30/09/2567

Mozilla Faces กำลังเผชิญกับการร้องเรียนเรื่องความเป็นส่วนตัว จากการเปิดใช้การติดตามใน Firefox โดยไม่ได้รับความยินยอมจากผู้ใช้


    องค์กรไม่แสวงหาผลกำไรด้านความเป็นส่วนตัวที่ตั้งอยู่ในเวียนนา ชื่อ NOYB (None Of Your Business) ได้ยื่นเรื่องร้องเรียนต่อหน่วยงานคุ้มครองข้อมูลของออสเตรีย (DPA) ต่อ Mozilla ผู้สร้าง Firefox เนื่องจากได้เปิดใช้งานฟีเจอร์ใหม่ที่เรียกว่า Privacy Preserving Attribution (PPA) โดยไม่ได้ขอความยินยอมจากผู้ใช้อย่างชัดเจน
    NOYB ระบุว่า “ฟีเจอร์นี้ทำให้ Firefox สามารถติดตามพฤติกรรมของผู้ใช้บนเว็บไซต์ได้” โดยพื้นฐานแล้ว ตอนนี้เบราว์เซอร์กำลังควบคุมการติดตาม แทนที่จะเป็นเว็บไซต์แต่ละแห่ง
    NOYB ยังเรียกร้อง Mozilla ที่ถูกกล่าวหาว่าได้เลียนแบบวิธีการของ Google โดยการเปิดใช้งานฟีเจอร์นี้โดยไม่เปิดเผย เป็นค่าเริ่มต้นโดยไม่แจ้งให้ผู้ใช้ทราบ
    PPA ซึ่งปัจจุบันเปิดใช้งานใน Firefox เวอร์ชัน 128 เป็นฟีเจอร์ทดลอง มีความคล้ายกับโครงการ Privacy Sandbox ของ Google ใน Chrome
    โดยโครงการนี้ Google ได้ยกเลิกไปแล้ว โดยมีเป้าหมายทีจะแทนที่ third-party tracking คุกกี้ด้วยชุด API ที่ฝังอยู่ในเว็บเบราว์เซอร์ ซึ่งผู้โฆษณาสามารถสื่อสารเพื่อตรวจสอบความสนใจของผู้ใช้ และแสดงโฆษณาที่ตรงเป้าหมายได้
    ในอีกแง่หนึ่ง เว็บเบราว์เซอร์ทำหน้าที่เป็นตัวกลางที่เก็บข้อมูลเกี่ยวกับหมวดหมู่ต่าง ๆ ที่ผู้ใช้สามารถจัดกลุ่มได้ตามรูปแบบการท่องเว็บของพวกเขา ตามที่ Mozilla อธิบาย PPA เป็นวิธีที่ช่วยให้เว็บไซต์ “ทำความเข้าใจถึงประสิทธิภาพของโฆษณาโดยไม่ต้องเก็บข้อมูลแต่ละบุคคล” โดยอธิบายว่าเป็น “ทางเลือกที่ไม่รบกวนสำหรับการ cross-site tracking”
    นอกจากนี้ยังคล้ายกับการระบุแหล่งที่มาของการคลิกโฆษณาแบบรักษาความเป็นส่วนตัวของ Apple ซึ่งช่วยให้ผู้ลงโฆษณาสามารถวัดผลความมีประสิทธิภาพของแคมเปญโฆษณาบนเว็บได้โดยไม่กระทบต่อความเป็นส่วนตัวของผู้ใช้
    วิธีการทำงานของ PPA มีดังนี้ : เว็บไซต์ที่แสดงโฆษณาสามารถขอให้ Firefox จดจำโฆษณาในรูปแบบของการแสดงผลที่มีรายละเอียดเกี่ยวกับตัวโฆษณา เช่น เว็บไซต์ปลายทาง
    หากผู้ใช้ Firefox เยี่ยมชมเว็บไซต์ปลายทาง และดำเนินการที่ธุรกิจเห็นว่ามีคุณค่า เช่น ซื้อสินค้าออนไลน์โดยการคลิกโฆษณา หรือที่เรียกว่า "Conversion" เว็บไซต์นั้นสามารถแจ้งให้เบราว์เซอร์สร้างรายงานได้
    รายงานที่สร้างขึ้นจะถูกเข้ารหัส และส่งไปยัง "Aggregation Service" โดยที่จะไม่ระบุชื่อด้วยการใช้ Distributed Aggregation Protocol (DAP) หลังจากนั้นผลลัพธ์จะถูกรวมเข้ากับรายงานที่คล้ายกันอื่น ๆ เพื่อสร้างผลสรุป ซึ่งทำให้ไม่สามารถเรียนรู้ข้อมูลเกี่ยวกับบุคคลใด ๆ ได้มากเกินไป ในทางกลับกัน สิ่งนี้ทำได้โดยอาศัย Mathematical Framework ที่เรียกว่า Differential Privacy ซึ่งช่วยให้การแบ่งปันข้อมูลรวมเกี่ยวกับผู้ใช้ในลักษณะที่รักษาความเป็นส่วนตัว โดยการเพิ่มสัญญาณรบกวนแบบสุ่มในผลลัพธ์เพื่อป้องกันการโจมตีที่อาจระบุข้อมูลได้อีกครั้ง
    Mozilla ระบุในเอกสารสนับสนุนว่า PPA ถูกเปิดใช้งานใน Firefox ตั้งแต่เวอร์ชัน 128 และเว็บไซต์จำนวนน้อยที่จะได้ทำการทดสอบสิ่งนี้ และให้ข้อเสนอแนะเพื่อช่วยในการวางแผนการทำให้เป็นมาตรฐาน และช่วยให้เข้าใจแนวโน้มที่จะได้รับความนิยมหรือไม่
    PPA ไม่ได้เกี่ยวข้องกับการส่งข้อมูลเกี่ยวกับกิจกรรมการท่องเว็บของคุณไปยังบุคคลใด ๆ ผู้โฆษณาจะได้รับเพียงข้อมูลรวมที่ตอบคำถามพื้นฐานเกี่ยวกับประสิทธิภาพของโฆษณาของพวกเขาเท่านั้น
นี่คือจุดที่ NOYB พบข้อผิดพลาด เนื่องจากเป็นการละเมิดกฎระเบียบการปกป้องข้อมูลที่เข้มงวดของสหภาพยุโรป โดยการเปิดใช้งาน PPA เป็นค่าเริ่มต้นโดยไม่ขออนุญาตจากผู้ใช้
    กลุ่มระบุว่า "แม้ว่านี่อาจจะไม่รบกวนมากเท่ากับการติดตามแบบไม่จำกัด (unlimited tracking) ซึ่งยังคงเป็นมาตรฐานในสหรัฐฯ แต่ก็ยังคงรบกวนสิทธิ์ของผู้ใช้ภายใต้ GDPR ของสหภาพยุโรป" ในความเป็นจริง ตัวเลือกการติดตามนี้ไม่ได้แทนที่คุกกี้ แต่เป็นเพียงทางเลือกเพิ่มเติมที่เว็บไซต์สามารถใช้ในการกำหนดเป้าหมายโฆษณาได้
    นอกจากนี้ นักพัฒนาของ Mozilla ชี้แจงถึงการดำเนินการนี้ โดยอ้างว่าผู้ใช้ไม่สามารถตัดสินใจได้อย่างมีข้อมูล และการอธิบายระบบ เช่น PPA เป็นเรื่องที่ยากสำหรับผู้ใช้งาน
Felix Mikolasch ทนายความด้านการปกป้องข้อมูลที่ NOYB ระบุว่า "เป็นเรื่องน่าเสียดายที่องค์กรอย่าง Mozilla เชื่อว่าผู้ใช้โง่เกินกว่าจะตอบใช่ หรือไม่ใช่" ผู้ใช้ควรจะสามารถทำการเลือกได้ และฟีเจอร์นี้ควรถูกปิดโดยค่าเริ่มต้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

