News

 cPanel คือระบบ Web Hosting Control Panel ที่พัฒนาด้วย cPanel Inc. เป็นระบบจัดการ Web Hosting ที่นิยมมากที่สุดในหลายประเทศ ขึ้นชื่อในความเสถียร รวดเร็วระบบการจัดการต่างๆ ได้อย่างดีเยี่ยมและตอบโจทย์ให้แก่ผู้ใช้บริการ  นักวิจัยพบช่องโหว่ของ Software cPanel & Web Host Manager (WHM) รหัสช่องโหว่ CVE-2020-27641 ทำให้ผู้โจมตีสามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ Two-Factor Authentication (2FA) ด้วยบัญชีผู้ใช้ของ cPanel   เนื่องจาก cPanel ไม่บล็อกการส่งรหัสในการตรวจสอบสิทธิ์แบบ 2FA ซ้ำ ๆ ส่งผลให้ Hacker ที่มี Credentials ของเหยื่อ สามารถ Bypass ผ่านการพิสูจน์ตัวตนแบบ 2FA  ได้  ทาง cPanel ได้ Update Patch ของ cPanel & Web Host Manager (WHM)Version 11.92.0.2, 11.90.0.17 และ 11.86.0.32 เพื่อแก้ไขช่องโหว่ของโปรแกรม       วิธีการป้องกัน   Update Patch ของโปรแกรมให้เป็น Version ปัจจุบัน   ใช้รหัสผ่านโดยมี ตัวเลข ตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ และ อักษรพิเศษเช่น ! @ # $ % เป็นต้น  เปลี่ยนรหัสผ่านในทุก ๆ 90 วัน            ที่มา: https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/  

Application ยอดนิยมตระกูล Baidu ไม่สามารถดาวน์โหลดได้ชั่วคราวบน Play Store เนื่องจากนักวิจัยพบว่าทาง Baidu ได้ทำการลักลอบรวบรวมข้อมูลของผู้ใช้งาน            Application ที่มีปัญหา ได้แก่ “Baidu Maps” และ “Baidu Search Box” ซึ่งพบว่ามีการลักลอบ รวบรวมข้อมูลบน Smart Phone ของผู้ใช้งาน เช่น หมายเลข International Mobile Subscriber Identity (IMSI)  หรือ หมายเลข Mac Address ของอุปกรณ์ โดยที่ผู้ใช้งานไม่รู้ตัว            นอกจากนี้ยังพบ Application “Homestyler” ที่รวบรวมข้อมูลส่วนตัวจากอุปกรณ์ของผู้ใช้            รายการข้อมูลทั้งหมดที่รวบรวมโดย Application ได้แก่  รุ่นของอุปกรณ์  ความละเอียดหน้าจอ  MAC Address ของอุปกรณ์  ผู้ให้บริการ (ผู้ให้บริการโทรคมนาคม)  เครือข่าย (Wi-Fi, 2G, 3G, 4G, 5G)  รหัส Android  IMSI number   International Mobile Equipment Identity (IMEI) number            นักวิจัยทำการใช้อัลกอริทึม machine learning-based ที่ออกแบบมาเพื่อตรวจจับการรับส่งข้อมูล Spyware ที่ผิดปกติ สาเหตุการรั่วไหลของข้อมูลนั้นมาจาก “Push SDK” ของ Baidu และ “ShareSDK” จาก MobTech ซึ่งเป็นผู้จำหน่าย Application กว่า 37,500 Application รวมถึง  Platforms Social Media อีกหลายรายการ  ในขณะที่ Google พยายามป้องกัน และ หยุดกิจกรรมที่เป็นอันตราย ที่เกิดขึ้นใน Play Store แต่ Hacker ยังคงหาวิธีแทรกซึมเข้าสู่ App…

