Google แจ้งเตือนผู้ไม่ประสงค์ดีกำลังใช้ประโยชน์จากช่องโหว่ของ Zimbra ในการโจมตีองค์กรภาครัฐ

   ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ CVE-2023-37580 ที่มีระดับความรุนแรงปานกลาง ซึ่งถูกพบเมื่อวันที่ 29 มิถุนายน 2023 เกือบหนึ่งเดือนก่อนที่ผู้ให้บริการจะออกแพตซ์แก้ไขช่องโหว่ดังกล่าวในเวอร์ชัน 8.8.15 Patch 41 เมื่อวันที่ 25 กรกฎาคม 2023 โดยเป็นช่องโหว่ XSS (cross-site scripting) ที่อยู่ใน Zimbra Classic Web Client

Timeline การโจมตี และการตอบสนองต่อการโจมตี

    นักวิจัยระบุว่า ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่โจมตีระบบของรัฐบาลหลาย ๆ ประเทศ เพื่อขโมยข้อมูลอีเมล ข้อมูล credentials ของผู้ใช้งาน และ authentication tokens เพื่อดำเนินการส่งต่ออีเมล และนำเหยื่อไปยังหน้าฟิชชิ่ง

    Google พบว่ามีผู้ไม่ประสงค์ดี 4 ราย ใช้ช่องโหว่ที่ยังไม่เป็นที่รู้จักเมื่อปลายเดือนมิถุนายน 2023 เพื่อโจมตีองค์กรของรัฐบาลในประเทศกรีซ

    ผู้ไม่ประสงค์ดีได้ส่งอีเมลที่มี URL ที่เป็นอันตรายที่ทำให้สามารถขโมยข้อมูลอีเมล และดำเนินการส่งต่ออีเมลได้โดยอัตโนมัติไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี

   โดย Zimbra ออก Hot Fix สำหรับแก้ไขช่องโหว่ฉุกเฉินบน GitHub ภายหลังจากที่นักวิเคราะห์ของ Google แจ้งเตือนถึงเหตุการณ์การโจมตีดังกล่าว

การโจมตีครั้งที่ 2 ถูกพบเมื่อวันที่ 11 กรกฎาคม 2023 โดยผู้ไม่ประสงค์ดีที่เป็นที่รู้จักในชื่อ "Winter Vivern" ซึ่งกำหนดเป้าหมายไปที่องค์กรภาครัฐในมอลโดวา และตูนิเซีย โดย URL ที่ใช้ในการโจมตีครั้งนี้จะโหลด JavaScript ที่เป็นอันตรายบนระบบเป้าหมาย

    วันที่ 13 กรกฎาคม Zimbra ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่แนะนำการลดผลกระทบจากช่องโหว่ แต่ไม่มีรายละเอียดเกี่ยวกับผู้ไม่ประสงค์ดีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าว

การโจมตีครั้งที่ 3 ถูกพบเมื่อวันที่ 20 กรกฎาคม 2023 จากกลุ่มผู้ไม่ประสงค์ดีที่ไม่ปรากฏชื่อ ซึ่งมุ่งเป้าไปที่องค์กรรัฐบาลเวียดนาม โดยการโจมตีเหล่านี้ใช้ URL เพื่อนำเหยื่อไปยังหน้าฟิชชิ่ง

ห้าวันต่อมา Zimbra ก็ได้ออกแพตซ์อย่างเป็นทางการสำหรับ CVE-2023-37580 แต่ยังคงไม่ได้ให้ข้อมูลเกี่ยวกับการโจมตีที่กำลังดำเนินการอยู่

    การโจมตีครั้งที่ 4 ถูกพบเมื่อวันที่ 25 สิงหาคม โดยผู้ไม่ประสงค์ดีได้ศึกษาช่องโหว่เพิ่มเติม หลังจากที่ผู้ให้บริการทำการออกแพตซ์เพื่อแก้ไข โดยช่องโหว่นี้ถูกใช้ประโยชน์เพื่อโจมตีระบบขององค์กรรัฐบาลปากีสถานเพื่อขโมย authentication tokens ของ Zimbra

