29/08/2566

พบช่องโหว่ WinRAR zero-day ถูกนำมาใช้ในการโจมตีตั้งแต่เดือนเมษายนเพื่อขโมยบัญชี trading


    ช่องโหว่ Zero-day ของ WinRAR (CVE-2023-38831) กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้โจมตีจะหลอกล่อให้เหยื่อคลิกเปิดไฟล์ archive เพื่อติดตั้งมัลแวร์ ซึ่งอาจทำให้ Hacker สามารถขโมยบัญชีซื้อขายสกุลเงินดิจิทัลออนไลน์ได้ โดยนักวิจัยพบว่าช่องโหว่ดังกล่าวได้ถูกนำมาใช้ในการโจมตีมาตั้งแต่เดือนเมษายน 2023 เพื่อแพร่กระจายมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT
    CVE-2023-38831 เป็นช่องโหว่ Zero-day ของ WinRAR ที่ทำให้สามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย ซึ่งแสดงไฟล์ที่ดูเหมือนไม่มีอันตราย เช่น รูปภาพ JPG (.jpg), ไฟล์ข้อความ (.txt), หรือเอกสาร PDF (.pdf) แต่เมื่อเหยื่อทำการเปิดไฟล์ดังกล่าว ช่องโหว่ก็จะทำการเรียกสคริปต์เพื่อติดตั้งมัลแวร์บนอุปกรณ์ โดย Group-IB เป็นผู้ค้นพบช่องโหว่ CVE-2023-38831 ในเดือนกรกฎาคม 2023 และได้ทำการเผยแพร่รายละเอียดข้อมูลของช่องโหว่ดังกล่าวแล้ว
    โดยทาง BleepingComputer ได้ทดสอบเปิดไฟล์ที่เป็นอันตรายซึ่งถูกแชร์โดย Group-IB ซึ่งเป็นผู้ค้นพบแคมเปญการโจมตี ซึ่งพบว่าเพียงดับเบิลคลิกบน PDF ก็ทำให้ CMD script ถูกเรียกใช้งานเพื่อติดตั้งมัลแวร์ทันที
    ปัจจุบันช่องโหว่ CVE-2023-38831 ได้รับการแก้ไขแล้วในอัปเดตแพตซ์ของ WinRAR เวอร์ชัน 6.23 ที่ออกมาในวันที่ 2 สิงหาคม 2023 ที่ผ่านมา โดยได้แก้ไขช่องโหว่ต่าง ๆ รวมถึงช่องโหว่ CVE-2023-40477 ที่สามารถดำเนินการคำสั่งเมื่อเปิดไฟล์ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ

การมุ่งเป้าหมายไปที่ crypto traders
    นักวิจัยจาก Group-IB ได้เผยแพร่รายงานการค้นพบช่องโหว่ WinRAR Zero-day ได้ถูกใช้เพื่อมุ่งเป้าหมายการโจมตีไปยังฟอรัมที่เกี่ยวกับ cryptocurrency โดย Hacker ได้ปลอมตัวเป็นผู้ที่มาให้ความรู้ และข้อมูลกลยุทธ์การซื้อขาย ซึ่งโพสต์ในฟอรัมจะมีการแนบลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่ถูกสร้างขึ้นมาเป็นพิเศษ ซึ่งประกอบด้วย PDF ไฟล์ข้อความ และรูปภาพ


ขั้นตอนในการโจมตีประกอบไปด้วย
    เมื่อเหยื่อทำการเปิดไฟล์ จะเห็นสิ่งที่ดูเหมือนเป็นไฟล์ที่ไม่เป็นอันตราย เช่น PDF โดยมีโฟลเดอร์ที่ตรงกับชื่อไฟล์เดียวกัน


    เมื่อเหยื่อดับเบิลคลิกที่ PDF ช่องโหว่ CVE-2023-38831 จะทำการเรียกสคริปต์ในโฟลเดอร์ เพื่อติดตั้งมัลแวร์บนอุปกรณ์ในเวลาเดียวกัน ซึ่งสคริปต์เหล่านี้จะโหลดเอกสารหลอกล่อเพื่อไม่ให้เหยื่อเกิดความสงสัย


    ช่องโหว่ดังกล่าวจะสร้างไฟล์เป็นพิเศษด้วยโครงสร้างที่ได้รับการปรับเปลี่ยนเล็กน้อยเมื่อเปรียบเทียบกับไฟล์ที่ปลอดภัย ซึ่งทำให้ฟังก์ชัน ShellExecute ของ WinRAR ได้รับ parameter ที่ไม่ถูกต้องเมื่อพยายามเปิดไฟล์ล่อ ส่งผลให้โปรแกรมข้ามไฟล์ที่ไม่เป็นอันตราย และค้นหา และเรียกใช้ CMD script แทน ดังนั้นแม้ว่าเหยื่อจะคิดว่าได้ทำการเปิดไฟล์ที่ปลอดภัย แต่โปรแกรมจะเปิดไฟล์อื่นขึ้นมาแทน
    ซึ่ง CMD script จะทำการเรียกใช้ไฟล์ self-extracting (SFX) CAB เพื่อติดตั้งมัลแวร์ต่าง ๆ เช่น DarkMe, GuLoader และ Remcos RAT ลงบนเครื่องเหยื่อ เพื่อให้สามารถเข้าถึงได้จากระยะไกล