  ผู้เชี่ยวชาญออกมาเปิดเผยถึงการโจมตีในรูปแบบใหม่บน Web Browser อาศัยอุปกรณ์ Network Address Translation (NAT) และ Firewall ในการเข้าถึงบริการ จากเครื่องเหยื่อที่ปกติแล้วจะไม่สามารถเข้าถึงได้ผ่านช่องทาง Internet การโจมตีนี้เรียกว่า “NAT Slipstreaming” ที่อาศัย Application Level Gateways (ALGs) Proxies            ALGs ใช้สำหรับการเชื่อมต่อระหว่างเครือข่ายภายในกับภายนอก เพื่ออนุญาตให้ NAT นั้นเข้าถึง Protocols อื่น ๆ ได้ โดยปกติแล้ว NAT นั้นเป็น Protocols ที่ใช้อยู่บน Internet สาธารณะ ซึ่งผู้ขอใช้บริการไม่สามารถเข้าถึงหรือทราบ Private IP Address ภายในได้ แม้ว่า NAT จะไม่ใช่คุณสมบัติด้านความปลอดภัยโดยตรงแต่ ก็สามารถทำให้ผู้โจมตีเข้าถึงระบบที่มีช่องโหว่บนเครือข่ายภายในได้ยากขึ้น            ผู้เชี่ยวชาญกล่าว การโจมตีนี้อาศัย Web Browsers ต่าง ๆ เช่น Chrome โดยการฝัง Malicious Code ที่สามารถค้นหา IP Address ภายในเครือข่ายผ่าน Web Real Time Communications (WebRTC) Protocol บนเครื่องเหยื่อ, สำหรับ Browsers ที่ไม่เปิดเผย IP Address ผ่าน WebRTC อย่าง Safari ของ Apple หรือ Internet Explorer 11 ของ Microsoft จะโจมตีผ่าน Transmission Control Protocol (TCP) เพื่อทำการ Map กับระบบภายในเครือข่ายของเหยื่อแทน เมื่อทราบ IP Address แล้วจะมีการโจมตีรูปแบบอื่น ๆ เพื่อสร้าง Packet Session Initiation Protocol (SIP) สำหรับ Voice over IP (VoIP) โดยผู้โจมตีจะทำการเปิด Port TCP หรือ UDP ของเครื่องเหยื่อเพื่อใช้ในการเชื่อมต่อกลับมายังเครื่องเหยื่อได้โดยตรง (Backdoor) …

  นักวิจัยได้แจ้งเตือนถึงการโจมตีของ Malware ตระกูล  Kegtap, Singlemalt และ Winekey ที่มุ่งเป้าหมายการโจมตีไปที่โรงพยาบาล เพื่อทำการปล่อย “Ryuk ransomware” เข้าสู่ระบบ   นักวิจัยได้ระบุเกี่ยวกับกลยุทธ์ของ Malware เหล่านี้  ใช้ “Phishing E-mails” ที่แนบมากับเอกสาร Google doc, PDF หรือเอกสารอื่น ๆ ซึ่งแฝง Link ที่ดาวน์โหลด Malware Kegtap, Singlemalt และ Winekey ทำหน้าที่เป็นด่านแรก ซึ่งจะสร้าง Foothold ก่อนจะดึง Malware เพื่อทำการโจมตีต่อไป  ในกรณีนี้ Hacker จะดาวน์โหลด Penetration-testing Frameworks เช่น Cobalt Strike, Beacon หรือ Powertrick เพื่อสร้างสถานะ หลังจากการโจมตีครั้งแรก ซึ่ง Cobalt Strike ช่วยรักษาสถานะของMalware หลังจากทำการ Reboot นอกจากนี้ยังใช้ Beacon เพื่อปรับใช้“ cmdlet Register-MaliciousWmiEvent ของ PowerLurk เพื่อ Register WMI Event ที่ใช้ Kill Processes ที่เกี่ยวข่องกับ Tool และ Utilities ที่เกี่ยวกับความปลอดภัย รวมถึง Task Manager, WireShark, TCPView, ProcDump, Process Explorer, Process Monitor, NetStat, PSLoggedOn, LogonSessions, Process Hacker, Autoruns, AutorunsSC, RegEdit และ RegShot  เป้าหมายหลักของการโจมตีครั้งนี้คือ การปล่อย “Ryuk Payload”  “มีหลักฐานที่บ่งชี้ว่า Ryuk ransomware น่าจะติดตั้งผ่าน PsExec   แต่ Script หรือ Artifacts อื่น ๆ ที่เกี่ยวข้องกับกระบวนการแพร่กระจายไม่สามารถใช้สำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ได้” นักวิจัยกล่าว  กุญแจสำคัญในการหยุดการโจมตีเหล่านี้ คือการป้องกัน Privileged…