    รายงานของ Google ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับผู้โจมตี แต่ยังคงแจ้งเตือนให้ผู้ใช้งานทราบถึงความสําคัญของการอัปเดตแพตซ์ด้านความปลอดภัย แม้ว่าจะเป็นช่องโหว่ระดับความรุนแรงปานกลาง เนื่องจากมีการพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอยู่ในปัจจุบัน

    การโจมตีโดยใช้ช่องโหว่ CVE-2023-37580 เป็นหนึ่งในหลายตัวอย่างของช่องโหว่ XXS ที่ใช้ในการโจมตีอีเมลเซิร์ฟเวอร์ เช่น CVE-2022-24682 และ CVE-2023-5631 ซึ่งส่งผลกระทบต่อ Zimbra และ Roundcube

Ref: bleepingcomputer

Randstorm Exploit ทำให้ Bitcoin Wallets ระหว่างปี 2011-2015 เสี่ยงต่อการถูกขโมยโดยผู้ไม่ประสงค์ดี

    Bitcoin wallets ที่ถูกสร้างขึ้นระหว่างปี 2011-2015 มีความเสี่ยงต่อการถูกโจมตีรูปแบบใหม่ที่เรียกว่า Randstorm ซึ่งทำให้สามารถกู้คืนรหัสผ่าน และเข้าถึงข้อมูลใน wallets ได้บนแพลตฟอร์ม blockchain หลายแห่ง

    ตามรายงานของ Unciphered ที่เผยแพร่เมื่อสัปดาห์ที่แล้ว Randstorm() ถูกสร้างขึ้นเพื่ออธิบายชุดของช่องโหว่, design decisions และการเปลี่ยนแปลง API เมื่อนำมารวมกันแล้วจะลดคุณภาพของ random numbers ที่สร้างโดยเว็บเบราเซอร์ในช่วงปี 2011-2015

    จำนวนบิตคอยน์ประมาณ 1.4 ล้านบิตคอยน์ ที่ถูกจัดเก็บอยู่ใน wallets ที่สร้างด้วย cryptographic keys ที่คาดเดาได้ง่าย โดยผู้ใช้งานสามารถตรวจสอบว่า wallets ของตนมีความเสี่ยงหรือไม่ได้ที่ keybleed

บริษัทที่เกี่ยวข้องกับการกู้คืน cryptocurrency ระบุว่า ได้ค้นพบปัญหานี้อีกครั้งในเดือนมกราคม 2022 ขณะที่กำลังทำการตรวจสอบให้กับลูกค้าที่ไม่มีการเปิดเผยชื่อ ซึ่งถูกล็อคจาก Blockchain.com wallet ปัญหานี้ถูกหยิบยกขึ้นมาเป็นครั้งแรกในปี 2018 โดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อนามแฝงว่า "ketamine"

จุดสำคัญของช่องโหว่นี้เกิดจากการใช้ BitcoinJS ซึ่งเป็นแพ็คเกจ JavaScript โอเพนซอร์สที่ใช้สำหรับพัฒนาแอพพลิเคชัน cryptocurrency wallet บนเบราว์เซอร์

    โดยเฉพาะ Randstorm มีต้นต่อมาจากการใช้ฟังก์ชัน SecureRandom() ของแพ็คเกจในไลบรารี JSBN javascript พร้อมกับช่องโหว่ด้านการเข้ารหัสที่เกิดขึ้น ในการดำเนินการฟังก์ชัน Math.random() ของเว็บเบราว์เซอร์ ทำให้สามารถสร้าง Math.random() function ได้ โดย BitcoinJS ยกเลิกการใช้ JSBN ในเดือนมีนาคม 2014

