ช่องโหว่ระดับ Critical ของ Jenkins ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตี RCE ควรอัปเดตแพตซ์โดยด่วน

    ผู้พัฒนาซอฟต์แวร์โอเพ่นซอร์ส Continuous Integration/Continuous Delivery and Deployment - CI/CD อย่าง Jenkins ได้แก้ไขช่องโหว่ด้านความปลอดภัย 9 รายการ ซึ่งรวมถึงช่องโหว่ระดับ critical ที่นำไปสู่การโจมตีแบบ Remote Code Execution (RCE)

ช่องโหว่นี้มีหมายเลข

• CVE-2024-23897 โดยเป็นช่องโหว่ arbitrary file read ผ่าน Command Line Interface (CLI) ที่มีอยู่ในระบบ

    ผู้พัฒนา Jenkins แจ้งในคำแนะนำในวันพุธที่ผ่านมาว่า "Jenkins ใช้ไลบรารี args4j เพื่อวิเคราะห์ arguments และตัวเลือกคำสั่งบนคอนโทรลเลอร์ Jenkins เมื่อประมวลผลคำสั่ง CLI"

ตัววิเคราะห์คำสั่งนี้มีฟีเจอร์แทนที่ตัวอักษร '@' ตามด้วย file path ใน arguments ที่มีเนื้อหาของไฟล์ (expandAtFiles) ฟีเจอร์นี้ถูกเปิดใช้งานเป็นค่าเริ่มต้นใน Jenkins เวอร์ชัน 2.441 และเวอร์ชันก่อนหน้า, LTS 2.426.2 และเวอร์ชันก่อนหน้า ซึ่งไม่ได้มีการปิดใช้งานคุณสมบัตินี้

    โดยผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เพื่อ read arbitrary files บนระบบไฟล์ของคอนโทรลเลอร์ของ Jenkins โดยใช้การเข้ารหัสอักขระเริ่มต้นของกระบวนการคอนโทรลเลอร์ Jenkins

ในขณะที่ผู้โจมตีมีสิทธิ์ "Overall/Read" สามารถอ่านไฟล์ทั้งหมดได้ แต่ผู้โจมตีจะไม่สามารถอ่านข้อมูลสามบรรทัดแรกของไฟล์ได้ ทั้งนี้ขึ้นอยู่กับคำสั่ง CLI ที่ใช้

    นอกจากนี้ ช่องโหว่นี้ยังสามารถถูกนำมาใช้เพื่ออ่านไฟล์ที่เป็นไบนารีที่มีคีย์การเข้ารหัสได้ ถึงแม้ว่าจะมีข้อจำกัดก็ตาม หากสามารถดึง binary secrets ได้ โดย Jenkins ระบุว่าอาจทำให้มีโอกาสเกิดการโจมตีในรูปแบบต่าง ๆ ได้ เช่น

• Remote code execution via Resource Root URLs
• Remote code execution via "Remember me" cookie
• Remote code execution via stored cross-site scripting (XSS) attacks through build logs
• Remote code execution via CSRF protection bypass
• Decrypt secrets stored in Jenkins
• Delete any item in Jenkins
• Download a Java heap dump

    Jenkins ระบุว่า "แม้ว่าไฟล์ที่มีข้อมูลที่เป็นไบนารีจะสามารถอ่านได้ แต่ฟีเจอร์ที่ได้รับผลกระทบจะพยายามอ่านไฟล์เหล่านั้นเป็นสตริง โดยใช้การเข้ารหัสตัวอักขระเริ่มต้นของกระบวนการควบคุม"

    "การใช้ช่องโหว่นี่มีแนวโน้มที่จะส่งผลให้บางไบต์ไม่สามารถอ่านค่าได้ และถูกแทนที่ด้วยค่าตำแหน่งที่ว่างไว้สำหรับการใส่ข้อมูล ไบต์ที่สามารถอ่านได้ หรือไม่สามารถอ่านได้ขึ้นอยู่กับการเข้ารหัสตัวอักขระ"

    นักวิจัยด้านความปลอดภัย 'Yaniv Nizry' ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ ซึ่งได้รับการแก้ไขไปแล้วใน Jenkins เวอร์ชัน 2.442 และ LTS 2.426.3 โดยการปิดใช้งานฟีเจอร์ command parser เพื่อเป็นวิธีแก้ปัญหาชั่วคราวจนกว่าจะสามารถอัปเดตแพตช์ได้ แนะนำให้ปิดการเข้าถึง CLI (Command Line Interface) ไปก่อน

    การอัปเดตนี้เกิดขึ้นเกือบหนึ่งปีหลังจากที่ Jenkins ได้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical สองรายการที่ถูกเรียกว่า CorePlague (CVE-2023-27898 และ CVE-2023-27905) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนระบบเป้าหมาย

Ref : thehackernews/ bleepingcomputer

อาชญากรไซเบอร์เปิดเผยข้อมูลส่วนบุคคล (PII) จำนวนมากจากประเทศไทยบน DARK WEB

    เมื่อไม่นานมานี้ ศาลอาญาในประเทศไทยได้ออกคำสั่งระงับเว็บไซต์ '9near.org' ซึ่งการดำเนินการนี้เกิดขึ้นหลังจากเว็บไซต์ได้ขู่จะเปิดเผยข้อมูลส่วนบุคคลของคนไทยกว่า 55 ล้านคน ซึ่งอ้างว่าได้มาจากข้อมูลการลงทะเบียนวัคซีน โดยศาลยังประกาศเพิ่มเติมว่าเว็บไซต์ใด ๆ ที่เผยแพร่ข้อมูลจาก '9near.org' จะถูกระงับเว็บไซต์เช่นกัน มาตรการนี้เป็นการตอบสนองตามคำร้องขอจากกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคม (DES) ซึ่งกำลังเตรียมการสำหรับการจับกุมบุคคลที่รับผิดชอบต่อการแฮ็กข้อมูลดังกล่าว

บุคคลที่เป็นเจ้าของเว็บไซต์ที่ใช้ชื่อ '9Near – Hacktivist' ได้ประกาศบนเว็บไซต์ Breach Forum โดยได้ระบุว่า พวกเขาได้เข้าถึงรายละเอียดข้อมูลส่วนบุคคล 55 ล้านรายการจากประเทศไทย โดยข้อมูลนี้ประกอบด้วยชื่อนามสกุล, วันเกิด, หมายเลขบัตรประจำตัวประชาชน และหมายเลขโทรศัพท์ ล่าสุดชมรมแพทย์ชนบทได้ออกมาระบุว่าข้อมูลเหล่านี้อาจมาจากการรั่วไหลของศูนย์ฉีดวัคซีนของกระทรวงสาธารณสุข

    ประเทศไทยกำลังก้าวสู่บทบาทที่สำคัญในเวทีดิจิทัลอย่างรวดเร็ว โดยเฉพาะในด้านเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT) ภายในภูมิภาคเอเชีย-แปซิฟิก โดยเฉพาะตั้งแต่ปลายปี 2022 จนถึงต้นปี 2023 เหตุการณ์การรั่วไหลของข้อมูลในประเทศลดลงอย่างมาก เพื่อให้เข้าใจตรงกัน ในช่วงไตรมาสที่สามของปี 2022 ประชากรทุก ๆ 1,000 คนในประเทศไทย มีบันทึกการเปิดเผยข้อมูลประมาณ 6.8 ครั้ง และลดลงเหลือเพียง 1,000 คน ต่อ 1 ครั้ง ภายในไตรมาสแรกของปี 2023 แต่เมื่อเข้าสู่ปี 2024 แนวโน้มนี้อาจมีการเปลี่ยนแปลง เนื่องจากมีรายงานว่าอาชญากรไซเบอร์ที่เป็นที่รู้จักใน Dark Web ชื่อ Naraka กำลังเผยแพร่ข้อมูลส่วนบุคคล (PII) ของประชากรไทยจำนวนมาก คาดว่ารายละเอียดเหล่านี้ได้มาจากแพลตฟอร์มที่ถูกโจมตี

    ต้นปี 2024 มีการรั่วไหลของข้อมูลเพิ่มขึ้นอย่างเห็นได้ชัดจากแพลตฟอร์มที่เกี่ยวข้องกับผู้บริโภค ซึ่งยืนยันว่าผู้ไม่หวังดีกำลังมุ่งเป้าไปที่ข้อมูลส่วนบุคคลของประชากรไทย ผู้ไม่หวังดีมุ่งเป้าไปที่ e-commerce, fintech, และทรัพยากรของภาครัฐ เนื่องจากมีเอกสารส่วนบุคคลปริมาณมหาศาลทั้งในรูปแบบข้อความ และภาพถ่ายที่ใช้สำหรับ KYC (Know Your Customer)

    เมื่อเทียบกับปี 2023 ความถี่ของการโจมตีเพิ่มสูงขึ้น ตามที่แสดงให้เห็นจากการเพิ่มขึ้นของจำนวนเหตุการณ์การรั่วข้อมูลที่เกี่ยวข้องกับผู้บริโภค และธุรกิจจากประเทศไทยบน Dark Web ในต้นเดือนมกราคม 2024 เพียงเดือนแรกเท่านั้น มีการโพสต์การละเมิดข้อมูลกว่า 14 ครั้งที่เปิดเผยข้อมูลของประชากรไทยในฟอรัมอาชญากรไซเบอร์ ซึ่งเกือบจะแซงหน้าปริมาณบันทึกที่ถูกบุกรุกในปีที่แล้ว

