พบช่องโหว่ Zero-day ใน Microsoft Defender !!!!

Microsoft ได้แก้ไขช่องโหว่ของโปรแกรมป้องกันไวรัส Microsoft Defender รหัสช่องโหว่ CVE-2021-1647 ซึ่งเป็นช่องโหว่ Remote Code Execution ที่พบใน Malware Protection Engine component (mpengine.dll).  Microsoft Malware Protection Engine ที่ได้รับผลกระทบจากช่องโหว่นี้คือ Version 1.1.17600.5 ซึ่งได้รับการแก้ไขช่องโหว่แล้วใน Version 1.1.17700.4 หรือใหม่กว่า ซึ่งผู้ใช้งานไม่ต้องดำเนินการใด ๆ เพราะว่า Microsoft Defender ใน Version ที่มีช่องโหว่จะทำการ Update ตัวเองโดยอัตโนมัติ   โดยปกติแล้ว Patch Update ของ Microsoft Malware Protection Engine Patch Update จะทำการ Update อย่างน้อย เดือนละครั้ง   แต่ตอนนี้ Microsoft ยังไม่ได้ Update Patch อย่างเป็นทางการสำหรับแก้ไขช่องโหว่การยกระดับ ในMicrosoft PSExec utility   คำแนะนำ  ถึงแม้ว่า Microsoft Defender จะทำการ Update ตัวเองโดยอัตโนมัติ ผู้ใช้งานก็ควรตรวจสอบด้วยตัวเองว่า Microsoft Defender นั้นได้รับการ Update แล้วหรือยัง  ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-patches-defender-antivirus-zero-day-exploited-in-the-wild/ 
Read More

Bitdefender เครื่องมือถอดรหัสไฟล์จาก “DarkSide” ransomware เพื่อกู้ข้อมูลฟรี !!!!

Bitdefender บริษัท รักษาความปลอดภัยทางไซเบอร์ได้เปิดตัวเครื่องมือถอดรหัสไฟล์จาก “DarkSide” ransomware ฟรีเพื่อให้ผู้ที่ได้รับผลกระทบสามารถกู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ให้ Hacker Darkside เป็นกลุ่ม Ransomware กลุ่มใหม่ซึ่งเริ่มปฏิบัติการมาตั้งแต่เดือนสิงหาคม 2020 โดยเน้นการโจมตีไปเฉพาะบริษัทขนาดใหญ่ เงื่อนไขของการเรียกค่าของกลุ่ม Darkside ยังคงเหมือนกับกลุ่มอื่นๆ โดยมีการผสมผสานทั้งการเข้ารหัสไฟล์และการข่มขู่เกี่ยวกับการปล่อยข้อมูลลับของบริษัทออกสู่สาธารณะ เครื่องมือถอดรหัสไฟล์จะถอดรหัสเอกสารที่ถูกเข้ารหัสทั้งหมดที่พบในคอมพิวเตอร์ของคุณโดยอัตโนมัติและเมื่อเสร็จแล้วระบบจะเตือนให้คุณสำรองข้อมูลของคุณในอนาคต สำหรับผู้ที่สนใจ สามารถดาวน์โหลดเครื่องมือถอดรหัส “DarkSide” ransomware ได้ที่ https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/ ที่มา: https://www.bleepingcomputer.com/news/security/darkside-ransomware-decryptor-recovers-victims-files-for-free/
Read More