    ดังนั้นปัญหานี้ อาจนำไปสู่การทำ brute-force attacks และกู้คืน private keys ของ wallet ที่สร้างขึ้นด้วยไลบรารี BitcoinJS ซึ่ง wallet ที่ง่ายที่สุดในการ crack คือ wallet ที่สร้างขึ้นก่อนเดือนมีนาคม 2012

การค้นพบครั้งนี้ทำให้เปิดเผยข้อมูลใหม่เกี่ยวกับพฤติกรรมของ open-source dependencies และวิธีการที่ช่องโหว่ในไลบรารีพื้นฐานเหล่านี้สามารถส่งผลกระทบต่อความเสี่ยงด้าน cascading supply chain ได้ เหมือนกับที่ได้เปิดเผยไว้ก่อนหน้านี้ในกรณีของ Apache Log4j ในช่วงปลายปี 2021

    Unciphered ระบุว่า ช่องโหว่นี้ถูกนำมาใส่ใน Wallet ที่สร้างด้วยซอฟต์แวร์อยู่แล้ว และจะอยู่ตลอดไปจนกว่าจะย้ายเงินไปยัง wallet ใหม่ที่สร้างขึ้นด้วยซอฟต์แวร์ตัวใหม่

Ref: thehackernews

Trap Stealer HAAS ใหม่สามารถขโมยข้อมูลในเวลาเพียง 6 วินาที

Trap Stealer เป็นโอเพนซอร์สที่ใช้ Python ในการดึงข้อมูลที่สำคัญจำนวนมากจากระบบที่ถูกโจมตีได้ภายในเวลาเพียง 6 วินาที โดยผู้ไม่ประสงค์ดีจะพยายามหลอกลวงเป้าหมายผ่านเครื่องมือสร้างบัตร Gift card, Webhook Spamming และ Fake Webhook Deletion ซึ่งกระบวนการทั้งหมดถูกออกแบบมาเพื่อดึงดูดความสนใจให้ผู้ใช้งานดาวน์โหลดเครื่องมือมาใช้งาน

โดยผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลที่มีความสำคัญได้ เช่น ข้อมูลรายละเอียดของระบบ, ข้อมูลผู้ใช้จากเว็บเบราวเซอร์ต่าง ๆ, Discord tokens, ไฟล์จากแอปพลิเคชัน WhatsApp(Desktop) และอื่น ๆ และใช้ Discord webhook เป็นช่องทางในการส่งข้อมูล
ในวันที่ 25 ตุลาคม นักวิจัยจาก CRIL ได้พบ Trap Stealer โอเพนซอร์สตัวใหม่ผ่าน Virus Total และยังพบว่าผู้ไม่ประสงค์ดีมีความสามารถในการพัฒนาโปรแกรมมี code ต้นฉบับทั้งหมดบน GitHub ซึ่งโปรแกรมนี้สามารถใช้ขโมยข้อมูลของเป้าหมายได้ในเวลาเพียง 6 วินาทีเท่านั้น

ผู้พัฒนาโปรแกรมกำลังเพิ่มความสามารถของโปรแกรมตลอดเวลา โดยพบว่ามีการเพิ่มฟีเจอร์ใหม่ ๆ อย่างต่อเนื่อง

ข้อมูลที่ถูกเก็บรวบรวมจะถูกจัดรูปแบบ และส่งไปยัง Discord webhook ของผู้ไม่ประสงค์ดีในช่วงเวลาที่กำหนด

นอกจากนี้ ยังมีโมดูลสำหรับการบังคับให้ระบบล่มเมื่อส่งข้อมูลเสร็จสมบูรณ์อีกด้วย

Ref : cyble

Microsoft November 2023 Patch Tuesday มีการแก้ไข 5 Zero-Day และช่องโหว่อีก 58 รายการ