    ผู้ไม่หวังดีใช้ข้อมูลส่วนบุคคล PII ที่ขโมยมาเพื่อทำการหลอกลวงประชากรไทย และโจมตีองค์กรทางการเงิน ที่กำลังพัฒนา และส่งเสริมการดิจิทัลในภูมิภาคเพื่อให้บริการกับประชากรกว่า 71.6 ล้านคน

    ในวันที่ 11 มกราคม 2024 อาชญากรไซเบอร์ในชื่อ Naraka ได้โพสต์ขายข้อมูลบน 'breachforums.is' โดยเน้นไปที่หนึ่งในร้านหนังสือที่ใหญ่ที่สุดในประเทศไทยที่ชื่อ 'Chulabook' ซึ่งการละเมิดนี้ส่งผลกระทบต่อผู้ใช้งานมากกว่า 160,000 คน โดย Naraka ระบุการขายข้อมูลในรูปแบบของ cryptocurrency โดยเฉพาะ XRM (Monero) หรือ BTC (Bitcoin)

    ผู้เชี่ยวชาญด้านความปลอดภัยจาก Resecurity ได้แจ้ง Chulabook และสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ) ซึ่งเป็นหน่วยงานภาครัฐภายใต้การควบคุมของกระทรวงดิจิทัลเพื่อเศรษฐกิจ และสังคมที่รับผิดชอบในการกำกับดูแลผู้ให้บริการดิจิทัลทุกรายที่ให้บริการแก่ลูกค้าในประเทศไทย ทีมผู้เชี่ยวชาญด้านความปลอดภัยได้รับอีกข้อมูลเพิ่มเติมจากผู้ไม่หวังดี ที่ยืนยันว่ามีการเข้าถึงระบบหลังบ้านที่มีข้อมูลกว่าพันล้านรายการสั่งซื้อ และข้อมูลลูกค้า ได้เป็นที่เรียบร้อย

    ในระหว่างการติดต่อกับผู้ที่มีส่วนเกี่ยวข้องในการละเมิดข้อมูล ได้มีการระบุแหล่งข้อมูลบนเว็บไซต์ที่ถูกโจมตีอีกแห่งหนึ่งในประเทศไทย ซึ่งการละเมิดข้อมูลเพิ่มเติมนี้ยังพบว่าเป็นการรั่วไหลของข้อมูลส่วนบุคคล (PII) ของประชากรไทยอีกครั้ง

    ล่าสุดในช่วงปลายปี 2023 พบว่าผู้ดำเนินการของ UFO Market บน Telegram กำลังขายข้อมูลที่ถูกขโมยมากว่า 538,418 รายการ ประกอบด้วยข้อมูลส่วนบุคคล (PII) รวมถึงรายละเอียดเช่น หมายเลขบัตรประจำตัวประชาชน

    ข้อมูลที่ถูกขโมยมาจำนวนมากเหล่านี้มีมูลค่าที่สูงมาก โดยเฉพาะสำหรับผู้ที่เกี่ยวข้องกับการปลอมแปลงตัวตน และการฉ้อโกงทางการเงิน ข้อมูลส่วนบุคคลที่มีความสำคัญลักษณะนี้ ช่วยให้ให้ผู้ไม่หวังดีสามารถเลือกเป้าหมายที่เป็นไปได้สำหรับฉ้อโกงการทำธุรกรรมทางออนไลน์ และการหลอกลวงทางอินเทอร์เน็ต

    ก่อนเกิดเหตุการณ์นี้ขึ้น ผู้กระทำผิดรายเดียวกันนี้เกี่ยวข้องกับการเผยแพร่ข้อมูลจำนวนมหาศาล โดยเฉพาะบันทึกที่เกี่ยวข้องกับนักศึกษาจำนวน 3,149,330 รายการ ซึ่งเชื่อว่าได้มาจากสำนักงานคณะกรรมการการศึกษาขั้นพื้นฐาน (OBEC) โดยข้อมูลดังกล่าวมีความสำคัญมาก และอาจมีคุณค่าสูงสำหรับวัตถุประสงค์ที่เป็นอันตราย โดยพิจารณาถึงความเสี่ยงที่นักศึกษาอาจตกเป็นเป้าหมายจากองค์กรอาชญากรรม

    ผู้เชี่ยวชาญด้านความปลอดภัยพบว่าข้อมูลบางส่วนถูกปล่อยออกมาโดยไม่มีค่าใช้จ่ายใด ๆ โดยผู้ไม่หวังดีทำเช่นนี้เพื่อการแลกเปลี่ยนในโครงการในอนาคต เช่น การสแปม, การโกงออนไลน์, และแคมเปญ Business Email Compromise (BEC) ซึ่งการกระจายข้อมูลโดยไม่คิดเงินทำให้ข้อมูลเป็นที่เข้าถึงได้ง่ายขึ้นสำหรับการดำเนินกิจกรรมที่เป็นอันตรายอื่น ๆ

    อีกชุดข้อมูลที่ถูกเปิดเผยบนเว็บไซต์ Breachedforums.is ซึ่งมีชื่อว่า "Thailand DOP.go.th Leaked" ชุดนี้ประกอบด้วยข้อมูลส่วนบุคคล (PII) โดยส่วนใหญ่เกี่ยวกับประชากรผู้สูงอายุในประเทศไทย โดยมีขนาดประมาณ 690MB ประกอบด้วยข้อมูลทั้งหมด 19,718,687 รายการ

    ในวันที่ 10 มกราคม 2024 เกิดเหตุการณ์การรั่วข้อมูลอีกครั้ง ในครั้งนี้เกี่ยวข้องกับ บริษัท บางกอกอินดัสเทรียลแก๊ส จำกัด ซึ่งการรั่วไหลครั้งนี้ถือเป็นอีกตัวอย่างที่สำคัญ ที่มีเป้าหมายไปที่บริษัทโครงสร้างพื้นฐาน และกลุ่มน้ำมัน และก๊าซ

    อีกการเปิดเผยข้อมูลการรั่วไหลของข้อมูลใหม่จากผู้ไม่หวังดีในชื่อ 'Ghostr' บน Breachforums.is โดยข้อมูลชุดนี้มีขนาดใหญ่มาก โดยเกี่ยวข้องกับข้อมูลประมาณ 186 GB และรวมบันทึกจำนวน 5.3 ล้านรายการจากแพลตฟอร์มการซื้อขายหลักทรัพย์ ข้อมูลที่รั่วไหลรวมถึงรายละเอียดของผู้ใช้งานคนไทย รวมถึงชื่อ-นามสกุล, หมายเลขโทรศัพท์, ที่อยู่อีเมล และหมายเลขบัตรประจำตัวประชาชน

    อีกเหตุการณ์หนึ่ง มีรายงานถึงข้อมูลรั่วไหลโดย Milw0rm บน breachforum.is ชุดข้อมูลนี้เผยแพร่เมื่อวันที่ 1 มกราคม 2024 สำหรับผู้สมัครงานชาวไทย และรวมถึงข้อมูลส่วนบุคคลที่หลากหลาย ชุดข้อมูลประกอบด้วยข้อมูล 61,000 รายการ ข้อมูลโดยละเอียด เช่น ชื่อผู้ใช้, รหัสผ่าน, อีเมล, หมายเลขโทรศัพท์มือถือ และบ้าน, รหัสไปรษณีย์, วันเกิด, ลักษณะทางกายภาพเช่น น้ำหนัก และส่วนสูง, สถานะการจ้างงานปัจจุบัน, ข้อมูลเกี่ยวกับลูก ๆ, ความสามารถในการพิมพ์ด้วยภาษาไทย และรายละเอียดเกี่ยวกับเงินเดือน

  ผู้ไม่หวังดีที่รู้จักกันในชื่อ R1g ทำการลงข้อมูลจำนวนมากที่เกี่ยวข้องกับฐานข้อมูลส่วนบุคคลของลูกจ้างอาสาสมัครทหารไทย โดยการรั่วไหลนี้มีจำนวนมากรวมกว่า 4.6 ล้านรายการ ข้อมูลที่รั่วไหลประกอบไปด้วยข้อมูลส่วนบุคคลที่มีความสำคัญ เช่น ชื่อ, หมายเลขประจำตัวประชาชน, เพศ, วันเกิด และที่อยู่

    R1g อ้างความรับผิดชอบต่อการรั่วไหลของข้อมูลสำคัญอีกครั้งในวันพฤหัสบดีที่ 11 มกราคม 2024 โดยการรั่วไหลข้อมูลครั้งนี้เกี่ยวข้องกับข้อมูลสำหรับนาวิกโยธินของประเทศไทย ซึ่งถือเป็นเหตุการณ์ด้านความปลอดภัยที่สำคัญอีกเหตุการณ์หนึ่ง

    ในวันที่ 15 มกราคม 2024 ผู้ไม่หวังดีที่ใช้ชื่อ Soni โพสต์ฐานข้อมูลที่รั่วไหลที่เกี่ยวข้องกับเว็บไซต์ Phyathai.com โดยข้อมูลครั้งนี้ประกอบด้วยบันทึกข้อมูลผู้ใช้จำนวน 25,500 รายการ รวมถึง ID, user URL, รหัสผ่านที่ถูกเข้ารหัส (phpass), อีเมลผู้ใช้, รายละเอียดการเข้าสู่ระบบ, สถานะบัญชี, ชื่อที่แสดง, วันที่ลงทะเบียน และคีย์การเปิดใช้งานของผู้ใช้งาน ซึ่งผู้ไม่หวังดีได้แชร์ตัวอย่างข้อมูลไว้เป็นหลักฐาน