27/09/2567

CERT India รายงานช่องโหว่ในผลิตภัณฑ์ QNAP หลายรายการ


    เมื่อไม่นานมานี้ CERT-In (Indian Computer Emergency Response Team) ได้ออกคำแนะนำเกี่ยวกับช่องโหว่หลายรายการในผลิตภัณฑ์ QNAP ต่าง ๆ
    QNAP เป็นที่รู้จักในด้านระบบ Network-Attached Storage (NAS) ที่ใช้กันอย่างแพร่หลายในองกรค์ต่าง ๆ ช่องโหว่เหล่านี้ส่งผลกระทบหลักต่อระบบปฏิบัติการ QTS และ QuTS Hero ซึ่งเป็นส่วนสำคัญของ QNAP

ผลิตภัณฑ์ QNAP ที่ได้รับผลกระทบ
  • QTS 5.1.0.2823 และเวอร์ชันก่อนหน้า
  • QTS hero h5.1.0.2823 และเวอร์ชันก่อนหน้า
  • QTS 4.5.4.2790 และเวอร์ชันก่อนหน้า
  • QTS hero h4.5.4.2790 และเวอร์ชันก่อนหน้า
  • QuTS h5.2.0.2782 และเวอร์ชันก่อนหน้า
    ช่องโหว่เหล่านี้สามารถถูกโจมตีได้จากระยะไกล เพื่อดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลายรูปแบบ ด้วยจำนวน และขนาดของผู้ใช้ที่ได้รับผลกระทบ จึงมีความจำเป็นที่ต้องแก้ไขช่องโหว่นี้ทันที ไม่เช่นนั้นอาจนำไปสู่ผลกระทบดังนี้
  • ผู้ไม่ประสงค์ดีสามารถดึงข้อมูลสำคัญที่เก็บไว้บนอุปกรณ์ NAS ที่ได้รับผลกระทบออกมาได้จากระยะไกล
  • ช่องโหว่เหล่านี้เปิดโอกาสให้ผู้ไม่ประสงค์ดีข้ามขั้นตอนการตรวจสอบสิทธิ์ที่ผู้ใช้งานตั้งค่าไว้ได้สำเร็จ
  • ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถยกระดับสิทธิ์ เพื่อขยายขอบเขตของกิจกรรมที่เป็นอันตรายได้มากขึ้น
  • ช่องโหว่เหล่านี้ทำให้สามารถเรียกใช้งานโค้ดที่กำหนดเองได้ ซึ่งอาจก่อให้เกิดความเสียหายอย่างร้ายแรง เนื่องจากจะสามารถสั่งการคำสั่งที่เป็นอันตรายได้ และอาจส่งผลกระทบต่อระบบทั้งหมด
รายละเอียดช่องโหว่
สาเหตุของช่องโหว่เหล่านี้เกิดจากปัญหาที่เป็นที่รู้จักหลายประการ ซึ่งได้อธิบายรายละเอียดไว้ในคำแนะนำของ CERT-In ซึ่งด้านล่างนี้คือข้อสรุปคร่าว ๆ ของปัญหา
  • Boundary Errors: ทำให้ผู้ไม่ประสงค์ดีสามารถจัดการกับพื้นที่ในหน่วยความจำได้
  • Improper Input Validation: ทำให้ผู้ไม่ประสงค์ดีสามารถแทรกข้อมูลที่เป็นอันตรายเข้าสู่ระบบได้
  • OS Command Injection Vulnerability: เป็นช่องโหว่ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถแทรกคำสั่งที่เป็นอันตรายลงในระบบปฏิบัติการได้
  • Improper Restriction of Authentication Attempts: ทำให้ผู้ไม่ประสงค์ดีสามารถใช้วิธีการ brute force เพื่อเข้าสู่ระบบได้
  • Heap-based Buffer Overflow: ทำให้เกิดความเสียหายของหน่วยความจำจากข้อมูลเกินขนาดใน heap อาจทำให้ระบบหยุดการทำงาน หรือเปิดโอกาสให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ได้
    ช่องโหว่ด้านความปลอดภัยที่ระบุไว้ข้างต้น สามารถเปิดโอกาสให้ผู้ไม่หวังดีสร้างความเสียหายต่อหน่วยความจำ, แทรกคำสั่งจากระยะไกล, ใช้วิธีการ Brute force เพื่อเจาะเข้าสู่ระบบ QNAP

หมายเลขช่องโหว่ CVEs
    เพื่อการติดตาม และรายงาน คำแนะนำของ CERT-In ยังได้ระบุ Common Vulnerabilities and Exposures (CVEs) ดังนี้
  • CVE-2023-34974
  • CVE-2023-34979
  • CVE-2023-39298
  • CVE-2024-21906
  • CVE-2024-32763
  • CVE-2024-32771
  • CVE-2024-38641
    แต่ละ CVE เชื่อมโยงกับช่องโหว่เฉพาะที่ถูกผู้ไม่หวังดีใช้ประโยชน์ เช่น การแทรกคำสั่ง หรือการยกระดับสิทธิ์ ผู้ดูแลระบบควรตรวจสอบข้อมูลเฉพาะของแต่ละ CVE เพื่อทำความเข้าใจว่าช่องโหว่เหล่านี้อาจส่งผลกระทบต่อระบบของตนอย่างไร

ผลกระทบที่อาจเกิดขึ้น
  • หากใช้ช่องโหว่ได้สำเร็จ อาจส่งผลกระทบร้ายแรงดังนี้
  • การรั่วไหลของข้อมูล อาจนำไปสู่ความเสียหายด้านชื่อเสียงอย่างมาก โดยเฉพาะสำหรับธุรกิจที่จัดการกับข้อมูลลูกค้า
  • การเรียกใช้งานโค้ดที่อันตรายอาจทำให้ระบบหยุดการทำงาน ซึ่งจะทำให้การดำเนินธุรกิจหยุดชะงัก
  • การเข้าถึงที่ไม่ได้รับอนุญาต รวมถึงการยกระดับสิทธิ์อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ผู้ดูแลระบบ ซึ่งทำให้สามารถควบคุมระบบ NAS ได้อย่างสมบูรณ์
  • ผลกระทบทางการเงิน และกฎหมาย ขึ้นอยู่กับประเภทของข้อมูลที่ถูกเปิดเผย องค์กรอาจเผชิญกับความสูญเสียทางการเงิน และบทลงโทษตามระเบียบข้อบังคับ
ขั้นตอนถัดไปในการรักษาความปลอดภัยของระบบ และลดผลกระทบจากช่องโหว่เหล่านี้
    เพื่อช่วยลดความเสี่ยง QNAP ได้เร่งดำเนินการแพตช์ระบบที่ได้รับผลกระทบพร้อมกับคำแนะนำโดยละเอียด แนะนำให้ผู้ดูแลระบบดาวน์โหลด และติดตั้งแพตช์เหล่านี้โดยเร็วที่สุด เพื่อป้องกันไม่ให้ช่องโหว่เหล่านี้ถูกใช้ประโยชน์ในการโจมตีระบบขององค์กร
  • QNAP Security Advisory QSA-24-28
  • QNAP Security Advisory QSA-24-32
  • QNAP Security Advisory QSA-24-33
Ref : cyble.com
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

26/09/2567

กรณีเปลี่ยน PC Notebook แล้วอยากย้ายข้อมูล Line ไปเครื่องใหม่ด้วย

 เบื้องต้น หาข้อมูลแล้ว ได้รับข้อมูลว่า ให้ทำการสำรอง โฟลเดอร์  Line ไปเครื่องใหม่ 



สิ่งที่ผมดำเนินการคือตามนี้ครับ 
  1. เครื่องเดิม 
    สำรอง Folder ดังกล่าว ไว้ก่อน
  2. เครื่องใหม่ ติดตั้ง โปรแกรม Line ให้เรียบร้อย (ยังไม่ต้อง Login เข้าเครื่อง)
  3. ทำการ Copy ไฟล์ จากเครื่องเก่า ไปสู่เครื่องใหม่ (อาจใช้เวลานานตามขนาดของข้อมูล)
  4. เมื่อนำไฟล์ลงเครื่องใหม่เสร็จ สามารถ Login เข้าใช้งาน ที่เครื่องใหม่ได้ตามปกติ
  5. จากการทดสอบ ผมสามารถเปิดไฟล์รูป ที่เคยอยู่ใน Line เครื่องเก่า เมื่อ 5 ปีที่แล้ว ด้วยเครื่องใหม่ ได้ตามปกติ