 แพทช์ประจำเดือนพฤศจิกายน 2566 ของ Microsoft ซึ่งรวมถึงการอัปเดตความปลอดภัยสำหรับข้อบกพร่องทั้งหมด 58 รายการและช่องโหว่แบบ Zero-day 5 รายการ ขณะที่ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) 14 รายการได้รับการแก้ไขแล้ว Microsoft ได้ให้ 1 รายการว่าร้ายแรงจากทั้งหมด และช่องโหว่ร้ายแรง 3 รายการที่แก้ไขในรอบนี้

    ได้แก่ ช่องโหว่ในการเปิดเผยข้อมูล Azure, RCE ใน Windows Internet Connection Sharing (ICS) และช่องโหว่ Hyper-V Escape ที่อนุญาตให้เรียกใช้งานโปรแกรมบนโฮสต์ที่มีสิทธิ์ระบบ

จำนวนช่องโหว่ในแต่ละหมวดหมู่ช่องโหว่มีดังต่อไปนี้:

• 16 Elevation of Privilege Vulnerabilities
• 6 Security Feature Bypass Vulnerabilities
• 15 Remote Code Execution Vulnerabilities
• 6 Information Disclosure Vulnerabilities
• 5 Denial of Service Vulnerabilities
• 11 Spoofing Vulnerabilities

    จากจำนวนช่องโหว่ทั้งหมด 58 รายการ ยังไม่รวมการอัปเดตความปลอดภัยของ Mariner 5 รายการ และการอัปเดตความปลอดภัยของ Microsoft Edge 20 รายการที่เผยแพร่เมื่อต้นเดือน หากต้องการรายละเอียดในการอัปเดทของ Windows 11 และ Windows 10

รายการช่องโหว่ของ Zero-Day 5 รายการ

    Patch Update รอบนี้ได้ทำการแก้ไขช่องโหว่แบบ Zero-Day โดยที่ 3 รายการยังคงไม่แก้ไขได้ และ อีก 2 รายการถูกแก้ไขและเปิดเผยต่อสาธารณะแล้วดังนี้

3 ช่องโหว่ที่มีความรุนแรงสูง และยังคงไม่ได้รับการแก้ไข

1. CVE-2023-36036 - Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability
2. CVE-2023-36033 - Windows DWM Core Library Elevation of Privilege Vulnerability
3. CVE-2023-36025 - Windows SmartScreen Security Feature Bypass Vulnerability

2 ช่องโหว่ที่มีความรุนแรงสูง และได้รับการแก้ไขแล้วใน Patch นี้

1. CVE-2023-36413 - Microsoft Office Security Feature Bypass Vulnerability
2. CVE-2023-36038 -- ASP.NET Core Denial of Service Vulnerability

ยังมีการอัพเดทจากทางบริษัท อื่น ๆ อีก เช่น

• Cisco released security updates for various products, including Cisco ASA.
• Google released the Android November 2023 security updates
• Microsoft Exchange zero-day flaws were disclosed after Microsoft decided they did not meet the bar for immediate servicing.
• QNAP released fixes for two critical command injection vulnerabilities.

รายละเอียดเพิ่มเติ่มของการ Update patch ประจำเดือน พฤศจิกายน 2566 สามารเข้าดูได้ที่

The November 2023 Patch Tuesday Security Updates

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ MSIX App Packages โจมตี Windows PCs ด้วยมัลแวร์ GHOSTPULSE

   ตรวจพบการโจมตีทางไซเบอร์ครั้งใหม่ ด้วยการใช้ MSIX Windows App Packages ใน Application ยอดนิยม อย่าง Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex เพื่อแพร่กระจายมัลแวร์ตัวใหม่ที่มีชื่อว่า GHOSTPULSE