    อาชญากรไซเบอร์ยังมุ่งเป้าโจมตีไปยังภาครัฐ และกองทัพในประเทศไทย โดยทำการรั่วไหลข้อมูลส่วนบุคคลของเจ้าหน้าที่ และบุคลากรในเจ้าหน้าที่บังคับใช้กฎหมาย การดำเนินการประเภทนี้เป็นเรื่องปกติสำหรับกลุ่มอาชญากรทางไซเบอร์ โดยผู้ไม่หวังดีได้เปิดเผยเอกสารลับต่าง ๆ ซึ่งรวมถึงการติดต่อภายใน และการโต้ตอบกับหน่วยงานบังคับใช้กฎหมายในกัมพูชา โดยที่มาของข้อมูลรั่วไหลครั้งนี้ยังไม่สามารถระบุได้ แต่การโจมตีทางไซเบอร์ต่อเจ้าหน้าที่รัฐบาลไทยอาจแสดงให้เห็นถึงแนวโน้มการกำหนดเป้าหมายที่เพิ่มขึ้นในภูมิภาค

สรุป

    ในปี 2024 ประเทศไทยกำลังมีบทบาทสำคัญในการต่อสู้กับอาชญากรรมทางไซเบอร์ทั่วโลก ในขณะที่ประเทศไทยกำลังก้าวเข้าสู่การเปลี่ยนแปลงทางดิจิทัล และขยายขีดความสามารถในด้านเทคโนโลยีสารสนเทศ และการสื่อสาร (ICT) ทำให้ความเสี่ยงที่กำลังเพิ่มขึ้นเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลนี้ตอกย้ำถึงความจำเป็นเร่งด่วนสำหรับประเทศไทยในการปรับใช้ และเสริมสร้างกลยุทธ์ความปลอดภัยทางไซเบอร์ที่แข็งแกร่งมากขึ้น

    การรั่วไหลข้อมูลขนาดใหญ่อย่างต่อเนื่อง และความเสี่ยงที่กำลังจะเกิดขึ้นจากการใช้ข้อมูลที่มีความลับในประเทศไทย เป็นเครื่องเตือนใจที่ชัดเจนถึงความจำเป็นที่สำคัญในการปรับปรุงการปกป้องข้อมูล และกลยุทธ์การป้องกันทางไซเบอร์สำหรับประเทศไทย ซึ่งมีความจำที่จะเสริมสร้างความปลอดภัยไซเบอร์ กฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวด และปลูกฝังวัฒนธรรมการเฝ้าระวังทางดิจิทัลที่แพร่หลายในหมู่ประชากร และสถาบันต่าง ๆ มาตรการดังกล่าวเป็นกุญแจสำคัญ ไม่เพียงแต่ในการปกป้องความเป็นส่วนตัวและความปลอดภัยของพลเมืองเท่านั้น แต่ยังสำหรับการเสริมสร้างฐานะของประเทศไทยในฐานะบทบาทที่น่าเชื่อถือ และปลอดภัยในดิจิทัลระหว่างประเทศ

Ref : resecurity

GitLab server กว่า 5,300 รายการ เสี่ยงถูกโจมตีจากช่องโหว่ Zero-Click Account Takeover

    GitLab instance กว่า 5,300 รายการ ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงต่อช่องโหว่ CVE-2023-7028 (zero-click account takeover attacks) ที่ทาง GitLab ออกมาแจ้งเตือนเมื่อต้นเดือนมกราคม 2024 เป็นช่องโหว่ที่ทำให้สามารถส่งอีเมลรีเซ็ตรหัสผ่านของบัญชีเป้าหมายไปยังที่อยู่อีเมลของผู้ไม่ประสงค์ดีได้ ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่าน และยึดบัญชีเป้าหมายได้ ถึงแม้ว่าช่องโหว่ดังกล่าวจะไม่สามารถหลีกเลี่ยงการตรวจสอบสิทธิแบบ two-factor authentication (2FA) ได้ แต่ก็ถือว่ามีความเสี่ยงที่ช่องโหว่ดังกล่าวจะสามารถโจมตีได้ หากเป้าหมายไม่ได้เปิดใช้งาน 2FA

ช่องโหว่ CVE-2023-7028 ส่งผลกระทบต่อ GitLab Community and Enterprise Edition เวอร์ชันดังนี้

• 16.1 before 16.1.5
• 16.2 before และ 16.2.8
• 16.3 before และ 16.3.6
• 16.4 before และ 16.4.4
• 16.5 before และ 16.5.6
• 16.6 before และ 16.6.4
• 16.7 before และ 16.7.2

    โดยทาง GitLab ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วในเวอร์ชัน 16.7.2, 16.5.6 และ 16.6.4 รวมถึง backporting patch เป็น 16.1.6, 16.2.9 และ 16.3.7 ในวันที่ 11 มกราคม 2024

ปัจจุบัน ShadowServer ได้รายงานว่าพบ GitLab instance 5,379 รายการที่มีความเสี่ยงต่อช่องโหว่ดังกล่าว ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตอยู่ในปัจจุบัน

    โดย GitLab instance มีความสำคัญในฐานะที่เป็นแพลตฟอร์มการพัฒนาซอฟต์แวร์ และการวางแผนโครงการ รวมถึงระดับความรุนแรงของช่องโหว่ดังกล่าวยังสูงมากอีกด้วย ทำให้มีความเสี่ยงต่อการโจมตีแบบ supply chain attacks, การเปิดเผยข้อมูล proprietary code, การรั่วไหลของ API key และกิจกรรมที่เป็นอันตรายอื่น ๆ

    Shadowserver รายงานว่าเซิร์ฟเวอร์ที่มีช่องโหว่ส่วนใหญ่อยู่ในสหรัฐอเมริกา 964 รายการ ตามด้วยเยอรมนี 730 รายการ รัสเซีย 721 รายการ จีน 503 รายการ ฝรั่งเศส 298 รายการ สหราชอาณาจักร 122 รายการ อินเดีย 117 รายการ และแคนาดา 99 รายการ

    ทั้งนี้ GitLab ได้แนะนำให้ผู้ที่ใช้อุปกรณ์ที่มีช่องโหว่ ทำการตรวจสอบสัญญาณของการโจมตี โดยได้แบ่งปันวิธีการการตรวจจับดังต่อไปนี้

Check gitlab-rails/production_json.log for HTTP requests to the /users/password path with params.value.email consisting of a JSON array with multiple email addresses.

Check gitlab-rails/audit_json.log for entries with meta.caller.id of PasswordsController#create and target_details consisting of a JSON array with multiple email addresses.

    รวมถึงหากผู้ดูแลระบบพบว่าอุปกรณ์ของตนได้ถูกโจมตีไปแล้ว ให้รีบทำการเปลี่ยนข้อมูลประจำตัว, API tokens, certificates และข้อมูลที่เป็นความลับอื่น ๆ ทั้งหมด และเปิดใช้งาน 2FA ในทุกบัญชี และทำการอัปเดตแพตซ์ด้านความปลอดภัยเพื่อป้องกันช่องโหว่ดังกล่าว

    นอกจากนี้แนะนำให้ทำการตรวจสอบการแก้ไขใน developer environment รวมถึงซอร์สโค้ด และไฟล์ที่อาจถูกดัดแปลงจากการโจมตี ทั้งนี้ปัจจุบันยังไม่มีรายงานการพบการโจมตีจากช่องโหว่ CVE-2023-7028 อย่างเป็นทางการ

Ref : bleepingcomputer

FBI แจ้งเตือนการพบ Androxgh0st botnet ขโมยข้อมูล AWS และ Microsoft credential

    CISA และ FBI แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีใช้ Androxgh0st botnet ในการโจมตี เพื่อขโมยข้อมูล credential บน Cloud และใช้ข้อมูลที่ขโมยมาในการส่ง Payload ที่เป็นอันตรายไปยังเป้าหมาย

Androxgh0st botnet ถูกพบครั้งแรกโดย Lacework Labs ในปี 2022 และเข้าควบคุมอุปกรณ์ไปกว่า 40,000 เครื่อง ตามข้อมูลของ Fortiguard Labs โดยมันจะทำการสแกนหาเว็บไซต์ และเซิร์ฟเวอร์ที่มีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) CVE-2017-9841 (ช่องโหว่ PHPUnit unit testing framework), CVE-2021-41773 (ช่องโหว่ Apache HTTP Server) และ CVE-2018-15133 (ช่องโหว่ Laravel PHP web framework)

    Androxgh0st เป็น Python-scripted malware ซึ่งกำหนดเป้าหมายการโจมตีไปยังไฟล์ .env ที่มีข้อมูลที่เป็นความลับ เช่น ข้อมูล confidential สำหรับแอปพลิเคชันที่มีความสำคัญต่าง ๆ (เช่น Amazon Web Services [AWS], Microsoft Office 365, SendGrid และ Twilio จาก Laravel web application framework) รวมถึงยังสนับสนุนฟีเจอร์การโจมตีมากมายที่สามารถใช้ Simple Mail Transfer Protocol (SMTP) ในการโจมตี เช่น การสแกน และการใช้ประโยชน์จากข้อมูล credentials ที่ถูกเปิดเผย, Application Programming Interfaces (API) และการใช้ Web Shell