ที่ ไม่มีความคิดเห็น:

25/09/2567

Google Chrome แนะนำให้ผู้ใช้งานใช้ฟีเจอร์ One-Time Permissions และ Enhanced Safety Check เพื่อให้มีความปลอดภัยมากขึ้น


    Google ประกาศว่าจะเปิดตัวฟีเจอร์ใหม่ในเบราว์เซอร์ Chrome ซึ่งจะช่วยให้ผู้ใช้สามารถควบคุมข้อมูลของตนเองได้มากขึ้นในขณะที่กำลังท่องอินเทอร์เน็ตอยู่ และป้องกันภัยคุกคามออนไลน์ได้
โดยทาง Google ระบุว่า Chrome เวอร์ชันล่าสุดสามารถใช้ประโยชน์จากฟีเจอร์ Safety Check ที่ได้รับการอัปเกรดแล้ว ซึ่งสามารถเลือกที่จะไม่รับการแจ้งเตือนเว็บไซต์ที่ไม่ต้องการได้ง่ายขึ้น และสามารถเลือกให้สิทธิ์การเข้าถึงกับบางเว็บไซต์ได้ครั้งเดียวเท่านั้น

    มีการปรับปรุงฟีเจอร์ Safety Check ช่วยให้ระบบหลังบ้านทำงานในรูปแบบอัตโนมัติ และจะมีการแจ้งผู้ใช้เกี่ยวกับการดำเนินการที่ได้ทำไป เช่น การเพิกถอนสิทธิ์การเข้าถึงสำหรับเว็บไซต์ที่ผู้ใช้ไม่ได้ใช้งานแล้ว และการทำเครื่องหมายสำหรับการแจ้งเตือน
    โดยมีการออกแบบมาเพื่อแจ้งให้ผู้ใช้ทราบถึงปัญหาความปลอดภัยที่จำเป็นต้องได้รับการแก้ไข พร้อมทั้งเพิกถอนสิทธิ์การแจ้งเตือนจากเว็บไซต์ที่น่าสงสัย ซึ่งระบุโดยฟีเจอร์ Google Safe Browsing ในรูปแบบอัตโนมัติ
    Andrew Kamau product manager ของ Chrome ระบุว่า ในหน้า Desktop ฟีเจอร์ Safety Check จะมีการแจ้งเตือนต่อเนื่อง หากมีการติดตั้ง extensions ของ Chrome ซึ่งอาจก่อให้เกิดความเสี่ยงในด้านความปลอดภัย จากนั้นโปรแกรมจะพาไปที่หน้า extensions page และแสดง summary panel เพื่อให้ผู้ใช้สามารถดำเนินการลบ extensions ได้ทันที
    Google ระบุเพิ่มเติมว่า นอกจากผู้ใช้จะสามารถเลือกเปิดฟีเจอร์ใช้งานการป้องกัน Google Safe Browsing ได้แล้ว ฟีเจอร์ยังสามารถแจ้งเตือนได้อีกว่าชื่อผู้ใช้หรือรหัสผ่านที่เก็บไว้ใน Google Password Manager มีส่วนเกี่ยวข้องกับการละเมิดข้อมูลหรือไม่


    การอัปเดตสำคัญอื่น ๆ เช่น สามารถยกเลิกการสมัครรับการแจ้งเตือนเว็บไซต์ที่ไม่ต้องการได้ โดยสามารถตั้งค่าได้ที่หน้าต่างการแจ้งเตือนบนอุปกรณ์ Pixel และ Android รวมถึงการให้สิทธิ์แบบครั้งเดียวสำหรับ Chrome บน Android และ Desktop
    Kamau ระบุว่าฟีเจอร์นี้ สามารถเลือกให้สิทธิ์บางอย่าง เช่น การเข้าถึงกล้อง หรือไมโครโฟนของผู้ใช้กับเว็บไซต์ได้เพียงครั้งเดียว ซึ่งจะช่วยให้ผู้ใช้งานจัดการความเป็นส่วนตัวในการใช้งานได้ดีขึ้น และเมื่อผู้ใช้ออกจากเว็บไซต์แล้ว Chrome จะเพิกถอนสิทธิ์ดังกล่าว เว็บไซต์จะไม่สามารถใช้สิทธิ์เหล่านั้นได้จนกว่าผู้ใช้จะให้สิทธิ์ดังกล่าวอีกครั้ง

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

24/09/2567

CISA เพิ่มช่องโหว่ของ Progress WhatsUp Gold และ MSHTML ลงใน Known Exploited Vulnerabilities


    CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และผู้เชี่ยวชาญด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง

CVE-2024-6670: Progress WhatsUp Gold
    CVE-2024-6670 (คะแนน CVSS:9.8/10) ความรุนแรงระดับ critical เป็นช่องโหว่ SQL Injection ซึ่งส่งผลกระทบต่อเวอร์ชันของ Progress WhatsUp Gold ที่เผยแพร่ก่อน 2024.0.0
    ช่องโหว่ในเวอร์ชันที่ได้รับผลกระทบของซอฟต์แวร์การตรวจสอบเครือข่าย ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตันสามารถดึงรหัสผ่านที่เข้ารหัสของผู้ใช้ได้ หากแอปพลิเคชันถูกกำหนดค่าให้มีผู้ใช้เพียงคนเดียว
การโจมตีเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากที่ POC สำหรับช่องโหว่นี้ถูกเผยแพร่สู่สาธารณะบน GitHub แม้จะมีแพตช์สำหรับช่องโหว่ดังกล่าวแล้วตั้งแต่เดือนสิงหาคม ซึ่งแสดงให้เห็นว่ายังมีผู้ใช้งานบางรายอาจไม่ได้ดำเนินการอัปเดตเวอร์ชัน
    ผู้เชี่ยวชาญจาก Trend Micro ตรวจพบการโจมตีโดยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่โจมตี WhatsUp Gold โดยใช้ Active Monitor PowerShell Script ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2024-6670 และ CVE-2024-6671 ซึ่งเป็นช่องโหว่ที่เกี่ยวข้อง และมีระดับ Critical (คะแนน 9.8) ช่องโหว่ทั้งสองนี้ได้รับการแก้ไขไปแล้วตั้งแต่เวอร์ชัน 2024.0.0 เป็นต้นไป
    เครื่องมือ Cyble ODIN ตรวจพบ Progress WhatsUp Gold ที่เข้าถึงได้จากอินเทอร์เน็ตจำนวน 381 รายการ ตามภาพด้านล่าง แนะนำให้ผู้ใช้ Progress WhatsUp Gold อัปเกรดโดยเร็วที่สุด และตรวจสอบสัญญาณของการถูกโจมตีในองค์กร


CVE-2024-43461: Microsoft Windows MSHTML
    CVE-2024-43461(คะแนน CVSS:8.8/10) ความรุนแรงระดับ High เป็นช่องโหว่ในแพลตฟอร์ม MSHTML ของเบราว์เซอร์ Internet Explorer บน Microsoft Windows ซึ่งมีข้อบกพร่องในการแสดงผล UI ที่ทำให้ผู้โจมตีสามารถปลอมแปลงหน้าเว็บไซต์ได้ ช่องโหว่นี้ถูกใช้ร่วมกับ CVE-2024-38112 ในการโจมตี
    Microsoft ได้ประกาศยกเลิกการใช้งาน Internet Explorer 11 และเลิกใช้ Microsoft Edge Legacy อย่างไรก็ตาม MSHTML, EdgeHTML และแพลตฟอร์มสคริปต์ที่เกี่ยวข้องยังคงได้รับการสนับสนุน MSHTML ถูกใช้ในโหมด Internet Explorer ใน Microsoft Edge และแอปพลิเคชันอื่น ๆ ผ่านการควบคุม WebBrowser ขณะที่ WebView และแอปพลิเคชัน UWP บางตัวใช้ EdgeHTML การอัปเดตสำหรับช่องโหว่ใน MSHTML และแพลตฟอร์มสคริปต์จะถูกรวมอยู่ในการอัปเดตสะสมของ IE แต่การอัปเดตสำหรับ EdgeHTML และ Chakra จะไม่ได้รับการรวมในนั้น
    ช่องโหว่ CVE-2024-43461 ถูกใช้ร่วมกับ CVE-2024-38112 ก่อนเดือนกรกฎาคม 2024 การแก้ไขช่องโหว่สำหรับ CVE-2024-38112 ที่ปล่อยออกมาในเดือนกรกฎาคม 2024 ได้ขัดขวางการโจมตีที่ใช้ช่องโหว่เหล่านี้ร่วมกัน เพื่อความปลอดภัยผู้ใช้งานควรติดตั้งการอัปเดตด้านความปลอดภัยทั้งจากเดือนกรกฎาคม 2024 และเดือนกันยายน 2024