    โดย Joe Desimone นักวิจัยของ Elastic Security Labs ระบุในรายงานทางเทคนิคที่เผยแพร่เมื่อสัปดาห์ที่ผ่านมาว่า MSIX เป็น Windows app package format ที่กลุ่มผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากแพ็คเกจเพื่อแจกจ่าย และติดตั้งแอปพลิเคชันของตนให้กับผู้ใช้ Windows อย่างไรก็ตาม MSIX ต้องการการเข้าถึง signing certificates ที่ซื้อ หรือถูกขโมยมา ซึ่งทำให้สามารถใช้งานได้กับหลายกลุ่ม

วิธีการคือผู้ไม่ประสงค์ดีจะหลอกให้ผู้ใช้ติดตั้งโปรแกรมปลอม โดยหลอกว่าเป็นโปรแกรมที่ปลอดภัย ด้วยการทำให้เว็บไซต์ติดอันดับบน Search Engine หรือการฝังมัลแวร์ในลิงค์โฆษณา โดยเริ่มจากการให้ผู้ใช้รันไฟล์ MSIX บน Windows เพื่อติดตั้ง ซึ่งจะส่งผลให้มีการดาวน์โหลด GHOSTPULSE อย่างลับ ๆ บนโฮสต์จากเซิร์ฟเวอร์ภายนอก ("manojsinghnegi[.]com") ผ่านสคริปต์ PowerShell

    กระบวนการนี้มีหลายขั้นตอน โดยเพย์โหลดแรกจะเป็นไฟล์ TAR ที่มีไฟล์ที่ปลอมแปลงเป็น Oracle VM VirtualBox (VBoxSVC.exe) แต่ในความเป็นจริงแล้วเป็นไบนารีที่ถูกต้องที่มาพร้อมกับ Notepad++ (gup.exe) โดยภายในไฟล์ TAR ยังมี handoff.wav และ libcurl.dll เวอร์ชันโทรจันที่ถูกโหลดไว้ เพื่อนำไปสู่กระบวนการต่อไป โดยอาศัย gup.exe ซึ่งใช้ในการโจมตีแบบ DLL Side-Loading

Desimone ระบุว่า PowerShell จะแยก VBoxSVC.exe ที่โหลดจากไดเร็กทอรีปัจจุบันซึ่งเป็น DLL libcurl.dll ที่เป็นอันตราย ด้วยการลดขนาดของโค้ดมัลแวร์ ทำให้สามารถหลบเลี่ยงการสแกน AV และ ML แบบไฟล์ได้

  ต่อมาไฟล์ DLL จะมีการแยกวิเคราะห์ handoff.wav ซึ่งจะมีเพย์โหลดที่เข้ารหัส และดำเนินการผ่าน mshtml.dll ซึ่งเป็นวิธีการที่เรียกว่า module stomping เพื่อโหลด GHOSTPULSE ในท้ายที่สุด

GHOSTPULSE จะทำหน้าที่เป็น loader โดยใช้ process doppelgänging เพื่อเริ่มต้นการดำเนินการในขั้นสุดท้าย ซึ่งรวมถึง SectopRAT, Rhadamanthys, Vidar, Lumma และ NetSupport RAT

Ref : thehackernews

“Find My” ของ Apple อาจถูกนำไปใช้เพื่อขโมยข้อมูลจาก keylogged password

    ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบเครือข่ายระบุตำแหน่ง "Find My" ของ Apple อาจถูกนำไปใช้โดยผู้ไม่หวังดี เพื่อส่งข้อมูลที่มีความสำคัญจาก keylogger ซึ่งติดตั้งใน keyboard ไว้อย่างลับ ๆ

