กลุ่ม Fog Ransomware มุ่งโจมตีช่องโหว่ SonicWall VPN เพื่อเข้าถึงเครือข่ายของเป้าหมาย

    ผู้เชี่ยวชาญด้านความปลอดภัยของ Arctic Wolf ได้ออกมาเดเผลถึงการมีอยู่ของกลุ่ม Fog และ Akira ransomware ที่มุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

    โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

    Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

    ผู้เชี่ยวชาญรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

    แม้ว่าผู้เชี่ยวชาญจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

    Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

    ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

    ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

Ref : bleepingcomputer.com

กลุ่ม Ransomware Black Basta ปลอมตัวเป็นฝ่ายสนับสนุน IT บน Microsoft Teams เพื่อเข้าถึงเครือข่าย

    การโจมตีของกลุ่มผู้ไม่ประสงค์ดีทำการใช้ Ransomware BlackBasta ได้เปลี่ยนรูปแบบการโจมตีโดยใช้ Microsoft Teams โดยปลอมตัวเป็นฝ่ายช่วยเหลือของบริษัทที่ติดต่อพนักงานเพื่อช่วยเหลือเกี่ยวกับการโจมตีด้วยสแปมที่กำลังดำเนินอยู่

    Black Basta เป็นกลุ่มมัลแวร์เรียกค่าไถ่ที่เปิดดำเนินการตั้งแต่เดือนเมษายน 2022 และมีส่วนรับผิดชอบต่อการโจมตีหลายร้อยครั้งทั่วโลก

    หลังจากที่กลุ่มอาชญากรรมไซเบอร์ Conti ถูกปิดตัวลงในเดือนมิถุนายน 2022 เนื่องจากการรั่วไหลข้อมูลที่น่าอับอาย กลุ่มนี้ได้แยกตัวออกเป็นหลายกลุ่ม โดยหนึ่งในกลุ่มเหล่านั้นเชื่อว่าเป็น Black Basta

สมาชิกของ Black Basta บุกรุกเครือข่ายผ่านวิธีการต่างๆ รวมถึงการใช้ช่องโหว่ การร่วมมือกับบ็อตเน็ตที่เป็นมัลแวร์ และการหลอกลวงทางสังคม

    ในเดือนพฤษภาคม Rapid7 และ ReliaQuest ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญการหลอกลวงทางสังคมใหม่ของ Black Basta ซึ่งส่งอีเมลไปยังพนักงานที่ถูกเป้าหมายมากมาย ซึ่งมีจำนวนถึงพันฉบับ อีเมลเหล่านี้ไม่ใช่อีเมลที่เป็นอันตราย ส่วนใหญ่ประกอบด้วยจดหมายข่าว การยืนยันการลงทะเบียน และการตรวจสอบอีเมล แต่ทำให้กล่องจดหมายของผู้ใช้เต็มอย่างรวดเร็ว

    จากนั้น ผู้โจมตีจะโทรหาพนักงานที่รู้สึกท่วมท้น โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทเพื่อช่วยพวกเขาในปัญหาสแปม

    ในระหว่างการโจมตีทางการพูดนี้ ผู้โจมตีจะหลอกลวงบุคคลนั้นให้ติดตั้งเครื่องมือสนับสนุนระยะไกล AnyDesk หรือให้การเข้าถึงระยะไกลกับอุปกรณ์ Windows ของพวกเขาโดยการเปิดใช้งานเครื่องมือควบคุมระยะไกลและแชร์หน้าจอ Windows Quick Assist

    จากนั้น ผู้โจมตีจะเรียกใช้สคริปต์ที่ติดตั้งเพย์โหลดต่างๆ เช่น ScreenConnect, NetSupport Manager และ Cobalt Strike ซึ่งให้การเข้าถึงระยะยาวต่ออุปกรณ์ของบริษัทของผู้ใช้

    เมื่อ Black Basta ได้เข้าถึงเครือข่ายของบริษัทแล้ว พวกเขาจะแพร่กระจายไปยังอุปกรณ์อื่นๆ ในขณะที่ยกระดับสิทธิ์ ขโมยข้อมูล และท้ายที่สุดจะทำการติดตั้งตัวเข้ารหัสมัลแวร์เรียกค่าไถ่

ในรายงานใหม่โดย ReliaQuest นักวิจัยสังเกตเห็นว่าผู้เกี่ยวข้องกับ Black Basta กำลังพัฒนากลยุทธ์ของตนในเดือนตุลาคมโดยเริ่มใช้ Microsoft Teams

    เช่นเดียวกับการโจมตีครั้งก่อน ผู้โจมตีจะเริ่มต้นด้วยการทำให้กล่องจดหมายของพนักงานเต็มไปด้วยอีเมล

    อย่างไรก็ตาม แทนที่จะโทรหาพวกเขา ผู้โจมตีจะติดต่อพนักงานผ่าน Microsoft Teams ในฐานะผู้ใช้ภายนอก โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทที่ติดต่อพนักงานเพื่อช่วยแก้ปัญหาสแปมของพวกเขา

บัญชีเหล่านี้ถูกสร้างขึ้นภายใต้ Entra ID tenants ที่มีชื่อให้ดูเหมือนเป็นฝ่ายช่วยเหลือ เช่น:

• securityadminhelper.onmicrosoft[.]com
• supportserviceadmin.onmicrosoft[.]com
• supportadministrator.onmicrosoft[.]com
• cybersecurityadmin.onmicrosoft[.]com

    ผู้ใช้ภายนอกเหล่านี้ตั้งค่าชื่อโปรไฟล์ของตนเป็น 'DisplayName' ที่ออกแบบมาให้ผู้ใช้เป้าหมายคิดว่าพวกเขากำลังสื่อสารกับบัญชีฝ่ายช่วยเหลือ" รายงานใหม่จาก ReliaQuest อธิบาย

    "ในเกือบทุกกรณีที่เราได้สังเกต ผู้แสดงชื่อจะรวมถึงสตริง 'Help Desk' ซึ่งมักจะมีอักขระเว้นว่างล้อมรอบ ซึ่งอาจทำให้ชื่ออยู่ตรงกลางในแชท นอกจากนี้ เรายังสังเกตเห็นว่ามักจะมีการเพิ่มผู้ใช้เป้าหมายไปยังแชท 'OneOnOne'"

    ReliaQuest กล่าวว่า พวกเขายังเห็นผู้โจมตีส่ง QR โค้ดในแชท ซึ่งนำไปยังโดเมนอย่าง qr-s1[.]com อย่างไรก็ตาม พวกเขาไม่สามารถระบุได้ว่า QR โค้ดเหล่านี้ใช้ทำอะไร

ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าผู้ใช้ Microsoft Teams ภายนอกมาจากรัสเซีย โดยข้อมูลเขตเวลามักจะมาจากมอสโก

    เป้าหมายคือการหลอกลวงเป้าหมายให้ติดตั้ง AnyDesk หรือเปิดใช้งาน Quick Assist เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ของพวกเขาได้ทางระยะไกล

เมื่อเชื่อมต่อแล้ว ผู้โจมตีได้ติดตั้งเพย์โหลดที่ชื่อว่า "AntispamAccount.exe," "AntispamUpdate.exe," และ "AntispamConnectUS.exe"

    ผู้เชี่ยวชาญด้านความปลอดภัยคนอื่นๆ ได้ตั้งสัญญาณเตือนเกี่ยวกับ AntispamConnectUS.exe ใน VirusTotal ว่าเป็น SystemBC ซึ่งเป็นมัลแวร์พร็อกซีที่ Black Basta ใช้ในอดีต

