ผู้ไม่ประสงค์ดีใช้งาน Cisco Webex ที่ปลอมขึ้น ใน Google Ads เพื่อหลอกให้เป้าหมายดาวน์โหลดลงบนเครื่อง

ผู้ไม่ประสงค์ดีใช้ Ads ของ Google เป็นช่องทางในการหลอกเป้าหมายที่ค้นหาซอฟต์แวร์ Webex โดยสร้างโฆษณาที่ดูเสมือนจริงมาก ซึ่งเมื่อทำการดาวน์โหลด จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่มีมัลแวร์ BatLoader

โดย Webex คือโปรแกรมการประชุมทางวิดีโอ และการติดต่อสื่อสาร ซึ่งเป็นส่วนหนึ่งของกลุ่มผลิตภัณฑ์ของ Cisco ส่วนมากใช้โดยองค์กร และธุรกิจต่าง ๆ ทั่วโลก

Malwarebytes รายงานว่าแคมเปญ Malvertising ถูกฝังอยู่ใน Google Search เป็นเวลากว่า 1 สัปดาห์ โดยกลุ่มผู้ไม่ประสงค์ดีที่คาดว่ามาจากเม็กซิโก

มัลแวร์ที่แฝงใน Google Ad

Malwarebytes รายงานว่าพอร์ทัลดาวน์โหลด Webex ปลอมใน Google Ads อยู่อันดับสูงสุดของผลการค้นหาคำว่า "webex" ซึ่งสิ่งที่ทำให้ดูน่าเชื่อถือคือการใช้โลโก้ Webex จริง และแสดง URL ที่ถูกต้อง "webex.com" ทำให้ดูไม่ต่างจากโฆษณาจริงของ Cisco โดยผู้ไม่ประสงค์ดีอาศัยช่องโหว่ใน Google Ad platform's tracking template ซึ่งช่วยให้สามารถเปลี่ยนเส้นทางได้ตามที่ต้องการโดยไม่ผิดกฎของ Google

ทั้งนี้ Google ระบุว่าผู้ลงโฆษณาอาจใช้ tracking template กับ URL parameters ที่กำหนด "final URL" ตามข้อมูลผู้ใช้จากอุปกรณ์ ตำแหน่ง และอื่น ๆ ที่เกี่ยวข้องกับการโต้ตอบต่อโฆษณา ซึ่งตามนโยบายได้กำหนดว่า URL ที่แสดงของโฆษณา และ URL สุดท้ายต้องเป็นของโดเมนเดียวกัน แต่ก็ยังทำให้ tracking template เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์นอกโดเมนที่ระบุได้ โดยในกรณีนี้ ผู้ไม่ประสงค์ดีใช้ Firebase URL ("trixwe[.]page[.]link") เป็น tracking template ซึ่งมี URL สุดท้ายเป็น https://www[.]webex[.]com หากมีการคลิกโฆษณาแล้ว เป้าหมายจะถูกเปลี่ยนเส้นทางไปยังลิงก์ "trixwe.page[.]" ซึ่งจะ Filter นักวิจัย และโปรแกรมสำหรับรวบรวมข้อมูลอัตโนมัติออก

หลังจากนั้นจะเปลี่ยนเส้นทางต่อไปยัง "monoo3at[.]com" ซึ่งจะมีการตรวจสอบเพิ่มเติมอีกครั้ง หากเป้าหมายเป็นเป้าหมายของผู้ไม่ประสงค์ดี จะถูกนำไปยัง "webexadvertisingoffer[.]com" และส่วนที่ไม่ใช่เป้าหมายจะไปยังเว็บไซต์ที่ถูกต้องแทน

โปรแกรมติดตั้ง Webex ปลอม

หากเป้าหมายเข้าถึงหน้า Webex ปลอม และคลิกที่ปุ่มดาวน์โหลด จะได้รับตัวติดตั้ง MSI ที่จะรันคำสั่ง PowerShell เพื่อติดตั้งมัลแวร์ BatLoader ซึ่งจะดึงข้อมูล, ถอดรหัส และดำเนินการเพย์โหลดมัลแวร์ DanaBot เพิ่มเติมในท้ายที่สุด ซึ่ง DanaBot เป็นโทรจันที่แพร่กระจายมาตั้งแต่ปี 2561 โดยมีความสามารถในการขโมยรหัสผ่าน, การจับภาพหน้าจอ, โหลดโมดูลแรนซัมแวร์, ปิดบังการรับส่งข้อมูลกับ C2 และเปิดช่องทางการเข้าถึงโดยตรงให้กับผู้ไม่ประสงค์ดีผ่าน HVNC โดยผู้ที่โดน DanaBot จะถูกขโมยข้อมูลส่วนตัวส่งไปยังผู้ไม่ประสงค์ดี ซึ่งจะใช้ข้อมูลเหล่านี้เพื่อการโจมตีเพิ่มเติม หรือขายให้กับผู้ไม่ประสงค์ดีรายอื่น

ดังนั้น เมื่อต้องการค้นหาซอฟต์แวร์ต้นฉบับ สิ่งที่ควรทำคือข้ามการค้นหาที่เป็น Google Ads และดาวน์โหลดโดยตรงจากเว็บไซต์ที่มีชื่อเสียง และเชื่อถือได้เท่านั้น

ล่าสุด Google ให้ข้อมูลกับ BleepingComputer ว่า "การปกป้องเป้าหมายถือเป็นสิ่งสำคัญสูงสุด โดย Google จะไม่อนุญาตให้ผู้ลงโฆษณาบนแพลตฟอร์มเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย ปัจจุบันได้ตรวจสอบโฆษณาที่เป็นปัญหา และดำเนินการอย่างเหมาะสมกับบัญชีที่เกี่ยวข้องเรียบร้อยแล้ว"

Ref : bleepingcomputer

ZeroFont เมล์ Phishing ใหม่ด้วยการหลอกว่าเป็นการแจ้งเตือนจาก Antivirus(ปลอม)

    ผู้ไม่ประสงค์ดี เปลี่ยนรูปแบบของฟิชชิ่งรูปแบบใหม่มาใช้ในการโจมตีด้วยการใช้ ZeroFont เพื่อทำให้อีเมลดังกล่าวนั้นถูกแสดงเป็นอันตรายต่อระบบ และเมื่อถูกตรวจสอบความปลอดภัยทำให้ถูกตรวจพบเป็น Virus บน MS outlook ถึงแม้ว่าการใช้ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่ถือว่านี้เป็นครั้งแรกที่มันปรากฏขึ้นและถูกตรวจจับได้