Windows ที่ได้รับผลกระทบ
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Server 2016
  • Windows 10
  • Windows Server 2022
  • Windows 11
คำแนะนำ
  • ตรวจสอบการอัปเดตด้านความปลอดภัยล่าสุดสำหรับระบบที่ได้รับผลกระทบทั้งหมด และติดตั้งการอัปเดตอย่างสม่ำเสมอ
  • ดำเนินการติดตามเพื่อค้นหาพฤติกรรมที่ผิดปกติ เช่น การใช้ประโยชน์จากช่องโหว่เหล่านี้, การเชื่อมต่อบนเครือข่าย, system logs และพฤติกรรมของผู้ใช้
  • ควบคุมการเข้าถึง และสิทธิ์การใช้งาน ให้แน่ใจว่าแอปพลิเคชันไม่ได้เปิดให้เข้าถึงจากอินเทอร์เน็ตโดยไม่จำเป็น และเปิดใช้งานระบบการพิสูจน์ตัวตน
  • ประเมินช่องโหว่ และทดสอบเจาะระบบเป็นระยะเพื่อระบุ และแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นก่อนที่จะถูกนำมาใช้ในการโจมตี
  • ใช้วิธีการ network segmentation เพื่อปกป้องระบบที่สำคัญจากการถูกเข้าถึงจากอินเทอร์เน็ต
Ref : cyble.com
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

23/09/2567

Broadcom แก้ไขช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server


    Broadcom ได้แก้ไขช่องโหว่ระดับ Critical ใน VMware vCenter Server ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบน server ที่มีช่องโหว่ผ่านทาง network packet ได้
vCenter Server เป็น central management hub สำหรับ vSphere ของ VMware ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ และตรวจสอบ virtualized infrastructure ได้
    CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ในการใช้งาน DCE/RPC protocol ของ vCenter โดยการส่ง network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษ ทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ช่องโหว่ถูกค้นพบโดย ผู้เชี่ยวชาญด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน Hack รายการ Matrix Cup 2024 ของจีน
    ปัจจุบันทาง VMware ได้ออกอัปเดตผ่าน vCenter Server update แล้ว จึงแนะนำให้ผู้ดูแลทำการอัปเดตโดยด่วน ยังไม่พบการโจมตีช่องโหว่ CVE-2024-38812
    Broadcom ระบุว่า ยังไม่พบหลักฐานว่าช่องโหว่ CVE-2023-34048 ได้ถูกนำไปใช้ในการโจมตีในปัจจุบัน
แต่ทั้งนี้ผู้ดูแลระบบที่ไม่สามารถทำการอัปเดตด้านความปลอดภัยได้ทันที ควรควบคุมการเข้าถึง network perimeter ไปยัง vSphere management interfaces อย่างเข้มงวด รวมถึง storage และ network components เนื่องจากยังไม่มีแนวทางแก้ไขเบื้องต้นอย่างเป็นทางการสำหรับช่องโหว่นี้
    รวมถึง VMware ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ privilege escalation ความรุนแรงระดับ High (CVE-2024-38813) ที่ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ในการโจมตีเพื่อรับสิทธิ์ root บน server ที่มีช่องโหว่ผ่าน network packet ที่ถูสร้างขึ้นมาเป็นพิเศษ
    ในเดือนมิถุนายน 2024 ได้มีการแก้ไขช่องโหว่ vCenter Server remote code execution ในลักษณะคล้ายกัน (CVE-2024-37079) ซึ่งสามารถถูกใช้โจมตีผ่าน network packet ที่ถูกสร้างขึ้นมาเป็นพิเศษได้
ในเดือนมกราคม 2024 Broadcom ได้เปิดเผยว่าผู้ไม่ประสงค์ดีชาวจีนได้ใช้ช่องโหว่ vCenter Server (CVE-2023-34048) ในการโจมตีแบบ zero-day มาตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย
    ผู้ไม่ประสงค์ดีชาวจีน (ถูกติดตามโดยบริษัทด้านความปลอดภัย Mandiant ในชื่อ UNC3886) ใช้ช่องโหว่นี้เพื่อเจาะ vCenter server ที่มีช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

18/09/2567

GitLab แจ้งเตือนช่องโหว่ระดับ Critical ในการดำเนินการ Pipeline


    GitLab ได้ออกแพตช์แก้ไขช่องโหว่หลายรายการ โดยช่องโหว่ที่ร้ายแรงที่สุดหมายเลข CVE-2024-6678 เป็นช่องโหว่ที่อนุญาตให้ผู้ไม่ประสงค์ดีเรียกใช้ pipelines ตามที่ต้องการภายใต้เงื่อนไขบางประการได้
    การออกแพตช์ครั้งนี้ สำหรับผู้ใช้งานเวอร์ชัน 17.3.2, 17.2.5 และ 17.1.7 ทั้งในส่วนของ GitLab Community Edition (CE) และ Enterprise Edition (EE) รวมไปถึงแพตช์ที่มีปัญหาด้าน security ทั้งหมด 18 รายการ ซึ่งเป็นการออกแพตช์อัปเดตความปลอดภัยทุก ๆ สองเดือน (ตามกำหนดการ)
    ช่องโหว่หมายเลข CVE-2024-6678 (คะแนน CVSS:9.9/10) ความรุนแรงระดับ critical เป็นช่องโหว่ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถหยุดการทำงานของระบบด้วยสิทธื์เจ้าของระบบได้
    ความรุนแรงของช่องโหว่เกิดจากความเสี่ยงในการถูกโจมตีจากระยะไกล และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้งาน รวมไปถึงไม่จำเป็นต้องมีสิทธิ์สูงก็สามารถใช้ประโยชน์จากช่องโหว่นี้ได้
    GitLab แจ้งเตือนว่าปัญหาดังกล่าวส่งผลต่อ CE/EE ตั้งแต่เวอร์ชั่น 8.14 ถึง 17.1.7 และเวอร์ชั่น 17.2 ถึง 17.2.5 รวมไปถึงเวอร์ชั่น 17.3 ถึง 17.3.2

คำแนะนำ สำหรับเวอร์ชั่นที่ได้รับผลกระทบให้ทำการอัปเดตเป็นเวอร์ชั่นล่าสุดโดยเร็วที่สุด
    GitLab pipelines คือ ระบบ automated workflows ที่ใช้สร้าง ทดสอบ และ deploy code ซึ่งเป็นส่วนหนึ่งของระบบ CI/CD (Continuous Integration/Continuous Delivery) ของ GitLab
    โดยมันถูกออกมาแบบมาเพื่อปรับกระบวนการพัฒนาซอฟต์แวร์ให้มีประสิทธิภาพมากขึ้น ด้วยวิธีให้มีการทำงานซ้ำ ๆ ในรูปแบบอัตโนมัติ และมีการตรวจสอบการเปลี่ยนแปลง codebase ในการทดสอบและนำไปใช้งานอยู่เสมอ
ในช่วงหลายเดือนที่ผ่านมา GitLab ได้แก้ไขช่องโหว่ arbitrary pipeline หลายครั้ง โดยมีข้อมูลดังนี้
  • เดือนกรกฎาคม 2024 มีการแก้ไขช่องโหว่หมายเลข CVE-2024-6385
  • เดือนมิถุนายน 2024 มีการแก้ไขช่องโหว่หมายเลข CVE-2024-5655
  • เดือนกันยายน 2023 มีการแก้ไขช่องโหว่หมายเลข CVE-2023-5009
ซึ่งช่องโหว่ทั้งหมดจัดอยู่ในความรุนแรงระดับ critical
    ในรายงานได้ระบุช่องโหว่ระดับ High อีก 4 รายการ โดยมีคะแนนระหว่าง 6.7 – 8.5 โดยเป็นช่องโหว่ที่อาจทำให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งที่ไม่ได้รับอนุญาต และเข้าถึงข้อมูลที่สำคัญ รวมไปถึงสามารถหยุดการทำงานของระบบได้ ซึ่งมีรายละเอียด ดังนี้