    เมื่อ Androxgh0st สามารถขโมยข้อมูล credentials ได้แล้วก็จะดำเนินการในขั้นต่อไป โดยหนึ่งในสองฟังก์ชันหลักที่ใช้กับข้อมูล credentials ที่ขโมยมาที่พบบ่อยที่สุดคือการตรวจสอบขีดจำกัดการส่งอีเมลสำหรับบัญชี เพื่อประเมินว่าสามารถใช้ประโยชน์จากการสแปมได้หรือไม่ รวมถึงยังพบว่าผู้ไม่ประสงค์ดีจะสร้างเพจปลอมบนเว็บไซต์ที่ถูกโจมตี โดยใช้ backdoor เพื่อเข้าถึงฐานข้อมูลที่มีข้อมูลที่มีความสำคัญ และติดตั้งเครื่องมือที่เป็นอันตราย รวมถึงเมื่อสามารถขโมยข้อมูล credentials ของ AWS บนเว็บไซต์ที่มีช่องโหว่ได้สำเร็จแล้ว ก็จะลองสร้างผู้ใช้ และ Policy ของผู้ใช้งานใหม่อีกด้วย นอกจากนี้ Andoxgh0st ยังใช้ข้อมูล credentials ที่ขโมยมาเพื่อค้นหา AWS instance ใหม่สำหรับการสแกนเป้าหมายที่มีช่องโหว่เพิ่มเติมผ่านอินเทอร์เน็ต

    FBI และ CISA ได้แนะนำให้ผู้ดูแลระบบทำการปกป้องเครือข่ายด้วยมาตรการเหล่านี้ เพื่อจำกัดผลกระทบของการโจมตีจาก Androxgh0st และลดความเสี่ยงในการถูกควบคุมระบบ:

• อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ทั้งหมดให้ทันสมัยอยู่เสมอ ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ Apache ไม่ได้ใช้เวอร์ชัน 2.4.49 หรือ 2.4.50
• ตรวจสอบว่าการกำหนดค่าเริ่มต้นสำหรับ all URIs คือ deny all requests ทั้งหมด เว้นแต่จะมีความจำเป็นเฉพาะที่สามารถเข้าถึงได้
• ตรวจสอบให้แน่ใจว่า Laravel application ที่ใช้งาน ไม่อยู่ใน “debug” หรือโหมดการทดสอบ หากมี ให้ทำการลบข้อมูล credentials ระบบคลาวด์ทั้งหมดออกจากไฟล์ .env และยกเลิกการใช้งานทั้งหมด
• ใช้ one-time basis สำหรับข้อมูล credentials ระบบคลาวด์ที่เก็บไว้ก่อนหน้านี้ และข้อมูล credentials ประเภทอื่น ๆ ที่ไม่สามารถลบออกได้อย่างต่อเนื่อง ให้ตรวจสอบแพลตฟอร์ม หรือบริการใด ๆ ที่มีข้อมูล credentials อยู่ในไฟล์ .env สำหรับการเข้าถึง หรือใช้งานโดยไม่ได้รับอนุญาต
• สแกนระบบไฟล์ของเซิร์ฟเวอร์เพื่อหาไฟล์ PHP ที่ไม่รู้จัก โดยเฉพาะใน root directory หรือโฟลเดอร์ /vendor/phpunit/phpunit/src/Util/PHP
• ตรวจสอบ GET requests (via cURL command) ขาออก ไปยังเว็บไซต์โฮสต์ไฟล์ เช่น GitHub, Pastebin ฯลฯ โดยเฉพาะอย่างยิ่งเมื่อมี request เพื่อเข้าถึงไฟล์ .php
• รวมถึง FBI ยังได้ขอข้อมูลเกี่ยวกับมัลแวร์ Androxgh0st จากองค์กรที่ตรวจจับพฤติกรรมที่น่าสงสัย หรืออาชญากรรมที่เชื่อมโยงกับการโจมตีดังกล่าว

    ทั้งนี้ทาง CISA ได้เพิ่ม CVE-2018-15133 (Laravel deserialization of untrusted data vulnerability) ไปใน Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่ถูกใช้ในการโจมตีแล้ว อิงตามหลักฐานของการโจมตีที่พบในปัจจุบัน และได้สั่งให้หน่วยงานรัฐบาลกลางทำการแก้ไขช่องโหว่ดังกล่าวภายในวันที่ 6 กุมภาพันธ์ 2024

    รวมถึงช่องโหว่ CVE-2021-41773 (Apache HTTP Server path traversal) และ CVE-2017-9841 (PHPUnit command injection) ได้ถูกเพิ่มลง KEV แล้วเช่นกันตั้งแต่เดือนพฤศจิกายน 2021 และกุมภาพันธ์ 2022 ตามลำดับ

Ref : bleepingcomputer

VMware ประกาศเตือนผู้ใช้งานถึงช่องโหว่ระดับ Critical บน vCenter ที่กำลังถูกการโจมตี

 

    VMware ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical บน vCenter Server ที่ปัจจุบันได้รับการแก้ไขไปแล้วในในเดือนตุลาคม 2023 ซึ่งพบว่าปัจจุบันกลุ่มผู้ไม่ประสงค์ดีกำลังนำมาใช้ในการโจมตี vCenter Server เป็น management platform สำหรับระบบของ VMware vSphere ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ ESX and ESXi servers และ virtual machines (VMs) ได้

    CVE-2023-34048 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ out-of-bounds write ใน vCenter's DCE/RPC protocol ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) และมีความซับซ้อนในการโจมตีต่ำ ซึ่งส่งผลกระทบต่อการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน (CIA) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ หรือการตอบโต้จากเป้าหมาย โดยทาง VMware ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว รวมถึงยังออกแพตซ์รองรับให้กับอุปกรณ์ที่ end-of-life ไปแล้วด้วย

ทั้งนี้กลุ่มผู้ไม่ประสงค์ดีได้มุ่งเป้าหมายการโจมตีช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเป้าหมาย และเข้ายึด VMware server หลังจากนั้นก็จะนำมาขายใน cybercrime forums ให้แก่กลุ่ม Ransomware ต่าง ๆ เช่น Royal, Black Basta, LockBit, RTM Locker, Qilin, ESXiArgs, Monti และ Akira ซึ่งกลุ่มเหล่านี้ได้มุ่งเป้าหมายการโจมตีไปยัง VMware ESXi server ของเป้าหมาย เพื่อขโมยข้อมูล และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่

    จากข้อมูลของ Shodan แสดงให้เห็นว่าปัจจุบัน มี VMware Center server กว่า 2,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว ซึ่งอาจส่งผลกระทบต่อระบบ และข้อมูลในบริษัท

    VMware ได้แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน รวมถึงปัจจุบันยังไม่มีวิธีแก้ไขในรูปแบบอื่น จึงแนะนำให้ผู้ใช้งานที่ยังไม่สามารถอัปเดตระบบได้ทันที ทำการป้องกันโดยการควบคุม network perimeter access และ interface ในการเข้าถึง vSphere ในเครือข่ายอย่างเข้มงวด ซึ่ง Port ที่มีความเสี่ยงจะถูกใช้ในการโจมตีได้แก่ Port : 2012/TCP, 2014/TCP และ 2020/TCP

    ทั้งนี้ในเดือนมิถุนายน 2023 VMware ได้แก้ไขช่องโหว่งด้านความปลอดภัยใน vCenter Server ที่มีระดับความรุนแรงสูงหลายรายการ ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตราย และการ bypass การรับรองความถูกต้องไปยังเซิร์ฟเวอร์ที่มีช่องโหว่ รวมถึงช่องโหว่ zero-day ใน ESXi ที่ถูกกลุ่ม ผู้ไม่ประสงค์ดี ชาวจีนใช้ในการโจมตีเพื่อขโมยข้อมูล รวมถึงยังได้แจ้งเตือนช่องโหว่อื่น ๆ ที่สำคัญของ Aria Operations for Networks ที่พบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างแพร่หลาย

    ตั้งแต่ต้นปี 2024 มานี้ ได้มีแจ้งเตือนช่องโหว่ด้านความปลอดภัยหลายรายการที่กำลังถูกนำมาใช้ในการโจมตี เช่น Ivanti Connect Secure, Ivanti EPMM และ Citrix Netscaler server จึงแจ้งเตือนไปยังผู้ดูแลระบบให้หมั่นติดตามการออกแพตซ์อัปเดต และเร่งแก้ไขช่องโหว่อย่างสม่ำเสมอ

Ref : bleepingcomputer

Google ออกอัปเดตแก้ไขช่องโหว่ Zero-Day ครั้งแรกในปี 2024

    Google ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day แรกของ Chrome ในปีนี้ โดยช่องโหว่ CVE-2024-0519 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายมาตั้งแต่ต้นปี 2024

    CVE-2024-0519 เป็นช่องโหว่ใน Stable Desktop channel ของผู้ใช้งาน โดยเป็นช่องโหว่ out-of-bounds memory access ที่มีระดับความรุนแรงสูงใน Chrome V8 JavaScript engine ทำให้ Hacker สามารถโจมตีเพื่อเข้าถึงข้อมูลที่อยู่นอกเหนือ memory buffer ได้ ทำให้สามารถเข้าถึงข้อมูลที่มีความสำคัญ หรือทำให้เกิดความเสียหายต่อข้อมูล รวมถึงยังสามารถใช้เพื่อหลีกเลี่ยงกลไกการป้องกัน เช่น ASLR เพื่อให้เรียกใช้คำสั่งได้ง่ายขึ้นผ่านช่องโหว่ ซึ่งทาง Google ได้ออกเวอร์ชันอัปเดตทันทีสำหรับผู้ใช้ Windows (120.0.6099.224/225), Mac (120.0.6099.234) และ Linux (120.0.6099.224) หลังจากค้นพบช่องโหว่ โดยผู้ใช้สามารถทำการอัปเดตด้วยตัวเอง หรือตั้งค่าอัปเดตอัตโนมัติ และติดตั้งหลังจากการเปิดใช้งาน Chrome ในครั้งถัดไป