ZeroFont

   ถูกพบครั้งแรกเมื่อปี 2561 เป็นเทคนิคหนึ่งในการแทรกคำหรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดตัวอักษรเป็นศูนย์ แสดงผลข้อความที่มนุษย์ไม่สามารถมองเห็นได้ แต่สามารถอ่านได้ด้วย NLP การโจมตีนี้มีจุดมุ่งหมายเพื่อหลีกเลี่ยงตัวกรองความปลอดภัยโดยการแทรกคำที่ไม่เป็นอันตรายซึ่งมองไม่เห็นซึ่งผสมกับเนื้อหาที่มองเห็นได้ที่น่าสงสัย บิดเบือนการตีความเนื้อหาโดย AI และผลลัพธ์ของการตรวจสอบความปลอดภัย

ซ่อนกระบวนการสแกนไวรัสหลอก ๆ

    จากการที่มีผู้ได้รับอีเมลแบบฟิชชิ่งที่ใช้การ โจมตีแบบ ZeroFont และใช้ MS Outlooks เป็นตัวกลางในการส่งออกและด้วยการผาดหัวอีเมลว่า ได้รับการสแกนความปลอดภัยโดย Isc Advanced Threat Protection และในส่วนของ หัวขอ อีเมล จะเป็นลักษณะของการเสนอตำแหน่งงานให้

    โดยการใช้ประโยชน์จาก ZeroFont เพื่อซ่อนข้อความสแกนความปลอดภัยปลอมที่ตอนต้นของอีเมลฟิชชิ่ง ดังนั้นแม้ว่าผู้รับจะมองไม่เห็น แต่ Outlook ก็ยังคงดึงข้อความนั้นมาและแสดงเป็นตัวอย่างในบานหน้าต่างรายการอีเมล

Ref : bleepingcomputer

Apple ออกแพตซ์อัปเดตเร่งด่วน หลังพบช่องโหว่ Zero-Days ใหม่ 3 รายการ กำลังถูกใช้ในการโจมตี

    Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วน เพื่อแก้ไขช่องโหว่ Zero-day ใหม่ 3 รายการที่กำลังถูกใช้ในการโจมตี โดยมุ่งเป้าหมายการโจมตีไปยังผู้ใช้ iPhone และ Mac ซึ่งในปี 2023 ทาง Apple ได้ออกแพตซ์อัปเดตความปลอดภัยมาแล้ว 16 รายการ

ช่องโหว่ 2 รายการแรกเป็นช่องโหว่ใน

    WebKit browser engine (CVE-2023-41993) และ Security framework (CVE-2023-41991) ที่ทำให้ ผู้ไม่ประสงค์ดีสามารถหลบเลี่ยงการตรวจสอบสิทธิ์ โดยใช้แอปที่เป็นอันตราย หรือการเรียกใช้โค้ดผ่านหน้าเว็บที่ออกแบบมาเพื่อการโจมตี

ช่องโหว่รายการที่ 3 เป็นช่องโหว่ใน

    Kernel Framework (CVE-2023-41992) ซึ่งมี API และการสนับสนุน kernel extensions และ kernel-resident device drivers ที่ทำให้ ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ได้

    ซึ่งช่องโหว่ทั้ง 3 รายการ ถูกค้นพบ และรายงานโดย Bill Marczak จาก Citizen Lab ที่ Munk School ของมหาวิทยาลัยโตรอนโต และ Maddie Stone จาก Threat Analysis Group ของ Google

    ขณะนี้ทาง Apple ยังไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีโดยใช้ช่องโหว่ดังกล่าว แต่นักวิจัยด้านความปลอดภัย Citizen Lab และ Google Threat Analysis Group มักจะเปิดเผยช่องช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีด้วยสปายแวร์แบบกำหนดเป้าหมาย ซึ่งมุ่งเป้าไปที่บุคคลระดับสูง รวมถึงนักข่าวนักการเมืองฝ่ายค้าน และผู้ต่อต้าน

    Apple ได้ออกอัพเดทความปลอดภัย โดยแก้ไขปัญหาการตรวจสอบสิทธิและปรับปรุงวิธีการตรวจสอบ เพื่อแก้ไขช่องโหว่ 3 รายการใน :

• macOS 7/13.6,
• iOS 7/17.0.1, iPadOS 16.7/17.0.1
• watchOS 6.3/10.0.1

รายการอุปกรณ์ที่ได้รับผลกระทบประกอบด้วย :

• iPhone 8 และใหม่กว่า
• iPad mini รุ่นที่ 5 ขึ้นไป
• Mac ที่ใช้ macOS Monterey และใหม่กว่า
• Apple Watch Series 4 และใหม่กว่า

    รวมถึง Citizen Lab ได้พบว่าช่องโหว่ zero-day 2 รายการ (CVE-2023-41061 และ CVE-2023-41064) ที่ได้รับการแก้ไขโดย Apple ในการอัปเดตแพตซ์ความปลอดภัยเร่งด่วนเมื่อต้นเดือนกันยายน 2023 ได้ถูกใช้ในการโจมตีโดยเป็นส่วนหนึ่งของการโจมตี (BLASTPASS) เพื่อโจมตีไปยัง iPhones ด้วยสปายแวร์ Pegasus ของ NSO Group

ในปี 2023 ทาง Apple ได้ออกการอัปเดตความปลอดภัยมาแล้วดังนี้ :

• ช่องโหว่ zero-day 2 รายการ (CVE-2023-37450 และ CVE-2023-38606) ในเดือนกรกฎาคม
• ช่องโหว่ zero-day 3 รายการ (CVE-2023-32434, CVE-2023-32435 และ CVE-2023-32439) ในเดือนมิถุนายน
• ช่องโหว่ zero-day 3 รายการ (CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373) ในเดือนพฤษภาคม
• ช่องโหว่ zero-day 2 รายการ (CVE-2023-28206 และ CVE-2023-28205) ในเดือนเมษายน
• ช่องโหว่ zero-day ของ WebKit 1 รายการ (CVE-2023-23529) ในเดือนกุมภาพันธ์

REF : bleepingcomputer

'SprySOCKS' Malware บน Linux ที่กำลังถูกนำมาใช้ในการโจมตีทางไซเบอร์

    ผู้ไม่ประสงค์ดีตั้งเป้าหมายการโจมตีและขโมยข้อมูลของประชากรชาวจีน โดยใช้ชื่อ 'Earth Lusca' โดยเป้าหมายการโจมตีเป็นหน่วยงานรัฐบาลในหลายประเทศ โดยใช้ backdoor Linux ตัวใหม่ที่ชื่อว่า 'SprySOCKS'

  รายงานการวิเคราะห์ backdoor ของ Trend Micro แสดงให้เห็นว่า มัลแวร์มีต้นกำเนิดมาจากระบบ Windows ที่ชื่อ Trochilus โดยมีฟังก์ชันการทำงานมากมายที่สามารถทำงานบนระบบ Linux ได้

อย่างไรก็ตาม มัลแวร์ดังกล่าวมีส่วนประกอบของ มัลแวร์หลาย ๆ ตัวร่วมกันเนื่องจากโปรโตคอลการสื่อสารของ command and control server (C2) ของ SprySOCKS คล้ายกับ RedLeaves ซึ่งเป็น backdoor ของ Windows ในทางตรงกันข้าม การใช้งาน shell แบบโต้ตอบดูเหมือนจะได้มาจาก Derusbi ซึ่งเป็นมัลแวร์บน Linux