    “Find My” คือเครือข่าย และแอปพลิเคชันที่ได้รับการออกแบบมาเพื่อช่วยให้ผู้ใช้ค้นหาอุปกรณ์ Apple ที่สูญหายหรือวางไว้ผิดที่ รวมถึง iPhone, iPad, Mac, Apple Watch, AirPods และ Apple Tags โดยบริการดังกล่าวจะใช้ข้อมูล GPS และ Bluetooth ที่รวบรวมมาจากอุปกรณ์ Apple หลายล้านเครื่องทั่วโลกเพื่อค้นหาอุปกรณ์ที่รายงานว่าสูญหายหรือถูกขโมย แม้ว่าอุปกรณ์นั้นจะ offline ก็ตาม โดยอุปกรณ์ที่สูญหายจะส่งสัญญาณ Bluetooth แบบวนซ้ำอย่างต่อเนื่องซึ่งอุปกรณ์ Apple ที่อยู่ใกล้เคียงตรวจพบ ซึ่งจะถ่ายทอดตำแหน่งของตนไปยังเจ้าของโดยไม่เปิดเผยตัวตนผ่าน “Find My” network

   ทั้งนี้ความสามารถของ Find My สามารถนำไปใช้การส่งข้อมูลนอกเหนือจากตำแหน่งของอุปกรณ์นั้น โดยช่องโหว่ดังกล่าวได้ถูกค้นพบครั้งแรกเมื่อ 2 ปีที่แล้วโดยผู้เชี่ยวชาญด้านความปลอดภัยด้านความปลอดภัย Fabian Bräunlein และทีมของเขา รวมถึงทาง Apple ยังได้แก้ไขช่องโหว่นี้แล้ว และผู้เชี่ยวชาญด้านความปลอดภัยได้เผยแพร่วิธีการของพวกเขาบน GitHub ที่เรียกว่า 'Send My' ซึ่งผู้อื่นสามารถใช้ประโยชน์จากการอัปโหลดข้อมูลที่กำหนดเองไปยังเครือข่าย Find My ของ Apple และดึงข้อมูลจากอุปกรณ์ที่เปิดใช้งานอินเทอร์เน็ตได้ทุกที่ในโลก

การถ่ายทอดข้อมูลโดยไม่ได้รับอนุญาต

    ตามรายงานครั้งแรกของผู้เชี่ยวชาญด้านความปลอดภัยได้สร้างอุปกรณ์ฮาร์ดแวร์ที่พิสูจน์แนวคิด Proof-of-Concept (PoC) เพื่อเน้นย้ำถึงความเสี่ยงต่อสาธารณะได้ดียิ่งขึ้น โดยผู้เชี่ยวชาญด้านความปลอดภัยได้ติดตั้ง keylogger เข้ากับเครื่องส่งสัญญาณบลูทูธ ESP32 และ USB keyboard เพื่อแสดงให้เห็นว่าสามารถส่งต่อรหัสผ่าน และข้อมูลที่มีความสำคัญอื่น ๆ ที่พิมพ์บนแป้นพิมพ์ผ่านเครือข่าย Find My ผ่านทางบลูทูธได้

    การส่งผ่านบลูทูธนั้นซับซ้อนกว่า WLAN keylogger หรืออุปกรณ์ Raspberry Pi ที่สามารถสังเกตเห็นได้ง่ายในสภาพแวดล้อมที่มีการป้องกันอย่างดี รวมถึงแพลตฟอร์ม Find My สามารถใช้ประโยชน์จากอุปกรณ์ Apple ที่มีอยู่ทั่วไปทุกหนทุกแห่งสำหรับการส่งข้อมูล

    รวมถึง keylogger ไม่จำเป็นต้องใช้ AirTag หรือชิปที่รองรับอย่างเป็นทางการ เนื่องจากอุปกรณ์ Apple ได้รับการปรับแต่งให้ตอบสนองต่อข้อความบลูทูธ หากข้อความนั้นมีรูปแบบที่เหมาะสม อุปกรณ์ Apple ที่รับจะสร้างรายงานตำแหน่ง และอัปโหลดไปยังเครือข่าย Find My

    ผู้ส่งจำเป็นต้องสร้าง public encryption keys ที่แตกต่างกันเล็กน้อย โดยจำลอง AirTags หลายรายการ และเข้ารหัสข้อมูลที่กำหนดเองลงในคีย์โดยการกำหนดบิตเฉพาะที่ตำแหน่งที่กำหนดไว้ล่วงหน้าในคีย์