สุดท้าย Cobalt Strike จะถูกติดตั้ง ซึ่งให้การเข้าถึงเต็มรูปแบบไปยังอุปกรณ์ที่ถูกบุกรุกเพื่อทำหน้าที่เป็นจุดกระโดดในการเจาะเข้าไปในเครือข่าย

    ReliaQuest แนะนำให้องค์กรจำกัดการสื่อสารจากผู้ใช้ภายนอกใน Microsoft Teams และหากจำเป็น ให้อนุญาตเฉพาะจากโดเมนที่เชื่อถือได้เท่านั้น ควรเปิดใช้งานการบันทึกด้วย โดยเฉพาะสำหรับเหตุการณ์ ChatCreated เพื่อค้นหาการแชทที่น่าสงสัย

Ref : bleepingcomputer.com

VMware แก้ไขช่องโหว่ RCE ระดับ Critical ของ vCenter Server

    VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024

• CVE-2024-38812 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ heap overflow ใน DCE/RPC protocol ของ vCenter ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลจาก network packet ที่ถูกสร้างขึ้นเป็นพิเศษ โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน ซึ่งส่งผลกระทบต่อ vCenter Server และผลิตภัณฑ์ใด ๆ ที่มีความเกี่ยวข้องกับช่องโหว่ เช่น vSphere และ Cloud Foundation

    ช่องโหว่ดังกล่าวถูกค้นพบโดย TZL ที่ได้นำช่องโหว่ไปใช้ในระหว่างการแข่งขัน Matrix Cup hacking ของจีนในปี 2024 นอกจากนี้ นักวิจัยยังเปิดเผยช่องโหว่ CVE-2024-38813 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อ VMware vCenter ด้วยเช่นกัน

    Broadcom ได้แนะนำให้ผู้ใช้งานทำการอัปเดตเป็น vCenter 7.0.3, 8.0.2 และ 8.0.3 เพื่อแก้ไขช่องโหว่ ทั้งนี้เวอร์ชันผลิตภัณฑ์ที่หมดอายุ end-of-support ไปแล้วเช่น vSphere 6.5 และ 6.7 ที่ได้รับผลกระทบจะไม่ได้รับการอัปเดตด้านความปลอดภัย

    VMware ระบุว่า สำหรับช่องโหว่ทั้ง 2 รายการ CVE-2024-38812, CVE-2024-38813 ยังไม่มีวิธีการลดผล

กระทบ จึงแนะนำให้ผู้ใช้ที่ได้รับผลกระทบทำการอัปเดตเวอร์ชันล่าสุดโดยเร็วที่สุด เนื่องจากผู้ไม่ประสงค์ดีมักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ของ VMware vCenter เพื่อยกระดับสิทธิ์ หรือเข้าถึงเครื่อง virtual machines

    ต้นปี 2024 ทาง Mandiant เปิดเผยว่ากลุ่มผู้ไม่ประสงค์ดีจากจีนในชื่อ UNC3886 ได้ใช้ช่องโหว่ CVE-2023-34048 ซึ่งเป็นช่องโหว่ zero-day ระดับ critical ใน vCenter Server โจมตีไปยังเป้าหมายเพื่อเข้าถึง VMware ESXi virtual machines ด้วย backdoor

Ref : bleepingcomputer.com

ช่องโหว่ระดับ Critical ใน Grafana เสี่ยงต่อการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล(RCE)

    Grafana เป็นแพลตฟอร์มโอเพ่นซอร์สสำหรับการวิเคราะห์ และแสดงผลข้อมูล ถูกพบว่ามีช่องโหว่ระดับ Critical ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution)

    ช่องโหว่นี้มีหมายเลข CVE-2024-9264 ซึ่งมีคะแนน CVSS v4 อยู่ที่ 9.4 ใน Grafana เวอร์ชัน 11 ที่เปิดตัวในเดือนพฤษภาคม 2024 ตามที่ Grafana Labs เปิดเผยเมื่อวันพฤหัสบดีที่ผ่านมา ช่องโหว่นี้เกิดจาก experimental feature ที่เรียกว่า SQL Expressions ซึ่งอนุญาตให้มีการประมวลผล data source query outputs ไปยังระบบจัดการฐานข้อมูลโอเพ่นซอร์ส DuckDB

    ฟีเจอร์ SQL Expressions ของ Grafana ไม่ได้กรองคำสั่ง SQL ที่ส่งไปยัง DuckDB command line interface (CLI) อย่างเหมาะสม ซึ่งอาจทำให้เกิด Command Injection และ Local File Inclusion ผ่านการ query ที่เป็นอันตราย ช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้โดยผู้ใช้งานที่มีสิทธิ์ “viewer” หรือสูงกว่า ตามข้อมูลจาก Grafana Labs

    ฟีเจอร์ SQL Expression ถูกเปิดใช้งานเป็นค่าเริ่มต้นสำหรับ Grafana API อย่างไรก็ตาม Grafana Labs ได้ระบุว่าช่องโหว่นี้สามารถถูกใช้ประโยชน์ได้ก็ต่อเมื่อมีการติดตั้ง DuckDB binary และวางไว้ใน PATH ของ Grafana process ซึ่งไม่ได้เป็นค่าเริ่มต้น

    SC Media ได้ติดต่อ Grafana เพื่อสอบถามว่ามีผู้ใช้งานกี่รายที่ใช้เวอร์ชันที่มีช่องโหว่ และสามารถถูกโจมตีได้ แต่ยังไม่ได้รับการตอบกลับ แพลตฟอร์ม open-source intelligence (OSINT) ชื่อ "Netlas.io" รายงานว่าในวันศุกร์ที่ผ่านมามี Grafana instances กว่า 100,000 รายการ

วิธีการแพตช์ Grafana CVE-2024-9264

    Grafana ได้ปล่อยเวอร์ชันใหม่ 6 เวอร์ชันที่แก้ไขช่องโหว่ระดับ Critical โดยมีรายการดาวน์โหลด 3 รายการที่มีเฉพาะ security fix และ 3 รายการที่จะแก้ไขช่องโหว่ ในขณะเดียวกันก็จะช่วยอัปเกรดผู้ใช้เป็น Grafana เวอร์ชันล่าสุดด้วย

• ผู้ใช้งานที่ต้องการติดตั้งแพตช์โดยไม่ต้องการติดตั้งเวอร์ชันล่าสุด สามารถดาวน์โหลดเวอร์ชัน 11.0.5+security-01, 11.1.6+security-01 หรือ 11.2.1+security-01 ได้
• ผู้ใช้งานยังสามารถแพตช์ และอัปเกรดไปยังเวอร์ชันล่าสุดพร้อมกันโดยการติดตั้งเวอร์ชัน 11.0.6+security-01, 11.1.7+security-01 หรือ 11.2.2+security-01 ได้อีกด้วย

    ในขณะที่ Grafana Labs แนะนำให้ดาวน์โหลดแพตช์ด้านความปลอดภัย “โดยเร็วที่สุด” ผู้ใช้งานยังสามารถลดความเสี่ยงจากช่องโหว่นี้ได้โดยการลบ DuckDB binary ออกจากระบบ หรือจาก PATH ที่สามารถเข้าถึง SQL Expressions ซึ่งเป็นฟีเจอร์เดียวของ Grafana ที่ใช้ DuckDB