การโจมตีของ Earth Lusca

    Earth Lusca ยังคงมีบทบาทอย่างต่อเนื่องตลอดครึ่งปีแรก โดยกำหนดเป้าหมายไปที่หน่วยงานรัฐบาลหลักที่มุ่งเน้นด้านการต่างประเทศ เทคโนโลยี และโทรคมนาคมในเอเชียตะวันออกเฉียงใต้ เอเชียกลาง คาบสมุทรบอลข่าน และทั่วโลก

    Trend Micro รายงานว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่ remote code execution ที่ไม่ต้องผ่านการยืนยันตัวตนมาเป็นเวลาหลายวัน ระหว่างปี 2019 ถึง 2022 ซึ่งส่งผลกระทบต่ออุปกรณ์ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต

    ช่องโหว่เหล่านี้ถูกใช้ประโยชน์เพื่อติดตั้ง Cobalt Strike ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายที่ถูกโจมตีได้จากระยะไกล โดยการเข้าถึงนี้ใช้เพื่อโจมตีต่อไปภายในเครือข่ายเพื่อขโมยข้อมูลที่มีความสำคัญ ขโมยข้อมูล account credentials และการติดตั้ง payloads การโจมตีอื่นเพิ่มเติม เช่น ShadowPad

    ผู้ไม่ประสงค์ดียังใช้ Cobalt Strike เพื่อติดตั้ง SprySOCKS ซึ่งเป็นเวอร์ชันหนึ่งของ Linux ELF ที่เรียกว่า "mandibule" ซึ่งมาถึงเครื่องเป้าหมายในรูปแบบของไฟล์ชื่อ 'libmonitor.so.2'

    นักวิจัยของ Trend Micro ระบุว่าผู้โจมตีได้ปรับเปลี่ยน mandibule เป็นแบบที่ต้องการ แต่ในลักษณะที่ค่อนข้างเร่งรีบ เนื่องจากนักวิจัยพบ debug messages และสัญลักษณ์บางอย่างไว้เบื้องหลัง

   มัลแวร์ทำงานภายใต้ชื่อ Process "kworker/0:22" เพื่อหลีกเลี่ยงการตรวจจับ โดยจะดูคล้ายกับการทำงานของ Linux kernel เพื่อถอดรหัส payload ขั้นที่สอง (SprySOCKS) และแฝงตัวอยู่บนระบบของเหยื่อที่ถูกโจมตี

ความสามารถของ SprySOCKS

    SprySOCKS backdoor ใช้เฟรมเวิร์กเครือข่ายประสิทธิภาพสูงที่เรียกว่า 'HP-Socket' สำหรับการใช้งาน ในขณะที่การสื่อสารกับ C2 นั้นได้รับการเข้ารหัสแบบ AES-ECB

ฟังก์ชันหลักของ backdoor ได้แก่:

• การรวบรวมข้อมูลระบบ (รายละเอียด OS, หน่วยความจำ, ที่อยู่ IP, ชื่อกลุ่ม, ภาษา, CPU)
• การเริ่มต้น interactive shell ที่ใช้กับ PTY subsystem
• แสดงรายการการเชื่อมต่อเครือข่าย
• การจัดการการกำหนดค่าพร็อกซี SOCKS
• การดำเนินการไฟล์ขั้นพื้นฐาน (การอัพโหลด, ดาวน์โหลด, รายการ, ลบ, เปลี่ยนชื่อ และสร้างไดเร็กทอรี)
• มัลแวร์ยังสร้างรหัสหมายเลขของเหยื่อ โดยใช้ MAC address ของอินเทอร์เฟซเครือข่ายที่ระบุไว้ในรายการแรก และคุณสมบัติ CPU บางส่วน จากนั้นแปลงเป็นสตริงเลขฐานสิบหกขนาด 28 ไบต์

    Trend Micro รายงานว่าได้ตัวอย่างของ SprySOCKS มาสองเวอร์ชัน คือ v1.1 และ v.1.3.6 ซึ่งแสดงให้เห็นว่ากำลังมีการพัฒนามัลแวร์อย่างต่อเนื่อง

คำแนะนำ

    ควรอัปเดตแพตซ์ความปลอดภัยบนเซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตอย่างสม่ำเสมอ ซึ่งในกรณีนี้อาจจะป้องกันการโจมตีเบื้องต้นจาก Earth Lusca ได้

Ref : bleepingcomputer

ช่องโหว่ระดับ Critical ใน GitHub ทำให้ Repositories มากกว่า 4,000 รายการถูกโจมตีด้วยวิธีการ Repojacking

    พบช่องโหว่ใหม่ใน GitHub อาจทำให้ repositories หลายพันรายการเสี่ยงต่อการถูกโจมตีด้วยวิธีการ Repojacking

    จากรายงานของ Elad Rapoport นักวิจัยด้านความปลอดภัยของ Checkmarx ที่เผยแพร่ผ่านกับ The Hacker News ระบุว่า ช่องโหว่นี้อาจทำให้ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จาก race condition ในการดำเนินการสร้าง repository และเปลี่ยนชื่อผู้ใช้ของ GitHub

หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จ จะส่งผลกระทบต่อชุมชน open-source โดยการ hijacking แพ็กเกจมากกว่า 4,000 รายการในภาษาต่าง ๆ เช่น Go, PHP และ Swift รวมถึง GitHub actions

ช่องโหว่นี้ได้รับการแก้ไขโดย Microsoft ไปแล้วในวันที่ 1 กันยายน 2023 หลังจากมีการเปิดเผยเมื่อวันที่ 1 มีนาคม 2023

    มาตรการป้องกันนี้ จะป้องกันไม่ให้ผู้ใช้งานรายอื่นสามารถสร้าง repository ที่มีชื่อเดียวกับ repository ที่มีการโคลนมากกว่า 100 ครั้ง ในขณะที่บัญชีผู้ใช้นั้นถูกเปลี่ยนชื่อ กล่าวคือ ชื่อผู้ใช้ และชื่อ repository นั้นถือว่า "retired (ไม่สามารถใช้งาน หรือสร้างใหม่ได้)"

ซึ่งหากการป้องกันด้วยวิธีการนี้ถูกหลีกเลี่ยงเพียงเล็กน้อย จะทำให้ผู้ไม่ประสงค์ดีสามารถสร้างบัญชีใหม่ด้วยชื่อผู้ใช้เดียวกัน และอัปโหลด repositories ที่เป็นอันตราย ซึ่งอาจนำไปสู่การโจมตีแบบ supply chain attack ของซอฟต์แวร์ได้