    DarkMe malware มีความเชื่อมโยงกับกลุ่ม EvilNum ที่มีเป้าหมายทางการเงิน แต่ปัจจุบันยังไม่พบความเชื่อมโยงของกลุ่ม EvilNum และช่องโหว่ CVE-2023-38831
    Remcos RAT เป็น malware ที่ทำให้ Hacker สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างมีประสิทธิภาพมากขึ้น รวมถึงการสั่งการจากระยะไกล, keylogging, การจับภาพหน้าจอ การจัดการไฟล์ และการทำ reverse proxy ช่วยเพิ่มความสามารถในการโจมให้ดียิ่งขึ้น
    ดังนั้นผู้ใช้ WinRAR จึงควรอัปเดตให้เป็นเวอร์ชันล่าสุด คือ WinRAR version 6.23 เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าวโดยด่วน

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

22/08/2566

พบ Proxy Botnet ขนาดใหญ่กว่า 400,000 ระบบ ถูกสร้างขึ้นจากการติด Malware


    ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศพบรูปแบบการโจมตีขนาดใหญ่ที่ส่ง Application Proxy Server ไปยังระบบปฏิบัติการ windows อย่างน้อย 400,000 ระบบ โดยอุปกรณ์เหล่านี้ทำหน้าที่เป็น exit nodes โดยไม่ได้รับความยินยอมจากผู้ใช้งาน และมีบริษัทหนึ่งกำลังถูกตรวจสอบจากทราฟฟิกของพร็อกซีที่ทำงานผ่านเครื่องของบริษัท
    Residential proxies มีประโยชน์ต่อผู้ไม่ประสงค์ดี เพราะสามารถนำไปใช้ในการโจมตีแบบ credential stuffing เนื่องจากทำให้ IP ที่ใช้ในการโจมตีแตกต่างกัน นอกจากนี้ยังมีจุดประสงค์อื่น ๆ เช่น การกดโฆษณา, การรวบรวมข้อมูล, การทดสอบเว็บไซต์ หรือการกําหนด routing เพื่อเพิ่มความเป็นส่วนตัว
ในรายงาน AT&T Alien Labs ระบุว่าเครือข่ายพร็อกซี 400,000 โหนดถูกสร้างขึ้นโดยใช้เพย์โหลดที่เป็นอันตรายสำหรับติดตั้งแอปพลิเคชันพร็อกซี่
    AT&T Alien Labs ระบุว่า แม้ว่าบริษัทที่อยู่เบื้องหลังจะอ้างว่า exit nodes จะมาจากผู้ใช้งานที่ได้รับการแจ้งเตือน และยินยอมให้ใช้อุปกรณ์ของตนเท่านั้น แต่ Alien Labs มีหลักฐานว่าผู้พัฒนา Malware กำลังแอบติดตั้งพร็อกซี่บนระบบอย่างเงียบ ๆ นอกจากนี้ เมื่อมีการเข้าใช้งานในแอปพลิเคชันพร็อกซี่ จะไม่มีการตรวจจับพฤติกรรมของ Malware อีกด้วย
  รายงานเมื่อสัปดาห์ที่แล้วว่า บริษัทเดียวกันนี้ยังเป็นผู้ควบคุม exit nodes ที่สร้างโดยเพย์โหลดที่เป็นอันตรายที่ชื่อว่า AdLoad ซึ่งกำหนดเป้าหมายไปยังระบบ macOS
    ในความเป็นจริงไบนารี Go-Based ของทั้งสองระบบ (สำหรับ macOS และ Windows) ดูเหมือนจะมาจากซอร์สโค้ดเดียวกัน อย่างไรก็ตามพร็อกซี่ client ของ windows สามารถหลบเลี่ยงการตรวจจับ Malware ได้ เนื่องจากใช้ลายเซ็นดิจิทัลที่ถูกต้อง
การติดพร็อกซี่แวร์ (Proxyware infection)
การติด Malware เริ่มต้นด้วย การดำเนินการของตัว loader ที่ซ่อนอยู่ใน crack ของซอฟต์แวร์ และเกมที่ถูกดาวน์โหลดมา พร้อมการติดตั้งแอปพลิเคชันพร็อกซี่โดยอัตโนมัติ โดยไม่ต้องมีการโต้ตอบกับผู้ใช้งาน
ผู้พัฒนา Malware ใช้ Inno Setup กับพารามิเตอร์เฉพาะเพื่อซ่อนรายละเอียดต่าง ๆ เกี่ยวกับกระบวนการติดตั้ง และคําแนะนําของผู้ใช้ทั่วไปทั้งหมด
    ในระหว่างการติดตั้งพร็อกซี่ client  Malware จะส่งพารามิเตอร์เฉพาะ ซึ่งจะถูกส่งไปยัง C2 เซิร์ฟเวอร์เพื่อให้ client สามารถถูกรวมเข้ากับ botnet ได้


    พร็อกซี่ client จะยังคงอยู่บนระบบที่ติด Malware  โดยการสร้าง registry key เพื่อเปิดใช้งานเมื่อบูตระบบ และเพิ่ม scheduled task เพื่อตรวจสอบการอัปเดต client ใหม่
    จากนั้นพร็อกซีจะรวบรวมข้อมูลที่สำคัญจากเครื่องอย่างต่อเนื่อง เพื่อให้แน่ใจว่ามีประสิทธิภาพ และการตอบสนองที่ดีที่สุด ซึ่งรวมถึงทุกอย่างตั้งแต่เริ่มกระบวนการ และการตรวจสอบ CPU ไปจนถึงการใช้หน่วยความจํา และการติดตามสถานะแบตเตอรี่