    ช่องโหว่นี้ถูกค้นพบครั้งแรกโดยพนักงานของ Grafana เมื่อวันที่ 26 กันยายน 2024 และ Grafana เริ่มปล่อยแพตช์ด้านความปลอดภัยไปยังช่องทางทั้งหมดสำหรับ Grafana Cloud ในวันถัดไป ตามข้อมูลจากไทม์ไลน์ที่เผยแพร่โดย Grafana Labs

    แพตช์ได้ถูกติดตั้งเสร็จสิ้นใน Grafana Cloud instances ทั้งหมด และแพตช์สำหรับ Grafana Open-Source Software (OSS) และ Grafana Enterprise จะเริ่มเผยแพร่แบบ private เมื่อวันที่ 3 ตุลาคม แพตช์นี้จะลบฟังก์ชันการทำงานของ SQL Expressions ออกไปโดยสิ้นเชิง

Ref : scworld.com

Errors ใน Google Meet ปลอม ถูกใช้เพื่อแพร่กระจายมัลแวร์ขโมยข้อมูล

    รูปแบบการโจมตีใหม่ใหม่ที่ชื่อว่า ClickFix กำลังหลอกล่อผู้ใช้งานให้ไปที่หน้าการประชุม Google Meet ปลอม ที่แสดงข้อความ Errors ปลอมเกี่ยวกับการเชื่อมต่อ ทำให้มีการติดตั้ง Malware สำหรับขโมยข้อมูลบนระบบปฏิบัติการ Windows และ macOS

    ClickFix เป็นเทคนิค social-engineering ที่ถูกพบในเดือนพฤษภาคม โดยถูกรายงานครั้งแรกจากบริษัทด้านความปลอดภัยทางไซเบอร์ Proofpoint ซึ่งมาจากผู้โจมตีกลุ่ม (TA571) ที่ใช้ข้อความในการปลอมแปลงเป็น Errors สำหรับ Google Chrome, Microsoft Word และ OneDrive

    ข้อผิดพลาดเหล่านี้จะกระตุ้นให้ผู้ใช้งานทำการคัดลอกโค้ด PowerShell ลงในคลิปบอร์ด โดยอ้างว่าจะช่วยแก้ปัญหาเมื่อรันโค้ดใน Windows Command Prompt

    โดยจะส่งผลให้เกิดการแพร่กระจาย Malware ไปยังระบบอื่น ๆ โดย Malware ที่มีการแแพร่กระจาย เช่น DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, a clipboard hijacker และ Lumma Stealer

    ในเดือนกรกฎาคม McAfee รายงานว่ารูปแบบการโจมตีใหม่ ClickFix เริ่มเป็นที่นิยมมากขึ้น โดยเฉพาะในสหรัฐอเมริกา และญี่ปุ่น

    รายงานฉบับใหม่จาก Sekoia ซึ่งเป็นผู้ให้บริการความปลอดภัยทางไซเบอร์แบบ SaaS ระบุว่ารูปแบบการโจมตีใหม่ ClickFix ได้ถูกพัฒนาขึ้นอย่างมาก โดยปัจจุบันใช้การล่อลวงผ่าน Google Meet และยังมีการใช้อีเมลฟิชชิงที่กำหนดเป้าหมายไปยังบริษัทขนส่ง และโลจิสติกส์ รวมถึงมีการทำหน้า Facebook ปลอม และมีการหลอกลวงบน GitHub อีกด้วย

    ตามรายงานจากบริษัทความปลอดภัยทางไซเบอร์ของฝรั่งเศสระบุว่า รูปแบบการโจมตีใหม่ล่าสุดบางส่วนดำเนินการโดยกลุ่มผู้ไม่ประสงค์ดี 2 กลุ่ม ได้แก่ Slavic Nation Empire (SNE) และ Scamquerteo ซึ่งถือเป็นทีมย่อยของกลุ่ม Marko Polo และ CryptoLove

หลอกลวงผ่าน Google Meet

    ผู้ไม่ประสงค์ดีกำลังใช้หน้าเว็บไซต์ปลอมสำหรับ Google Meet ซึ่งเป็นบริการการสื่อสารผ่านวิดีโอที่เป็นส่วนหนึ่งของ Google Workspace ที่ได้รับความนิยมในสภาพแวดล้อมขององค์กรสำหรับการประชุมทางไกล และการสัมมนาผ่านเว็บ รวมถึงการทำงานร่วมกันทางออนไลน์

    ผู้ไม่ประสงค์ดีจะส่งอีเมลถึงเป้าหมายที่มีลักษณะเหมือนคำเชิญของ Google Meet ที่ดูเหมือนเป็นของจริง ซึ่งจะเกี่ยวข้องกับการประชุม การสัมมนา หรือเหตุการณ์สำคัญอื่น ๆ

URL เหล่านี้มีความคล้ายคลึงกับลิงก์ Google Meet ที่เป็นของจริง โดยมีรายละเอียดดังนี้

• meet[.]google[.]us-join[.]com
• meet[.]google[.]web-join[.]com
• meet[.]googie[.]com-join[.]us
• meet[.]google[.]cdm-join[.]us

    เมื่อเป้าหมายเข้าสู่หน้าเว็บไซต์ปลอมแล้ว เป้าหมายจะได้รับข้อความแจ้งให้ทราบถึงปัญหาทางเทคนิค เช่น ปัญหาของไมโครโฟน หรือหูฟัง

    หากเป้าหมายคลิกปุ่ม Try Fix ที่แสดงขึ้นมาจะมีการติดตั้ง Malware ClickFix โดยจะมีการ Copy โค้ด PowerShell จากเว็บไซต์ลงไปยังพรอมต์ของ Windows ภายในเครื่อง ส่งผลทำให้คอมพิวเตอร์ของเป้าหมายติด Malware และดึง Payload จากโดเมน googiedrivers[.]com

    Payload ในขั้นสุดท้ายคือมัลแวร์ขโมยข้อมูล Stealc หรือ Rhadamanthys บน Windows ส่วนในเครื่อง macOS ผู้โจมตีจะติดตั้ง AMOS Stealer ในรูปแบบไฟล์ .DMG (อิมเมจดิสก์ของ Apple) ที่มีชื่อว่า 'Launcher_v194'

    Sekoia ได้ระบุว่า Malware ยังสามารถกระจายไปยังกลุ่มอื่นที่นอกเหนือจาก Google Meet ได้อีก เช่น โปรแกรม Zoom, โปรแกรมอ่านไฟล์ PDF, วิดีโอเกมปลอม (Lunacy, Calipso, Battleforge, Ragon), เว็บเบราว์เซอร์ และโครงการ web3 (NGT Studio) รวมไปถึงแอปส่งข้อความ (Nortex)

bleepingcomputer.com

ไมโครซอฟท์กำลังใช้เท็นแนนท์ปลอมในระบบคลาวด์ของ Azure เพื่อดักจับกลุ่มผู้ที่ทำฟิชชิง (phishers) ให้เข้ามาในระบบฮันนีพอต (honeypot)

    ไมโครซอฟท์กำลังใช้กลยุทธ์หลอกลวงเพื่อรับมือกับผู้ที่ทำฟิชชิง (phishing) โดยสร้างเท็นแนนท์ฮันนีพอต (honeypot tenants) ที่ดูสมจริงพร้อมการเข้าถึง Azure เพื่อดึงดูดอาชญากรไซเบอร์เข้ามา เพื่อรวบรวมข้อมูลเกี่ยวกับพวกเขา

