Cisco แนะนำให้แพตช์ช่องโหว่ Zero-day ใน IOS XR ทันที 

Cisco ได้มีการแก้ไขช่องโหว่ Zero-day ในซอฟต์แวร์ของเราเตอร์ IOS XR ที่อนุญาตให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์บน Redis instance ที่ทำงานอยู่ในคอนเทนเนอร์ NOSi Docker ซึ่ง IOS XR Network OS ถูกปรับใช้บนแพลตฟอร์มเราเตอร์ของ Cisco หลายตัว รวมถึงเราเตอร์ NCS 540 & 560, NCS 5500, 8000 และ ASR 9000   ช่องโหว่ CVE-2022-20821 ถูกค้นพบระหว่างการแก้ปัญหาของทีมสนับสนุนของ Cisco TAC (Technical Assistance Center) ที่พบว่าการตรวจสอบสภาพ RPM ได้ทำการเปิดพอร์ต TCP 6379 และกำหนดให้เป็นค่าเริ่มต้นเมื่อเปิดใช้งาน ซึ่งจะทำให้ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยเชื่อมต่อกับ Redis บนพอร์ตที่เปิดอยู่ ถ้าทำการเจาะระบบประสบความสำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถเขียนไปยังฐานข้อมูลในหน่วยความจำ Redis…
Read More

Microsoft อัปเดตเพื่อแก้ไขปัญหา Authentication ของ Windows AD 

ทาง Microsoft ได้ออกมาอัปเดตฉุกเฉิน เพื่อแก้ไขปัญหา Authentication ของ Active Directory (AD) หลังจากติดตั้งแพตช์เมื่อวันที่ 10 พฤษภาคม 2022 บน Domain Controllers ผู้ใช้งานอาจเห็น Authentication  ทำงานผิดพลาดบน Server หรือ Client สำหรับ Services เช่น Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP) และ Protected Extensible Authentication Protocol (PEAP)  ซึ่งมี Windows AD ที่ได้อัปเดตแพตช์ดังนี้…
Read More

ระวัง !! มัลแวร์ Vidar Infostealer แพร่กระจายผ่านตัวติดตั้ง Windows 11 ปลอม

ทาง Zscaler ThreatLabz บริษัทรักษาความปลอดภัยทางไซเบอร์ อธิบายว่า ผู้ไม่ประสงค์ดีพยายามติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้งานผ่าน Domain ที่ลงทะเบียนใหม่ ได้แก่ ms-win11com, win11-servcom, win11installcom และ ms-teams-appnet สร้างขึ้นเพื่อแพร่กระจายไฟล์ ISO (a PE32 binary) ที่เป็นตัวติดตั้ง Windows 11 ปลอม โดยในไฟล์ ISO มีไฟล์ Executable ที่มีขนาดใหญ่ (มากกว่า 300MB) เพื่อหลีกเลี่ยงการตรวจจับจาก anti-viruses ซึ่งไฟล์นี้ Signed ด้วย Certificate ที่หมดอายุจาก Avast และ Binaries ทั้งหมดได้รับ Signed โดย Certificate ที่มี Serial Number เดียวกัน     มัลแวร์ Vidar…
Read More

Microsoft เตือนการโจมตีแบบ Brute-force มุ่งเป้าไปที่ MSSQL servers

Microsoft เตือนถึงการโจมตีแบบ Brute-force ที่กำหนดเป้าหมายไปยัง Microsoft SQL Server (MSSQL)   ซึ่งไม่ใช่ครั้งแรกที่เซิร์ฟเวอร์ MSSQL ตกเป็นเป้าหมายในการโจมตีดังกล่าว Redmond กล่าวว่าผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังแคมเปญที่สังเกตเห็นเมื่อเร็ว ๆ นี้กำลังใช้เครื่องมือ sqlps.exe ที่ถูกต้องตามกฎหมายเป็น LOLBin. ช่วยให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่ง PowerShell โดยไม่ถูกตรวจจับได้  คำแนะนำ  ใช้รหัสผ่านที่รัดกุมและคาดเดาได้ยาก  เปิดใช้งาน logging เพื่อตรวจสอบกิจกรรมที่น่าสงสัยหรือการพยายามเข้าสู่ระบบซ้ำ ๆ  อัปเดต Microsoft SQL Server ให้เป็นเวอร์ชั่นล่าสุดเพื่อลดการโจมตีและบล็อกการโจมตีที่ใช้ประโยชน์จากช่องโหว่  Ref: https://www.bleepingcomputer.com/news/security/microsoft-warns-of-brute-force-attacks-targeting-mssql-servers/ 
Read More