  • CVE-2024-8640 : เป็นช่องโหว่ที่เกิดจาก improper input filtering ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถ inject commands ลงในเซิร์ฟเวอร์ Cube ที่เชื่อมต่อผ่านการกำหนดค่าใน YAML ได้ อาจทำให้ส่งผลกระทบต่อ data integrity ใน GitLab EE ตั้งแต่เวอร์ชัน 16.11 เป็นต้นไป
  • CVE-2024-8635 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถใช้ประโยชน์จากช่องโหว่ Server-Side Request Forgery (SSRF) ในการสร้าง custom Maven Dependency Proxy URL เพื่อส่ง request ไปยังภายในเครือข่าย ซึ่งอาจทำให้สามารถเข้าถึง และควบคุมโครงสร้างพื้นฐาน โดยส่งผลกระทบต่อ GitLab EE ตั้งแต่เวอร์ชัน 16.8 เป็นต้นไป
  • CVE-2024-8124 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีสามารถทำให้เกิด DoS ได้โดยการส่งพารามิเตอร์ 'glm_source' จำนวนมาก ทำให้ระบบทำงานหนัก และไม่สามารถให้บริการต่อได้ ส่งผลกระทบต่อ GitLab CE/EE ตั้งแต่เวอร์ชัน 16.4 เป็นต้นไป
  • CVE-2024-8641 : เป็นช่องโหว่ที่ผู้ไม่ประสงค์ดีใช้ประโยชน์จาก CI_JOB_TOKEN เพื่อเข้าถึงโทเค็นเซสชัน GitLab ของเป้าหมาย ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเซสชันได้ ส่งผลกระทบต่อ GitLab CE/EE ตั้งแต่เวอร์ชัน 13.7 เป็นต้นไป
คำแนะนำ ควรดำเนินการอัปเดต source code และ packages โดยสามารถดาวน์โหลดการอัปเดตได้จาก GitLab’s official download portal และ GitLab Runner packages

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

17/09/2567

WordPress.org จะบังคับและกำหนดให้ใช้ 2FA สำหรับนักพัฒนาปลั๊กอินภายในเดือนตุลาคม


    เริ่มตั้งแต่วันที่ 1 ตุลาคม 2567 เป็นต้นไปผู้ใช้งาน Account ของ WordPress.org ที่สามารถส่งอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมได้ จะต้องเปิดระบบการยืนยันตัวตนแบบสองขั้นตอน (2FA) บน Account ของผ้ใช้งาน
    การตัดสินใจนี้เป็นส่วนหนึ่งของความพยายามจากทีมตรวจสอบปลั๊กอินของแพลตฟอร์ม เพื่อลดความเสี่ยงของการเข้าถึงที่ไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การโจมตีแบบ supply-chain attack
    “Account ที่มีสิทธิ์ในการส่งข้อมูล สามารถอัปเดต และเปลี่ยนแปลงปลั๊กอิน และธีมที่ใช้งานในเว็บไซต์ WordPress หลายล้านเว็บไซต์ทั่วโลก”
    “การรักษาความปลอดภัยของ Account เหล่านี้เป็นสิ่งสำคัญในการป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต และคงความปลอดภัย และความเชื่อมั่นของกลุ่มผู้ใช้งาน WordPress.org”
    WordPress เป็นระบบจัดการเนื้อหา (CMS) แบบ open-source ซึ่งเป็นเครื่องมือที่ใช้สำหรับสร้าง Blog และเป็นแพลตฟอร์มที่ช่วยให้ผู้ใช้สร้าง และจัดการเว็บไซต์ได้อย่างง่ายดาย
ผู้ใช้สามารถเข้าถึงธีม และปลั๊กอินต่าง ๆ ทั้งแบบฟรี และแบบเสียเงิน ซึ่งช่วยให้ปรับแต่งรูปลักษณ์ และขยายฟังก์ชันการทำงานของเว็บไซต์ได้
    หากผู้ไม่ประสงค์ดีสามารถยึด Account ของผู้ใช้ได้ อาจทำให้สามารถแก้ไขโค้ดในธีม หรือปลั๊กอินเพื่อใส่ช่องโหว่ หรือช่องทางการเข้าถึงที่ช่วยให้สามารถเข้าถึงเว็บไซต์ที่ใช้งานสิ่งเหล่านั้นได้

2FA และ SVN passwords
    เพื่อลดโอกาศที่จะเกิดความเสี่ยงดังกล่าว วิธีการรักษาความปลอดภัย 2FA จำเป็นต้องเปิดใช้งานภายในวันที่ 1 ตุลาคม สำหรับAccountที่มีสิทธิ์ส่งข้อมูลบนแพลตฟอร์ม WordPress.org ผู้ดูแลระบบ Account สามารถเปิดใช้ฟีเจอร์นี้ได้จากเมนูความปลอดภัยใน Account ของตน คำแนะนำขั้นตอนการเปิดใช้ 2FA มีให้ตามลิงก์นี้
    นอกจากนี้ WordPress.org ได้เพิ่มรหัสผ่านเฉพาะสำหรับ SVN ซึ่งแยกการเข้าถึงเพื่อทำการเปลี่ยนแปลงโค้ดออกจากข้อมูลประจำตัวของ Account หลัก
    ผู้เขียนปลั๊กอินที่ใช้ deployment scripts เช่น GitHub Actions จะต้องอัปเดตสคริปต์ของพวกเขาเพื่อใช้รหัสผ่าน SVN ใหม่ สามารถตรวจสอบข้อมูลเพิ่มเติมเกี่ยวกับการเข้าถึง Subversion (SVN) ได้ที่นี้
ทีมงานยังระบุว่า เนื่องจากข้อจำกัดทางเทคนิค การเปิดใช้ 2FA ไม่สามารถทำได้กับโค้ดที่มีอยู่เดิม และได้เลือกที่จะผสมผสาน "การยืนยันตัวตนแบบสองขั้นตอน รหัสผ่าน SVN ที่มีความซับซ้อนสูง และฟีเจอร์ความปลอดภัยในขณะปรับใช้อื่น ๆ"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

กลุ่ม RansomHub ใช้ Kaspersky TDSSKiller เพื่อปิดการทำงานของ Endpoint Detection and Response (EDR)


    กลุ่มแรนซัมแวร์ RansomHub ได้ใช้ TDSSKiller ซึ่งเป็นเครื่องมือจาก Kaspersky ที่มีความน่าเชื่อถือ มาใช้เพื่อปิดการทำงานในส่วนของ Endpoint detection and response บนระบบของเป้าหมาย
    หลังจากมีการปิดระบบป้องกันแล้ว กลุ่ม RansomHub จะมีการนำเครื่องมือ LaZagne credential-harvesting มาใช้ในการดึงข้อมูลการ logins จากฐานข้อมูลแอปพลิเคชันต่าง ๆ เพื่อเป็นตัวช่วยในการโจมตีต่อไปภายในเครือข่าย
TDSSKiller ถูกนำไปใช้โจมตีในรูปแบบ Ransomware
    Kaspersky สร้าง TDSSKiller ขึ้นมาเพื่อเป็นเครื่องมือในการสแกนเครือข่ายเพื่อค้นหา rootkits และ bootkits ซึ่งเป็น Malware 2 ประเภทที่ตรวจจับได้ยากเป็นพิเศษ และสามารถหลบเลี่ยงการตรวจจับจากอุปกรณ์ security ได้
    โดย EDR เป็นเทคโนโลยีขั้นสูงที่ทำงานตั้งแต่ระดับ kernel level เนื่องจากการทำงานของตัวอุปกรณ์จะมีการตรวจสอบ และควบคุมพฤติกรรมของระบบตั้งแต่ขั้นแรก เช่น การเข้าถึงไฟล์ และการสร้าง process รวมไปถึงการเชื่อมต่อภายในเครือข่าย ซึ่งทั้งหมดนี้จะเป็นการป้องกันการโจมตีในรูปแบบ real-time เช่น การโจมตีแบบ Ranomware
    บริษัทความปลอดภัยทางไซเบอร์อย่าง Malwarebytes ระบุว่า เมื่อเร็ว ๆ นี้ ได้สังเกตเห็นกลุ่ม RansomHub มีการใช้ TDSSKiller ในการสื่อสารกับ kernel-level services โดยใช้สคริปต์คำสั่ง หรือ batch file เพื่อปิดการทำงานของ Malwarebytes Anti-Malware Service (MBAMService) ที่กำลังทำงานอยู่บนเครื่อง