วิธีการป้องกัน
    ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศแนะนําให้มองหาไฟล์ปฏิบัติการ "Digital Pulse" ที่ "% AppData% \" หรือ registry key ที่มีชื่อคล้ายกันใน "HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\." หากมีผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศแนะนําให้ทำการลบออกโดยด่วน
หากพบ scheduled task ชื่อ "DigitalPulseUpdateTask" ควรทำการลบออกเพื่อลดโอกาสของกลไกอัปเดต client ที่จะนำไปสู่การติด Malware อีกครั้ง และสุดท้าย หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ และการดาวน์โหลดไฟล์จากเว็ปไซต์ที่น่าสงสัย เช่น เครือข่ายแบบ peer-to-peer หรือเว็บไซต์ที่ให้บริการซอฟต์แวร์ฟรีสัญญาณของการติดไวรัสพร็อกซีแวร์ ได้แก่
  • ประสิทธิภาพ และความเร็วอินเทอร์เน็ตลดลง
  • รูปแบบการรับส่งข้อมูลเครือข่ายที่ผิดปกติ
  • พบการเชื่อมต่อบ่อยครั้งกับ IP หรือโดเมนที่ไม่รู้จัก
  • การแจ้งเตือนต่าง ๆ บนระบบ
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

21/08/2566

AI สามารถขโมยรหัสผ่านจากการฟังเสียงกดแป้นพิมพ์ที่มีความแม่นยําสูงเกือบ 100%


    นักวิจัยจากมหาวิทยาลัยคอร์เนล ค้นพบวิธีการใหม่ในการใช้เครื่องมือ AI หรือปัญญาประดิษฐ์ ในการขโมยข้อมูลจากการฟังเสียงกดบนแป้นพิมพ์ที่มีความแม่นยําสูงถึง 95% นักวิจัยได้ฝึกโมเดล AI เกี่ยวกับเสียงการกดแป้นพิมพ์ และติดตั้งบนโทรศัพท์ที่อยู่ใกล้ไมโครโฟนในตัว เมื่อทดสอบกับเสียงกดแป้นพิมพ์บน MacBook Pro สามารถถอดรหัสด้วยความแม่นยำสูงถึง 95% เป็นความแม่นยำสูงสุดที่นักวิจัยเคยพบ โดยไม่ต้องใช้ large language model (LLM)
 นอกจากนี้ยังมีการทดสอบความแม่นยำในการฟังเสียงแป้นพิมพ์ฝ่ายตรงข้ามผ่านการประชุมออนไลน์ผ่าน Zoom โดยมีความแม่นยำสูงถึง 93% ส่วนใน Skype พบความแม่นยำที่ 91.7% อย่างไรก็ตาม ระดับเสียงการกดแป้นพิมพ์นั้นแทบไม่มีผลกับความแม่นยำ โดยโมเดล AI ได้รับการฝึกตามรูปแบบคลื่นเสียง ทั้งน้ำหนักการกดแป้นพิมพ์ หรือระยะห่างของเวลาในการกดแต่ละครั้ง และขึ้นอยู่กับสไตล์การพิมพ์ของแต่ละคน
  ในการโจมตีนี้แฮ็กเกอร์อาจส่งมัลแวร์ไปติดตั้งในโทรศัพท์ หรืออุปกรณ์อื่น ๆ เพื่อรวบรวมข้อมูลจากการกดแป้นพิมพ์ และป้อนลงในโมเดล AI โดยฟังจากไมโครโฟนของอุปกรณ์ นักวิจัยใช้ CoAtNet ซึ่งเป็นตัวจำแนกภาพ AI สำหรับการโจมตี และฝึกโมเดลด้วยการกดแป้นพิมพ์ในแต่ละแถว 25 ครั้ง ไล่ทีละแถวจนครบ 36 ปุ่มบนแป้นพิมพ์ที่รวมถึงสัญลักษณ์ และตัวเลขของ MacBook Pro ด้วยการใช้นิ้ว และน้ำหนักมือที่แตกต่างกัน

    Bleeping Computer รายงานวิธีแก้ไขการโจมตีในลักษณะนี้ โดยการหลีกเลี่ยงการพิมพ์รหัสผ่าน และให้ใช้ประโยชน์จากคุณสมบัติต่าง ๆ เช่น Windows Hello และ Touch ID รวมทั้งยังสามารถลงทุนใช้เครื่องมือการจัดการรหัสผ่าน ซึ่งไม่เพียงแต่หลีกเลี่ยงภัยคุกคามจากการพิมพ์รหัสผ่านเท่านั้น แต่ยังช่วยให้ผู้ใช้งานสามารถใช้รหัสผ่านแบบสุ่มสำหรับทุกบัญชีได้อีกด้วย
    อย่างไรก็ตาม นักวิจัยแนะนำให้การสร้างรหัสผ่านนั้นมีทั้งตัวอักษรเล็ก และใหญ่ปะปนกัน เพราะ AI ยังไม่สามารถแยกได้ว่าการกดนั้นมีการกดปุ่มชิฟต์ (Shift) หรือไม่ แต่ด้วยวิธีการวิจัยของทีมจากอังกฤษก็เป็นข้อบ่งชี้ที่เพียงพอว่าการใช้ AI ดักฟังรหัสผ่านจากเสียงกดแป้นพิมพ์นั้นมีแนวโน้มเกิดขึ้นได้จริง ๆ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

18/08/2566

ผู้ไม่ประสงค์ดีใช้ Cloudflare Tunnels ในการทำ Covert Communications


ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศพบว่าผู้ไม่ประสงค์ดีกำลังใช้ Cloudflare Tunnels เพื่อสร้าง Covert Communications จากโฮสต์ที่ตกเป็นเป้าหมาย และสร้างการเชื่อมต่อสำหรับการแฝงตัวอยู่บนระบบของเป้าหมาย
Nic Finn นักวิเคราะห์ข้อมูลความเสี่ยงที่ GuidePoint Security ระบุว่า "Cloudflared มีความคล้ายคลึงการทำงานกับ ngrok อย่างมาก" อย่างไรก็ตาม Cloudflared แตกต่างจาก ngrok โดยมีความสามารถที่มากกว่าในการใช้งานฟรี รวมถึงความสามารถในการเชื่อมต่อแบบ TCP ผ่าน cloudflared