    วิธีการใหม่ที่ถูกระบุโดย Checkmarx คือการใช้ประโยชน์จาก race condition ที่อาจเกิดขึ้นระหว่างการสร้าง repository และการเปลี่ยนชื่อผู้ใช้ เพื่อทำการ repojacking โดยเฉพาะ ซึ่งประกอบด้วยขั้นตอนต่อไปนี้

1. เหยื่อเป็นเจ้าของพื้นที่เก็บข้อมูลชื่อ "victim_user/repo"
2. เหยื่อเปลี่ยนชื่อจาก "victim_user" เป็น "renamed_user"
3. repository "victim_user/repo" ถูก retired แล้ว
4. ผู้ไม่ประสงค์ดีที่มีชื่อผู้ใช้ "attacker_user" สร้างที่เก็บข้อมูลชื่อ "repo" และเปลี่ยนชื่อผู้ใช้ "attacker_user" เป็น "victim_user" พร้อม ๆ กัน

Ref : thehackernews

Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนกันยายน 2023 ประกอบไปด้วย ช่องโหว่ Zero-Days 2 รายการ และช่องโหว่อื่น ๆ รวมแล้วกว่า 59 รายการ

    Microsoft ออกแพตซ์อัปเดตประจำเดือนกันยายน 2023 โดยมีการอัปเดตช่องโหว่ด้านความปลอดภัย 59 รายการ รวมถึงช่องโหว่แบบ Zero-day สองรายการ ที่พบว่าถูกนำมาใช้ในการโจมตีอย่างต่อเนื่อง

   ในช่องโหว่ที่ได้รับการแก้ไข เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 24 รายการ โดยในทั้งหมด 59 รายการ มีถึง 5 รายการที่ได้รับคะแนน CVSS ว่าเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical โดยเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 4 รายการ และช่องโหว่ในการยกระดับสิทธิ์ในบริการ Azure Kubernetes 1 รายการ จำนวนช่องโหว่แต่ละประเภทที่ได้รับการอัปเดตแก้ไขมีดังนี้ :

• 3 รายการ ที่เป็นช่องโหว่ด้านการหลีกเลี่ยงการตรวจจับด้านความปลอดภัย
• 24 รายการ ที่เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
• 9 รายการ ที่เป็นช่องโหว่ Information Disclosure
• 3 รายการ ที่เป็นช่องโหว่ Denial of Service
• 5 รายการ ที่เป็นช่องโหว่ Spoofing
• 5 รายการ ที่เป็นช่องโหว่ Edge – Chromium

    โดยช่องโหว่ทั้งหมด 59 รายการ ไม่รวมช่องโหว่ Microsoft Edge (Chromium) 5 รายการ รวมถึงช่องโหว่ที่ไม่ใช่ของ Microsoft อีก 2 รายการใน Electron และ Autodesk พบช่องโหว่ Zero-day สองรายการที่ถูกใช้ในการโจมตีอย่างต่อเนื่อง

    Patch Tuesday ประจำเดือนกันยายน 2023 ได้แก้ไขช่องโหว่แบบ Zero-day สองรายการ โดยช่องโหว่เหล่านี้กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง และถูกเปิดเผยต่อสาธารณะ

• CVE-2023-36802 (คะแนน CVSS 7.8/10 ความรุนแรงระดับสูง) เป็นช่องโหว่การยกระดับสิทธิ์บน Microsoft Streaming Service Proxy ซึ่งทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM ของระบบ ช่องโหว่นี้ถูกค้นพบโดย Quan Jin(@jq0904) & ze0r กับ DBAPPSecurity WeBin Lab, Valentina Palmiotti กับ IBM X-Force, Microsoft Threat Intelligence และ Microsoft Security Response Center
• CVE-2023-36761 (คะแนน CVSS 6.2/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่ Information Disclosure ใน Microsoft Word ซึ่งทำให้ Hacker สามารถขโมย NTLM hashes เมื่อเปิดเอกสาร รวมถึงในหน้าต่างแสดงตัวอย่าง โดย NTLM hashes สามารถใช้ถอดรหัส หรือใช้ในการโจมตีแบบ NTLM Relay เพื่อเข้าถึงบัญชีได้ ช่องโหว่นี้ถูกพบโดยกลุ่ม Microsoft Threat Intelligence

การอัปเดตแพตซ์ความปลอดภัยประจำเดือนกันยายน 2023

ผู้ใช้งานสามารถตรวจสอบรายการช่องโหว่ที่ได้รับการแก้ไขทั้งหมดในการอัปเดต Patch Tuesday เดือนกันยายน 2023 รวมถึงคำอธิบายแบบเต็มของช่องโหว่แต่ละรายการ และระบบที่ได้รับผลกระทบได้ที่ microsoft patch tuesday reports - September-2023

Ref : bleepingcomputer

Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีด้วย Ransomware

    Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย

    CVE-2023-20269 (คะแนน CVSS 5/10 ความรุนแรงระดับกลาง) เป็นช่องโหว่ที่ส่งผลกระทบต่อฟีเจอร์ VPN ของ Cisco ASA และ Cisco FTD ทำให้ ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Brute Force ด้วย Remote กับบัญชีที่มีอยู่ได้ ซึ่งหากโจมตีได้สำเร็จก็สามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กรที่เป็นเป้าหมาย ซึ่งเป็นขั้นตอนแรกในการเข้าถึงเครือข่าย ซึ่งอาจมีผลกระทบที่แตกต่างกันไป ขึ้นอยู่กับการตั้งค่าบนเครือข่าย

    โดยในเดือนสิงหาคม 2023 BleepingComputer รายงานว่ากลุ่ม Akira ransomware ได้ทำการโจมตีเครือข่ายองค์กรผ่านอุปกรณ์ VPN ของ Cisco โดย SentinelOne คาดการณ์ว่าอาจมาจากช่องโหว่ Zero-day ที่ยังไม่เป็นที่รู้จัก ต่อมา Rapid7 ได้รายงานว่าพบการโจมตีของกลุ่ม Lockbit ransomware ได้ทำการโจมตีเป้าหมายผ่านช่องโหว่ Zero-day ของ Cisco VPN เช่นเดียวกัน ซึ่งทาง Cisco ได้ออกคำเตือนว่าการโจมตีกล่าวเกิดขึ้นจากการโจมตีด้วยการ brute forcing credentials บนอุปกรณ์ที่ไม่ได้กำหนดค่า MFA

ซึ่งปัจจุบันทาง Cisco ได้ยืนยันการมีอยู่ของช่องโหว่แบบ Zero-day ที่กลุ่ม ransomware ใช้ในการโจมตี และได้ระบุวิธีการแก้ไขชั่วคราว แต่ยังไม่มีแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่

    ช่องโหว่ CVE-2023-20269 อยู่ภายใน web services interface ของอุปกรณ์ Cisco ASA และ Cisco FTD โดยเฉพาะฟังก์ชันที่เกี่ยวข้องกับฟังก์ชัน authentication, authorization และ accounting (AAA)