    เครื่องมือ TDSSKiller ถูกนำมาใช้หลังจากที่มีการรวบรวมข้อมูล การยกระดับสิทธิ์ และการถูกเรียกใช้จากไดเรกทอรีชั่วคราวในส่วนของ ('C:\Users\<User>\AppData\Local\Temp\') โดยมีการใช้ชื่อไฟล์ที่สร้างขึ้นแบบไดนามิก (‘{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’)
    เนื่องจาก TDSSKiller เป็นเครื่องมือที่มี valid certificate ทำให้อุปกรณ์ Security มองว่าไม่มีความเสี่ยง และไม่เข้าข่ายการโจมตี จึงทำให้เมื่อเกิดการโจมตีจากกลุ่ม RansomHub ตัวอุปกรณ์อาจจะมีการหยุดการทำงาน
    จากนั้นกลุ่ม RansomHub จะใช้เครื่องมือ LaZagne ในการพยายามดึงข้อมูล credentials ที่ถูกจัดเก็บไว้ในฐานข้อมูล โดยทาง Malwarebytes ได้ตรวจสอบการโจมตีที่ใช้ LaZagne พบว่ามีการเขียนไฟล์ 60 รายการ ซึ่งน่าจะเป็น credentials ที่ถูกขโมยออกไป
โดยพฤติกรรมที่มีการลบไฟล์บนระบบอาจเป็นการกระทำของผู้โจมตีที่ต้องการปกปิดการโจมตี

การป้องกัน TDSSKiller
    อุปกรณ์ Security จะสามารถตรวจจับการทำงานของ LaZagne ได้ เนื่องจากถูกระบุว่าเป็น malicious แต่อุปกรณ์ Security จะไม่สามารถตรวจจับได้ หากมีการใช้ TDSSKiller เพื่อปิดการทำงานของอุปกรณ์ โดย TDSSKiller ถือว่าอยู่ในส่วนของ gray area ซึ่งเครื่องมือ security บางตัว เช่น ThreatDown ของ Malwarebytes ระบุว่าเป็น RiskWare ทำให้มีการแจ้งเตือนสำหรับผู้ใช้งาน
    บริษัทความปลอดภัยทางไซเบอร์ แนะนำให้เปิดใช้งานฟีเจอร์ tamper protection ในโซลูชัน EDR เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถปิดใช้งานโซลูชันดังกล่าวได้ด้วยเครื่องมือ เช่น TDSSKiller
นอกจากนี้ การตรวจสอบ ‘-dcsvc’ flag ซึ่งเป็นพารามิเตอร์เกี่ยวกับการปิดใช้งาน หรือการลบ services ก็เป็นอีกตัวช่วยหนึ่งในการตรวจจับ และบล็อกพฤติกรรมที่เป็นอันตรายได้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

16/09/2567

ผู้ไม่ประสงค์ดีชาวจีนใช้ประโยชน์จาก Visual Studio Code ในการโจมตีทางไซเบอร์ในเอเชียตะวันออกเฉียงใต้


    กลุ่ม Mustang Panda ซึ่งเป็นกลุ่มผู้ไม่ประสงค์ดีแบบ advanced persistent threat (APT) ที่มีความเชื่อมโยงกับรัฐบาลจีน มีการนำซอฟต์แวร์ Visual Studio Code มาใช้ในการโจมตีเพื่อขโมยข้อมูล โดยมีเป้าหมายคือ หน่วยงานของรัฐบาลในทวีปในเอเชียตะวันออกเฉียงใต้
    Tom Fakterman นักวิจัยจาก Palo Alto Networks Unit 42 ระบุว่า "ผู้ไม่ประสงค์ดีรายนี้ใช้ฟีเจอร์ Reverse Shell ที่อยู่ใน Visual Studio Code เพื่อเข้าถึงในเครือข่ายเป้าหมาย โดยถือว่าเป็นเทคนิคที่ค่อนข้างใหม่ ที่ได้รับการสาธิตครั้งแรกในเดือนกันยายน 2023 โดย ทรูวิส ธอร์นตัน"
    แคมเปญนี้ได้รับการประเมินว่าเป็นการสานต่อการโจมตีที่เคยมีก่อนหน้านี้ในช่วงปลายเดือนกันยายน 2023 ซึ่งมีเป้าหมายไปยังหน่วยงานรัฐในเอเชียตะวันออกเฉียงใต้ และไม่ได้มีการระบุชื่อหน่วยงาน
กลุ่ม Mustang Panda ที่รู้จักกันในชื่อ BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta และ Red Lich ได้ปฏิบัติการมาตั้งแต่ปี 2012 โดยมักจะโจมตีไปยังเป้าหมายที่เป็นหน่วยงานของรัฐ และองค์กรศาสนาทั่วทั้งยุโรป และเอเชีย โดยเฉพาะหน่วยงานที่ตั้งอยู่ในประเทศแถบทะเลจีนใต้
    จากการตรวจสอบการโจมตีล่าสุด พบว่ามีการใช้ reverse shell ของ Visual Studio Code เพื่อเรียกใช้โค้ดที่ต้องการ และมีการส่ง additional payloads ในการโจมตี
    Fakterman ระบุว่า หากมีการใช้ Visual Studio Code ในการโจมตี ผู้ไม่ประสงค์ดีจะทำการใช้ code.exe ในรูปแบบ portable version (ไฟล์ปฏิบัติการสำหรับ Visual Studio Code) หรืออาจใช้ซอฟต์แวร์ เวอร์ชันที่มีการติดตั้งไว้แล้ว ทำการเรียกใช้คำสั่ง code.exe ทำให้ผู้ไม่ประสงค์ดีได้รับลิงก์การเข้าสู่ระบบ GitHub ด้วยบัญชีของตนเอง


    เมื่อขั้นตอนนี้เสร็จสมบูรณ์ ผู้ไม่ประสงค์ดีจะถูกเปลี่ยนเส้นทางไปยังเว็บ Visual Studio Code ที่เชื่อมต่อกับเครื่องที่ถูกโจมตี ซึ่งทำให้สามารถเรียกใช้คำสั่ง หรือสร้างไฟล์ใหม่ได้
 การโจมตีที่ใช้รูปแบบ หรือเทคนิคนี้ เคยถูกแจ้งเตือนจากบริษัทความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ที่ชื่อว่า Mnemonic เมื่อต้นปีที่ผ่านมา โดยมีความเกี่ยวข้องกับการโจมตีช่องโหว่ในผลิตภัณฑ์เกตเวย์ Network Security ของ Check Point (CVE-2024-24919, คะแนน CVSS: 8.6)
    Unit 42 ระบุว่า กลุ่มผู้ไม่ประสงค์ดี Mustang Panda ใช้เทคนิคนี้เพื่อส่งมัลแวร์ รวบรวม และขโมยข้อมูลที่สำคัญ นอกจากนี้ผู้ไม่ประสงค์ดียังระบุอีกว่าได้ใช้ OpenSSH ในการเรียกใช้คำสั่ง ถ่ายโอนไฟล์ และแพร่กระจายมัลแวร์ไปทั่วเครือข่าย
    ทั้งนี้ จากการวิเคราะห์ environment ระบุได้ว่า การโจมตีทั้งสองรูปแบบเกิดขึ้นพร้อม ๆ กัน และบางครั้งก็เกิดขึ้นที่เป้าหมายเดียวกัน รวมถึงมีการใช้มัลแวร์ ShadowPad ซึ่งเป็น modular backdoor ของจีนที่ใช้โจมตีกันอย่างแพร่หลาย
    ปัจจุบัน ยังไม่ชัดเจนว่าการโจมตีทั้งสองรูปแบบเกี่ยวข้องกันหรือไม่ หรือเป็นกลุ่มที่แตกต่างกันสองกลุ่มคอยสนับสนุนการเข้าถึงของกันและกัน
    จากข้อมูลการ forensic evidence และ timeline อาจสรุปได้ว่าการโจมตีทั้งสองรูปแบบนี้เกิดจากผู้ไม่ประสงค์ดีรายเดียวกัน (Stately Taurus) นักวิจัย Fakterman ระบุว่า อาจจะมีข้อมูลที่พอจะระบุความเกี่ยวข้องของเหตุการณ์การโจมตีนี้ได้ เช่น การพยายามร่วมมือกันระหว่างผู้ไม่ประสงค์ดี APT ของจีนทั้งสองกลุ่ม