  ด้วยวิธีนี้รายงานหลายฉบับที่ดึงมาจากระบบคลาวด์สามารถต่อ และถอดรหัสที่ส่วนรับเพื่อดึงข้อมูลที่กำหนดเองได้ ในกรณีนี้คือการบันทึกของ keylogger

 นักวิจัยกล่าวว่าค่าใช้จ่ายรวมของอุปกรณ์ที่ใช้ดูดข้อมูลอยู่ที่ประมาณ 50 เหรียญสหรัฐฯ โดยใช้ 'EvilCrow' keylogger เวอร์ชันที่ใช้ Bluetooth และแป้นพิมพ์ USB แบบมาตรฐาน

    โดยการสาธิตการโจมตี PoC มีอัตราการส่งข้อมูลอยู่ที่ 26 ตัวอักษร/วินาที และอัตราการรับ 7 ตัวอักษร/วินาที โดยมีเวลาแฝงระหว่าง 1 ถึง 60 นาทีขึ้นอยู่กับการมีอยู่ของอุปกรณ์ Apple ที่ระยะของ keylogger แม้ว่าจะส่งข้อมูลไม่เร็วนัก แต่หากเป็นเป้าหมายในการขโมยข้อมูลอันมีค่า เช่น รหัสผ่าน การรอหลายชั่วโมง หรือหลายวันก็ไม่มีผลต่อการตั้งเป้าหมายการโจมตีอยู่ดี

    ทาง Apple ก็ได้มีการป้องกันการติดตาม โดยได้มีการแจ้งเตือนผู้ใช้ว่า Air Tags อาจกำลังติดตามพวกเขาไม่ได้เปิดใช้งานโดย keylogger ที่อยู่กับที่ภายในแป้นพิมพ์ ดังนั้นอุปกรณ์ดังกล่าวจะยังคงซ่อนอยู่ และไม่ถูกค้นพบ

Ref : bleepingcomputer

Microsoft แก้ไขช่องโหว่ Zero-Days ใน Exchange ที่ทำให้สามารถโจมตีแบบ RCE เพื่อขโมยข้อมูลได้

    พบช่องโหว่ Zero-Days บน Microsoft Exchange จำนวน 4 รายการ ที่ทำให้ ผู้ไม่ประสงค์ดีสามารถโจมตีจากภายนอกเพื่อเรียกใช้ หรือเปิดเผยข้อมูลที่มีความสำคัญบน Microsoft Exchange ที่ได้รับผลกระทบ ซึ่งถูกรายงานโดย Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งรายงานช่องโหว่เหล่านี้ไปยัง Microsoft ในวันที่ 7 และ 8 กันยายน 2023

    แม้ว่า Microsoft จะรับทราบรายงานดังกล่าวแล้ว แต่วิศวกรด้านความปลอดภัยก็ตัดสินใจว่าช่องโหว่ดังกล่าวไม่ได้รุนแรงพอที่ออกแพตซ์เพื่อแก้ไขในทันที โดยเลื่อนการแก้ไขออกไปในภายหลัง ZDI ไม่เห็นด้วยกับการตอบรับดังกล่าว และตัดสินใจเผยแพร่ช่องโหว่ภายใต้รหัสของตนเองเพื่อแจ้งเตือนผู้ดูแลระบบ Exchange เกี่ยวกับความเสี่ยงด้านความปลอดภัย

ช่องโหว่ Zero-Days ที่พบ :