Cloudflared ใช้เครื่องมือ command-line สำหรับ Cloudflare Tunnel ที่ช่วยให้ผู้ใช้งานสามารถสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเว็บเซิร์ฟเวอร์ และ data center ของ Cloudflare ที่ใกล้ที่สุด เพื่อซ่อนที่อยู่ IP ของเว็บเซิร์ฟเวอร์ และป้องกันการโจมตีแบบ volumetric distributed denial-of-service (DDoS) และการโจมตี brute-force login
สำหรับผู้ไม่ประสงค์ดีที่ได้สิทธิ์ระดับสูงบนโฮสต์ที่ถูกโจมตีนั้น feature นี้มีประโยชน์อย่างมากในการสร้าง Tunnel เพื่อเชื่อมต่อจากเครื่องของเหยื่อ
Finn อธิบายว่า "Tunnel จะอัปเดตทันทีเมื่อมีการเปลี่ยนแปลงการกำหนดค่าใน Cloudflare Dashboard ทำให้ผู้ไม่ประสงค์ดีสามารถเปิดใช้งานฟังก์ชันได้เฉพาะเมื่อต้องการดำเนินการบนเครื่องของเหยื่อ จากนั้นปิดใช้งานฟังก์ชัน เพื่อป้องกันการเปิดเผย infrastructure ของพวกเขา"


"ตัวอย่างเช่น ผู้ไม่ประสงค์ดีอาจเปิดใช้งานการเชื่อมต่อ RDP เพื่อเก็บข้อมูลจากเครื่องเหยื่อ แล้วปิดการเชื่อมต่อ RDP จนถึงวันถัดไป เพื่อลดโอกาสในการตรวจพบ หรือการสังเกตชื่อโดเมนที่ใช้เพื่อเชื่อมต่อ"
สิ่งที่น่าเป็นห่วงยิ่งกว่านั้น คือผู้ไม่ประสงค์ดีอาจใช้ประโยชน์จากฟังก์ชัน Private Networks เพื่อลักลอบเข้าถึง range ของที่อยู่ IP (หรือปลายทางของเครือข่ายภายใน) เสมือนว่า "อยู่ในตำแหน่งเดียวกับเครื่องของเป้าหมายที่เป็นโฮสต์ของ Tunnel"
เทคนิคนี้ได้ถูกนำมาใช้จริงแล้วในช่วงต้นปีนี้ Phylum และ Kroll ได้แสดงรายละเอียดเกี่ยวกับการโจมตีแบบ supply chain attacks ที่มีเป้าหมายไปที่ Python Package Index (PyPI) โดยที่พบว่าแพ็คเกจที่ไม่ถูกต้องถูกดาวน์โหลดเพื่อใช้ cloudflared เพื่อเข้าถึงจากภายนอกผ่าน Flask web application.
Finn ระบุว่า "องค์กรที่ใช้บริการจาก Cloudflare อาจจะสามารถจำกัดบริการของพวกเขาที่จะเชื่อมต่อไปยัง data centers และสร้างการตรวจจับสำหรับ traffic ต่าง ๆ เช่น Cloudflared tunnels ที่เชื่อมต่อไปที่อื่น ๆ นอกเหนือจาก data centers ที่ระบุไว้ ซึ่งวิธีนี้อาจช่วยในการตรวจจับ tunnel ที่ไม่ได้รับอนุญาตได้"
เพื่อป้องกันการถูกนำ Cloudflared มาใช้อย่างไม่ถูกต้อง แนะนำให้องค์กรใช้ logging mechanisms ที่เพียงพอเพื่อตรวจสอบคำสั่งที่ผิดปกติ ข้อมูลการเรียกใช้ DNS และการเชื่อมต่อออกไปภายนอก พร้อมกับการป้องกันการพยายามดาวน์โหลดไฟล์ executable

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

16/08/2566

Microsoft ถอดอัปเดต Microsoft Exchange ล่าสุดออก หลังพบข้อผิดพลาดในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ


    Microsoft ได้ถอดการอัปเดตด้านความปลอดภัยในเดือนสิงหาคมของ Microsoft Exchange Server ออกจาก Windows Update หลังจากพบว่าตัวอัปเดต Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ มีข้อผิดพลาด
  การอัปเดตความปลอดภัยเหล่านี้ ได้แก้ไขช่องโหว่ 6 รายการ ได้แก่ ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 4 รายการ ช่องโหว่ด้านการยกระดับสิทธิ์ (Privilege Escalation) 1 รายการ และช่องโหว่การปลอมแปลง (Spoofing) 1 รายการที่สามารถใช้เพื่อโจมตีแบบ NTLM Relay Attack
  โดยผู้ใช้งานที่ทำการอัปเดตแพตซ์ Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ พบว่าหลังจากทำการอัปเดต Exchange Windows ไม่สามารถใช้งานได้ ซึ่งพบ Error Code 1603 ในขณะที่ทำการอัปเดต
ต่อมา Microsoft ได้อัปเดตข่าวการอัปเดตความปลอดภัยของ Exchange Server ในเดือนสิงหาคม 2023 ว่าได้ทำการลบตัวอัปเดตออกจาก Windows และ Microsoft Update ชั่วคราวในขณะที่กำลังตรวจสอบปัญหาที่เกิดขึ้น โดย Microsoft พบว่าเมื่อทำการอัปเดตแพตซ์ความปลอดภัย Microsoft Exchange Server 2019 หรือ 2016 บนระบบปฏิบัติการที่ไม่ใช่ภาษาอังกฤษ ตัวติดตั้งจะหยุด และย้อนกลับการเปลี่ยนแปลง และปล่อยให้บริการ Exchange Server Windows อยู่ในสถานะปิดใช้งาน
  รวมถึงได้แนะนำให้ผู้ใช้งาน Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษ งดเว้นการอัปเดตไปก่อน จนกว่าจะมีการแก้ไขที่ประกาศจาก Microsoft อีกครั้ง
  ทั้งนี้สำหรับผู้ใช้งานที่ได้รับผลกระทบจากการติดตั้ง Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษที่มีปัญหา ทาง Microsoft ได้แนะนำขั้นตอนเพื่อเปิดใช้งานเซิร์ฟเวอร์ Windows และเริ่ม Exchange Server ดังนี้ :