    ช่องโหว่ดังกล่าวเกิดจากการแยกฟังก์ชัน AAA และคุณลักษณะซอฟต์แวร์อื่น ๆ ไม่ถูกต้อง ทำให้ ผู้ไม่ประสงค์ดี สามารถส่งคำขอการ authentication ไปยัง web services interface ในการโจมตีดเพื่อให้ได้ authorization

    เนื่องจาก request เหล่านี้ไม่มีการจำกัดจำนวนครั้ง ผู้ไม่ประสงค์ดี จึงสามารถโจมตีแบบ brute force credentials โดยใช้ชื่อผู้ใช้ และรหัสผ่านจำนวนนับไม่ถ้วน โดยไม่ถูกจำกัด หรือถูกบล็อก โดยเพื่อให้สามารถโจมตีแบบ brute force credentials ได้ อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขต่อไปนี้:

• ผู้ใช้อย่างน้อยหนึ่งรายได้รับการกำหนดค่าด้วยรหัสผ่านใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
• เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ หรือเปิดใช้งาน IKEv2 VPN บน interface อย่างน้อยหนึ่งรายการ
• หากอุปกรณ์ที่ถูกโจมตีใช้งาน Cisco ASA Software เวอร์ชัน 9.16 หรือเก่ากว่า ผู้ไม่ประสงค์ดี จะสามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กร โดยไม่ต้องให้สิทธิ์อนุญาตเพิ่มเติมเมื่อ authentication ได้สำเร็จ

หากต้องการสร้างเซสชัน SSL VPN แบบ clientless อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขเหล่านี้:

• ผู้ไม่ประสงค์ดี มีข้อมูล credential ที่ถูกต้องสำหรับผู้ใช้งานที่อยู่ใใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
• อุปกรณ์กำลังใช้งาน Cisco ASA Software เวอร์ชัน 16 หรือเก่ากว่า
• เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ
• อนุญาตให้ใช้โปรโตคอล SSL VPN แบบ clientless ใน DfltGrpPolicy

แนวทางการแก้ไข

    Cisco มีแผนที่จะออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2023-20269 แต่จนกว่าจะมีการแก้ไข ทาง Cisco ได้แนะนำให้ผู้ดูแลระบบดำเนินการต่อไปนี้:

• ใช้ DAP (Dynamic Access Policies) เพื่อหยุดการทำงานของ VPN tunnels ด้วย DefaultADMINGroup หรือ DefaultL2LGroup
• ปฏิเสธการเข้าถึงด้วย Default Group Policy โดยการปรับ vpn-simultaneous-logins สำหรับ DfltGrpPolicy ให้เป็นศูนย์ และตรวจสอบให้แน่ใจว่า VPN session profiles ทั้งหมดชี้ไปที่ custom policy
• ใช้ข้อจำกัด LOCAL user database restrictions โดยการล็อคผู้ใช้งานบางรายให้อยู่ในโปรไฟล์เดียวด้วยตัวเลือก 'group-lock' และป้องกันการตั้งค่า VPN โดยการตั้งค่า 'vpn-simultaneous-logins' ให้เป็นศูนย์

    Cisco ยังแนะนำให้ใช้ Default Remote Access VPN profiles โดยชี้โปรไฟล์ที่ไม่ใช่ Default ทั้งหมดไปยัง sinkhole AAA server (dummy LDAP server) และเปิดใช้งานการ logging เพื่อตรวจจับเหตุการณ์การโจมตีที่อาจเกิดขึ้น รวมถึงการเปิด multi-factor authentication (MFA) ช่วยลดความเสี่ยงในการโจมตีได้ เนื่องจากการโจมตีแบบ brute force credentials จะทำให้ไม่สามารถเข้าถึงบัญชีที่มีการเปิดใช้งาน MFA ได้

Ref : bleepingcomputer

W3LL phishing kit โจมตีบัญชี Microsoft 365 นับพันบัญชีด้วยการ bypasses MFA

    ผู้ไม่ประสงค์ดีที่รู้จักกันในชื่อ W3LL ได้พัฒนาฟิชชิงที่สามารถ bypass multi-factor authentication พร้อมกับเครื่องมืออื่น ๆ ที่ทำให้สามารถโจมตีบัญชี Microsoft 365 ขององค์กรมากกว่า 8,000 บัญชี ในระยะเวลา 10 เดือน ผู้เชี่ยวชาญด้านดวามปลอดภัยด้านความปลอดภัยพบว่าเครื่องมือ และโครงสร้างพื้นฐานของ W3LL ถูกใช้ในการสร้างฟิชชิงประมาณ 850 ครั้ง ซึ่งกำหนดเป้าหมายไปที่ข้อมูลส่วนบุลคลของบัญชี Microsoft 365 มากกว่า 56,000 บัญชี

การพัฒนาของ W3LL

    ผู้ไม่ประสงค์ดีอย่างน้อย 500 รายได้ใช้เครื่องมือฟิชชิ่งแบบ custom ของ W3LL ในการโจมตีแบบ Business Email Compromise (BEC) ทำให้เกิดความสูญเสียทางการเงินหลายล้านดอลลาร์สหรัฐฯ ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า W3LL ครอบคลุมเกือบทั้งหมดสำหรับการโจมตีแบบ BEC และสามารถใช้งานได้โดย "ผู้ไม่ประสงค์ดีที่มีทักษะทางเทคนิคในทุกระดับ"

    ในรายงานจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Group-IB ได้ให้รายละเอียดเกี่ยวกับ W3LL ที่กลายมาเป็นหนึ่งในนักพัฒนามัลแวร์ขั้นสูงสำหรับกลุ่มผู้ไม่ประสงค์ดีที่มักใช้วิธี BEC หลักฐานแรกในการดำเนินการของ W3LL ถูกพบครั้งแรกในปี 2017 เมื่อผู้พัฒนาเริ่มใช้เครื่องมือ custom สำหรับการส่งอีเมลจำนวนมากที่ชื่อว่า "W3LL SMTP Sender" ซึ่งถูกใช้สำหรับการส่งสแปม ความนิยม และธุรกิจของกลุ่มผู้ไม่ประสงค์ดีเริ่มเติบโตขึ้นเมื่อเริ่มมีการขายชุดเครื่องมือฟิชชิงแบบ custom ที่มุ่งเน้นไปที่บัญชีองค์กรของ Microsoft 365

    ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า ในปี 2018 W3LL ได้เปิดตัว W3LL Store ซึ่งเป็นตลาดภาษาอังกฤษที่สามารถโปรโมต และขายเครื่องมือของตนให้กับ community ของอาชญากรทางไซเบอร์ "เครื่องมือหลักของ W3LL คือ W3LL Panel ซึ่งอาจถือเป็นหนึ่งในชุดเครื่องมือสำหรับการโจมตีแบบฟิชชิงที่ล้ำสมัยที่สุดในระดับเดียวกัน โดยมีฟังก์ชันการทำงานแบบ adversary-in-the-middle, API, การป้องกันซอร์สโค้ด และความสามารถเฉพาะทางอื่น ๆ"