• ZDI-23-1578 – ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน 'ChainedSerializationBinder' class ซึ่งเกิดจากการที่ข้อมูลของผู้ใช้งานไม่ได้รับการตรวจสอบอย่างเพียงพอ ทำให้ผู้โจมตีสามารถ deserialize untrusted data ได้ โดยหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ 'SYSTEM' ซึ่งเป็นสิทธิ์ระดับสูงสุดบน Windows
• ZDI-23-1579 – ช่องโหว่นี้อยู่ใน 'DownloadDataFromUri' method ซึ่งเกิดจากการตรวจสอบ URI ไม่เพียงพอก่อนการเข้าถึงทรัพยากร อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงข้อมูลที่มีความสำคัญบนเซิร์ฟเวอร์ Exchange ได้
• ZDI-23-1580 – ช่องโหว่นี้อยู่ใน 'DownloadDataFromOfficeMarketPlace' method ซึ่งเกิดจากการตรวจสอบ URI ที่ไม่เหมาะสม ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
• ZDI-23-1581 – ช่องโหว่นี้อยู่ใน CreateAttachmentFromUri method โดยช่องโหว่คล้ายกับช่องโหว่ก่อนหน้านี้ที่มีการตรวจสอบ URI ที่ไม่เหมาะสม ซึ่งเสี่ยงต่อการเปิดเผยข้อมูลที่มีความสำคัญ

    ช่องโหว่ทั้งหมดนี้จำเป็นต้องผ่านการ authentication ก่อน สำหรับการโจมตี ซึ่งทำให้ระดับความรุนแรง CVSS ลดลงเหลือระหว่าง 7.1 ถึง 7.5 ทั้งนี้การต้องมี authentication ก่อน อาจเป็นสาเหตุว่าทำไม Microsoft จึงไม่เร่งรีบในการแก้ไขช่องโหว่ดังกล่าว

    อย่างไรก็ตาม ผู้ไม่ประสงค์ดีมีหลายวิธีในการเข้าถึง Exchange credentials เช่น การ brute-forcing ไปยังรหัสผ่านที่คาดเดาได้ง่าย, การโจมตีแบบ phishing, การซื้อรหัสผ่านจาก ตลาดมืด(DarkWeb) และการใช้รหัสผ่านที่ขโมยมาจาก log ของระบบ

    ทั้งนี้ทางนักวิจัย Zero Day Initiative (ZDI) ของ Trend Micro ได้แนะนำให้เปิดใช้งาน multi-factor authentication เพื่อไม่ให้ ผู้ไม่ประสงค์ดีสามารถเข้าถึง Exchange instance ได้ ถึงแม้ว่าข้อมูล credentials จะถูกเข้าถึงได้แล้วก็ตาม

แต่เมื่อ วันที่ 4 พฤษศจิกายน 2023 - โฆษกของ Microsoft ได้ให้ข้อมูลกับ BleepingComputer เพิ่มเติมแล้วดังนี้

Microsoft ได้ตรวจสอบรายงานช่องโหว่เหล่านี้แล้ว และพบว่าบางส่วนได้มีการแก้ไขแล้ว หรือไม่ตรงตามเกณฑ์สำหรับการออกแพตซ์อัปเดตทันที ภายใต้แนวทางการจัดประเภทความรุนแรงของช่องโหว่จาก Microsoft จะตรวจสอบจัดการกับช่องโหว่เหล่านี้ในเวอร์ชันผลิตภัณฑ์ และการอัปเดตในอนาคตตามความเหมาะสม

Microsoft ยังให้ข้อมูลเพิ่มเติมด้านล่างเกี่ยวกับช่องโหว่ที่ถูกพบดังนี้:

• ZDI-23-1578: ลูกค้าที่ได้อัปเดตความปลอดภัยในเดือนสิงหาคมได้รับการแก้ไขช่องโหว่เรียบร้อยแล้ว
• ZDI-23-1581: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน และไม่มีหลักฐานใดที่แสดงให้เห็นว่าสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ได้
• ZDI-23-1579: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน
• ZDI-23-1580: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน และไม่มีหลักฐานใดที่แสดงให้เห็นว่าสามารถใช้เพื่อเข้าถึงข้อมูลลูกค้าที่มีความสำคัญได้

Ref : bleepingcomputer