คลังเก็บป้ายกำกับ: THREATS_UPDATE

Google เผยมือมืดผู้พัฒนาเครื่องมือใช้ช่องโหว่ Windows

มีบริษัทมากมายบนโลกได้นำเสนอการพัฒนาชุดเจาะระบบเพื่อขายให้แก่รัฐบาลต่างๆ ซึ่ง Google’s Threat Analysis Group (TAG) ได้ระบุตัวถึงอีกหนึ่งบริษัทในสเปนที่พัฒนาชุดเครื่องมือใช้งานช่องโหว่ใน Chrome, Firefox และ Microsoft Defender ซึ่งได้รับการแพตช์ครบตั้งแต่ต้นปี 2022

Credit: ShutterStock.com

ทีมงาน Google กล่าวว่าพวกเขาพบหลักฐานบางอย่างที่น่าจะเชื่อมโยงกับบริษัทในสเปนที่ชื่อ Varistion IT ซึ่งอ้างว่าเป็นผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยที่ปรับแต่งเพื่อการใช้เฉพาะกิจ โดยเครื่องมือที่ทีม Google พบชื่อว่า Heliconia เน้นการใช้งานกลุ่มช่องโหว่ของ Chrome, Firefox และ Microsoft Defender ประกอบด้วย 3 ส่วนคือ

  • Heliconia Noise – Web Framework สำหรับใช้งานบั๊กบน Chrome นำไปสู่การทำ Sandbox Escape เพื่อติดตั้ง Agent บนเครื่องเหยื่อ
  • Heliconia Soft – สามารถทำการ Deploy ไฟล์ PDF ที่ใช้การช่องโหว่ของ Windows Defender หมายเลข CVE-2021-42298
  • Heliconia Files – ช่องโหว่ของ Firefox ที่กระทบกับ Linux และ Windows มีหนึ่งตัวที่เกี่ยวแน่คือ CVE-2022-26485

Noise และ Soft สามารถทำให้เกิดการติดตั้ง Agent บนเครื่องเหยื่อได้แล้ว อย่างไรก็ดีตัวอย่างที่ Google ได้มาเป็น Agent ที่ไม่ได้ทำการสิ่งใดอันตราย โดย Google คาดว่าอาจเป็นการเปิดให้ผู้ใช้นำ Agent ของตนมาหรือเป็นโปรเจ็คอื่นๆที่ Google ยังเข้าไม่ถึง

Google เผยว่าตนได้ติดตามธุรกิจการพัฒนาซอฟต์แวร์สอดแนมและเจาะระบบกว่า 30 แห่งทั่วโลกที่มีระดับความสามารถต่างกัน ก่อนหน้าที่ Google ก็เคยได้เปิดโปงบริษัทสัญชาติอิตาลีที่ชื่อ RCS Labs โดยให้บริการเรื่องสปายแวร์ ช่วย ISP บางรายสอดแนมเหยื่อที่ใช้งาน Android และ iOS ในอิตาลีและคาซัคสถาน ความน่ากังวลคือเมื่ออุตสาหกรรมนี้เฟื่องฟูผู้คนก็มีความปลอดภัยน้อยลง ตามกลุ่มที่นำไปใช้งานแม้ว่าหากอ้างเรื่องกฏหมายความมั่นคงของชาติหรือสากลอาจจะถูกก็ตาม

ที่มา : https://www.bleepingcomputer.com/news/security/google-discovers-windows-exploit-framework-used-to-deploy-spyware/

from:https://www.techtalkthai.com/google-reveals-another-company-who-back-exploit-framework-for-spyware/

อีกแล้ว! LastPass ประกาศเหตุข้อมูลรั่วไหล พร้อมกับ GoTo

LastPass ได้ประกาศเหตุข้อมูลรั่วไหลเป็นครั้งที่สองแล้วของปี หลังจากครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา อย่างไรก็ดียังเป็นเหตุการณ์ที่มีจุดร่วมกับ GoTo ผู้ให้บริการ Remote Access และโซลูชัน Collaboration ในส่วนของ Cloud Storage ที่ทั้งสองแชร์ร่วมกัน