    1. หากได้ติดตั้ง SU แล้ว ให้ reset service ก่อนเรียกใช้การติดตั้งอีกครั้ง ซึ่งสามารถทำได้โดยการเรียกใช้ PowerShell script ต่อไปนี้ในหน้าต่าง PowerShell window :
เปลี่ยนเป็น directory ต่อไปนี้: \Exchange Server\V15\Bin
กด Enter .\ServiceControl.ps1 AfterPatch, แล้วกด Enter
Restart คอมพิวเตอร์

    2. ใน Active Directory (AD) ให้สร้างบัญชีที่มีชื่อเฉพาะที่ให้ไว้ในขั้นตอนนี้ โดยคำสั่งต่อไปนี้:
New-ADUser -Name "Network Service" -SurName "Network" -GivenName "Service" -DisplayName "Network Service" -Description "Dummy user to work around the Exchange August SU issue" -UserPrincipalName "Network Service@$((Get-ADForest).RootDomain)"

    3. รอการ AD replication (ประมาณ 15 นาที) และจากนั้น เริ่มการติดตั้ง Exchange Server SU ใหม่ ทั้งนี้การติดตั้งครั้งนี้ ควรที่จะทำงานได้

    4. หลังจากการติดตั้งเสร็จสิ้น ให้ใช้คำสั่งต่อไปนี้:
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System. Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server " -AclObject $acl

    5. ทำการ Restart Exchange server เพื่อให้การติดตั้งเสร็จสิ้น

    6. หลังจากอัปเดต Exchange server ทั้งหมดแล้ว คุณสามารถลบบัญชี AD ที่สร้างขึ้นในขั้นตอนที่ 2 ได้
เมื่อทำตามขั้นตอนเหล่านี้ และทำการ Restart Exchange server แล้ว Windows ควรที่จะสามารถทำงานได้อีกครั้ง และ Exchange จะถูก back up และ running
  สำหรับผู้ใช้งานที่ใช้ Windows ที่เป็นภาษาอังกฤษ Microsoft ได้แนะนำให้ดาวน์โหลด และติดตั้งการอัปเดตเพื่อป้องกันการโจมตีจากช่องโหว่ที่เกิดขึ้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

Discord.io ยืนยันหลังถูกผู้ไม่ประสงค์ดีขโมยข้อมูลของผู้ใช้งานประมาณ 760,000 คน


    การ invite ของ Discord.io ได้ถูกปิดลงชั่วคารวหลังจากพบปัญหาการถูกผู้ไม่ประสงค์ดีขโมยข้อมูลออกไปประมาณ 760,000 ราย
    Discord.io ไม่ใช่ตัวหลักของ Discord แต่เป็นบริการที่บุคคลที่สาม สามารถอนุญาตให้ เจ้าของช่องสร้างคำเชิญที่กำหนดเอง ไปยังช่องของตนเอง และบริการส่วนใหญ่สร้างขึ้นจากไซต์หลักของ Discord โดยมีสมาชิกมากกว่า 14,000 คน
    เมื่อวันที่ 15/06/23 ได้มีการโพสขายข้อมูลบนตลาดมืด (Raidforum) เปลี่ยนชื่อเป็น Breached ซึ่งมีไว้สำหรับขายข้อมูลที่รั่วไหล


    ตามข้อมูลที่ผู้ไม่ประสงค์ดี ได้ทำการโพสขายข้อมูลของผู้ใช้งานถึง 760,000 ราย ประกอบไปด้วยข้อมูล ดังนี้


    ข้อมูลที่เป็นข้อมูลละเอียดอ่อนที่สุดในชุดของข้อมูลที่หลุดออกไปคือ ชื่อผู้ใช้ของสมาชิก ที่อยู่อีเมล ที่อยู่สำหรับการเรียกเก็บเงิน(เป็นส่วนน้อย) รหัสผ่านที่เข้ารหัสและแฮช (เป็นส่วนน้อย) และ Discord ID การรั่วไหลของข้อมูลนี้ทำให้คคลอื่นอาจเชื่อมโยงบัญชี Discord ของคุณกับที่อยู่อีเมลที่ระบุได้
    Discord.io ได้ยืนยันการรั่วไหลและเริ่มแจ้งเตือนไปในประกาศและไปยังเซิร์ฟเวอร์และเว็บไซต์ Discord และได้เริ่มปิดบริการชั่วคราวเพื่อแก้ไขเหตุการณ์ดังกล่าว
"Discord.io has suffered a data breach. We are stopping all operations for the foreseeable future,"
สำหรับผู้ใช้งาน Discord.io ต้องทำอย่างไ
  ผู้ไม่ประสงค์ดียังคงไม่ได้ขายข้อมูลให้กับใคร แต่ให้ผู้ใช้งานค่อยระวังและดูแลข้อมูลของตนเอง หากคุณเป็นสมาชิกของ Discord.io คุณควรระวังอีเมลผิดปกติที่มีลิงก์ไปยังหน้าที่ขอให้คุณป้อนรหัสผ่านหรือข้อมูลอื่น ๆ สามารถหาข้อมูลเพิ่มเติมได้ที่ discord