    แม้ว่า Google จะรับทราบถึงเหตุการณ์ที่ช่องโหว่ CVE-2024-0519 กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง แต่ก็ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์เหล่านี้

    นอกจากนี้ Google ยังได้ออกอัปเดตสำหรับช่องโหว่อื่น ๆ อีกด้วย ได้แก่ ช่องโหว่ V8 out-of-bounds write (CVE-2024-0517) และ ช่องโหว่ type confusion (CVE-2024-0518) ที่ทำให้สามารถเรียกใช้คำสั่งในอุปกรณ์ที่ถูกโจมตีได้

    ในปี 2023 Google ได้ออกอัปเดตช่องโหว่ Zero-day จำนวน 8 รายการที่พบว่าถูกใช้ในการโจมตีอย่างต่อเนื่อง ได้แก่ CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- 4762, CVE-2023-2136 และ CVE- 2023-2033 ซึ่งบางส่วนเช่น CVE-2023-4762 มีความเชื่อมโยงกับการโจมตีของกลุ่ม Hacker ที่มีความสามารถสูง (APT) ที่ใช้ในการติดตั้ง spyware บนอุปกรณ์ที่มีช่องโหว่ของผู้ใช้ที่มีความเสี่ยงสูง รวมถึงนักข่าว นักการเมืองฝ่ายค้าน และผู้ไม่เห็นด้วยกับฝ่ายรัฐบาล

Ref : bleepingcomputer

Firewall SonicWall มากกว่า 178,000 เครื่อง มีโอกาศเสี่ยงต่อการถูกโจมตีในรูปแบบ DoS และ RCE

    ผู้เชี่ยวชาญด้านความปลอดภัยพบ Firewall ของ SonicWall (Next-Generation Firewalls) มากกว่า 178,000 เครื่อง ที่เปิดให้เข้าถึง management interface ได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงที่จะถูกโจมตีในรูปแบบ Denial-of-Service (DoS) และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution)

    อุปกรณ์เหล่านี้ได้รับผลกระทบจากช่องโหว่ด้านความปลอดภัยในรูปแบบ Denial-of-Service (DoS) สองรายการ ได้แก่

• ช่องโหว่ CVE-2022-22274 
• ช่องโหว่ CVE-2023-0656 

    ซึ่งช่องโหว่แรกมีความเสี่ยงที่ทำให้สามารถโจมตีด้วยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ด้วย Jon Williams วิศวกรด้านความปลอดภัยจาก Bishop Fox เปิดเผยว่า"จากการใช้แหล่งข้อมูลของ BinaryEdge ผู้เชี่ยวชาญได้ทำการสแกนไฟร์วอลล์ SonicWall ที่เปิดให้เข้าถึง management interface ได้จากอินเทอร์เน็ต พบว่า 76% (178,637 จากทั้งหมด 233,984) มีความเสี่ยงไม่ช่องโหว่ใดก็ช่องโหว่หนึ่ง หรือทั้งสองช่องโหว่"

    Bishop Fox ระบุเพิ่มเติมว่า "ช่องโหว่ทั้งสองรายการจะมีลักษณะที่คล้ายกัน เนื่องจากมีการนำรูปแบบโค้ดที่มีช่องโหว่เดียวกันกลับมาใช้ใหม่ ซึ่งทำให้ผู้ไม่หวังดีสามารถนำมาใช้ในการโจมตี HTTP URI paths ที่แตกต่างกันได้"และยังเปิดเผยอีกว่า"จากการตรวจสอบในเบื้องต้นของเราตรงกับคำยืนยันของ SonicWall ว่ายังไม่มีการนำช่องโหว่มาใช้ในการโจมตี แต่เมื่อเราสามารถระบุโค้ดที่มีช่องโหว่ได้ ก็พบว่าเป็นปัญหาเดียวกันกับช่องโหว่ CVE-2023-0656 ที่ถูกเปิดเผยในอีกหนึ่งปีถัดมา"

    "เราพบว่าช่องโหว่ CVE-2022-22274 เกิดจากรูปแบบโค้ดที่มีช่องโหว่เดียวกันในตำแหน่งอื่น และการโจมตีโดยใช้ประโยชน์จากช่องโหว่นี้สามารถใช้งานได้กับสาม URI paths"

    แม้ว่าผู้ไม่ประสงค์ดีจะไม่สามารถรันโค้ดบนอุปกรณ์ของเหยื่อได้ แต่ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่เพื่อบังคับให้อุปกรณ์เข้าสู่โหมด Maintenance ซึ่งจะต้องให้ผู้ดูแลระบบเข้ามาทำการแก้ไขเพื่อกู้คืนฟังก์ชันการทำงานมาตรฐานกลับมา

    ถึงแม้ว่า ยังไม่มีหลักฐานเกี่ยวกับการโจมตีในรูปแบบของ RCE ว่าสามารถโจมตีได้จริงหรือไม่ แต่ผู้ไม่หวังดีสามารถใช้ช่องโหว่เหล่านี้เพื่อปิดใช้งาน Firewall และการเข้าถึง VPN ที่ให้บริการกับเครือข่ายขององค์กรได้

    ปัจจุบันมี Firewall SonicWall มากกว่า 500,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต โดยมีมากกว่า 328,000 เครื่องในสหรัฐอเมริกา

    Product Security Incident Response Team (PSIRT) ของ SonicWall เปิดเผยว่าพวกเขาไม่มีข้อมูลเกี่ยวกับการโจมตีโดยใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่พบว่ามี Proof-of-Concept (PoC) อย่างน้อยหนึ่งรายการที่ถูกเผยแพร่อยู่ในอินเทอร์เน็ต คือช่องโหว่ CVE-2022-22274

    Williams เปิดเผยว่า"SSD Labs ได้เผยแพร่บทความทางเทคนิคเกี่ยวกับช่องโหว่ พร้อมกับ POC และระบุเส้นทาง URI ที่สามารถทำให้เกิดการโจมตีได้"

คำแนะนำ

    ผู้ดูแลระบบควรตรวจสอบให้แน่ใจว่า management interface ของอุปกรณ์ SonicWall (NGFW) ไม่ได้เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และควรอัปเดต firmware ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

Ref : bleepingcomputer

CISA แจ้งเตือนพบช่องโหว่ระดับ Critical ใน Microsoft SharePoint ที่กำลังถูกใช้ในการโจมตี

    U.S. Cybersecurity and Infrastructure Security Agency หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกมาแจ้งเตือนการพบกลุ่ม ผู้ไม่ประสงค์ดีได้มุ่งเป้าหมายการโจมตีไปยัง Microsoft SharePoint โดยใช้ช่องโหว่ระดับ Critical ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation)

    CVE-2023-29357 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ ผู้ไม่ประสงค์ดี สามารถยกระดับสิทธิ์ผู้ดูแลระบบได้จากภายนอก บนเซิร์ฟเวอร์ที่มีช่องโหว่ ด้วยการหลีกเลี่ยงการตรวจสอบสิทธิ์โดยใช้ JWT auth token ปลอม

    รวมไปถึงผู้ไม่ประสงค์ดียังสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบน SharePoint server ที่ถูกโจมตี เมื่อใช้ร่วมกับช่องโหว่ CVE-2023-24955 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) ที่ถูกใช้ในการสาธิตการโจมตีโดยนักวิจัยของ STAR Labs ในระหว่างการแข่งขัน Pwn2Own เมื่อเดือนมีนาคม 2023 ที่เมืองแวนคูเวอร์ โดยได้รับรางวัล 100,000 ดอลลาร์ จากการค้นพบช่องโหว่ดังกล่าว

   ผู้เชี่ยวชาญได้เผยแพร่การวิเคราะห์ทางเทคนิคเมื่อวันที่ 25 กันยายน 2023 โดยอธิบายกระบวนการโจมตีโดยละเอียด และต่อมาก็ได้ปล่อยชุดสาธิตการโจมตี proof-of-concept exploit (PoC) ของช่องโหว่ CVE-2023-29357 บน GitHub

  ทั้งนี้แม้จะยังไม่ได้มีรายงานการใช้ช่องโหว่ CVE-2023-29357 ในการโจมตีอย่างกว้างขวาง แต่ทาง CISA ได้เพิ่มช่องโหว่ดังกล่าวใน Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่ถูกใช้ในการโจมตี และกำหนดให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทำการแก้ไขให้เสร็จสิ้นภายในสิ้นเดือนนี้ในวันที่ 31 มกราคม 2024

Ref : bleepingcomputer

การอัปเดตความปลอดภัยของ Windows 10 KB5034441 ล้มเหลว โดยแสดงข้อผิดพลาด 0x80070643

    ผู้ใช้ Windows 10 ทั่วโลกประสบปัญหาในการติดตั้งการอัปเดต Patch Tuesday เดือน มกราคมของ Microsoft โดยพบข้อผิดพลาด 0x80070643 ขณะพยายามติดตั้งแพตซ์อัปเดตความปลอดภัย KB5034441 สำหรับ BitLocker