LastPass ชี้ว่าแฮ็กเกอร์ได้อาศัยข้อมูลที่ได้รับจากการแฮ็กครั้งก่อน ทำให้สามารถเข้าถึงข้อมูลของลูกค้าได้แม้บริษัทจะยืนยันว่าข้อมูลยังปลอดภัยเพราะถูกเข้ารหัสไว้ก็ตาม นอกจากนี้ยังรวมไปถึงข้อมูลซอร์สโค้ดและข้อมูลทางเทคนิคเฉพาะของบริษัทด้วย

ในฝั่งของ GoTo เผยถึงเหตุการณ์ว่าพบกิจกรรมแปลกๆในระบบที่ใช้เพื่อการพัฒนารวมถึงส่วน Cloud Storage ที่มีการแชร์กับ LastPass ซึ่งในส่วนหลังนี้เองกระทบกับข้อมูลลูกค้า อย่างไรก็ดีระบบของ GoTo ไม่ได้รับผลกระทบและยังทำงานได้ดี

ปัจจุบันทั้งสองได้รับความช่วยเหลือในการสืบสวนจาก Mandiant แล้วและแจ้งต่อหน่วยงานเจ้าหน้าที่ ตลอดจนผู้ใช้งานเรียบร้อยแล้ว ก็คงต้องมาติดตามกันต่อไปว่าเหตุการณ์จะบานปลายหรือหนักแค่ไหนครับ

ที่มา : https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/ และ https://www.bleepingcomputer.com/news/security/goto-says-hackers-breached-its-dev-environment-cloud-storage/

from:https://www.techtalkthai.com/lastpass-second-data-breach-2022-x-goto-in-shared-cloud-storage/

Acer ออกแพตช์ป้องกันการปิด UEFI Secure Boot ในโน๊ตบุ๊คหลายรุ่น

Acer ออกแพตช์อุดช่องโหว่ความรุนแรงสูง ช่วยป้องกันการปิด UEFI Secure Boot ในโน๊ตบุ๊คหลายรุ่น

Credit: ShutterStock.com

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก ESET ได้พบช่องโหว่ความรุนแรงสูง (CVE-2022-4020) ที่ทำให้ผู้โจมตีสามารถปิดการใช้งาน UEFI Secure Boot บนโน๊ตบุ๊ค Acer ได้ ซึ่งอาจส่งผลให้สามารถติดตั้ง Rootkit หรือ Bootkit ที่แอบทำงานระหว่างการเปิดเครื่องได้ สำหรับรุ่นที่ได้รับผลกระทบได้แก่ Acer Aspire A315-22, A115-21, A315-22G, Extensa EX215-21 และ EX215-21G

Acer แนะนำให้ผู้ที่ใช้งานรุ่นดังกล่าวอยู่ทำการอัปเดต BIOS เป็นเวอร์ชันล่าสุดเพื่ออุดช่องโหว่ โดยสามารถดาวน์โหลดไฟล์อัปเดตได้ผ่านทาง Acer Support Site

ที่มา: https://www.bleepingcomputer.com/news/security/acer-fixes-uefi-bugs-that-can-be-used-to-disable-secure-boot/

from:https://www.techtalkthai.com/acer-releases-patch-uefi-secure-boot-disable-protection-on-laptops/

Citrix ออกแพตช์อุดช่องโหว่ Critical บนผลิตภัณฑ์ ADC และ Gateway

Citrix ออกแพตช์อุดช่องโหว่ Critical บนผลิตภัณฑ์ Application Delivery Controller (ADC) และ Gateway

Credit: ShutterStock.com

Citrix ออกแพตช์อุดช่องโหว่สำหรับ Citrix ADC และ Citrix Gateway ด้วยกัน 3 ช่องโหว่ ได้แก่ CVE-2022-27510, CVE-2022-27513 และ CVE-2022-27516 ทำให้ผู้ไม่หวังดีสามารถเข้าสู่ระบบได้โดยที่ไม่จำเป็นต้องยืนยันตัวตนผ่านวิธีการต่างๆ เช่น Remote Desktop Takeover ผ่าน Phishing หรือ Bypass ระบบ Login brute-force protection ได้ โดยผลิตภัณฑ์ที่ได้รับผลกระทบมีดังนี้