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

Microsoft Patch Tuesday ประจำเดือนสิงหาคม แก้ไขช่องโหว่ zero-days 2 รายการ และช่องโหว่อื่น ๆ รวมกว่า 87 รายการ


    ในเดือนสิงหาคมนี้ Patch Tuesday ของ Microsoft มีการอัปเดตแพตซ์ช่องโหว่ด้านความปลอดภัย 87 รายการ ช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน 2 รายการ และช่องโหว่ Remote Code Execution อีก 23 รายการ โดยในช่องโหว่ RCE ทั้ง 23 รายการ มี 6 รายการที่มีความรุนแรงระดับ Critical

โดยช่องโหว่แต่ละประเภท มีดังต่อไปนี้ :
  • ช่องโหว่การยกระดับสิทธิ (Elevation of Privilege) 18 รายการ
  • ช่องโหว่การ Bypass ฟีเจอร์ด้านความปลอดภัย 3 รายการ
  • ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 23 รายการ
  • ช่องโหว่ Information Disclosure 10 รายการ
  • ช่องโหว่ Denial of Service (DoS) 8 รายการ
  • ช่องโหว่การ Spoofing 12 รายการ
    โดยจำนวนช่องโหว่เหล่านี้ ยังไม่รวมกับช่องโหว่ใน Microsoft Edge (Chromium) อีก 12 รายการ ที่ได้รับการแก้ไขไปแล้วเมื่อต้นเดือนสิงหาคมที่ผ่านมา

ช่องโหว่ 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี
    Patch Tuesday ของสิงหาคมนี้ ได้แก้ไขช่องโหว่ Zero-day 2 รายการ โดยทั้งสองช่องโหว่กำลังถูกนำมาใช้ในการโจมตี และหนึ่งในนั้นมีการเปิดเผยรายละเอียดการโจมตีต่อสาธารณะ ซึ่งหากช่องโหว่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือกำลังถูกนำมาใช้ในการโจมตี แต่ยังไม่มีการออกแพตซ์แก้ไขอย่างเป็นทางการ Microsoft จะจัดประเภทช่องโหว่ดังกล่าวเป็นช่องโหว่ในลักษณะ Zero-day

ช่องโหว่ Zero-day 2 รายการที่มีการอัปเดต มีดังนี้ :
  • CVE-2023-36884 - ADV230003 - Microsoft Office Defense in Depth Update (มีการเปิดเผยรายละเอียดการโจมตีต่อสาธารณะ) Microsoft ออกแพตซ์อัปเดต Office Defense in Depth เพื่อแก้ไขการ bypass ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล CVE-2023-36884 ที่ออกมาก่อนหน้านี้ โดยช่องโหว่ CVE-2023-36884 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสร้างเอกสาร Microsoft Office ในลักษณะพิเศษ ซึ่งสามารถหลบหลีกฟีเจอร์ด้านความปลอดภัย Mark of the Web (MoTW) ทําให้สามารถเปิดไฟล์ได้โดยไม่มีการแจ้งเตือนด้านความปลอดภัย และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ช่องโหว่นี้กำลังถูกนำมาใช้ในการโจมตีโดยกลุ่มแฮ็กเกอร์ RomCom ซึ่งเคยเป็นที่รู้จักในการนำ Industrial Spy ransomware มาใช้ในการโจมตี ซึ่งต่อมามีการเปลี่ยนชื่อเป็น Underground ซึ่งยังคงปฏิบัติการเรียกค่าไถ่เหยื่ออย่างต่อเนื่อง ช่องโหว่นี้ถูกค้นพบโดย Paul Lascanerez และ Tom Lancaster ร่วมกับ Volexity
  • CVE-2023-38180 - .NET and Visual Studio Denial of Service Vulnerability Microsoft ยังได้แก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี ซึ่งอาจทำให้เกิดการโจมตีแบบ DoS บนแอปพลิเคชัน .NET และ Visual Studio แต่ทาง Microsoft ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้ช่องโหว่ในการโจมตี หรือเปิดเผยว่าใครเป็นผู้ค้นพบช่องโหว่นี้
การอัปเดตล่าสุดจากบริษัทอื่น ๆ
    Vendor อื่น ๆ ที่ออกแพตซ์อัปเดต หรือออกคำแนะนำสำหรับการแก้ไขช่องโหว่ในเดือนสิงหาคม 2023 ได้แก่ :
  • Adobe ออกแพตซ์อัปเดตความปลอดภัยสำหรับ Adobe Acrobat, Reader, Commerce และ Dimension
  • AMD ออกแพตซ์อัปเดตความปลอดภัยสําหรับการโจมตีช่องโหว่ของฮาร์ดแวร์ใหม่ ๆ
  • Cisco ออกแพตซ์อัปเดตความปลอดภัยสำหรับอุปกรณ์เครือข่ายความปลอดภัยของ Cisco, Web Appliance และ Cisco AnyConnect
  • Collide + Power side-channel attack ที่ส่งผลกระทบต่อ CPU เกือบทั้งหมด
  • Google ออกแพตซ์ อัปเดตบน Android ในเดือนสิงหาคม 2023 เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี
  • Inception attack (CVE-2023-20569) ของซีพียู AMD Zen ทั้งหมด
  • Ivanti ออกแพตซ์แก้ไขช่องโหว่การเข้าถึง API ที่ส่งผลต่อ MobileIron Core
  • Microsoft ออกแพตซ์แก้ไขช่องโหว่ใน Power Platform Custom Connectors หลังถูกวิจารณ์ถึงความล่าช้าจาก CEO ของ Tenable
  • MOVEit ออกแพตซ์อัปเดตความปลอดภัยที่แก้ไขช่องโหว่ SQL injection ระดับ critical และช่องโหว่อื่น ๆ อีกสองรายการที่รุนแรงน้อยกว่า
  • PaperCut ออกแพตซ์แก้ไขช่องโหว่ร้ายแรง (CVE-2023-39143)
  • SAP ออกแพตซ์อัปเดต Patch Day สิงหาคม 2023
  • VMware ออกแพตซ์แก้ไขช่องโหว่จำนวนมากใน VMware Horizon Server
  • Zoom ออกแพตซ์แก้ไขช่องโหว่ 15 รายการ
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