    ส่วนหนึ่งของ Patch Tuesday เดือนมกราคม 2024 ของ Microsoft ได้มีการอัปเดตความปลอดภัย (KB5034441) สำหรับ CVE-2024-20666 ซึ่งเป็นช่องโหว่ bypass การเข้ารหัส BitLocker ที่อนุญาตให้ผู้ใช้เข้าถึงข้อมูลที่เข้ารหัสไว้ ผู้ใช้ Windows 10 จำนวนมาก รายงานว่าพบข้อผิดพลาด 0x80070643 และพบการติดตั้งการอัปเดตล้มเหลว

    โดยหลังจากรีสตาร์ท ผู้ใช้งานจะพบหน้าจอ Windows Update ที่แสดงข้อความแจ้งว่าเกิดข้อผิดพลาดขึ้น และให้ลองอีกครั้งในภายหลัง ข้อความแสดงข้อผิดพลาดของ Windows Update จะแสดงข้อความว่า

"There were some problems installing updates, but we'll try again later. If you keep seeing this and want to search the web or contact support for information, this may help: (0x80070643),"

    Microsoft ได้แจ้งเตือนว่า เมื่อติดตั้งการอัปเดต KB5034441 ผู้ใช้บางรายอาจพบข้อความแสดงข้อผิดพลาด "Windows Recovery Environment servicing failed, (CBS_E_INSUFFICIENT_DISK_SPACE)"

ซึ่งเกิดขึ้นเมื่อ Windows Recovery Partition บนอุปกรณ์มีขนาดไม่เพียงพอที่จะรองรับการอัปเดต

    อย่างไรก็ตาม มีข้อผิดพลาดในการเขียนโค้ดที่ทำให้ Windows Update แสดงข้อความแจ้งข้อผิดพลาดทั่วไป "0x80070643 - ERROR_INSTALL_FAILURE" ไม่ถูกต้อง

WinRE partition มีขนาดเล็กเกินไป

    เมื่อติดตั้งการอัปเดตความปลอดภัย KB5034441 Microsoft จะติดตั้ง Windows Recovery Environment (WinRE) เวอร์ชันใหม่ที่แก้ไขช่องโหว่ BitLocker แต่เนื่องจาก Windows 10 สร้าง partition การกู้คืน ซึ่งโดยปกติจะอยู่ที่ประมาณ 500MB ซึ่งไม่ใหญ่พอที่จะรองรับไฟล์อิมเมจ Windows RE ใหม่ (winre.wim) ทำให้เกิดข้อผิดพลาด 0x80070643 เมื่อพยายามติดตั้งการอัปเดต

วิธีแก้ไขจากทาง Microsoft แนะนำ

1. เปิดหน้าต่าง Command Prompt window (cmd) ในฐานะ admin

2. เพื่อตรวจสอบสถานะของ WinRE ให้รันคำสั่ง reagentc /info ใน Command Prompt หาก WinRE ถูกติดตั้งไว้ จะมีรายการ "Windows RE location" พร้อมเส้นทางไปยังไดเรกทอรีของ WinRE ตัวอย่างเช่น 

"Windows RE location: file://%3f/GLOBALROOT/device/harddisk0/partition4/Recovery/WindowsRE?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE"

โดยตัวเลขหลัง "harddisk" และ "partition" คือหมายเลขของดิสก์ และ partition ที่ WinRE ตั้งอยู่

3. หากต้องการปิดการใช้งาน WinRE ให้รันคำสั่ง reagentc /disable

4. ย่อขนาด OS partition และเตรียมพื้นที่บนดิสก์สำหรับ partition การกู้คืนใหม่

a. รันคำสั่ง diskpart เพื่อเริ่มเครื่องมือจัดการดิสก์

b. รันคำสั่ง list disk

c. รันคำสั่ง sel disk <OS disk index> เพื่อเลือกดิสก์ที่ติดตั้งระบบปฏิบัติการ โดยหมายเลขดิสก์ควรเป็นหมายเลขเดียวกับที่ WinRE ตั้งอยู่

d. เพื่อตรวจสอบ partition ใน OS disk และค้นหา OS partition ให้รันคำสั่ง list part

e. รันคำสั่ง sel part <OS partition index> เพื่อเลือก OS partition

f. รันคำสั่ง shrink desired=250 minimum=250

g. รันคำสั่ง sel part <WinRE partition index> เพื่อเลือก WinRE partition

h. รันคำสั่ง delete partition override เพื่อลบ WinRE partition

5. สร้าง partition การกู้คืนใหม่

a. ขั้นแรก ตรวจสอบว่ารูปแบบ Partition ของดิสก์เป็น GUID Partition Table (GPT) หรือ Master Boot Record (MBR) โดยทำตามขั้นตอนต่อไปนี้ รันคำสั่ง list disk ในคอลัมน์ "Gpt" ตรวจสอบว่ามีเครื่องหมายดอกจัน * อยู่หรือไม่ หากมีเครื่องหมายดอกจัน * แสดงว่าดิสก์นั้นใช้รูปแบบพาร์ติชัน GPT หากไม่มีเครื่องหมายดอกจัน * แสดงว่าดิสก์นั้นใช้รูปแบบพาร์ติชัน MBR

i: หากดิสก์ของคุณเป็น GPT, ให้รันคำสั่ง "create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac" ตามด้วยคำสั่ง "gptattributes=0x8000000000000001"

ii: ถ้าดิสก์ของคุณเป็น MBR, ให้รันคำสั่ง "create partition primary id=27"

b . หากต้องการฟอร์แมต partition ให้รันคำสั่ง format quick fs=ntfs label="Windows RE tools"

6. เพื่อยืนยันว่า WinRE partition ถูกสร้างแล้ว ให้รันคำสั่ง "list vol"

7. เพื่อออกจาก DiskPart ให้รันคำสั่ง "exit"

8. เพื่อเปิดใช้งาน WinRE อีกครั้ง ให้รันคำสั่ง "reagentc /enable"

9. เพื่อยืนยันที่ WinRE ถูกติดตั้ง ให้รันคำสั่ง "reagentc /info"

    หลังจากทำตามขั้นตอนเหล่านี้สำเร็จแล้ว ให้รีบูต Windows และตรวจสอบการอัปเดตใน Windows Update เพื่อลองติดตั้งการอัปเดตความปลอดภัย KB5034441 อีกครั้ง

    แต่ BleepingComputer ยังได้รับข้อมูลจากผู้ใช้ Windows 10 ว่าการอัปเดตนี้ยังคงล้มเหลวบนอุปกรณ์ของพวกเขา แม้จะมี WinRE partition ที่มีขนาด 1 GB แล้ว ดังนั้นไม่มีการรับประกันว่าขั้นตอนเหล่านี้จะแก้ไขปัญหาได้ เหมือนกับที่ได้ระบุไว้ก่อนหน้านี้ หากไม่มั่นใจในการทำตามขั้นตอนนี้ ควรรอจนว่า Microsoft จะนำเสนอวิธีที่ง่าย และอัตโนมัติมากขึ้นในการอัปเดตติดตั้ง

Microsoft เผยเเพร่สคริปต์เพื่อติดตั้งการแก้ไข (11/01/2024)

    Microsoft ได้เผยแพร่สคริปต์ PowerShell เพื่อทำให้การติดตั้งโปรแกรมรักษาความปลอดภัย BitLocker CVE-2024-20666 บน Windows 10 Windows Recovery Environment (WinRE) เป็นไปโดยอัตโนมัติ

สคริปต์เหล่านี้ไม่ได้ติดตั้งการอัปเดต KB5034441 โดยตรง แต่จะทำการติดตั้งโดยเชื่อมต่อกับ WinRE partition คัดลอก images จาก Dynamic Update และยกเลิกการเชื่อมต่อกับ partition

    WinRE partition จะประกอบด้วยไฟล์ล่าสุด ซึ่งรวมถึงโปรแกรมแก้ไข BitLocker จึงไม่จำเป็นต้องติดตั้งการอัปเดต KB5034441 บนเครื่องเหล่านี้อีก

    สคริปต์เหล่านี้สามารถดาวน์โหลดได้โดยตรงจาก Microsoft โดยจะมีให้สำหรับ Windows 10 เวอร์ชัน 2004 ขึ้นไป และอีกเวอร์ชันสำหรับ Windows 1909 และเวอร์ชันก่อนหน้า

vulnerabilities cve-2024-20666

    แต่ถ้าได้ทดลองทำตามคำแนะนำของทาง Microsoft แล้วยังไม่สามารถแก้ไขได้ ควรซ่อนการอัปเดต KB5034441 โดยใช้เครื่องมือ Show or Hide ของ Microsoft เพื่อให้ Windows Update ไม่เสนอการอัปเดตนี้บนระบบอีกต่อไป

Ref : bleepingcomputer

Microsoft ประกาศสิ้นสุดการสนับสนุน Microsoft Exchange Server 2019

    Microsoft ประกาศกำหนดสิ้นสุดการสนับสนุนสำหรับซอฟแวร์ Exchange Server 2019 on-premises ในวันที่ 9 มกราคม 2024

    ตั้งแต่วันที่ 9 มกราคม 2024 เป็นต้นไป Microsoft จะไม่รับคำขอแก้ไข Bug และคำขอเปลี่ยนแปลงการออกแบบ Design Change Requests (DCR) อีกต่อไป แต่จะยังคงออกแพตช์เพื่อแก้ไขปัญหาด้านความปลอดภัย หรือช่องโหว่ที่ถูกพบต่อไป

    แม้ว่า Exchange Server 2019 จะมีการขยายการสนับสนุนจนถึงวันที่ 14 ตุลาคม 2025 ซึ่งในปี 2024 จะมีการออกอัปเดต 2 ครั้งคือ CU14 (H1 2024) ซึ่งจะเผยแพร่ในเดือนมกราคม 2024 และ CU15 (H2 2024) ในช่วงครึ่งหลังของปี 2024