  • Citrix ADC and Citrix Gateway 13.1 ก่อนหน้า 13.1-33.47
  • Citrix ADC and Citrix Gateway 13.0 ก่อนหน้า 13.0-88.12
  • Citrix ADC and Citrix Gateway 12.1 ก่อนหน้า 12.1.65.21
  • Citrix ADC 12.1-FIPS ก่อนหน้า 12.1-55.289
  • Citrix ADC 12.1-NDcPP ก่อนหน้า 12.1-55.289

ผู้ที่ใช้งานจึงควรทำการอัปเดตเวอร์ชันทันที ส่วนลูกค้าที่ใช้งานผ่านทาง Cloud Service จะไม่ได้รับผลกระทบแต่อย่างใด

ที่มา: https://thehackernews.com/2022/11/citrix-issues-patches-for-critical-flaw.html

from:https://www.techtalkthai.com/citrix-releases-critical-patches-for-citrix-adc-and-gateway/

Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง

Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง หลังจากหยุดไปนานกว่า 5 เดือน

Credit: solarseven/ShutterStock.com

Emotet เป็นมัลแวร์ที่พยายามกระจายตัวผ่านทาง Phishing Campaign ด้วยการส่งไฟล์ Excel หรือ Word ให้ผู้ใช้งานเปิดอ่าน โดยจะทำการเข้าสู่เครื่องเป้าหมายผ่านทางการเปิดใช้งาน Macro หลังจากนั้นจะฝังตัวอยู่ในเครื่องเพื่อค้นหาไฟล์และอีเมลเพื่อใช้ในการส่งสแปมเมลต่อไป หรือแม้กระทั่งติดตั้งแรนซัมแวร์ลงในเครื่องของเหยื่อ

ล่าสุดผู้เชี่ยวชาญทางด้านความปลอดภัยตรวจพบการเคลื่อนไหวของ Emotet อีกครั้ง หลังจากที่หยุดการโจมตีไปกว่า 5 เดือน มีการเริ่มส่งสแปมเมลกระจายออกไปทั่วโลก พร้อมแนบไฟล์ Excel และตั้งชื่อไฟล์ในหลายรูปแบบ เช่น Invoice, Scan และ Electronic Form เพื่อหลอกล่อให้เหยื่อเปิดไฟล์ หลังจากนั้นจะแสดงวิธีการปิด Microsoft Protect View ให้เหยื่อทำตาม และหากเปิดไฟล์สำเร็จ จะทำการใช้งาน Macro เพื่อดาวน์โหลดไฟล์ DLL มาติดตั้งและทำงานภายในเครื่อง โดยจะรอรับคำสั่งจาก Command and Control Server เพื่อใช้ในการโจมตีต่อไป

ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการเปิดอ่านอีเมลหรือดาวน์โหลดไฟล์จากแหล่งต่างๆ ที่ผ่านมา Emotet ถูกใช้เป็นช่องทางในการติดตั้ง TrickBot malware และ Cobalt Strike beacons รวมถึงเป็นช่องทางให้ Ryuk และ Conti Ransomware ทำการโจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/emotet-botnet-starts-blasting-malware-again-after-5-month-break/

from:https://www.techtalkthai.com/emotet-botnet-reattack-after-5-months-break/

Dropbox แจงเหตุข้อมูลรั่วไหลจากการที่พนักงานถูก Phishing

Dropbox ได้เปิดเผยเหตุการณ์ที่องค์กรตกเป็นเหยื่อของ Phishing จนทำให้ Repository ของตนถูกคนร้ายเข้ามาขโมยข้อมูลได้

เมื่อวันที่ 13 ตุลาคมที่ผ่านมา Dropbox ได้รับการแจ้งเตือนจาก GitHub ถึงกิจกรรมต้องสงสัย หลังจากการสืบเสาะ วันต่อมาก็พบการบุกรุกใน Repository กว่า 130 รายการ โดยเหตุเกิดจากการที่พนักงานถูก Phishing ซึ่งคนร้ายปลอมอีเมลเป็นแพลตฟอร์ม CI/CD ที่ชื่อ CircleCI ร้องขอให้ล็อกอิน