ชุดเครื่องมือของ W3LL สำหรับการโจมตีแบบ BEC

นอกจาก W3LL Panel ซึ่งถูกออกแบบเพื่อ bypass multi-factor authentication (MFA) ผู้ไม่ประสงค์ดียังมีเครื่องมืออีก 16 รายการที่เตรียมไว้สำหรับการโจมตี BEC (Business Email Compromise) รวมถึง:

• SMTP senders PunnySender และ W3LL Sender
• เครื่องมือ link stager ที่เป็นอันตรายชื่อ W3LL Redirect
• เครื่องมือสแกนช่องโหว่ชื่อ OKELO
• เครื่องมือค้นหาบัญชีอัตโนมัติชื่อ CONTOOL
• โปรแกรมตรวจสอบอีเมลชื่อ LOMPAT

    สำหรับการโจมตี BEC มีขั้นตอนเริ่มต้นที่การเลือกเป้าหมาย, การโจมตีแบบฟิชชิงผ่านอีเมลที่ที่มีไฟล์แนบ (ค่าเริ่มต้น หรือปรับแต่งเองได้), ไปจนถึงการส่งอีเมลฟิชชิงเข้าไปในกล่องจดหมายของเหยื่อ ผู้เชี่ยวชาญด้านดวามปลอดภัยระบุว่า W3LL เชี่ยวชาญมากพอที่จะปกป้องเครื่องมือของตนจากการถูกตรวจจับ หรือปิดกั้นได้ โดยการนำไปใช้งานบนโฮสต์เซิร์ฟเวอร์ และบริการที่โจมตีมาอีกที อย่างไรก็ตาม ผู้ใช้งานยังมีตัวเลือกในการใช้เครื่องมือสแกน OKELO ของ W3LL เพื่อค้นหาระบบที่มีช่องโหว่ และเข้าถึงระบบได้ด้วยตนเอง

Bypassing filters และ security agents

    บางเทคนิคที่ W3LL ใช้ คือการ bypass email filters และ security agents รวมถึงปลอมแปลงหัวเรื่องอีเมล และเนื้อหาในข้อความ (Punycode, แท็ก HTML, รูปภาพ, ลิงก์ที่มีเนื้อหาจากภายนอก) phishing links ใช้วิธีการหลายอย่างเพื่อหลีกเลี่ยงการตรวจจับ หนึ่งในนั้นคือการแนบไฟล์ฟิชชิง แทนที่จะฝังไว้ในเนื้อหาของอีเมลนักวิจัยพบว่าลิงก์นั้นถูกวางไว้ในไฟล์ HTML ที่แนบมา เมื่อเหยื่อเปิดไฟล์ HTML ที่เป็นอันตรายซึ่งอาจปลอมเป็นเอกสาร หรือข้อความเสียง เบราว์เซอร์จะเปิดขึ้นพร้อมกับการแสดงผลที่คล้ายกับ MS Outlook animation     ซึ่งนี่คือ W3LL Panel phishing page ที่พร้อมใช้งานสำหรับการเก็บข้อมูลของบัญชี Microsoft 365 ในการวิเคราะห์ไฟล์แนบจากการโจมตีแบบฟิชชิงจาก W3LL ที่พบ Group-IB ได้สังเกตว่าเป็นไฟล์ HTML ที่แสดงเว็ปไซต์ใน iframe โดยใช้ JavaScript ที่ถูกเข้ารหัส base64

W3LL phishing attachment observed in the wild

    ในเวอร์ชันใหม่ล่าสุด ซึ่งอัปเดตในช่วงปลายเดือนมิถุนายน W3LL ได้เพิ่ม การสร้างความสับสน และการเข้ารหัสแบบ multiple layers โดยจะโหลดสคริปต์โดยตรงจาก W3LL Panel แทนที่จะรวมไว้ในโค้ด HTML

ลำดับการทำงานสำหรับเวอร์ชันล่าสุดมีลักษณะดังนี้ :

Updated W3LL phishing attachment

การโจมตีบัญชีองค์กร Microsoft 365

  นักวิจัยของ Group-IB อธิบายว่าลิงก์เริ่มต้นในการโจมตีฟิชชิงไม่ได้นำไปสู่หน้าการเข้าสู่ระบบ Microsoft 365 ที่ถูกปลอมแปลงใน W3LL Panel การเชื่อมต่อลักษณะดังกล่าวถูกกำหนดขึ้นเพื่อป้องกันการตรวจสอบหน้าฟิชชิงของ W3LL Panel เพื่อที่ W3LL จะโจมตีบัญชี Microsoft 365 นั้นจะใช้เทคนิค Adversary/Man-in-the-middle (AitM/MitM) โดยการเชื่อมต่อระหว่างเหยื่อ และเซิร์ฟเวอร์ของ Microsoft จะผ่าน W3LL Panel และ W3LL Store ที่ทำหน้าที่เป็นระบบ backend

   เป้าหมายคือการได้มาซึ่งคุกกี้เซสชันการ authentication ของเหยื่อ สำหรับวิธีนี้ W3LL Panel จำเป็นต้องดำเนินการหลายขั้นตอน ซึ่งรวมถึง:

• ผ่านการตรวจสอบ CAPTCHA
• ตั้งค่าหน้าการเข้าสู่ระบบที่ปลอมแปลงให้เหมือนจริง
• ตรวจสอบบัญชีของเหยื่อ
• ได้มาซึ่งอัตลักษณ์ขององค์กรเป้าหมาย (เช่น ชื่อแบรนด์, โลโก้ฯ)
• รับคุกกี้สำหรับการเข้าสู่ระบบ
• ระบุประเภทของบัญชี
• ตรวจสอบรหัสผ่าน
• รับรหัสผ่านแบบใช้ครั้งเดียว (OTP)
• รับคุกกี้เซสชันที่ผ่านการ authentication

    หลังจากที่ W3LL Panel ได้รับคุกกี้เซสชันที่ผ่านการ authentication แล้ว บัญชีจะถูกเข้าถึงได้ และเหยื่อจะเห็นเอกสาร PDF เพื่อทำให้ดูเหมือนการเข้าสู่ระบบนั้นถูกต้อง

ขั้นตอนการค้นหาบัญชี

   เมื่อใช้ CONTOOL ผู้ไม่ประสงค์ดีสามารถทำให้การค้นหาอีเมล, เบอร์โทรศัพท์, ไฟล์แนบ, เอกสาร, หรือ URL ที่เหยื่อใช้โดยอัตโนมัติ ซึ่งอาจช่วยในการโจมตีไปยังระบบอื่น ๆ เครื่องมือนี้ยังสามารถตรวจสอบ กรอง และแก้ไขอีเมลที่เข้ามาได้ รวมทั้งรับการแจ้งเตือนผ่านบัญชี Telegram โดยขึ้นอยู่กับ keywords ที่ระบุไว้