ตำรวจอังกฤษเตือน ข้อความหลอกลวงเกี่ยวกับวัคซีน Covid-19

ตำรวจได้เตือนว่ามีนักล่อลวงได้ทำการส่งข้อความปลอมเสนอวัคซีนโควิดเพื่อที่จะขโมยข้อมูลส่วนตัวและข้อมูลทางการเงินของเหยื่อ ตำรวจพื้นที่ Derbyshire กล่าวว่า ข้อความเหล่านี้จะมีลิ้งค์ที่เลียนแบบเว็บไซต์ NHS (National Health Service) ที่ “น่าเชื่อถือมาก” โดยที่เว็บไซต์จะขอให้ใส่ข้อมูลบัญชีธนาคารเพื่อเป็นการลงทะเบียนขอรับวัคซีน ตำรวจเสริมว่า มีคนที่จะโทรศัพท์ไปหาเหยื่อเพื่อให้จ่ายเงินค่าวัคซีนทางโทรศัพท์อีกด้วย ในข้อความกล่าวถึงอะไรบ้าง? โฆษกตำรวจ Derbyshire กล่าวว่า “ในข้อความมีอยู่ว่า ‘คุณมีสิทธิ์ในการสมัครเพื่อขอรับวัคซีน’ และให้คุณคลิ้กไปที่ลิ้งค์เพื่อรับข้อมูลเพิ่มเติม หรือทำการสมัครเพื่อรับวัคซีน” “ถ้าคุณได้รับข้อความหรืออีเมล์เพื่อขอให้คุณคลิ้กไปที่ลิ้งค์หรือให้คุณกรอกข้อมูลส่วนตัว เช่น ชื่อ เลขบัตรเครดิต หรือข้อมูลบัญชีธนาคาร มันเป็นการหลอกลวง” ตำรวจกล่าว คำเตือนที่คล้ายกันเกี่ยวกับการพยายามทุจริตได้ถูกโพสต์ลงในเพจเฟสบุ๊คในช่วงคริสมาสต์และปีใหม่ เมื่อ BBC ลองเข้าเช็คเว็บไซต์หลอกลวงดังกล่าว ปรากฎว่าเว็บไซต์ได้ถูกปิดไปแล้ว นี่ไม่ใช่ครั้งแรกที่เกิดการหลอกลวงประเภทนี้ตั้งแต่มีการเริ่มใช้วัคซีน เมื่อปลายเดือนธันวาคม Sussex Community NHS Foundation Trust ได้ออกประกาศเตือนเกี่ยวกับโทรศัพท์และข้อความหลอกลวงที่คล้ายๆกันนี้ “ในบางกรณี ผู้คนถูกขอให้กดหมายเลขบนโทรศัพท์หรือส่งข้อความเพื่อยืนยันว่าเค้าเหล่านั้นต้องการที่จะได้รับวัคซีน และเมื่อทำตามก็มีแนวโน้มที่จะถูกคิดเงินในบัญชีโทรศัพท์” คำเตือนได้กล่าวไว้ โฆษกของ Sussex trust กล่าวว่า…
Read More

พบ Malware กลุ่มใหม่ใช้ไฟล์ Word เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub

          นักวิจัยพบ Malware กลุ่มใหม่ใช้ไฟล์ Word ที่ฝัง Macros เพื่อดาวน์โหลดสคริปต์ PowerShell จาก GitHub ซึ่ง สคริปต์ PowerShell นี้จะดาวน์โหลดไฟล์รูปภาพจาก “Imgur” เพื่อถอดรหัสสคริปต์ “Cobalt Strike” บนระบบ Windows           จากการทดสอบของนักวิจัย เมื่อทำการเปิดไฟล์ Word ขึ้นมา Macro ที่ฝังอยู่ในไฟล์ Word จะทำการเปิดตัว powershell.exe และ ป้อนตำแหน่งของสคริปต์ PowerShell ไปที่โฮสต์บน GitHub สคริปต์ Macro ที่ฝังอยู่ภายในไฟล์ Word           ในสคริปต์ PowerShell มีคำแนะนำในการดาวน์โหลดไฟล์ PNG จาก “Imgur” ถึงแม้ว่าไฟล์รูปภาพจะไม่มีอันตราย แต่สคริปต์ PowerShell…
Read More

“QNAP” Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรง

QNAP ได้ออก Update Patch เพื่อแก้ไขช่องโหว่ร้ายแรงที่ส่งผลกับอุปกรณ์ NAS ที่ใช้ระบบปฏิบัติการณ์ QES, QTS และ QuTS hero ซึ่งช่องโหว่ที่ QNAP ทำการแก้ไขประกอบด้วย CVE-2020-2503: Stored cross-site scripting QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการแทรก Code ที่อันตรายจากระยะไกลลงใน File Station ได้ CVE-2020-2504: Absolute path traversal QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการ Traverse files ใน File Station ได้ CVE-2020-2505: QES vulnerability — Hacker สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อทำการขโมยข้อมูลด้วยการสร้างข้อความแสดงข้อผิดพลาด…
Read More