    ด้วยข้อมูลที่รวบรวมได้ ไมโครซอฟท์สามารถทำแผนที่โครงสร้างพื้นฐานที่เป็นอันตราย เข้าใจการปฏิบัติการฟิชชิงที่ซับซ้อนมากขึ้น ขัดขวางแคมเปญในวงกว้าง ระบุอาชญากรไซเบอร์ และทำให้กิจกรรมของพวกเขาช้าลงอย่างมาก

    กลยุทธ์นี้และผลกระทบที่สร้างความเสียหายต่อกิจกรรมฟิชชิงได้รับการอธิบายที่งานประชุม BSides Exeter โดย Ross Bevington วิศวกรซอฟต์แวร์ด้านความปลอดภัยหลักของไมโครซอฟท์ ซึ่งเรียกตัวเองว่า "หัวหน้าฝ่ายหลอกลวง" ของไมโครซอฟท์

    Bevington ได้สร้าง "ฮันนีพอตแบบผสมที่มีการโต้ตอบสูง" บนเว็บไซต์ code.microsoft.com ที่ปัจจุบันได้ปิดตัวลงแล้ว เพื่อรวบรวมข่าวกรองเกี่ยวกับภัยคุกคามจากทั้งอาชญากรไซเบอร์ที่มีทักษะต่ำ ไปจนถึงกลุ่มที่เกี่ยวข้องกับรัฐซึ่งพุ่งเป้าไปที่โครงสร้างพื้นฐานของ Microsoft

การสร้างภาพลวงตาของความสำเร็จในการฟิชชิง

    ปัจจุบัน Bevington และทีมของเขาต่อสู้กับการฟิชชิงโดยใช้เทคนิคการหลอกลวง โดยใช้สภาพแวดล้อมเท็นแนนท์ทั้งหมดของ Microsoft เป็นฮันนีพอต ซึ่งมีชื่อโดเมนที่ปรับแต่งขึ้นเอง บัญชีผู้ใช้หลายพันบัญชี และกิจกรรมต่าง ๆ เช่น การสื่อสารภายในและการแชร์ไฟล์

    โดยทั่วไปแล้ว บริษัทหรือผู้วิจัยจะตั้งค่าฮันนีพอตและรอให้อาชญากรไซเบอร์ค้นพบและดำเนินการโจมตี นอกจากจะช่วยเบี่ยงเบนผู้โจมตีออกจากสภาพแวดล้อมจริงแล้ว ฮันนีพอตยังช่วยรวบรวมข่าวกรองเกี่ยวกับวิธีที่ใช้ในการเจาะระบบ ซึ่งสามารถนำไปใช้ในเครือข่ายที่แท้จริงได้

    แม้แนวคิดของ Bevington จะมีลักษณะคล้ายกัน แต่แตกต่างตรงที่เขาเป็นฝ่ายบุกเข้าไปหาผู้โจมตีเอง แทนที่จะรอให้อาชญากรค้นพบทางเข้า ในการบรรยายที่งาน BSides Exeter ผู้วิจัยกล่าวว่าแนวทางเชิงรุกนี้ประกอบด้วยการเข้าไปในเว็บไซต์ฟิชชิงที่ Microsoft Defender ระบุไว้ และพิมพ์ข้อมูลรับรองจากเท็นแนนท์ที่เป็นฮันนีพอต

    เนื่องจากข้อมูลรับรองเหล่านี้ไม่ได้รับการป้องกันด้วยการยืนยันตัวตนแบบสองปัจจัย (2FA) และเท็นแนนท์ถูกเติมเต็มด้วยข้อมูลที่ดูสมจริง ผู้โจมตีจึงสามารถเจาะเข้ามาได้ง่าย และเสียเวลาในการหาว่ามีอะไรผิดปกติหรือไม่

    ไมโครซอฟท์ระบุว่าตรวจสอบเว็บไซต์ฟิชชิงประมาณ 25,000 แห่งทุกวัน โดยป้อนข้อมูลรับรองของฮันนีพอตในเว็บไซต์เหล่านั้นประมาณ 20% ส่วนที่เหลือจะถูกบล็อกโดย CAPTCHA หรือกลไกป้องกันบอทอื่น ๆ

    เมื่อผู้โจมตีเข้าสู่เท็นแนนท์ปลอม ซึ่งเกิดขึ้นใน 5% ของกรณี จะมีการเปิดระบบบันทึกที่ละเอียดเพื่อติดตามทุกการกระทำของพวกเขา เพื่อศึกษาเทคนิคและขั้นตอนการโจมตี

    ข้อมูลข่าวกรองที่รวบรวมได้รวมถึงที่อยู่ IP, เบราว์เซอร์, ตำแหน่งที่ตั้ง, รูปแบบพฤติกรรม, การใช้ VPN หรือ VPS และชุดเครื่องมือฟิชชิงที่พวกเขาใช้งาน

    นอกจากนี้ เมื่อผู้โจมตีพยายามโต้ตอบกับบัญชีปลอมในสภาพแวดล้อม Microsoft จะทำให้การตอบสนองช้าลงมากที่สุดเท่าที่จะทำได้

    เทคโนโลยีการหลอกลวงในปัจจุบันทำให้ผู้โจมตีเสียเวลาไป 30 วันก่อนที่จะรู้ตัวว่าพวกเขาเจาะเข้าสู่สภาพแวดล้อมปลอม ในระหว่างนั้น ไมโครซอฟท์จะรวบรวมข้อมูลที่นำไปปฏิบัติได้ ซึ่งสามารถนำไปใช้โดยทีมรักษาความปลอดภัยอื่น ๆ เพื่อสร้างโปรไฟล์ที่ซับซ้อนขึ้นและเพิ่มประสิทธิภาพการป้องกัน

    Bevington กล่าวว่ามีเพียงน้อยกว่า 10% ของที่อยู่ IP ที่พวกเขารวบรวมผ่านวิธีนี้ ที่สามารถเชื่อมโยงกับข้อมูลในฐานข้อมูลภัยคุกคามที่รู้จักอื่น ๆ วิธีนี้ช่วยให้รวบรวมข้อมูลข่าวกรองเพียงพอที่จะระบุการโจมตีว่าเป็นกลุ่มที่มีแรงจูงใจทางการเงิน หรือแม้กระทั่งกลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น กลุ่มภัยคุกคาม Midnight Blizzard (Nobelium) ของรัสเซีย

    แม้ว่าหลักการใช้การหลอกลวงเพื่อปกป้องทรัพยากรจะไม่ใช่เรื่องใหม่ และหลายบริษัทพึ่งพาฮันนีพอตหรือวัตถุแจ้งเตือนเพื่อตรวจจับการบุกรุกและติดตามแฮกเกอร์ แต่ไมโครซอฟท์ได้ค้นพบวิธีใช้ทรัพยากรของตนในการล่าหากลุ่มผู้โจมตีและวิธีการของพวกเขาในวงกว้าง

Ref : bleepingcomputer.com

GitHub, Telegram Bots และ ASCII QR Codes ถูกนำมาใช้ในการโจมตีแบบ Phishing ในรูปแบบใหม่

    การโจมตีด้วย Malware รูปแบบใหม่ที่เกี่ยวข้องกับระบบการจัดเก็บภาษี โดยมีการมุ่งเป้าไปที่ธุรกิจประกันภัย และการเงินโดยใช้ลิงก์ GitHub ด้วยข้อความอีเมลฟิชชิ่งเพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัย และส่ง Malware Remcos RAT โดยวิธีการนี้กำลังได้รับความนิยมในกลุ่มผู้ไม่ประสงค์ดี

