายเลขอ้างอิงช่องโหว่ครั้งนี้คือ CVE-2018-15982 และเลขอ้างอิงของ Adobe เองคือ APSB18-42 โดยช่องโหว่มีผลกระทบกับ Flash Player เวอร์ชันก่อนหน้าจนถึง 31.0.0.153 ดังนั้นผู้ใช้งานควรเข้าไปอัปเดตได้ทันที นอกจากนี้การแพตช์ครั้งข้างต้นยังได้มีการอุตช่องโหว่ DLL Hijacking ที่แฮ็กเกอร์สามารถโหลด DLL อันตรายตอนเริ่มรัน Flash Player ได้ด้วย สามารถอ่านรายงานฉบับเต็มของ Qihoo และ Gigamon 

ที่มา : https://www.bleepingcomputer.com/news/security/adobe-fixes-zero-day-flash-player-vulnerability-used-in-apt-attack-on-russia/ และ https://www.scmagazine.com/home/security-news/adobe-fixes-zero-day-flash-bug-after-attackers-target-russian-clinic-with-exploit/

from:https://www.techtalkthai.com/adobe-patches-zero-day-on-flash-player/

Cisco ออกแพตช์เพิ่มเติมปิดช่องโหว่บน WebEx Meeting

เมื่อช่วงปลายเดือนที่แล้วทาง Cisco ได้ออกแพตช์อุตช่องโหว่บนผลิตภัณฑ์ WebEx ไปแล้วแต่หลังจากที่ได้เผยแพร่โค้ด PoC ออกไป มีนักวิจัยจาก SecureAuth ได้พบว่าแพตช์ของ Cisco นั้นยังไม่สมบูรณ์จึงได้แจ้งกลับไปยัง Cisco และเป็นที่มาของแพตช์ในเวอร์ชันล่าสุดนี้

Credit: Visual Generation/ShutterStock

ช่องโหว่เก่าที่เคยถูกแพตช์แล้วแต่ไม่สมบูรณ์คือ CVE-2018-15442 ซึ่งส่งผลกระทบกับ WebEx Meeting เดสก์ท็อป (เวอร์ชันก่อนหน้า 33.6.4) และ WebEx Productivity (เวอร์ชัน 32.6.0 จนถึงก่อน 33.0.6) โดยช่องโหว่นี้เกิดจากการตรวจสอบพารามิเตอร์ที่มาจากผู้ใช้ไม่ดีเพียงพอจึงทำให้สามารถผู้โจมตีจาก Local ที่ผ่านการพิสูจน์ตัวตนแล้วเข้าไป Execute คำสั่งด้วยสิทธิ์ของระบบได้และ Cisco ได้เตือนว่าผู้โจมตีจากทางไกลอาจใช้ช่องโหว่นี้ได้เช่นกันหากใช้งานกับ Active Directory

SecureAuth ได้ค้นพบว่า Cisco แพตช์ไม่สมบูรณ์จึงยังสามารถใช้เทคนิคที่เรียกว่า DLL Hijacking ลัดผ่านการป้องกันได้ (การแทนที่ DLL ของโปรแกรมด้วย DLL เวอร์ชันของแฮ็กเกอร์เข้าไปในขั้นตอนการโหลดของโปรแกรม) โดย SecureAuth เผยว่า “แฮ็กเกอร์สามารถเริ่มต้นบริการด้วยคำสั่ง ‘sc start webxservice install software-update 1 ‘Path ที่แฮ็กเกอร์ควบคุมได้แล้ว” (ถ้าพารามิเตอร์ 1 ใช้ไม่ได้ให้ลองใช้ 2 แทน)” ซึ่งหลังจากที่ Cisco ได้รับการแจ้งเตือนได้แก้ไขและออกแพตช์ล่าสุดนี้ สามารถเข้าไปดูเพิ่มเติมได้ที่ Advisory จาก Cisco

ที่มา : https://www.securityweek.com/cisco-releases-second-patch-webex-meetings-vulnerability และ https://www.scmagazine.com/home/security-news/cisco-webex-flaw-patched/

from:https://www.techtalkthai.com/cisco-update-previous-patch-for-webex/