Dropbox ได้เปิดเผยถึงผลกระทบกับบริษัทว่า “จากการสืบสวนพบว่าโค้ดที่ถูกเข้าถึงมี Credential อยู่บ้างและ API Keys ที่ใช้โดยนักพัฒนาของเรา รวมถึงไลบรารีจาก Third-party ที่เรานำมาปรับปรุงใช้ภายใน ไปจนถึงโค้ด Prototype เครื่องมือบางส่วน ไฟล์คอนฟิคของทีมด้านความมั่นคงปลอดภัย อย่างไรก็ตามไม่มีโค้ดหลักของแอปหรือ Infrastructure เนื่องจากมีการจำกัดการเข้าถึงเหล่านั้นอย่างเข้มข้น” ยังมีบางช่วงของถ้อยแถลงการณ์ที่ระบุถึงข้อมูลบุคคลคือ “มีข้อมูลบางส่วนที่กระทบถึงบุคคลหลายพันชื่อ โดยเป็นชื่อและอีเมลของพนักงาน รวมถึงลูกค้า Dropbox ทั้งปัจจุบันและในอดีต เซลล์ และ Vendor” ซึ่งหลายพันอาจฟังดูไม่มากนักเมื่อเทียบกับผู้ลงทะเบียนกว่า 700 ล้านคนของ Dropbox

เป็นอีกหนึ่งเหตุการณ์ที่ Phishing ทำงานได้สำเร็จแม้กับบริษัทเทคโนโลยีรายใหญ่ก็ตกเป็นเหยื่อได้ อย่างไรก็ดีทีมงาม Dropbox กำลังพยายามอุดปัญหาผลกระทบจากข้อมูลที่รั่วไหลออกไปด้วยการใช้ WebAuth และ Hardware Token หรือ Biometric ทั้งนี้กลเม็ดการปลอมเป็น CircleCI เพื่อเล่นงานผู้ใช้บน GitHub อย่างเจาะจงมีให้เห็นมาตั้งแต่เดือนกันยายนแล้ว

ที่มา : https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/

from:https://www.techtalkthai.com/dropbox-breached-by-phishing-attack-102022/

OpenSSL เตรียมออกอัปเดตอุดช่องโหว่ใหม่ระดับ Critical

ทีมผู้พัฒนา OpenSSL Project ประกาศเตรียมออกอัปเดต OpenSSL เวอร์ชัน 3.0.7 อุดช่องโหว่ใหม่ระดับ Critical ในวันที่ 1 พฤศจิกายนนี้

ทืมผู้พัฒนา OpenSSL ได้ประกาศผ่านทาง Mailing list ถึงแผนในการออกอัปเดตใหม่ เวอร์ชัน 3.0.7 เพื่ออุดช่องโหว่ระดับ Critical ซึ่งเป็นช่องโหว่ระดับความรุนแรงมากที่สุด ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับช่องโหว่มากนัก เนื่องจากตามนโยบายของ OpenSSL รายละเอียดของช่องโหว่จะถูกเก็บเป็นความลับ เพื่อเลี่ยงต่อการโจมตีที่อาจเกิดขึ้นในวงกว้าง โดยจะมีการแจ้งเตือนและส่งรายละเอียดช่องโหว่ไปที่ผู้ผลิตรายอื่นที่มีการใช้งาน OpenSSL ในระบบปฏิบัติการหรือซอฟต์แวร์ของตนเอง เพื่อให้ทำการแพตช์และแก้ไขปัญหาดังกล่าวล่วงหน้า ซึ่งตามนิยามของ OpenSSL แล้ว ช่องโหว่ระดับนี้ อาจถูกโจมตีได้ในการตั้งค่าแบบปกติ ทำให้ผู้ไม่หวังดีสามารถเจาะผ่านการ Remote และเข้าถึงข้อมูลที่สำคัญ เช่น Private Key หรือทำ Remote Code Execution ได้ เช่น ช่องโหว่ Heartbleed ที่ผ่านมา

อย่างไรก็ตาม ช่องโหว่ดังกล่าวจะไม่เกิดขึ้นกับ OpenSSL เวอร์ชันก่อนหน้า 3.0 โดย OpenSSL 3.0.7 จะออกอัปเดตในวันที่ 1 พฤศจิกายนนี้