08/08/2566

ผู้ไม่ประสงค์ดีใช้ Google AMP ในการโจมตีแบบฟิชชิง


มีการเตือนจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ถึงรูปแบบการโจมตีแบบฟิชชิงที่เพิ่มขึ้นโดยการใช้ Google Accelerated Mobile Pages (AMP) ในทางที่ผิดเพื่อหลบเลี่ยงการตรวจสอบจากมาตรการรักษาความปลอดภัยของอีเมล และเข้าถึงอีเมลของพนักงานในองค์กร
Google AMP เป็นเฟรมเวิร์ก HTML แบบโอเพ่นซอร์สที่ร่วมกันพัฒนาโดย Google และพาร์ทเนอร์กว่า 30 ราย เพื่อทำให้เนื้อหาเว็ปโหลดเร็วขึ้นบนอุปกรณ์มือถือ
โดยโฮสต์ AMP pages จะอยู่บนเซิร์ฟเวอร์ของ Google ซึ่งเนื้อหา และสื่อมีเดียบางส่วนจะถูกโหลดไว้ล่วงหน้าเพื่อให้ส่งข้อมูลได้เร็วขึ้น
แนวคิดการใช้ Google AMP URLs ที่ฝังอยู่ในอีเมลฟิชชิง คือการทำให้มาตรการรักษาความปลอดภัยของอีเมลไม่มองว่าอีเมลฟิชชิงดังกล่าวเป็นอันตราย หรือน่าสงสัย เนื่องจากมาจากระบบของ Google
โดย URLs ของ AMP จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ฟิชชิงที่เป็นอันตราย และขั้นตอนนี้ยังเพิ่มความซับซ้อนสำหรับการตรวจสอบอีกด้วย


ข้อมูลจาก Cosense ในช่วงกลางเดือนกรกฎาคม ซึ่งแสดงให้เห็นว่าผู้ไม่ประสงค์ดีอาจมีการปรับใช้วิธีการโจมตีดังกล่าว


Cofense ระบุในรายงานว่า ประมาณ 77 % URL ของ Google AMP ถูกพบอยู่ในโดเมน google.com และ 23% อยู่ในโดเมน google.co.uk
โดย path "google.com/amp/s/" จะเป็น URL ปกติ ทำให้การบล็อก URL นี้อาจส่งผลกระทบต่อการใช้งาน Google AMP อื่น ๆ ทั้งหมด อย่างไรก็ตามการตั้งค่าให้มีการตรวจสอบ URL เหล่านี้ก็ถือว่ามีความสำคัญ และอย่างน้อยก็เพื่อเตือนผู้รับให้ระวังการเปลี่ยนเส้นทางของ URL ที่อาจเป็นอันตราย

การโจมตีแบบพิเศษ
Cosense ระบุว่าผู้ไม่ประสงค์ดีที่ใช้ Google AMP ยังมีการใช้เทคโนโลยีเพิ่มเติมเพื่อช่วยหลีกเลี่ยงการตรวจจับที่ช่วยทำให้การโจมตีนั้นสำเร็จมากขึ้น
ในหลายกรณีที่พบโดย Cofense ตัวอย่าง เช่น ผู้ไม่ประสงค์ดีจะใช้อีเมล HTML แบบใช้รูปภาพแทนเนื้อหาข้อความแบบดั้งเดิมเป็นการสร้างความสับสนให้กับเครื่องมือที่ใช้สแกนข้อความที่ตรวจสอบข้อความฟิชชิงในเนื้อหาข้อความในอีเมล


อีกตัวอย่างหนึ่ง ผู้ไม่ประสงค์ดีใช้ขั้นตอนการเปลี่ยนเส้นทางโดยใช้ URL ของ Microsoft.com เพื่อหลอกเหยื่อไปยังโดเมน Google AMP และสุดท้ายไปยังไซต์ฟิชชิงจริง


สุดท้าย ผู้ไม่ประสงค์ดีใช้บริการ CAPTCHA ของ Cloudflare เพื่อขัดขวางการวิเคราะห์ฟิชชิงอัตโนมัติของ security bots เพื่อป้องกันไม่ให้ซอฟต์แวร์สามารถรวบรวมข้อมูลได้
โดยรวมแล้ว ในปัจจุบันผู้ไม่ประสงค์ดีด้วยรูปแบบฟิชชิงมักใช้วิธีหลบเลี่ยงการตรวจจับหลากหลายวิธี ซึ่งทำให้เครื่องมือรักษาความปลอดภัย (security tools) ตรวจจับภัยคุกคาม และบล็อกการโจมตีได้ยากขึ้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

04/08/2566

VMware ออกแพตซ์แก้ไขช่องโหว่ที่เปิดเผยข้อมูล Credentials ของผู้ดูแลระบบ CF API บน Audit Logs