    Jacob Malimban นักวิจัยจาก Cofense ระบุว่า "การโจมตีในครั้งนี้ มีการใช้ repositories ที่เชื่อถือได้ เช่น ซอฟต์แวร์ยื่นภาษีแบบ open-source, UsTaxes, HMRC และ InlandRevenue แทนที่จะใช้ repositories ที่ไม่รู้จัก หรือมีคะแนนต่ำ

    "การใช้ repositories ที่ดูน่าเชื่อถือเพื่อส่ง Malware นั้นค่อนข้างใหม่ เมื่อเทียบกับการที่ผู้โจมตีสร้าง GitHub repositories ที่เป็นอันตรายขึ้นมาเอง ลิงก์ GitHub ที่เป็นอันตรายเหล่านี้สามารถเชื่อมโยงกับ repositories ใดก็ได้ที่มีการอนุญาตให้แสดงความคิดเห็น"

    ส่วนสำคัญของการโจมตีในครั้งนี้ คือ การใช้โครงสร้างพื้นฐานของ GitHub เพื่อวาง payloads ที่เป็นอันตราย หนึ่งในรูปแบบของเทคนิคนี้ถูกเปิดเผยครั้งแรกโดย OALABS Research ในเดือนมีนาคม 2024 โดยเกี่ยวข้องกับการที่ผู้โจมตีได้เปิด GitHub issue บน GitHub ใน repositories ที่เป็นที่รู้จักกันดี และทำการอัปโหลด payload ที่เป็นอันตรายไปยัง GitHub issue นั้น จากนั้นจึงปิด issue โดยไม่บันทึก

    ในการทำเช่นนี้ พบว่า Malware ที่อัปโหลดจะยังคงอยู่แม้ว่า issue นั้นจะไม่ถูกบันทึกไว้ ซึ่งจะกลายเป็นช่องโหว่ที่ถูกนำมาใช้ในการโจมตี เนื่องจากจะช่วยให้ผู้โจมตีสามารถอัปโหลดไฟล์ใดก็ได้ตามที่ต้องการโดยไม่ทิ้งร่องรอยใด ๆ ไว้ ยกเว้นมีการลิงก์ไปยังไฟล์นั้น

    ตามที่ Morphisec ได้ระบุในรายงานของสัปดาห์นี้ว่า วิธีการนี้ถูกนำมาใช้เป็นเครื่องมือการโจมตีเพื่อหลอกล่อให้ผู้ใช้ดาวน์โหลด Malware ที่ใช้ภาษา Lua ซึ่งสามารถสร้างการแฝงตัวอยู่ในระบบที่ติด Malware และส่ง payloads เพิ่มเติมได้

    การโจมตีแบบ phishing ที่ตรวจพบโดย Cofense ใช้กลยุทธ์ที่คล้ายกัน โดยมีความแตกต่างเพียงอย่างเดียวคือแค่ใช้ความคิดเห็นบน GitHub เพื่อแนบไฟล์ (ซึ่งก็คือ Malware) หลังจากนั้นความคิดเห็นจะถูกลบไป เช่นเดียวกับกรณีที่กล่าวถึงก่อนหน้านี้ แต่ลิงก์ยังคงใช้งานได้ และจะถูกเผยแพร่ผ่านอีเมลฟิชชิ่ง

    Malimban ระบุว่า "อีเมลที่มีลิงก์ไปยัง GitHub มีประสิทธิภาพในการหลีกเลี่ยงการรักษาความปลอดภัยของ SEG เพราะ GitHub เป็นโดเมนที่น่าเชื่อถือ และลิงก์ GitHub ช่วยให้ผู้โจมตีสามารถเชื่อมโยงไปยังไฟล์ Malware ในอีเมลได้โดยตรง โดยไม่จำเป็นต้องใช้การเปลี่ยนเส้นทางผ่าน Google, QR code หรือวิธีอื่น ๆ ในการหลีกเลี่ยง SEG"

    การพัฒนานี้เกิดขึ้นพร้อมกับที่ Barracuda Networks เปิดเผยวิธีใหม่ ๆ ที่ phishers นำมาใช้ ซึ่งรวมถึง QR code ที่ใช้ ASCII และ Unicode รวมถึง blob URL เพื่อทำให้ยากต่อการบล็อกเนื้อหาที่เป็นอันตราย และหลบเลี่ยงการตรวจจับ

    Ashitosh Deshnur นักวิจัยด้านความปลอดภัยกล่าวว่า “Blob URI (หรือที่รู้จักกันในชื่อ blob URL หรือ object URL) ถูกใช้โดยเบราว์เซอร์เพื่อแสดงข้อมูลแบบไบนารี หรือ objects ที่คล้ายกับไฟล์ (เรียกว่า blobs) ซึ่งถูกเก็บไว้ชั่วคราวในหน่วยความจำของเบราว์เซอร์"

    “Blob URI ช่วยให้นักพัฒนาเว็บสามารถจัดการกับข้อมูลไบนารี เช่น รูปภาพ, วิดีโอ หรือไฟล์ต่าง ๆ ได้โดยตรงภายในเบราว์เซอร์ โดยไม่จำเป็นต้องส่ง หรือรับข้อมูลจากเซิร์ฟเวอร์ภายนอก”

นอกจากนี้ยังสอดคล้องกับงานวิจัยใหม่จาก ESET ที่พบว่า กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังชุดเครื่องมือ Telekopye ใน Telegram ได้ขยายเป้าหมายของพวกเขาจากการหลอกลวงในตลาดออนไลน์ไปยังแพลตฟอร์มจองที่พัก เช่น Booking.com และ Airbnb โดยพบว่ามีการเพิ่มขึ้นอย่างรวดเร็วในเดือนกรกฎาคม 2024

    การโจมตีเหล่านี้มีลักษณะเด่น คือ การใช้บัญชีของโรงแรม และผู้ให้บริการที่พักที่ถูกโจมตีเพื่อติดต่อเป้าหมาย โดยอ้างว่ามีปัญหาเกี่ยวกับการชำระเงินสำหรับการจอง และหลอกให้เหยื่อคลิกที่ลิงก์ปลอมเพื่อให้กรอกข้อมูลทางการเงิน

    นักวิจัย Jakub Souček และ Radek Jizba ระบุว่า "ผู้ไม่ประสงค์ดีจะใช้การเข้าถึงบัญชีเหล่านี้ หลอกลวงเหยื่อโดยจะเลือกติดต่อผู้ใช้ที่เพิ่งจองที่พัก และยังไม่ได้ชำระเงิน หรือเพิ่งชำระเงินไปเมื่อไม่นานมานี้ ผ่านการแชทบนแพลตฟอร์ม และขึ้นอยู่กับแพลตฟอร์ม และการตั้งค่าของเหยื่อ ซึ่งอาจทำให้เหยื่อได้รับอีเมล หรือ SMS จากแพลตฟอร์มการจอง"

    "วิธีการนี้ทำให้การหลอกลวงยากต่อการสังเกตมากขึ้น เนื่องจากข้อมูลที่ให้มานั้นเกี่ยวข้องกับเหยื่อโดยตรง โดยมาจากช่องทางการสื่อสารที่ปกติ และเว็บไซต์ปลอมที่ถูกแนบมาก็ดูเหมือนเว็บไซต์ที่ปกติอีกด้วย"