ตามรายงานของ Group-IB ผลลัพธ์ทั่วไปของการโจมตีคือ :

• การขโมยข้อมูล
• ใบแจ้งหนี้ปลอมที่มีข้อมูลการชำระเงินของผู้ไม่ประสงค์ดี
• การปลอมตัวเป็นบริการเพื่อส่งคำขอชำระเงินปลอมให้กับลูกค้า
• Classic BEC fraud - เพื่อเข้าถึงผู้บริหารระดับสูง และดำเนินการเพื่อสั่งให้พนักงานโอนเงิน หรือซื้อสินค้า
• แพร่กระจายมัลแวร์

การทำเงินของกลุ่ม W3LL

    รายงานของ Group-IB ได้ศึกษาลึกลงไปในฟังก์ชันของ W3LL Panel โดยอธิบายในระดับเทคนิคว่าคุณสมบัติบางอย่างทำงานอย่างไรเพื่อให้บรรลุเป้าหมายที่ตั้งไว้ ไม่ว่าจะเป็นการหลบเลี่ยงการตรวจจับ หรือการรวบรวมข้อมูล โดยเป็นส่วนสำคัญที่มีค่าแก่ผู้พัฒนา และมีราคา 500 ดอลลาร์สหรัฐสำหรับการใช้งานระยะเวลา 3 เดือน และราคาต่ออายุ 150 ดอลลาร์สหรัฐฯ ต่อเดือน ซึ่งผู้ใช้จำเป็นต้องซื้อ license เพื่อเปิดใช้งานด้วยอีกด้วย

W3LL Store and Panel

    กลุ่มผู้ไม่ประสงค์ดี W3LL ก่อตั้งขึ้นเมื่อประมาณ 5 ปีที่แล้ว และมีแฮ็กเกอร์ใช้งานมากกว่า 500 คน โดยมีฟีเจอร์ให้เลือกใช้งานมากกว่า 12,000 รายการ นอกจากเครื่องมือที่เกี่ยวข้องกับการโจมตีด้วยฟิชชิ่ง และ BEC ที่กล่าวมาแล้ว W3LL ยังให้บริการเข้าถึงบริการเว็ปไซต์ที่ถูกโจมตี (web shell, อีเมล, ระบบการจัดการเนื้อหา) และเซิร์ฟเวอร์ SSH และ RDP, บัญชีโฮสติ้ง และบริการคลาวด์, โดเมนอีเมลธุรกิจ, บัญชี VPN, และบัญชีอีเมลที่ถูกยึดครอง (hijacked email accounts) ให้บริการอีกด้วย นักวิจัยจาก Group-IB รายงานว่า ระหว่างเดือนตุลาคม ปี 2022 ถึงกรกฎาคม ปี 2023 W3LL ขายเครื่องมือนี้ได้มากกว่า 3,800 รายการ โดยมีรายได้โดยประมาณมากกว่า 500,000 ดอลลาร์สหรัฐ

Ref : bleepingcomputer

Microsoft ประกาศยกเลิก WordPad จาก Windows หลังเปิดให้ใช้งานมา 28 ปี

    เมื่อ 1 กันยายน 2023 ที่ผ่านมา Microsoft ประกาศว่าจะยกเลิก WordPad ด้วยการอัปเดต Windows ในอนาคต เนื่องจากไม่อยู่ในแผนการพัฒนาอีกต่อไป อย่างไรก็ตามบริษัทก็ยังไม่ได้ระบุระยะเวลาที่แน่นอนในการยกเลิก

    WordPad เป็นแอปพลิเคชันแก้ไขข้อความพื้นฐานที่ให้ผู้ใช้งานสามารถสร้าง และแก้ไขเอกสารด้วยการจัดรูปแบบข้อความ รูปภาพ และลิงก์ไปยังไฟล์อื่น ๆ ได้ ซึ่งถูกติดตั้งโดยอัตโนมัติบน Windows ตั้งแต่ปี 1995 นับตั้งแต่มีการเปิดตัว Windows95 ทำให้ผู้ใช้งานมีโปรแกรมประมวลผลคำพื้นฐาน และโปรแกรมแก้ไขเอกสารที่ถูกรวมอยู่ในระบบปฏิบัติการ โดย Microsoft เปิดเผยว่า WordPad จะไม่ได้รับการอัปเดตอีกต่อไป และจะถูกลบออกใน Windows รุ่นต่อ ๆ ไป และจะแนะนำให้ผู้ใช้งานใช้ Microsoft Word แทน สำหรับเอกสารข้อความแบบ Rich Text อย่างไฟล์ .doc และ .rtf และใช้ Notepad สำหรับเอกสารข้อความธรรมดาอย่างไฟล์ .txt สำหรับผู้ที่ไม่ต้องการเปิดไฟล์แบบ Rich Text

    อย่างไรก็ตาม เรื่องดังกล่าวไม่ได้น่าแปลกใจ เนื่องจากโปรแกรมนี้ได้กลายเป็นฟีเจอร์เสริมของ Windows นับตั้งแต่ Windows 10 Insider Build 19551 ที่เปิดตัวในเดือนกุมภาพันธ์ 2020 และถึงแม้ว่าจะถูกติดตั้งตามค่าเริ่มต้นบน Windows แต่ก็สามารถถอนการติดตั้งออกได้โดยในเมนู Optional features ใน control panel

    แม้จะไม่ได้มีการอธิบายจาก Microsoft ถึงสาเหตุของการเลิกใช้งาน WordPad แต่นักวิจัยเคยพบว่ามัลแวร์ Qbot เริ่มแพร่กระจายในคอมพิวเตอร์ และหลบเลี่ยงการตรวจจับด้วยวิธีการ DLL hijacking ใน WordPad บน Windows 10

    โปรแกรม Paint จะถูกย้ายไปที่ Microsoft Store และ Cortana ก็กำลังจะถูกปิดตัวลง เมื่อ 5 ปีที่แล้ว Microsoft ได้ประกาศว่าจะยกเลิกโปรแกรม Paint และจะถูกลบออกพร้อมกับการเปิดตัว Windows 10 Fall Creator's Update ในเดือนกรกฎาคม 2560 แต่หลังจากที่โปรแกรม Paint ได้รับการตอบรับอย่างล้นหลาม Microsoft ตัดสินใจไม่ยกเลิก และเปิดให้ใช้งานผ่าน Microsoft Store แทน