ที่มา: https://www.helpnetsecurity.com/2022/10/26/openssl-3-0-7-vulnerability-critical-fix/

from:https://www.techtalkthai.com/openssl-will-releases-critical-vulnerability-patch/

Cisco เตือน พบการโจมตีผ่านช่องโหว่ใน AnyConnect Client บน Windows

Cisco เตือน พบการโจมตีผ่านช่องโหว่ใน AnyConnect Client บน Windows ผู้ใช้งานควรรีบทำการอัปเดต
 
Credit: ShutterStock.com

Cisco ได้ออกประกาศเตือนถึงช่องโหว่ใน Cisco AnyConnect Secure Mobility Client for Windows จำนวน 2 ตัว ได้แก่ CVE-2020-3433 และ CVE-2020-3153 มีความรุนแรงตาม CVSS score 7.8 และ 6.5 ตามลำดับ ถูกพบตั้งแต่สองปีที่แล้ว ทำให้ผู้ที่ทำการโจมตีจากภายในสามารถทำ DLL hijacking และวางไฟล์ไว้ใน System directory ได้ด้วยสิทธิระดับ System-level อย่างไรก็ตามช่องโหว่นี้ผู้โจมตีจำเป็นต้องมี Credential สำหรับเข้าสู่เครื่องก่อนจึงจะสามารถโจมตีได้ ทำให้ความรุนแรงไม่สูงมากนัก แต่เมื่อผู้โจมตีอาศัยช่องโหว่อื่นๆ เช่น Windows Privilege Escalation อาจทำให้เกิดความเสียหายมากได้
 
ล่าสุด Cisco PSIRT ได้รายงานว่าพบการโจมตีผ่านช่องโหว่นี้แล้ว นอกจากนี้ CISA ยังได้เพิ่มช่องโหว่นี้เข้าไปใน Know Exploited Vulnerability catalog เพื่อเฝ้าระวังอีกด้วย ผู้ใช้งานจึงควรทำการอัปเกรดเป็นเวอร์ชัน 4.9.00086 ขึ้นไปเพื่ออุดช่องโหว่ดังกล่าว
 

from:https://www.techtalkthai.com/cisco-warns-vulnerability-on-anyconnect-windows-client-being-exploited-in-the-wild/

พบช่องโหว่ Authentication Bypass ใหม่บน FortiGate และ FortiProxy

Fortinet แจ้งเตือนลูกค้า พบช่องโหว่ Authentication Bypass บน FortiGate และ FortiProxy ผู้ดูแลระบบควรทำการอัปเดตอุดช่องโหว่

Fortinet ได้ทำการแจ้งเตือนไปที่ลูกค้าที่ใช้งาน FortiGate Firewall และ FortiProxy ว่าพบช่องโหว่ใหม่ CVE-2022-40684 ความรุนแรงสูง ทำให้ผู้โจมตีสามารถทำ Authentication Bypass บนอุปกรณ์ที่มีช่องโหว่นี้ได้ สำหรับอุปกรณ์ที่ได้รับผลกระทบมีดังนี้

  • FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.6 และ 7.2.0 ถึง 7.2.2
  • FortiProxy เวอร์ชัน 7.0.0 ถึง 7.0.6 และ 7.2.0

ผู้ดูแลระบบควรอัปเดตเป็น FortiOS 7.0.7 หรือ 7.2.2 และ FortiProxy เวอร์ชัน 7.0.7 เพื่ออุดช่องโหว่ดังกล่าวโดยด่วน โดย Fortinet จะออกรายงานเพิ่มเติมเกี่ยวกับช่องโหว่นี้ภายหลังจากที่ลูกค้าส่วนใหญ่ทำการอัปเดตเรียบร้อยแล้ว

ที่มา: https://thehackernews.com/2022/10/fortinet-warns-of-new-auth-bypass-flaw.html

from:https://www.techtalkthai.com/new-authen-bypass-flaws-were-found-on-fortigate-and-fortiproxy/

พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

  1. In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.
  3. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/

from:https://www.techtalkthai.com/new-zero-day-was-found-on-microsoft-exchange/