พบช่องโหว่ของ VMware กำหนดเป้าหมายไปที่ Botnet Operators 

พบการใช้ประโยชน์จากช่องโหว่ของ VMware หรือ ช่องโหว่ CVE-2022-22954 (CVSS 9.8) โดยการโจมตีล่าสุดได้กำหนดเป้าหมายไปที่ Botnet และ Log4Shell ซึ่งส่งผลกระทบต่อ VMware Workspace ONE Access และ Identity Manager Workspace ONE ช่องโหว่นี้ทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายและ เรียกใช้คำสั่งจากระยะไกล (RCE) ผ่านการ Template Injection ฝั่งเซิร์ฟเวอร์ อีกทั้งยังพบการใช้ประโยชน์ จากช่องโหว่ CVE-2022-22960 (คะแนน CVSS 7.8) ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (LPE)  ใน VMware Workspace ONE Access, Identity Manager และ vRealize Automation (แพลตฟอร์มสำหรับสร้างคลาวด์ส่วนตัว) ซึ่งช่องโหว่นี้เกิดจากการอนุญาตที่ไม่เหมาะสมในสคริปต์ และอาจอนุญาตให้ผู้ไม่ประสงค์ดี สามารถเข้าถึงเครื่องที่ได้รับสิทธิ์รูท  นักวิจัยของ VMware สังเกตเห็นว่าการโจมตีส่วนใหญ่นั้นเกิดจากช่องโหว่ของ…
Read More

NVIDIA แก้ไขช่องโหว่ใน GPU display drivers GPU ของ Windows 

NVIDIA ได้ อัปเดตความปลอดภัยสำหรับ graphics card หลายรุ่น ที่อาจนำไปสู่การโจมตี denial of service, information disclosure, elevation of privileges, code execution เป็นต้น  ช่องโหว่ที่มีความรุนแรงสูงสี่ช่องโหว่ที่ได้รับการแก้ไขได้แก่  CVE-2022-28181 (CVSS v3 score: 8.5) ช่องโหว่ใน kernel mode layer ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ในส่ง shader ที่ใช้สำหรับการโจมตีผ่านระบบเครือข่าย ซึ่งอาจนำไปสู่การโจมตี code execution, denial of service, escalation of privileges, information disclosure, และ data tampering  CVE-2022-28182 (คะแนน CVSS v3: 8.5)…
Read More

Apple ดำเนินการอัปเดต เพื่อแก้ไขช่องโหว่ Zero-Day ใน Mac และ Apple Watches เป็นที่เรียบร้อยแล้ว

Apple ได้เผยแพร่การอัปเดตด้านความปลอดภัย เพื่อแก้ไขช่องโหว่ Zero-day ที่ผู้ไม่ประสงค์ดีสามารถกำหนดเป้าหมายการโจมตีไปยัง Mac และอุปกรณ์ Apple Watch ภายใต้รหัส CVE-2022-22675 ซึ่งเป็นช่องโหว่ใน AppleAVD ที่อนุญาตให้แอพสามารถรันโค้ดได้ตามอำเภอใจ ด้วยสิทธิ์สูงสุดบน Kernel  นักวิจัยได้รายงานช่องโหว่และแก้ไขโดย Apple ใน macOS Big Sur 11.6, watchOS 8.6 และ tvOS 15.5  พร้อมการตรวจสอบขอบเขตที่ได้รับการปรับปรุง ซึ่งอุปกรณ์ที่ได้รับผลกระทบ ได้แก่ Apple Watch Series 3 หรือใหม่กว่า, Mac ที่ใช้ macOS Big Sur, Apple TV 4K, Apple TV 4K (รุ่นที่ 2) และ…
Read More