    ยิ่งไปกว่านั้น การขยายขอบเขตของกลุ่มเป้าหมายยังได้รับการสนับสนุนด้วยการปรับปรุงชุดเครื่องมือ ที่ช่วยให้กลุ่มผู้โจมตีสามารถเร่งกระบวนการหลอกลวงโดยใช้การสร้างหน้าฟิชชิ่งแบบอัตโนมัติ ปรับปรุงการสื่อสารกับเป้าหมายผ่านแชทบอทแบบโต้ตอบอัตโนมัติ ป้องกันเว็บไซต์ฟิชชิ่งจากการรบกวนโดยคู่แข่ง และเป้าหมายอื่น ๆ

    การดำเนินงานของ Telekopye ไม่ได้ราบรื่นเสมอไป ในเดือนธันวาคม 2023 เจ้าหน้าที่บังคับใช้กฎหมายจากสาธารณรัฐเช็ก และยูเครนได้ประกาศการจับกุมอาชญากรไซเบอร์หลายคนที่ถูกกล่าวหาว่าใช้ Telegram bot ที่เป็นอันตราย

    ตำรวจสาธารณรัฐเช็กระบุในแถลงการณ์ในขณะนั้นว่า "โปรแกรมเมอร์ได้ created, updated, maintained และปรับปรุงการทำงานของ Telegram bots และ phishing tools รวมถึงการทำให้แน่ใจว่าผู้สมรู้ร่วมคิดสามารถปกปิดตัวตนบนอินเทอร์เน็ต และให้คำแนะนำเกี่ยวกับการปกปิดการโจมตีอีกด้วย"

    ESET ระบุว่า "กลุ่มที่เป็นปัญหาถูกควบคุมจากพื้นที่ทำงานเฉพาะ โดยชายวัยกลางคนจากยุโรปตะวันออก และเอเชียตะวันตก และกลาง จะถูกล่อลวงให้มาสมัครในสถานการณ์ที่ชีวิตของพวกเขากำลังยากลำบาก โดยจะประกาศผ่านการรับสมัครงานที่สัญญาว่าจะได้เงินง่าย ๆ (easy money) รวมถึงการตั้งเป้าหมายไปที่นักศึกษาต่างชาติที่มีทักษะ และเทคนิคในมหาวิทยาลัยต่าง ๆ อีกด้วย"

Ref : thehackernews.com

Project plan 3 ช่อง Task information ภาษาไทยเพี้ยน

 วิธีแก้ไข Project plan 3 ช่อง Task information ภาษาไทยเพี้ยน

1.เปิด Control Panel

2.เปิด Region

3.เปลี่ยน Format เป็น English (United States)

4.เปลี่ยน Locale เป็น English (United States)

5.Restart

GitLab เตือนเกี่ยวกับช่องโหว่ที่ร้ายแรงในการรัน Pipeline บน Branch โดยพลการ

    GitLab ได้ปล่อยอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่หลายจุดในทั้งเวอร์ชัน Community Edition (CE) และ Enterprise Edition (EE) รวมถึงช่องโหว่ร้ายแรงที่สามารถรัน Pipeline บน Branch ใดๆ ได้โดยพลการ

    ช่องโหว่นี้ถูกติดตามภายใต้รหัส CVE-2024-9164 ซึ่งอนุญาตให้ผู้ใช้งานที่ไม่ได้รับอนุญาตสามารถกระตุ้นกระบวนการ Continuous Integration/Continuous Delivery (CI/CD) บน Branch ใดๆ ใน repository ได้

    CI/CD pipelines เป็นกระบวนการอัตโนมัติที่ทำหน้าที่ต่างๆ เช่น การสร้าง (build) การทดสอบ (test) และการ deploy โค้ด ซึ่งปกติจะใช้งานได้เฉพาะผู้ใช้ที่มีสิทธิ์ที่เหมาะสมเท่านั้น ผู้โจมตีที่สามารถหลบเลี่ยงการป้องกัน branch ได้ อาจมีโอกาสรันโค้ดหรือเข้าถึงข้อมูลที่เป็นความลับ

    ปัญหานี้ได้รับคะแนนความร้ายแรงตามมาตรฐาน CVSS v3.1 ที่ระดับ 9.6 ซึ่งถือว่าร้ายแรง โดยมีผลกระทบกับ GitLab EE ทุกเวอร์ชันตั้งแต่ 12.5 จนถึง 17.2.8, 17.3 ถึง 17.3.4, และ 17.4 ถึง 17.4.1

GitLab ได้ปล่อยแพตช์ในเวอร์ชัน 17.4.2, 17.3.5 และ 17.2.9 ซึ่งเป็นเป้าหมายการอัปเกรดสำหรับผู้ใช้ GitLab

    “เราขอแนะนำอย่างยิ่งให้ทุกการติดตั้งที่ใช้งานเวอร์ชันที่ได้รับผลกระทบจากปัญหาที่อธิบายไว้ด้านล่าง อัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด” GitLab กล่าวในประกาศด้านความปลอดภัย

    GitLab ได้ชี้แจงว่าลูกค้าที่ใช้ GitLab Dedicated ไม่จำเป็นต้องดำเนินการใดๆ เนื่องจากระบบที่โฮสต์บนคลาวด์ของพวกเขาใช้งานเวอร์ชันล่าสุดเสมอ นอกจาก CVE-2024-9164 แล้ว การอัปเดตล่าสุดของ GitLab ยังแก้ไขปัญหาด้านความปลอดภัยต่อไปนี้ด้วย:

• CVE-2024-8970: ช่องโหว่ร้ายแรงที่อนุญาตให้ผู้โจมตีสวมรอยเป็นผู้ใช้อื่นเพื่อรัน pipelines
• CVE-2024-8977: ช่องโหว่ร้ายแรงใน Analytics Dashboard ที่ทำให้ระบบตกเป็นเป้าหมายของการโจมตี SSRF (Server-Side Request Forgery)
• CVE-2024-9631: ช่องโหว่ร้ายแรงที่ทำให้การดู diff ของ merge requests ที่มีความขัดแย้งทำงานช้าลง
• CVE-2024-6530: ช่องโหว่การแทรก HTML (HTML Injection) บนหน้า OAuth ที่ทำให้เกิดการโจมตี cross-site scripting ในระหว่างการขออนุญาต OAuth
• CVE-2024-9623, CVE-2024-5005, CVE-2024-9596: ช่องโหว่ความร้ายแรงระดับต่ำถึงปานกลาง เช่น การใช้กุญแจการ deploy เพื่อ push ไปยัง repository ที่เก็บถาวร, การเปิดเผยเทมเพลตโปรเจกต์ให้กับ guest users ผ่าน API, และการเปิดเผยเวอร์ชันของ GitLab ให้กับผู้ใช้ที่ไม่ได้รับอนุญาต

    เมื่อเร็ว ๆ นี้, pipelines ของ GitLab เป็นแหล่งที่มาของช่องโหว่ด้านความปลอดภัยสำหรับแพลตฟอร์มและผู้ใช้บ่อยครั้ง

    GitLab ได้แก้ไขช่องโหว่การรัน pipeline โดยพลการหลายครั้งในปีนี้ รวมถึง CVE-2024-6678 ในเดือนที่แล้ว, CVE-2024-6385 ในเดือนกรกฎาคม, และ CVE-2024-5655 ในเดือนมิถุนายน ซึ่งทั้งหมดได้รับการจัดระดับความร้ายแรงขั้นวิกฤต

    สำหรับคำแนะนำ ซอร์สโค้ด และแพ็กเกจ สามารถตรวจสอบได้ที่พอร์ทัลดาวน์โหลดอย่างเป็นทางการของ GitLab ส่วนแพ็กเกจ GitLab Runner เวอร์ชันล่าสุด