พบ Malware ตัวใหม่บน Windows อาจถูกพัฒนาไป Linux หรือ macOS ได้

กลุ่มนักวิจัยทางไซเบอร์ได้ค้นพบ Malware ตัวใหม่โดยบังเอิญ ชื่อ “PyMICROPSIA” ซึ่งถูกแพร่กระจายอยู่บน ระบบปฏิบัติการ Windows และมีแนวโน้มที่จะถูกพัฒนาไปโจมตียังระบบปฏิบัติการอื่นเช่น Linux หรือ macOS อีกด้วย โดยหลักการทำงานของ Malware นี้ถูกพัฒนามาจากภาษา “Python” ซึ่ง Malware ดังกล่าวมีความสามารถในการทำงานดังนี้  File uploading.  Payload downloading and execution.  Browser credential stealing. Clearing browsing history and profiles.  Taking screenshots.  Keylogging.  Compressing RAR files for stolen information.  Collecting process information and killing processes.  Collecting file listing information.  Deleting files.  Rebooting machine.  Collecting Outlook .ost file. Killing and disabling Outlook process. …
Read More

พบ “PgMiner” โจมตีฐานข้อมูลของ PostgreSQL !!!

  นักวิจัยพบ Botnet “PgMiner” ที่ทำการโจมตีฐานข้อมูลของ PostgreSQL เพื่อติดตั้ง “Cryptocurrency miner”            นักวิจักกล่าวว่า Botnet “PgMiner” ทำงานโดยการโจมตี Brute-force ที่ ฐานข้อมูลของ PostgreSQL            การโจมตีเป็นไปตามรูปแบบง่ายๆ Botnet จะทำการสุ่มเลือก Network Range (เช่น 18.xxx.xxx.xxx) แล้ววนซ้ำผ่าน IP Address ทั้งหมดใน Range นั้น เพื่อค้นหาระบบของ PostgreSQL             หาก PgMiner พบระบบ PostgreSQL Botnet “PgMiner”  จะย้ายจาก Scanning Phase ไปยัง  Brute-force Phase โดยจะสับเปลี่ยนรหัสผ่านยาว ๆ เพื่อพยายามเดา Credentials สำหรับ “postgres”  ซึ่งเป็น Default account ของ PostgreSQL           หากเจ้าของฐานข้อมูล PostgreSQL ลืมปิดการใช้งาน User “postgres”  หรือลืมเปลี่ยนรหัสผ่าน Hackerจะเข้าถึงฐานข้อมูลและใช้ Feature “PostgreSQL COPY” เพื่อเพิ่มระดับการเข้าถึงจากฐานข้อมูล ไปยัง Server พื้นฐานและเข้าควบคุมระบบปฏิบัติการทั้งหมด            เมื่อสามารถเข้าถึงระบบที่ติด Virus ได้แล้ว “PgMiner” จะใช้ Application Coin-mining เพื่อพยายามขุด Monero Cryptocurrency ให้มากที่สุดก่อนที่จะตรวจพบ            คุณสมบัติที่โดดเด่นของ Botnet “PgMiner” คือ ควบคุมระบบที่ติด Virus ผ่าน C2 Server ที่โฮสต์บนเครือข่าย Tor และ Codebase ของ Botnet “PgMiner” ดูเหมือนจะคล้ายกับ Botnet “SystemdMiner”  วิธีการป้องกัน  ปิดการใช้งาน Default account หรือ หากต้องการใช้ Default account ให้ทำการเปลี่ยนรหัสผ่าน และใช้รหัสผ่านที่คาดเดาได้ยาก  ไม่เข้าเว็บไซต์ที่สุมเสี่ยงต่อการโดน Malware   ไม่ควร Download File ที่แนบมากลับ E-mail ที่ต้องสงสัย  ที่มา : https://www.zdnet.com/article/pgminer-botnet-attacks-weakly-secured-postgresql-databases/ 
Read More