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

13/09/2567

Microsoft Patch Tuesday ประจำเดือนกันยายน 2024 ได้ออกอัปเดตเพื่อแก้ไขปัญหาความปลอดภัย รวมทั้งหมด 79 ช่องโหว่


Microsoft Patch Tuesday ประจำเดือนกันยายน 2024 ซึ่งได้มีการปล่อยอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ทั้งหมด 79 รายการ โดยในจำนวนนี้มี 3 รายการที่ถูกโจมตีจริงและ 1 รายการที่ถูกเปิดเผยสู่สาธารณะ
ในการอัปเดตครั้งนี้ Microsoft ได้แก้ไขช่องโหว่ร้ายแรง 7 รายการ ซึ่งรวมถึงช่องโหว่ที่เกี่ยวข้องกับการโจมตีแบบ Remote Code Execution (การรันโค้ดจากระยะไกล) หรือการยกระดับสิทธิ์การเข้าถึง (Elevation of Privileges)

จำนวนช่องโหว่ในแต่ละหมวดหมู่มีดังนี้:
  • 30 ช่องโหว่ Elevation of Privilege (ยกระดับสิทธิ์การเข้าถึง)
  • 4 ช่องโหว่ Security Feature Bypass (ข้ามผ่านคุณสมบัติด้านความปลอดภัย)
  • 23 ช่องโหว่ Remote Code Execution (การรันโค้ดจากระยะไกล)
  • 11 ช่องโหว่ Information Disclosure (เปิดเผยข้อมูล)
  • 8 ช่องโหว่ Denial of Service (การปฏิเสธการให้บริการ)
  • 3 ช่องโหว่ Spoofing (การปลอมแปลง)
    หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับอัปเดตที่ไม่เกี่ยวกับความปลอดภัยในวันนี้ คุณสามารถดูบทความเฉพาะทางในอัปเดตสะสม
Windows 11 KB5043076 Link
Windows 10 KB5043064 Link

    Zero-Days 4 รายการที่ถูกเปิดเผย ใน Patch Tuesday เดือนนี้ มีการแก้ไขช่องโหว่ Zero-Day จำนวน 3 รายการที่ถูกโจมตี และ 1 รายการที่ถูกเปิดเผยสู่สาธารณะ โดยอีกหนึ่งรายการที่ถูกแก้ไขเป็นช่องโหว่ที่ถูกทำเครื่องหมายว่าเป็นช่องโหว่ที่กลับมานำ CVE เก่า ๆ มาใช้อีกครั้งและถูกทำเครื่องหมายว่าโดนโจมตีจริง
    Microsoft นิยามช่องโหว่ Zero-Day ว่าเป็นช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีจริงโดยที่ยังไม่มีการแก้ไขอย่างเป็นทางการ 3 ช่องโหว่ Zero-Day ที่ถูกโจมตีจริงในการอัปเดตครั้งนี้ได้แก่:
  • CVE-2024-38014 - Windows Installer Elevation of Privilege Vulnerability Link
    ช่องโหว่นี้ทำให้ผู้โจมตีสามารถได้สิทธิ์ SYSTEM บนระบบ Windows โดย Microsoft ยังไม่เปิดเผยรายละเอียดเกี่ยวกับการโจมตีนี้ ช่องโหว่นี้ถูกค้นพบโดย Michael Baer จาก SEC Consult Vulnerability Lab
  • CVE-2024-38217 - Windows Mark of the Web Security Feature Bypass Vulnerability Link
    ช่องโหว่นี้ถูกเปิดเผยสู่สาธารณะเมื่อเดือนที่แล้วโดย Joe Desimone จาก Elastic Security และคาดว่าถูกโจมตีตั้งแต่ปี 2018 รายงานจาก Desimone ได้อธิบายถึงเทคนิคที่เรียกว่า LNK stomping ที่ทำให้ไฟล์ LNK ที่ถูกสร้างขึ้นมาอย่างเจาะจงสามารถถูกเปิดโดยไม่แสดงคำเตือนด้านความปลอดภัยเช่น Smart App Control และ Mark of the Web
  • CVE-2024-38226 - Microsoft Publisher Security Feature Bypass Vulnerability Link
    Microsoft ได้แก้ไขช่องโหว่ใน Microsoft Publisher ที่ข้ามการป้องกันด้านความปลอดภัยต่อมาโครในเอกสารที่ดาวน์โหลด "ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จอาจข้ามนโยบายมาโครของ Office ที่ใช้บล็อกไฟล์ที่ไม่น่าเชื่อถือหรือไฟล์ที่เป็นอันตรายได้" Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้ค้นพบช่องโหว่นี้และถูกโจมตีอย่างไร

    นอกจากนี้ Microsoft ยังได้แก้ไข Zero-Day ที่ถูกทำเครื่องหมายว่าเป็นช่องโหว่ที่ถูกโจมตี โดยเป็นช่องโหว่ที่สามารถนำช่องโหว่เก่าที่ถูกโจมตีกลับมาใช้งานได้อีกครั้ง
  • CVE-2024-43491 - Microsoft Windows Update Remote Code Execution Vulnerability
    Microsoft ได้แก้ไขช่องโหว่ที่เกี่ยวข้องกับ servicing stack ที่ถูกทำเครื่องหมายว่าเป็น Remote Code Execution แต่จริง ๆ แล้วกลับทำให้ช่องโหว่ในโปรแกรมที่เคยได้รับการแพตช์ก่อนหน้านี้กลับมาเป็นช่องโหว่อีกครั้ง โดยเฉพาะกับ Optional Components ใน Windows 10 เวอร์ชัน 1507 (รุ่นแรกที่ปล่อยในเดือนกรกฎาคม 2015) และ Windows 10 Enterprise 2015 LTSB และ Windows 10 IoT Enterprise 2015 LTSB ซึ่งยังคงอยู่ภายใต้การสนับสนุน
    ช่องโหว่นี้ได้รับการแก้ไขโดยการติดตั้งอัปเดต September 2024 Servicing Stack Update (SSU KB5043936) และอัปเดต Windows Security Update (KB5043083) ในลำดับนั้น ช่องโหว่นี้ทำให้ Optional Components เช่น Active Directory Lightweight Directory Services, XPS Viewer, Internet Explorer 11, LPD Print Service, IIS, และ Windows Media Player ถูกย้อนกลับไปใช้เวอร์ชัน RTM เดิม ทำให้ช่องโหว่เก่าที่เคยมีถูกกลับมาใช้งานได้อีกครั้ง

การอัปเดตล่าสุดจากบริษัทอื่นๆ บริษัทอื่นที่ปล่อยอัปเดตหรือคำแนะนำในเดือนกันยายน 2024 ได้แก่:
    แก้ไขช่องโหว่ Remote Code Execution ที่สำคัญใน OFBiz ซึ่งเป็นการข้ามผ่านช่องโหว่ที่เคยถูกแก้ไขมาก่อนหน้านี้
    แก้ไขช่องโหว่หลายรายการในเดือนนี้ รวมถึงบัญชีแอดมิน backdoor ใน Smart Licensing Utility และช่องโหว่ Command Injection ใน ISE
    ปล่อยอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ใน Fortisandbox และ FortiAnalyzer & FortiManager
    แก้ไขช่องโหว่ Elevation of Privileges ที่ถูกโจมตีจริงใน Pixel และ backport ไปยังอุปกรณ์ Android อื่น
    ปล่อยอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ critical vTM auth bypass ที่มี public exploit
    ที่ถูกแก้ไขเมื่อเดือนที่แล้ว ตอนนี้ถูกใช้ในการโจมตี ransomware
    แก้ไขช่องโหว่ RCE ที่สำคัญในซอฟต์แวร์ Backup & Replication
    เตือนถึงช่องโหว่ OS Command Injection ที่สำคัญในเราเตอร์ของบริษัท
    
    ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนกันยายน 2024หากต้องการดูคำอธิบายเต็มรูปแบบของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ คุณสามารถดูรายงานฉบับเต็มได้ที่นี่

TagCVE IDCVE TitleSeverity
Azure CycleCloudCVE-2024-43469Azure CycleCloud Remote Code Execution VulnerabilityImportant
Azure Network WatcherCVE-2024-38188Azure Network Watcher VM Agent Elevation of Privilege VulnerabilityImportant
Azure Network WatcherCVE-2024-43470Azure Network Watcher VM Agent Elevation of Privilege VulnerabilityImportant
Azure StackCVE-2024-38216Azure Stack Hub Elevation of Privilege VulnerabilityCritical
Azure StackCVE-2024-38220Azure Stack Hub Elevation of Privilege VulnerabilityCritical
Azure Web AppsCVE-2024-38194Azure Web Apps Elevation of Privilege VulnerabilityCritical
Dynamics Business CentralCVE-2024-38225Microsoft Dynamics 365 Business Central Elevation of Privilege VulnerabilityImportant
Microsoft AutoUpdate (MAU)CVE-2024-43492Microsoft AutoUpdate (MAU) Elevation of Privilege VulnerabilityImportant
Microsoft Dynamics 365 (on-premises)CVE-2024-43476Microsoft Dynamics 365 (on-premises) Cross-site Scripting VulnerabilityImportant
Microsoft Graphics ComponentCVE-2024-38247Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft Graphics ComponentCVE-2024-38250Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft Graphics ComponentCVE-2024-38249Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft Management ConsoleCVE-2024-38259Microsoft Management Console Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2024-43465Microsoft Excel Elevation of Privilege VulnerabilityImportant
Microsoft Office PublisherCVE-2024-38226Microsoft Publisher Security Feature Bypass VulnerabilityImportant
Microsoft Office SharePointCVE-2024-38227Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2024-43464Microsoft SharePoint Server Remote Code Execution VulnerabilityCritical
Microsoft Office SharePointCVE-2024-38018Microsoft SharePoint Server Remote Code Execution VulnerabilityCritical
Microsoft Office SharePointCVE-2024-38228Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2024-43466Microsoft SharePoint Server Denial of Service VulnerabilityImportant
Microsoft Office VisioCVE-2024-43463Microsoft Office Visio Remote Code Execution VulnerabilityImportant
Microsoft Outlook for iOSCVE-2024-43482Microsoft Outlook for iOS Information Disclosure VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38245Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38241Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38242Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38244Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38243Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38237Kernel Streaming WOW Thunk Service Driver Elevation of Privilege VulnerabilityImportant
Microsoft Streaming ServiceCVE-2024-38238Kernel Streaming Service Driver Elevation of Privilege VulnerabilityImportant
Power AutomateCVE-2024-43479Microsoft Power Automate Desktop Remote Code Execution VulnerabilityImportant
Role: Windows Hyper-VCVE-2024-38235Windows Hyper-V Denial of Service VulnerabilityImportant
SQL ServerCVE-2024-37338Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37980Microsoft SQL Server Elevation of Privilege VulnerabilityImportant
SQL ServerCVE-2024-26191Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37339Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37337Microsoft SQL Server Native Scoring Information Disclosure VulnerabilityImportant
SQL ServerCVE-2024-26186Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37342Microsoft SQL Server Native Scoring Information Disclosure VulnerabilityImportant
SQL ServerCVE-2024-43474Microsoft SQL Server Information Disclosure VulnerabilityImportant
SQL ServerCVE-2024-37335Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37966Microsoft SQL Server Native Scoring Information Disclosure VulnerabilityImportant
SQL ServerCVE-2024-37340Microsoft SQL Server Native Scoring Remote Code Execution VulnerabilityImportant
SQL ServerCVE-2024-37965Microsoft SQL Server Elevation of Privilege VulnerabilityImportant
SQL ServerCVE-2024-37341Microsoft SQL Server Elevation of Privilege VulnerabilityImportant
Windows Admin CenterCVE-2024-43475Microsoft Windows Admin Center Information Disclosure VulnerabilityImportant
Windows AllJoyn APICVE-2024-38257Microsoft AllJoyn API Information Disclosure VulnerabilityImportant
Windows Authentication MethodsCVE-2024-38254Windows Authentication Information Disclosure VulnerabilityImportant
Windows DHCP ServerCVE-2024-38236DHCP Server Service Denial of Service VulnerabilityImportant
Windows InstallerCVE-2024-38014Windows Installer Elevation of Privilege VulnerabilityImportant
Windows KerberosCVE-2024-38239Windows Kerberos Elevation of Privilege VulnerabilityImportant
Windows Kernel-Mode DriversCVE-2024-38256Windows Kernel-Mode Driver Information Disclosure VulnerabilityImportant
Windows LibarchiveCVE-2024-43495Windows libarchive Remote Code Execution VulnerabilityImportant
Windows Mark of the Web (MOTW)CVE-2024-38217Windows Mark of the Web Security Feature Bypass VulnerabilityImportant
Windows Mark of the Web (MOTW)CVE-2024-43487Windows Mark of the Web Security Feature Bypass VulnerabilityModerate
Windows MSHTML PlatformCVE-2024-43461Windows MSHTML Platform Spoofing VulnerabilityImportant
Windows Network Address Translation (NAT)CVE-2024-38119Windows Network Address Translation (NAT) Remote Code Execution VulnerabilityCritical
Windows Network VirtualizationCVE-2024-38232Windows Networking Denial of Service VulnerabilityImportant
Windows Network VirtualizationCVE-2024-38233Windows Networking Denial of Service VulnerabilityImportant
Windows Network VirtualizationCVE-2024-38234Windows Networking Denial of Service VulnerabilityImportant
Windows Network VirtualizationCVE-2024-43458Windows Networking Information Disclosure VulnerabilityImportant
Windows PowerShellCVE-2024-38046PowerShell Elevation of Privilege VulnerabilityImportant
Windows Remote Access Connection ManagerCVE-2024-38240Windows Remote Access Connection Manager Elevation of Privilege VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-38231Windows Remote Desktop Licensing Service Denial of Service VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-38258Windows Remote Desktop Licensing Service Information Disclosure VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-43467Windows Remote Desktop Licensing Service Remote Code Execution VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-43454Windows Remote Desktop Licensing Service Remote Code Execution VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-38263Windows Remote Desktop Licensing Service Remote Code Execution VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-38260Windows Remote Desktop Licensing Service Remote Code Execution VulnerabilityImportant
Windows Remote Desktop Licensing ServiceCVE-2024-43455Windows Remote Desktop Licensing Service Spoofing VulnerabilityImportant
Windows Security Zone MappingCVE-2024-30073Windows Security Zone Mapping Security Feature Bypass VulnerabilityImportant
Windows Setup and DeploymentCVE-2024-43457Windows Setup and Deployment Elevation of Privilege VulnerabilityImportant
Windows Standards-Based Storage Management ServiceCVE-2024-38230Windows Standards-Based Storage Management Service Denial of Service VulnerabilityImportant
Windows StorageCVE-2024-38248Windows Storage Elevation of Privilege VulnerabilityImportant
Windows TCP/IPCVE-2024-21416Windows TCP/IP Remote Code Execution VulnerabilityImportant
Windows TCP/IPCVE-2024-38045Windows TCP/IP Remote Code Execution VulnerabilityImportant
Windows UpdateCVE-2024-43491Microsoft Windows Update Remote Code Execution VulnerabilityCritical
Windows Win32K - GRFXCVE-2024-38246Win32k Elevation of Privilege VulnerabilityImportant
Windows Win32K - ICOMPCVE-2024-38252Windows Win32 Kernel Subsystem Elevation of Privilege VulnerabilityImportant
Windows Win32K - ICOMPCVE-2024-38253Windows Win32 Kernel Subsystem Elevation of Privilege VulnerabilityImportant
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)