    โดย CU14 จะมาพร้อมกับการรองรับ TLS 1.3, การแก้ไขการควบคุม S/MIME, Extended Protection ที่เปิดใช้งานตามค่าเริ่มต้น และอื่น ๆ อีกมากมาย

อนาคตของ Exchange Server

    ปัจจุบัน Microsoft ยังไม่ได้ให้คำแนะนำเพิ่มเติมเกี่ยวกับการสิ้นสุดการสนับสนุน Exchange 2019 รวมถึงการเปิดตัว Exchange Server on-premises mail server เวอร์ชันใหม่

• Exchange Server 2016 ยังอยู่ในการสนับสนุนเพิ่มเติมจนถึงเดือนตุลาคม 2025 หลังจากการประกาศสิ้นสุดการสนับสนุนในเดือนตุลาคม 2020
• Exchange Server 2013 ได้สิ้นสุดการขยายสิ้นสุดการสนับสนุน (EOS) ไปแล้วเมื่อวันที่ 11 เมษายน 2023

    ทั้งนี้ทาง Microsoft ได้แนะนำให้ผู้ดูแลระบบควรเปลี่ยนไปใช้ Exchange 2019 (จนถึงเดือนตุลาคม 2025) เพื่อให้สามารถอัปเดตสำหรับช่องโหว่ด้านความปลอดภัยใหม่ ๆ หรือย้ายไปยัง Exchange Online ของ Microsoft (Office 365 subscription หรือ stand-alone service) โดยทาง Microsoft ได้ทำเอกสารประกอบเพื่อแนะนำให้ผู้ดูแลระบบย้ายไปใช้งานบน Exchange Online แทน

Ref : bleepingcomputer

Gitlab ได้เผยแพร่ Patch อัปเดทด้าน ความปลอดภัยเพื่อแก้ไขช่องโหว่ 2 รายการ ซึ่งหนึ่งในช่องโหว่นั้นคือการที่ยอมให้ผู้ไม่ประสงค์ดีข้ามการตรวจสอบสิทธิความถูกต้องได้

    ทาง Gitlab ได้ออก Patch Update และแนะนำให้อัพเดทให้เป็นเวอร์ชันล่าสุดทันที (ต้องอัพเดทด้วยตนเอง)

รายละเอียดช่องโหว่

    ปัญหาด้านความปลอดภัยที่สำคัญที่สุดที่ Gitlab ประกาศออกมา มีคะแนนความรุนแรงสูงสุด 10 คะแนน ติดตาม CVE-2023-7028 การแสวงหาผลประโยชน์ที่ประสบความสำเร็จไม่จำเป็นต้องมีการโต้ตอบใด ๆ

มันเป็นปัญหาการยืนยันความถูกต้องที่ใบอนุญาตให้ส่งคำขอรีเซ็ตรหัสผ่านโดยไม่ต้องตรวจสอบสิทธิและไม่ยืนยันอีเมลถ้ามีการเปิดใช้งาน 2FA ก็สามารถรีเซตพาสเวิรด์ได้ แต่ 2FA ยังคงจำเป็นสำหรับการเข้าสู่ระบบที่สมบูรณ์

    การ Hack บัญชี Gitlab อาจจะส่งผลกระทบอย่างมีนัยสำคัญต่อองค์กร เนื่องจากแพลตฟอร์มนี้ใช้สำหรับโฮสต์รหัสที่เป็นกรรมสิทธิ์, API, หรือข้อมูลที่ละเอียดอ่อน ความเสี่ยงอีกอย่างคือการโจมตี Supply chain ซึ่งผู้โจมตีสามารถบุกรุกพื้นที่เก็บข้อมูลได้โดยการแทรกโค้ดที่เป็นอันตรายที่ถูกใช้อยู่ใน Gitlab สำหรับ CI/CD (Continuous Integration/Continuous Deployment)

    ช่องโหว่ดังกล่าวเพิ่งจะถูกค้นพบและรายงานให้ GitLab โดย Asterion นักวิจัยด้านความปลอดภัยผ่าน HackerOne ได้ถูกเปิดเผยในวันที่ 1 พฤษภาคม 2023

เวอร์ชันที่ได้รับผลกระทบ

• 16.1 Update to 16.1.5
• 16.2 Update to 16.2.8
• 16.3 Update to 16.3.6
• 16.4 Update to 16.4.4
• 16.5 Update to 16.5.6
• 16.6 Update to 16.6.4
• 16.7 Update to 16.7.2
  

    ข้อบกพร่องดังกล่าวได้รับการแก้ไขแล้วใน GitLab เวอร์ชั่น 16.7.2, 16.5.6, และ 16.6.4, and the fix has also been backported to 16.1.6, 16.2.9, and 16.3.7. และการแก้ไขยังได้รับการ backport ไปที่ 16.1.6, 16.2.9, และ 16.3.7.

    ช่องโหว่อย่างที่สองถูกติดตามด้วย CVE-2023-5356 และมีคะแนนความรุนแรงอยู่ที่ 9.6 คะแนน ผู้โจมตีสามารถใช้ประโยชน์จากการรวม Slack/Mattermost ในทางที่ผิดเพื่อดำเนินการคำสั่งสแลชในฐานะผู้ใช้รายอื่นได้

    ใน Mattermost คำสั่งสแลชอนุญาตให้รวมแอปพลิเคชันภายนอกลงใน workspace และใน Slack จะทำหน้าที่เป็นทางลัดสำหรับการเรียกใช้แอปในกล่องข้อความ

ปัญหาต่าง ๆ ที่ GitLab ได้ทำการแก้ไขในเวอร์ชัน 16.7.2 คือ

• CVE-2023-4812: ปัญหาที่มีความรุนแรงมากที่สุดใน Gitlab 15.3 หรือใหม่กว่า ทำให้สามารถข้ามการอนุมัติของเจ้าของโค้ดได้ โดยทำการเปลี่ยนแปลงคำขอ merge request ก่อนหน้านี้
• CVE-2023-6955: การควบคุมการเข้าถึงที่ไม่เหมาะสมสำหรับ Workspaces ที่ปรากฏใน GitLab ก่อนหน้า 16.7.2 คือยอมให้ผู้โจมตีสร้าง workspace ในหนึ่งกลุ่มที่เชื่อมโยงกับตัวแทนอีกกลุ่มหนึ่ง
• CVE-2023-2030: ข้อบกพร่องในการตรวจความถูกต้องของลายเซ็นที่ส่งผลกระทบต่อ GitLab CE/EE เวอร์ชัน 12.2 ขึ้นไป เกี่ยวข้องกับความเป็นไปได้ในการแก้ไขข้อมูลของการลงนามเนื่องจากการตรวจความถูกต้องของลายเซ็นไม่ถูกต้อง

Ref : bleepingcomputer

ไมโครซอฟต์ได้เผยแพร่ Patch Update ประจำเดือน มกราคม 2024 ด้วยการ แก้ไขข้อบกพร่อง 49 รายการ และแก้ไขข้อบกพร่องของ RCE อีก 12 รายการ

ทาง Microsoft ได้เผยแพร่การอัปเดทแพทซ์ประเดือนเดือน มกราคม 2024 ด้วยการอัปเดทความปลอดภัยสำหรับข้อบกพร่องจำนวน 49 รายการ และช่องโหว่จากการเรียกใช้ระยะไกลอีก 12 รายการ แต่ในการอัปเดทรอบนี้มีในส่วนของการอัปเดทแก้ไขช่องโหว่ระยะไกลที่มีระดับร้ายแรงสูงคือ

1. Windows Kerberos Security Feature Bypass

2. Hyper-V RCE

จำนวนข้อบกพร่องในแต่ละหมวดหมู่ช่องโหว่มีดังต่อไปนี้:

• 10 Elevation of Privilege Vulnerabilities
• 7 Security Feature Bypass Vulnerabilities
• 12 Remote Code Execution Vulnerabilities
• 11 Information Disclosure Vulnerabilities
• 6 Denial of Service Vulnerabilities
• 3 Spoofing Vulnerabilities

การแก้ไขข้อบกพร่องที่น่าสนใจในการอัปเดทครั้งนี้

1. การแก้ไขช่องโหว่ Office Remote Code Execution [CVE-2024-20677] ซึ่งช่วยให้ผู้ไม่ประสงค์ดีแทรกไฟล์ลงบนเอกสารที่ออกแบบเพื่อโจมตีด้วยไฟล์ .FBX/ .3D()

2. การแก้ไขช่องโหว่ Windows Kerberos [CVE-2024-20674] ซึ่งช่วยให้ผู้ไม่ประสงค์ดี สามารถข้ามคุณสมบัติการตรวจสอบความถูกต้อง

และมีการอัปเดท จากผู้ผลิตรายอื่น ๆ เช่น

• Cisco ได้ทำการเผยแพร่ Patch update ในส่วนของ privilege elevation flaw in the Cisco Identity Services Engine.
• Google ได้ทำการเผยแพร่ Patch update ประจำเดือน มกราคม 2024
• SAP ได้ทำการเผยแพร่ Patch update ประจำเดือน มกราคม 2024