Microsoft Update Patch แก้ไข 58 ช่องโหว่ใน เดือน ธันวาคม 2020

 Microsoft Update Patch แก้ไขช่องโหว่ 58 ช่องโหว่ ใน เดือน ธันวาคม 2020 โดย มี 9 ช่องโหว่ ที่อยู่ในระดับ Critical, 48 ช่วงโหว่ที่อยู่ในระดับ Important, และ 2 ช่องโหว่ที่อยู่ในระดับ Moderate  ทาง Microsoft ได้ทำการแก้ไข ช่องโหว่ของ “DNS cache poisoning”อีกด้วย โดยช่องโหว่นี้เกิดจากการกระจายตัวของ IP ที่ส่งผลต่อ Windows DNS Resolver หาก Hacker เจาะช่องโหว่นี้ได้สำเร็จจะสามารถปลอม Packet DNS ซึ่งสามารถ Cached โดย DNS Forwarder หรือ DNS Resolver ช่องโหว่ที่น่าสนใจ…
Read More

ด่วน พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย หลุดว่อนขายใน Dark Web !!!

ทีมงาน SOSECURE ได้รับการแจ้งเตือนจาก SOSECURE Threat Intelligence Team พบข้อมูลส่วนบุคคลจาก Booking Online ในไทย รั่วไหลสู่ตลาดมืด โดยข้อมูลที่รั่วไหลนั้นมีหลากหลายประเภท เช่น ตัวอย่าง: บันทึกประวัติของผู้โดยสาร, ข้อมูลการจองสายการบิน, ข้อมูลการเดินทาง, การท่องเที่ยว, ข้อมูลการเช่ารถ, ข้อมูลการจองโรงแรม, ตั๋วเครื่องบิน, เบอร์โทรศัพท์, ที่อยู่, อีเมล และอื่น ๆ อีกมากมาย จำนวน 837,371,904 รายการ มาจาก 6 ฐานข้อมูล ทีมงาน SOSECURE แนะนำให้ดำเนินการเช็ครายการการใช้จ่ายบัตรเครดิต รวมถึงดำเนินการเปลี่ยนรหัสผ่านที่ใช้บริการในธุรกรรมต่าง ๆ ผ่านหน้าเว็บไซต์ และรอการอัพเดทข้อมูลเพิ่มเติมต่อไป…
Read More

พบช่องโหว่ของ “cPanel” ที่ช่วยให้ Hacker สามารถ Bypass ผ่าน 2FA ด้วยวิธีการ Brute-force Attacks

 cPanel คือระบบ Web Hosting Control Panel ที่พัฒนาด้วย cPanel Inc. เป็นระบบจัดการ Web Hosting ที่นิยมมากที่สุดในหลายประเทศ ขึ้นชื่อในความเสถียร รวดเร็วระบบการจัดการต่างๆ ได้อย่างดีเยี่ยมและตอบโจทย์ให้แก่ผู้ใช้บริการ  นักวิจัยพบช่องโหว่ของ Software cPanel & Web Host Manager (WHM) รหัสช่องโหว่ CVE-2020-27641 ทำให้ผู้โจมตีสามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ Two-Factor Authentication (2FA) ด้วยบัญชีผู้ใช้ของ cPanel   เนื่องจาก cPanel ไม่บล็อกการส่งรหัสในการตรวจสอบสิทธิ์แบบ 2FA ซ้ำ ๆ ส่งผลให้ Hacker ที่มี Credentials ของเหยื่อ สามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ 2FA  ได้  ทาง cPanel ได้ Update Patch ของ cPanel & Web Host Manager (WHM)Version 11.92.0.2, 11.90.0.17 และ 11.86.0.32 เพื่อแก้ไขช่องโหว่ของโปรแกรม       วิธีการป้องกัน   Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน   ใช้รหัสผ่านโดยมี ตัวเลข ตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ และ อักษรพิเศษเช่น ! @ # $ % เป็นต้น  เปลี่ยนรหัสผ่านในทุก ๆ 90 วัน            ที่มา: https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/  
Read More