Ref : bleepingcomputer.com

Cisco สอบสวนเหตุละเมิดหลังจากข้อมูลที่ถูกขโมยถูกนำไปขายในฟอรัมของผู้ไม่ประสงค์ดี

    Cisco ยืนยันกับ BleepingComputer ว่ากำลังตรวจสอบข้อกล่าวหาล่าสุดที่บริษัทถูกละเมิดความปลอดภัย หลังจากที่มีผู้ไม่หวังดีเริ่มขายข้อมูลที่อ้างว่าถูกขโมยในฟอรัมแฮกเกอร์

    “Cisco ทราบถึงรายงานที่มีบุคคลอ้างว่าได้เข้าถึงไฟล์บางอย่างที่เกี่ยวข้องกับ Cisco” โฆษกของ Cisco กล่าวกับ BleepingComputer

    “เราได้เริ่มต้นการสอบสวนเพื่อตรวจสอบข้อกล่าวหานี้ และการสอบสวนยังคงดำเนินอยู่”

    คำแถลงนี้เกิดขึ้นหลังจากที่แฮกเกอร์ที่มีชื่อเสียงในวงการใช้ชื่อว่า “IntelBroker” กล่าวว่าตนและผู้ร่วมอีกสองคนที่เรียกว่า “EnergyWeaponUser” และ “zjj” ได้เจาะระบบของ Cisco เมื่อวันที่ 10 มิถุนายน 2024 และขโมยข้อมูลนักพัฒนาจำนวนมากจากบริษัท

    “ข้อมูลที่ถูกละเมิด: โปรเจ็กต์บน Github, โปรเจ็กต์บน Gitlab, โปรเจ็กต์ SonarQube, ซอร์สโค้ด, ข้อมูลรับรองที่ถูกเขียนฝังไว้, ใบรับรอง, เอกสาร SRC ของลูกค้า, เอกสารลับของ Cisco, ตั๋ว Jira, โทเค็น API, ถัง AWS Private, SRC ของเทคโนโลยี Cisco, การสร้าง Docker, ถังเก็บข้อมูล Azure, กุญแจส่วนตัวและสาธารณะ, ใบรับรอง SSL, ผลิตภัณฑ์พรีเมียมของ Cisco และอื่นๆ อีกมากมาย!” ข้อความในฟอรัมแฮกเกอร์ระบุ

    IntelBroker ยังได้แชร์ตัวอย่างข้อมูลที่ถูกขโมย ซึ่งรวมถึงฐานข้อมูล ข้อมูลลูกค้า เอกสารลูกค้าต่าง ๆ และภาพหน้าจอของพอร์ทัลการจัดการลูกค้า

    อย่างไรก็ตาม ผู้ไม่หวังดีรายนี้ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการที่ใช้ในการได้มาซึ่งข้อมูลเหล่านี้ ในเดือนมิถุนายน IntelBroker เริ่มขายหรือเผยแพร่ข้อมูลจากหลายบริษัท รวมถึง T-Mobile, AMD และ Apple แหล่งข่าวที่คุ้นเคยกับการโจมตีบอกกับ BleepingComputer ว่าข้อมูลเหล่านั้นถูกขโมยจากผู้ให้บริการจัดการภายนอกที่เกี่ยวข้องกับ DevOps และการพัฒนาซอฟต์แวร์

    ยังไม่ทราบแน่ชัดว่าการละเมิดความปลอดภัยของ Cisco เกี่ยวข้องกับการละเมิดที่เกิดขึ้นในเดือนมิถุนายนก่อนหน้านี้หรือไม่

    BleepingComputer ได้ติดต่อผู้ให้บริการภายนอกดังกล่าวอีกครั้งเพื่อยืนยันว่าพวกเขาถูกโจมตีทางไซเบอร์หรือไม่ แต่ยังไม่ได้รับคำตอบ

Ref : bleepingcomputer

Microsoft แก้ไขปัญหา Remote Desktop ที่เกิดจากการอัปเดต Windows Server

    Microsoft แจ้งว่า Patch Tuesday ประจำเดือนตุลาคม 2024 จะแก้ไขปัญหา Remote Desktop ในเครือข่ายองค์กรหลังจากติดตั้งการอัปเดตด้านความปลอดภัย Windows Server ประจำเดือนกรกฎาคม 2024

    โดย Microsoft ได้รับการรายงานปัญหาดังกล่าว หลังจากที่ผู้ดูแลระบบ Windows ที่ระบุว่า RD Gateway service ได้หยุดทำงานทุก ๆ 30 นาทีหลังจากติดตั้งการอัปเดตของเดือนกรกฎาคม 2024

    ปัญหาดังกล่าวส่งผลกระทบต่อการเชื่อมต่อ Remote Desktop ทั่วทั้งองค์กร หากใช้โปรโตคอลเก่า (การเรียก Remote ผ่าน HTTP) ใน Remote Desktop Gateway ส่งผลให้การเชื่อมต่อ Remote Desktop อาจถูกขัดจังหวะ เซสชันการเข้าสู่ระบบจะหายไป และผู้ใช้จะต้องเชื่อมต่อกับเซิร์ฟเวอร์ใหม่อีกครั้ง

  ผู้ดูแลระบบสามารถตรวจสอบได้ว่าปัญหานี้เป็นปัญหา TSGateway service termination หรือไม่ จาก 0xc0000005 exception code เมื่อไม่มีการตอบสนอง และจะถูก logged เป็น Event 1000 โดยจัดเป็น system event log

รายชื่อรุ่น Windows Server ที่ได้รับผลกระทบ และการอัปเดตด้านความปลอดภัยประกอบด้วย :

• Windows Server 2022 (KB5040437)
• Windows Server 2019 (KB5040430)
• Windows Server 2016 (KB5040434)
• Windows Server 2012 R2 (KB5040456)
• Windows Server 2012 (KB5040485)

    รวมถึงทาง Microsoft ได้เสนอแนวทางแก้ปัญหาชั่วคราว 2 วิธี แก่องค์กรที่ได้รับผลกระทบซึ่งไม่สามารถติดตั้ง Patch Tuesday ประจำเดือนตุลาคม 2024 ได้ทันที

    ไม่อนุญาตให้เชื่อมต่อผ่าน pipe และ port \pipe\RpcProxy\3388 ผ่าน RD Gateway โดยใช้ซอฟต์แวร์ไฟร์วอลล์ผู้ดูแลระบบต้องแก้ไขคีย์รีจิสทรี RDGClientTransport ภายใต้ Terminal Server Client โดยไปที่ HKCU\Software\Microsoft\Terminal Server Client\RDGClientTransport จากนั้น ค้นหาคีย์รีจิสทรี 'DWORD' และตั้งค่าฟิลด์ 'Value Data' เป็น '0x0'

    ทั้งนี้ควรสร้างการสำรองข้อมูลรีจิสทรีก่อนที่จะแก้ไข เพื่อให้แน่ใจว่าสามารถคืนค่าได้อย่างรวดเร็วหากมีสิ่งผิดปกติเกิดขึ้น เมื่อสองปีก่อน Microsoft ได้แก้ไขปัญหาการเชื่อมต่อ RDP และ VPN หลังจากติดตั้งการอัปเดตความปลอดภัยประจำเดือนมิถุนายน 2022 บน Windows Server พร้อมเปิดใช้งาน Routing and Remote Access Service (RRAS)