    WordPad ก็เช่นกัน หากมีคนร้องขอเข้ามามากพอ Microsoft อาจจะย้าย WordPad ไปที่ App Store เพื่อเป็นทางเลือกการใช้งานในรูปแบบ Microsoft Office และซอฟต์แวร์ที่มีความใกล้เคียงกันแต่มีฟีเจอร์น้อยกว่า นอกจากนี้ บริษัทกำลังจะปิดตัว Cortana อย่างเป็นทางการในการ Windows 11 Canary preview builds ที่เปิดตัวในต้นเดือนสิงหาคม 2023 ซึ่งแอปดังกล่าวอยู่ในฐานะผู้ช่วยดิจิทัลของ Windows ที่เต็มไปด้วย Windows Copilot ที่ขับเคลื่อนด้วย AI ซึ่งเปิดตัวในระหว่างการประชุมใหญ่ Microsoft Build ในปีนี้

Ref : bleepingcomputer

พบการโจมตีช่องโหว่ zero-click ใน iMessage ของ Apple เพื่อติดตั้งสปายแวร์บน iPhone

    Citizen Lab หน่วยงานวิจัยด้านความปลอดภัยรายงานว่า Apple ได้ทำการแก้ไขช่องโหว่ zero-day ด้วยการออก Patch เร่งด่วนเพื่อป้องกันการโจมตีโดยใช้ช่องโหว่ Zero - Day ของ Pegasus spyware ที่ถูกใช้โดยกลุ่ม NSO เพื่อเข้าถึง iPhone ของเป้าหมาย โดยช่องโหว่ที่ถูกใช้ในการโจมตีครั้งนี้คือ CVE-2023-41064 และ CVE-2023-41061 ซึ่งจะโจมตีไปยัง iPhone ที่ใช้ iOS 16.6 ผ่านไฟล์แนบ PassKit ที่มีภาพที่เป็นอันตราย ที่ส่งจากบัญชี iMessage ของ Hacker ไปยังเหยื่อ โดยที่เหยื่อไม่ต้องตอบสนองใด ๆ (zero-click) ที่มีชื่อว่า “BLASTPASS” ทั้งนี้ทางนักวิจัยด้านความปลอดภัยของ Apple และ Citizen Lab ได้ค้นพบช่องโหว่ zero-day ใน Image I/O และ Wallet framework

• CVE-2023-41064 เป็นช่องโหว่ buffer overflow ที่เกิดขึ้นเมื่อประมวลผลภาพที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ
• CVE-2023-41061 เป็นช่องโหว่การตรวจสอบสิทธิ ที่สามารถใช้โจมตีได้ผ่านไฟล์แนบที่เป็นอันตราย

    ซึ่งช่องโหว่ทั้ง 2 รายการนี้ทำให้ Hacker สามารถเรียกใช้คำสั่งบนอุปกรณ์ iPhone และ iPad ที่มีช่องโหว่ได้

รายการอุปกรณ์ที่ได้รับผลกระทบได้แก่:

• iPhone 8 และใหม่กว่า
• iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 5 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
• Mac ที่ใช้ macOS Ventura
• Apple Watch Series 4 และใหม่กว่า

    โดยขณะนี้ Apple ได้ออกแพตซ์อัปเดตด้านความปลอดภัยใน macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 และ watchOS 9.6.2 จึงได้แจ้งเตือนไปยังผู้ใช้งานให้เร่งทำการอัปเดตเพื่อป้องกันช่องโหว่โดยด่วน

Ref : bleepingcomputer

Okta แจ้งเตือนกลุ่มแฮ็กเกอร์มุ่งเป้าการโจมตีไปยังแผนก IT help desks เพื่อเข้าถึง User Admin และปิดการใช้งาน MFA

    Okta บริษัทจัดการข้อมูลประจำตัว และการเข้าถึงข้อมูล ออกมาแจ้งเตือนการโจมตีรูปแบบ Social Engineering ที่มีการกำหนดเป้าหมายไปที่ฝ่าย IT service desk ในสหรัฐอเมริกา โดยมีการพยายามหลอกให้พวกเขารีเซ็ต multi-factor authentication (MFA) ของผู้ใช้งานที่มีสิทธิ์สูง ซึ่งเป้าหมายของผู้โจมตีคือขโมย Super Administrator ที่มีสิทธิ์สูง เพื่อเข้าถึง และใช้ข้อมูลส่วนตัวของผู้ที่ถูกโจมตีมาแอบอ้าง

    Okta สังเกตพบเหตุการณ์นี้ในช่วงวันที่ 29 กรกฎาคมถึง 19 สิงหาคม โดยระบุว่าก่อนที่ผู้โจมตีจะโทรหาแผนก IT service desk ขององค์กรเป้าหมาย ผู้โจมตีอาจมีรหัสผ่านสำหรับบัญชีที่มีสิทธิ์ หรือสามารถแก้ไขขั้นตอนการตรวจสอบสิทธิ์ผ่าน Active Directory (AD) ได้แล้ว

    หลังจากที่สามารถเข้าถึงบัญชี Super Administrator ได้สำเร็จแล้ว ผู้โจมตีจะใช้สิทธิ์ของผู้ดูแลระบบเพื่อยกระดับสิทธิ์บัญชีอื่น ๆ และรีเซ็ตระบบตรวจสอบสิทธิ์ รวมไปถึงยังลบการป้องกันการตรวจสอบสิทธิ์ 2FA สำหรับบางบัญชีอีกด้วย

มาตรการรักษาความปลอดภัยเพื่อปกป้องบัญชีผู้ดูแลระบบจากผู้โจมตีภายนอกที่ Okta แนะนำมีดังนี้

• บังคับใช้การตรวจสอบสิทธิ์แบบป้องกันการฟิชชิ่งโดยใช้ Okta FastPass และ FIDO2 WebAuthn
• ต้องมีการ re-authentication สำหรับการเข้าถึงแอปที่ได้รับสิทธิ์ รวมถึงหน้าคอนโซลของผู้ดูแลระบบ
• ใช้ข้อมูลสำหรับพิสูจน์ตัวตนที่มีความยากต่อการคาดเดา สำหรับการกู้คืน และจำกัดการเข้าถึงเฉพาะเครือข่ายที่เชื่อถือได้
• ปรับปรุงเครื่องมือการจัดการ และการตรวจสอบระยะไกล (RMM) และบล็อกเครื่องมือที่ไม่ได้รับอนุญาตให้ใช้งาน
• ปรับปรุงการตรวจสอบบุคคลที่ขอความช่วยเหลือด้วยการตรวจสอบด้วยภาพ, ตรวจสอบ MFA และการอนุมัติจากผู้บริหารองค์กร
• เปิดใช้งาน และทดสอบการแจ้งเตือนสำหรับอุปกรณ์ใหม่ และพฤติกรรมที่น่าสงสัย
• จำกัดสิทธิ์ผู้ดูแลระบบระดับสูงให้สามารถจัดการการเข้าถึง และมอบหมายงานที่มีความเสี่ยงสูงเท่านั้น
• อุปกรณ์ที่ผู้ดูแลระบบลงชื่อเข้าใช้ควรมีการจัดการด้วย MFA ที่สามารถป้องกันการฟิชชิ่ง และจำกัดการเข้าถึงจากเครือข่ายที่เชื่อถือได้

Ref : bleepingcomputer