รายการการอัปเดทความปลอดภัยประจำเดือนมกราคม 2024 Full Report

แท็ก	รหัส CVE	ชื่อเรื่อง CVE	ความรุนแรง
.NET และ Visual Studio	CVE-2024-0057	NET, .NET Framework และช่องโหว่การข้ามคุณลักษณะความปลอดภัยของ Visual Studio	สำคัญ
.NET Core และ Visual Studio	CVE-2024-20672	.NET Core และ Visual Studio ปฏิเสธช่องโหว่การบริการ	สำคัญ
.NET Framework	CVE-2024-21312	.NET Framework ปฏิเสธช่องโหว่การบริการ	สำคัญ
ผู้เสนอญัตติการจัดเก็บข้อมูล Azure	CVE-2024-20676	ช่องโหว่การเรียกใช้โค้ดจากระยะไกล Azure Storage Mover	สำคัญ
ไดรเวอร์บลูทู ธ ของ Microsoft	CVE-2024-21306	ช่องโหว่การปลอมแปลงไดรเวอร์ Bluetooth ของ Microsoft	สำคัญ
อุปกรณ์ไมโครซอฟต์	CVE-2024-21325	เครื่องมือแก้ไขปัญหา Metadata ของเครื่องพิมพ์ Microsoft ช่องโหว่การเรียกใช้โค้ดจากระยะไกล	สำคัญ
Microsoft Edge (ใช้โครเมียม)	CVE-2024-0222	โครเมียม: CVE-2024-0222 ใช้หลังฟรีใน ANGLE	ไม่ทราบ
Microsoft Edge (ใช้โครเมียม)	CVE-2024-0223	Chromium: CVE-2024-0223 บัฟเฟอร์ฮีปล้นใน ANGLE	ไม่ทราบ
Microsoft Edge (ใช้โครเมียม)	CVE-2024-0224	Chromium: CVE-2024-0224 ใช้ฟรีใน WebAudio	ไม่ทราบ
Microsoft Edge (ใช้โครเมียม)	CVE-2024-0225	Chromium: CVE-2024-0225 ใช้ฟรีใน WebGPU	ไม่ทราบ
บริการข้อมูลประจำตัวของ Microsoft	CVE-2024-21319	Microsoft Identity Denial ของช่องโหว่ในบริการ	สำคัญ
ไมโครซอฟต์ ออฟฟิศ	CVE-2024-20677	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Office	สำคัญ
ไมโครซอฟต์ ออฟฟิศ แชร์พอร์ต	CVE-2024-21318	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft SharePoint Server	สำคัญ
ไมโครซอฟต์ฮาร์ดไดร์ฟเสมือน	CVE-2024-20658	Microsoft Virtual Hard Disk Elevation ของช่องโหว่สิทธิพิเศษ	สำคัญ
ไคลเอนต์เดสก์ท็อประยะไกล	CVE-2024-21307	ช่องโหว่การเรียกใช้โค้ดระยะไกลของไคลเอ็นต์เดสก์ท็อประยะไกล	สำคัญ
เซิร์ฟเวอร์ SQL	CVE-2024-0056	Microsoft.Data.SqlClient และ System.Data.SqlClient ช่องโหว่ด้านความปลอดภัยของผู้ให้บริการข้อมูล SQL ของ Microsoft.Data.SqlClient	สำคัญ
SQLite	CVE-2022-35737	MITRE: CVE-2022-35737 SQLite อนุญาตให้ล้นขอบเขตอาร์เรย์	สำคัญ
อินเทอร์เฟซเฟิร์มแวร์แบบขยายได้แบบครบวงจร	CVE-2024-21305	Hypervisor-Protected Code Integrity (HVCI) คุณลักษณะด้านความปลอดภัยข้ามช่องโหว่	สำคัญ
วิชวลสตูดิโอ	CVE-2024-20656	การยกระดับ Visual Studio ของช่องโหว่สิทธิพิเศษ	สำคัญ
Windows AllJoyn API	CVE-2024-20687	Microsoft AllJoyn API การปฏิเสธช่องโหว่การบริการ	สำคัญ
วิธีการรับรองความถูกต้องของ Windows	CVE-2024-20674	ช่องโหว่การข้ามคุณลักษณะความปลอดภัยของ Windows Kerberos	วิกฤต
Windows BitLocker	CVE-2024-20666	ช่องโหว่การข้ามคุณสมบัติความปลอดภัยของ BitLocker	สำคัญ
ไดร์เวอร์ตัวกรองขนาดเล็กของ Windows Cloud Files	CVE-2024-21310	Windows Cloud Files Mini Filter Driver ยกระดับช่องโหว่ของสิทธิพิเศษ	สำคัญ
กรอบการแปลการทำงานร่วมกันของ Windows	CVE-2024-20694	ช่องโหว่การเปิดเผยข้อมูล Windows CoreMessaging	สำคัญ
ไดรเวอร์ระบบไฟล์บันทึกทั่วไปของ Windows	CVE-2024-20653	การยกระดับระบบไฟล์บันทึกทั่วไปของ Microsoft ของช่องโหว่สิทธิพิเศษ	สำคัญ
บริการการเข้ารหัสของ Windows	CVE-2024-20682	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Cryptographic Services	สำคัญ
บริการการเข้ารหัสของ Windows	CVE-2024-21311	ช่องโหว่การเปิดเผยข้อมูลบริการเข้ารหัสลับของ Windows	สำคัญ
นโยบายกลุ่มของ Windows	CVE-2024-20657	การยกระดับนโยบายกลุ่ม Windows ของช่องโหว่สิทธิพิเศษ	สำคัญ
Windows Hyper-V	CVE-2024-20699	Windows Hyper-V ปฏิเสธช่องโหว่การบริการ	สำคัญ
Windows Hyper-V	CVE-2024-20700	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Hyper-V	วิกฤต
เคอร์เนลของ Windows	CVE-2024-20698	การยกระดับเคอร์เนลของ Windows ของช่องโหว่สิทธิพิเศษ	สำคัญ
ไดรเวอร์โหมดเคอร์เนลของ Windows	CVE-2024-21309	การยกระดับไดรเวอร์โหมดเคอร์เนลของ Windows ของช่องโหว่สิทธิพิเศษ	สำคัญ
Windows Libarchive	CVE-2024-20697	ช่องโหว่การเรียกใช้โค้ดระยะไกลของ Windows Libarchive	สำคัญ
Windows Libarchive	CVE-2024-20696	ช่องโหว่การเรียกใช้โค้ดระยะไกลของ Windows Libarchive	สำคัญ
บริการระบบย่อยหน่วยงานความปลอดภัยท้องถิ่นของ Windows (LSASS)	CVE-2024-20692	ช่องโหว่การเปิดเผยข้อมูลบริการระบบย่อยของ Microsoft Local Security Authority	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-20660	ช่องโหว่การเปิดเผยข้อมูลการจัดคิวข้อความของ Microsoft	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-20664	ช่องโหว่การเปิดเผยข้อมูลการจัดคิวข้อความของ Microsoft	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-20680	การเปิดเผยข้อมูลไคลเอ็นต์การจัดคิวข้อความของ Windows (MSMQC)	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-20663	การเปิดเผยข้อมูลไคลเอ็นต์การจัดคิวข้อความของ Windows (MSMQC)	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-21314	ช่องโหว่การเปิดเผยข้อมูลการจัดคิวข้อความของ Microsoft	สำคัญ
การจัดคิวข้อความของ Windows	CVE-2024-20661	Microsoft Message Queuing ปฏิเสธช่องโหว่การบริการ	สำคัญ
การแชร์ Windows ใกล้เคียง	CVE-2024-20690	ช่องโหว่การปลอมแปลงการแชร์ใกล้เคียงของ Windows	สำคัญ
ไดรเวอร์ Windows ODBC	CVE-2024-20654	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของไดรเวอร์ Microsoft ODBC	สำคัญ
SnapIn โปรโตคอลสถานะใบรับรองออนไลน์ของ Windows (OCSP)	CVE-2024-20662	ช่องโหว่การเปิดเผยข้อมูลโปรโตคอลสถานะใบรับรองออนไลน์ของ Windows (OCSP)	สำคัญ
SnapIn โปรโตคอลสถานะใบรับรองออนไลน์ของ Windows (OCSP)	CVE-2024-20655	ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Online Certificate Status Protocol (OCSP)	สำคัญ
การเขียนสคริปต์ของ Windows	CVE-2024-20652	ช่องโหว่การข้ามคุณสมบัติความปลอดภัยของแพลตฟอร์ม Windows HTML	สำคัญ
บริการกระจายคีย์เซิร์ฟเวอร์ Windows	CVE-2024-21316	บายพาสคุณลักษณะความปลอดภัยของบริการกระจายคีย์เซิร์ฟเวอร์ Windows	สำคัญ
ระบบย่อย Windows สำหรับ Linux	CVE-2024-20681	ระบบย่อย Windows สำหรับการยกระดับสิทธิ์ช่องโหว่ Linux	สำคัญ
Windows TCP/IP	CVE-2024-21313	ช่องโหว่การเปิดเผยข้อมูล TCP/IP ของ Windows	สำคัญ
ธีมของ Windows	CVE-2024-20691	ช่องโหว่การเปิดเผยข้อมูลธีมของ Windows	สำคัญ
ธีมของ Windows	CVE-2024-21320	ช่องโหว่การปลอมแปลงธีมของ Windows	สำคัญ
ระบบย่อยเคอร์เนล Windows Win32	CVE-2024-20686	การยกระดับสิทธิ์ Win32k ของช่องโหว่สิทธิพิเศษ	สำคัญ
วินโดว์ Win32K	CVE-2024-20683	การยกระดับสิทธิ์ Win32k ของช่องโหว่สิทธิพิเศษ	สำคัญ

Ref : bleepingcomputer