นักวิจัยค้นพบวิธีที่การเรียกใช้มัลแวร์บน iPhone ถึงแม้ว่าจะปิดเครื่องอยู่

iOS Find My ได้ระบุรูปแบบการโจมตีแบบใหม่ที่ทำให้สามารถปลอมแปลงเฟิร์มแวร์และโหลดมัลแวร์ลงในชิปบลูทูธที่ทำงานในขณะที่อุปกรณ์ iPhone ปิดการใช้งานอยู่ กลไกนี้ใช้ประโยชน์จากชิปไร้สายที่เกี่ยวข้องกับ Bluetooth, Near-field communication (NFC) และ ultra-wideband (UWB) ที่ยังคงทำงานในขณะที่ iOS ถูกปิดเมื่อเข้าสู่โหมดพลังงานต่ำ “Power reserve” (LPM)  ชิป Bluetooth และ UWB เดินสายไปยัง Secure Element (SE) ในชิป NFC เพื่อเก็บความลับใน LPM เนื่องจาก LPM support ถูกนำไปใช้ในฮาร์ดแวร์ จึงไม่สามารถลบออกได้โดยการเปลี่ยนส่วนประกอบซอฟต์แวร์ ด้วยเหตุนี้ ใน iPhone รุ่นใหม่ ชิปไร้สายจึงไม่สามารถเชื่อถือได้อีกต่อไปให้ปิดหลังจากปิดตัวลง   ฟีเจอร์ LPM ซึ่งเปิดตัวใหม่เมื่อปีที่แล้วกับ iOS 15 ทำให้สามารถติดตามอุปกรณ์ที่สูญหายได้โดยใช้เครือข่าย Find My…
Read More

ระวังผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ใน Zyxel firewalls และ VPNs !!

พบผู้ไม่ประสงค์ดีเริ่มใช้ประโยชน์จากช่องโหว่ CVE-2022-30525 (9.8 CRITICAL) ซึ่งส่งผลกระทบต่อ  Zyxel firewall และ อุปกรณ์ VPN โดยทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตี และรวบรวมคำสั่งจากระยะไกลได้โดยไม่ต้องตรวจสอบสิทธิ์ อีกทั้งยังสามารถเปิดใช้การตั้งค่า Reverse Shell ได้ด้วย   ช่องโหว่นี้ถูกค้นพบโดยทีมงาน Rapid 7 ซึ่งปัจจุบันได้กลายเป็นโมดูลใน Metasploit แล้ว โดยนักวิจัยตั้งข้อสังเกตุว่าผู้ไม่ประสงค์ดีสามารถสร้าง Reverse Shell โดยการใช้ Normal Bash GTFOBin   นอกจากนี้ทีมงาน Rapid 7 ได้สแกนอินเทอร์เน็ตโดยใช้แพลตฟอร์ม Shodan และพบมากกว่า 15,000 รายการ ที่มีช่องโหว่ ส่วนการใช้ Shadowserver ในการสแกนพบ Zyxel firewall อย่างน้อย 20,800 รุ่นบนเว็บที่อาจได้รับผลกระทบจากช่องโหว่ดังกล่าว  พบประเทศที่มีความเสี่ยงมากที่สุดได้แก่ ฝรั่งเศส, อิตาลี รวมถึงประเทศไทย และประเทศอื่นๆดังรูปต่อไปนี้…
Read More

Microsoft ได้แก้ไขช่องโหว่ NTLM Relay Attack

ในช่วง พฤษภาคม พ.ศ. 2565 Microsoft ได้ทำการอัพเดตแพทช์ เพื่อแก้ไขช่องโหว่ NTLM Relay Attack (CVE-2022-26925) ซึ่งเป็น ‘ช่องโหว่การปลอมแปลง Windows LSA’   ผู้ไม่ประสงค์ดีที่สามารถเรียกใช้เมธอดบนอินเทอร์เฟซ LSARPC และบังคับตัวควบคุมโดเมนให้ตรวจสอบสิทธิ์ โดยใช้ NTLM การการอัพเดตแพทช์ในครั้งนี้จะตรวจจับความพยายามใน การเชื่อมต่อแบบไม่ระบุตัวตนใน LSARPC ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถควบคุมโดเมนได้อย่างสมบูรณ์  แม้ว่า Microsoft จะไม่เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่มากเกินไป แต่ระบุว่าการแก้ไขดังกล่าวส่งผลต่อฟังก์ชัน EFS API OpenEncryptedFileRaw(A/W) ซึ่งบ่งชี้ว่านี่อาจเป็นเวกเตอร์อื่นที่ไม่ได้รับการแก้ไขสำหรับการโจมตี PetitPotam  สามารถดูการสาธิตการโจมตีนี้ได้ด้านล่าง  คำแนะนำ  ทำการอัพเดตแพทช์ ระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุด  Ref: https://www.bleepingcomputer.com/news/security/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/ 
Read More