  VMware แก้ไขช่องโหว่ที่ถูกนำไปใช้ในการเปิดเผยข้อมูลบน VMware Tanzu Application Service for VMs (TAS for VMs) และ Isolation Segment โดยเกิดจากการถูกขโมยข้อมูล Credentials ซึ่งมีการเปิดเผยผ่านทาง Audit Logs
    TAS (Tanzu Application Service) เป็นแพลตฟอร์มที่พัฒนาโดย VMware ซึ่งช่วยให้องค์กรสามารถจัดการแอปพลิเคชันได้โดยอัตโนมัติทั่วทั้งภายในองค์กร รวมทั้งระบบคลาวด์สาธารณะ และระบบคลาวด์ส่วนตัว เช่น vSphere, AWS, Azure, GCP, OpenStack CVE-2023-20891 เป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูล Credentials ของผู้ดูแลระบบ Cloud Foundry (CF) API บนระบบที่มีช่องโหว่ได้อย่างง่ายดาย ส่งผลให้ผู้ไม่ประสงค์ดีสามารถใช้ข้อมูล Credentials ที่ได้มาเพื่อติดตั้งโปรแกรมที่เป็นอันตรายได้
  โดยบริษัทแนะนำให้ผู้ใช้งาน TAS ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ CVE-2023-20891 ให้ทำการเปลี่ยนแปลงข้อมูล Credentials ของผู้ดูแลระบบ CF API เพื่อให้แน่ใจว่าผู้ไม่ประสงค์ดีไม่สามารถใช้รหัสผ่านที่อาจรั่วไหลได้
    VMware ให้คำแนะนำโดยละเอียดเกี่ยวกับการเปลี่ยนบัญชีผู้ใช้งาน Cloud Foundry และการรับรองความถูกต้องของผู้ดูแลระบบ (UAA) ใน VMware tanzu support hub

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

03/08/2566

Apple ออกแพตซ์เร่งด่วนสำหรับช่องโหว่ Zero-Day ที่ส่งผล กระทบต่อ iPhone, iPad และ Mac


    Apple ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ iOS, iPadOS, macOS, tvOS, watchOS, และ Safari เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ซึ่งรวมไปถึงช่องโหว่แบบ Zero-day ที่กำลังถูกนำมาใช้ในการโจมตีอยู่
    โดย Zero-Day ดังกล่าวมีหมายเลข CVE-2023-38606 ซึ่งจะเข้าไปจัดการในส่วนของ kernel และจะอนุญาติให้ Application ที่เป็นอันตรายสามารถแก้ไข kernel state ที่มีความสำคัญได้ โดยทาง Apple ระบุว่าได้ทำการแก้ไขด้วยการปรับปรุง state management
    โดย Apple ได้เร่งทำการอัปเดตแพตซ์แก้ไขช่องโหว่นี้ เนื่องจากได้รับรายงานว่าพบการโจมตีอย่างต่อเนื่องตั้งแต่เวอร์ชั่นก่อนหน้า iOS 15.7.1 CVE-2023-38606 เป็นช่องโหว่ด้านความปลอดภัยลำดับที่สี่ ที่ถูกพบว่าเกี่ยวข้องกับ Operation Triangulation ซึ่งเป็นแคมเปญจารกรรมทางไซเบอร์บนมือถือที่มีความซับซ้อน ซึ่งกำหนดเป้าหมายไปยังอุปกรณ์ iOS ตั้งแต่ปี 2019 โดยใช้การโจมตีแบบ Zero-click exploit chain ส่วนอีก 2 ช่องโหว่ Zero-Day ที่ได้รับการแก้ไขโดย Apple เมื่อเดือนที่แล้วคือ CVE-2023-32434 และ CVE-2023-32435 ส่วนช่องโหว่ที่สาม CVE-2022-46690 ได้รับการแก้ไขโดยเป็นส่วนหนึ่งของการอัปเดตด้านความปลอดภัยที่เผยแพร่ในเดือนธันวาคม 2022 หกเดือนก่อนหน้าที่จะมีการเปิดเผยรายละเอียดการโจมตีออกเตือนผู้ใช้งานทั่วโลก โดยนักวิจัยของ Kaspersky Valentin Pashkov, Mikhail Vinogradov, Georgy Kucherin, Leonid Bezvershenko และ Boris Larin ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ดังกล่าว

อัปเดตนี้สำหรับอุปกรณ์ และระบบปฏิบัติการต่อไปนี้
  • iOS 16.6 และ iPadOS 16.6 - iPhone 8 และใหม่กว่า, iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
  • iOS 15.7.8 และ iPadOS 15.7.8 - iPhone 6s (ทุกรุ่น), iPhone 7 (ทุกรุ่น), iPhone SE (รุ่นที่ 1), iPad Air 2, iPad mini (รุ่นที่ 4) และ iPod touch (รุ่นที่ 7)
  • macOS Ventura 13.5, macOS Monterey 12.6.8 และ macOS Big Sur 11.7.9
  • tvOS 16.6 - Apple TV 4K (ทุกรุ่น) และ Apple TV HD
  • watchOS 9.6 - Apple Watch Series 4 และใหม่กว่า
    การอัปเดตล่าสุดนี้ Apple ได้แก้ไขช่องโหว่ Zero-days ทั้งหมด 11 รายการ ที่ส่งผลกระทบต่อซอฟต์แวร์ตั้งแต่ต้นปี 2023 นอกจากนี้ยังเกิดขึ้นสองสัปดาห์หลังจากที่ Apple เผยแพร่การอัปเดตฉุกเฉินสำหรับช่องโหว่ที่กำลังถูกนำมาใช้โจมตีใน WebKit ซึ่งอาจนำไปสู่การสั่งรันโค้ดที่เป็นอันตราย (CVE-2023-37450)

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)