Microsoft ได้เพิ่ม Feature ของ Microsoft Defender Advanced Threat Protection (ATP) ซึ่งเป็น Platform Endpoint Security เพื่อให้ผู้ใช้งานสามารถติดตามอุปกรณ์ที่มีช่องโหว่ไม่ว่าจะเป็นระบบปฏิบัติการ Windows หรือ MacOS ที่อยู่ภายในองค์กรของคุณ   หน้า Report จะแสดงกราฟที่มีข้อมูลสถิติและรายละเอียดเกี่ยวกับแนวโน้มของอุปกรณ์ที่มีช่องโหว่ ซึ่งช่วยให้ผู้ดูแลระบบสามารถทำงานได้ง่ายดายมากยิ่งขึ้น  ข้อมูลเชิงลึกเกี่ยวกับช่องโหว่ของอุปกรณ์  คุณสามารถกรองข้อมูลได้ตาม ระดับความรุนแรงของช่องโหว่ในอุปกรณ์ ,ช่องโหว่ในอุปกรณ์ ,ระยะเวลาของช่องโหว่ในอุปกรณ์ ,Platform ของระบบปฏิบัติการ ,ระบบปฏิบัติการ Windows 10 หรือ ตัวอุปกรณ์ หากคุณอยากทราบเกี่ยวกับข้อมูลเชิงลึกเพิ่มเติม สามารถดูแผนภูมิแท่งเพื่อดูรายการอุปกรณ์และยังสามารถ Export ข้อมูลได้อีกด้วย  กราฟของข้อมูลเชิงลึกมีดังนี้  Device vulnerability severity levels (แสดงข้อมูลระดับรุนแรงของช่องโหว่ในอุปกรณ์)   Device exploit availability (แสดงข้อมูลช่องโหว่ที่ในอุปกรณ์)  Device vulnerability age (e.g. devices with vulnerabilities that were published over 90 days ago)  Vulnerable devices by operating system Vulnerable devices by Windows 10…

นักวิจัยเปิดเผยความเสี่ยงใหม่ในการส่ง Link ของ Application Chat ยอดนิยม ทำให้ข้อมูล IP Address รั่วไหล รวมถึงแสดง Link ที่ส่งผ่านแชทที่เข้ารหัสแบบ End-to-End และลักลอบดาวน์โหลดข้อมูลโดยไม่จำเป็น เหตุการณ์นี้ส่งผลกระทบกับฝั่งผู้รับเท่านั้น การแสดงตัวอย่าง Link เป็นคุณสมบัติทั่วไปใน Application Chat ส่วนใหญ่จะเป็นการแสดงภาพตัวอย่างและคำอธิบายสั้น ๆ ของ Link ที่แชร์   การแสดงตัวอย่าง Link ขึ้นในฝั่งผู้รับเป็นช่องทาง สู่ความเสี่ยงใหม่ ๆ ที่อนุญาตให้ผู้ไม่หวังดีสามารถทราบตำแหน่งโดยประมาณของเหยื่อได้   สิ่งนี้เกิดขึ้นเนื่องจาก Application Chat เมื่อได้รับข้อความพร้อม Link URL โดยอัตโนมัติเพื่อสร้างตัวอย่างโดยเปิดเผย IP Address ของโทรศัพท์ในคำขอที่ส่งไปยัง Server  “การใช้ Server ภายนอกเพื่อสร้างการแสดงตัวอย่าง Link ในขณะที่ป้องกันปัญหาการรั่วไหลของ IP Address ทำให้เกิดปัญหาใหม่ ซึ่ง Server ที่ใช้สร้างตัวอย่าง Link อาจจะเก็บสำเนาไว้” นักวิจัยกล่าว   Application หลายตัว ไม่ว่าจะเป็น Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter และ Zoom ไม่มีการระบุให้ผู้ใช้ทราบว่า ” Server กำลังดาวน์โหลดสิ่งที่พบใน Link  ถึงแม้ Line จะมี Feature End-to-End Encryption (E2EE) ที่ออกแบบมาเพื่อป้องกันบุคคลที่สามจากการดักจับการสนทนา แต่การที่ใช้ Server ภายนอกนั้นเพื่อสร้าง Link ทำให้ Server ทราบถึงข้อมูลทั้งหมดที่มากับ Link โดยส่งผ่าน Application รวมถึงทราบว่าใครเป็นผู้ส่งและผู้รับ  คำแนะนำ        หลีกเลียงการส่ง Link ที่มีข้อมูลเป็นความลับผ่านช่องทาง Application Chat เพื่อความปลอดภัยในการถูกโจรกรรมข้อมูลจากผู้ไม่หวังดี ในลักษณะ Man-in-the-Middle ได้  ที่มา: https://thehackernews.com/2020/10/mobile-messaging-apps.html 

ทีมงาน Microsoft ได้ทำการปล่อย Patch Web Browserของ“Microsoft Edge” ซึ่งเป็นช่องโหว่ที่พบใน “Google Chrome” ตามที่ Google Chrome ได้ประกาศออกมาก่อนหน้านี้  ช่องโหว่ที่พบ             CVE-2020-16000 – เป็นข้อบกพร่องในการใช้งานที่ไม่เหมาะสมใน “Blink”            CVE-2020-16001 – เป็นข้อบกพร่องในการใช้งาน“media”           CVE-2020-16002 – เป็นข้อบกพร่องในการใช้งาน “PDFium”           CVE-2020-15999 – เป็นข้อบกพร่องในส่วนของ“Freetype” Library Hacker สามารถใช้ช่องโหว่นี้เพื่อมาการโจมตี แบบ Buffer Overflow ได้            CVE-2020-16003 – เป็นข้อบกพร่องในการใช้งาน “Printing”  ที่มา: https://www.securezoo.com/2020/10/microsoft-releases-security-update-for-edge-zero-day-exploited-in-the-wild/ 

 Hewlett Packard Enterprises (HPE) ได้ออกมาประกาศแก้ไขช่องโหว่ Remote Authentication bypass ที่ส่งผลกระทบต่อ HPE StoreServ Management Console (SSMC) บน Data center storage management solution  SSMC เป็นเว็บแอปพลิเคชันตัวจัดการแบบหลายโหนด ที่มีการแยกการทำงานของข้อมูลที่อยู่บนตัวจัดการ arrays  ช่องโหว่ Remote Authentication Bypass (CVE-2020-7197) ที่มีผลกระทบกับ HPE 3PAR StoreServ Management และ Core Software Media prior 3.7.0.0   CVE-2020-7197 ที่ 10/10 คะแนน เป็นช่องโหว่ร้ายแรงที่มีความซับซ้อนต่ำ ทำให้ผู้โจมตีไม่จำเป็นต้องใช้สิทธิ์อะไรในโจมตี  คำแนะนำ             แนะนำให้อัปเกรด HPE 3PAR StoreServ Management Console (SSMC) เป็น 3.7.1.1 หรือใหม่กว่า  ที่มา : https://www.bleepingcomputer.com/news/security/hpe-fixes-maximum-severity-remote-auth-bypass-bug-in-ssmc-console/ 

กลุ่มหน้าใหม่ในอิหร่านถูกตำหนิที่ใช้ Dharma ransomware ในการโจมตี Russia และกลุ่มอื่นๆใน Asia การโจมตีที่ขาดประสบการณ์นี้ทำให้เกิดจุดเด่นที่เป็นเอกลักษณ์ของการโจมตีที่เห็นได้ชัดกับ Russia, Japan, China และ India ตามที่รายงานของ Group-IB    สิ่งแรกที่พวกเขาทำคือการปล่อย Dharma แล้วใช้ publicly IP scanning tool Masscan จากนั้นพวกเขาใช้ NLBrute ในการ brute-force weak RDP credentials และเช็คความถูกต้องของข้อมูล credentials ที่เก็บได้บน hosts network อื่นๆ สิ่งที่พวกเขาร้องขอก็คือค่าไถ่เล็กๆแค่ 1-5 BTC  Group-IB แนะนำให้องกรค์ต่างๆเปลี่ยนจาก default RDP port จาก 3389 เป็น port อื่น และใช้ account lock-out policies เพื่อยับยั้งการ brute-force รวมถึงใช้ Intrusion Detection Tools เพื่อหาจุดผิดปกติหรือพฤติกรรมแปลกปลอมบนที่เกิดขึ้นบน network  อ้างอิง: https://www.infosecurity-magazine.com/news/lowskilled-iranian-hackers-dharma/