    ในเดือนมกราคม 2022 ได้มีการออกการอัปเดตแพตซ์ฉุกเฉิน (out-of-band update) เพื่อแก้ไขช่องโหว่ของ Windows Server ที่ทำให้การเชื่อมต่อ Remote Desktop และปัญหาด้านประสิทธิภาพการทำงานที่เกิดขึ้น

Ref : bleepingcomputer.com

การเผยแพร่ช่องโหว่ Authentication Bypass ระดับ Critical ใน GitLab (CVE-2024-45409)

    GitLab แบบ Self-Managed และตั้งค่าการ authentication แบบ SAML-based แต่ยังไม่ได้อัปเกรดตั้งแต่กลางเดือนกันยายน ขอแนะนำให้ทำการอัปเกรดทันที เนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยด้านความปลอดภัยได้เผยแพร่การวิเคราะห์ช่องโหว่ CVE-2024-45409 และสคริปต์สำหรับโจมตีที่อาจช่วยให้ผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานต่าง ๆ บน GitLab

CVE-2024-45409

    CVE-2024-45409 เป็นช่องโหว่ Authentication Bypass ความรุนแรงระดับ Critical ในไลบรารี Ruby-SAML และ OmniAuth-SAML ซึ่งถูกใช้ในหลายเวอร์ชันของ GitLab Community Edition (CE) และ Enterprise Edition (EE)

    ช่องโหว่นี้มีผลกระทบกับ OmniAuth-SAML เวอร์ชันก่อน 2.2.1 และ Ruby-SAML เวอร์ชันก่อน 1.17.0 และได้รับการแก้ไขในเวอร์ชัน 17.3.3, 17.2.7, 17.1.8, 17.0.8, และ 16.11.10 ของ GitLab CE และ EE

    การแก้ไขช่องโหว่นี้ได้รับการ backported ไปยังเวอร์ชันเก่าของ GitLab ด้วย ได้แก่ 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 และ 16.0.10

    ในขณะนั้น GitLab Inc. ได้เรียกร้องให้ผู้ดูแลระบบที่ใช้งาน GitLab แบบ Self-Managed ทำการอัปเกรดไปยังเวอร์ชันที่มีการแก้ไข และได้แชร์วิธีการลดความเสี่ยงที่เป็นไปได้ รวมถึงแนะนำลูกค้าเกี่ยวกับวิธีการตรวจสอบการพยายามในการโจมตี และได้แชร์ rules สำหรับการตรวจจับภัยคุกคามด้วย

การวิเคราะห์ทางเทคนิค และโค้ด PoC (Proof of Concept)

    ผู้เชี่ยวชาญด้านความปลอดภัยจาก Project Discovery ระบุว่า "Security Assertion Markup Language หรือ SAML เป็นโปรโตคอลที่ใช้กันอย่างแพร่หลายสำหรับการแลกเปลี่ยนข้อมูลการยืนยันตัวตน และการอนุญาตระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และผู้ให้บริการ (SPs) ส่วนสำคัญในการทำให้การแลกเปลี่ยนนี้ปลอดภัยคือการตรวจสอบความสมบูรณ์ และความถูกต้องของข้อมูลผ่าน digital signatures และ digest verification

    CVE-2024-45409 ทำให้ผู้โจมตีสามารถข้ามขั้นตอน signature validation ได้ แต่ต้องได้รับ SAML Response ที่ออกโดย identity provider ให้กับผู้ใช้งานที่ถูกโจมตีก่อน ผู้เชี่ยวชาญด้านความปลอดภัยจาก Synacktiv กล่าวสรุปว่า "หากการ authentication สำเร็จ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าแรกของ GitLab"

Ref : helpnetsecurity.com

CISA แจ้งเตือนช่องโหว่ RCE ระดับ critical ของ Fortinet ที่กำลังถูกนำมาใช้ในการโจมตี

    วันที่ 9 ตุลาคม 2024 CISA ได้แจ้งเตือนว่าพบผู้โจมตีที่กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ critical ของ FortiOS ในการโจมตีจริงแล้ว

    ช่องโหว่ CVE-2024-23113 เกิดจากการที่ fgfmd daemon ยอมรับ format string ที่ควบคุมจากภายนอกเป็นรูปแบบ argument ซึ่งช่วยให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถเรียกใช้คำสั่ง หรือโค้ดที่กำหนดเองบนอุปกรณ์ที่ยังไม่ได้รับการแก้ไขได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ และไม่ต้องการการโต้ตอบจากผู้ใช้งาน

    ตามที่ Fortinet อธิบายไว้ fgfmd daemon ที่มีช่องโหว่นี้จะทำงานบน FortiGate และ FortiManager โดยทำหน้าที่จัดการ authentication requests ทั้งหมด และจัดการข้อความ keep-alive ระหว่างอุปกรณ์ทั้งสอง (รวมถึงการดำเนินการที่ตามมา เช่น การสั่งให้กระบวนการอื่น ๆ อัปเดตไฟล์ หรือฐานข้อมูล)

CVE-2024-23113 ส่งผลกระทบกับ FortiOS เวอร์ชัน 7.0 และใหม่กว่า, FortiPAM เวอร์ชัน 1.0 และสูงกว่า, FortiProxy เวอร์ชัน 7.0 และสูงกว่า และ FortiWeb เวอร์ชัน 7.4

    ทางบริษัทได้เปิดเผย และแก้ไขช่องโหว่ด้านความปลอดภัยนี้ในเดือนกุมภาพันธ์ 2024 โดยแนะนำให้ผู้ดูแลระบบลบการเข้าถึง fgfmd daemon จากทุกอินเทอร์เฟซ เพื่อเป็นมาตรการลดผลกระทบที่ออกแบบมาเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

    Fortinet ระบุว่า “โปรดทราบว่าการดำเนินการนี้จะป้องกันการ discovery FortiGate จาก FortiManager แต่ยังสามารถเชื่อมต่อจาก FortiGate ได้”

    โปรดทราบเพิ่มเติมว่านโยบาย local-in ที่อนุญาตการเชื่อมต่อ FGFM จาก IP ที่กำหนดเท่านั้น จะช่วยลดความเสี่ยงต่อการโจมตีได้ แต่จะไม่สามารถป้องกันการใช้ประโยชน์จากช่องโหว่นี้ผ่าน IP นั้นได้ ดังนั้นจึงควรใช้เป็นมาตรการสำหรับลดผลกระทบ และไม่ใช่วิธีการแก้ไขปัญหาอย่างสมบูรณ์

หน่วยงานรัฐบาลกลางถูกสั่งให้ทำการแก้ไขช่องโหว่ภายในสามสัปดาห์

    ในขณะที่ Fortinet ยังไม่ได้อัปเดตคำแนะนำในเดือนกุมภาพันธ์ เพื่อยืนยันการพบการโจมตีจาก CVE-2024-23113 แต่ CISA ได้เพิ่มช่องโหว่นี้ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (Known Exploited Vulnerabilities Catalog) ในวันพุธที่ผ่านมา

    หน่วยงานรัฐบาลกลางของสหรัฐฯ ยังถูกกำหนดให้ต้องปกป้องอุปกรณ์ FortiOS บนเครือข่ายของตนจากการโจมตีที่กำลังดำเนินการอยู่ภายในสามสัปดาห์ โดยจะต้องดำเนินการให้เสร็จสิ้นภายในวันที่ 30 ตุลาคม 2024 ตามที่กำหนดในคำสั่ง Binding operational directive (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021

    หน่วยข่าวกรอง และความมั่นคงทางทหารของเนเธอร์แลนด์ (MIVD) แจ้งเตือนในเดือนมิถุนายน 2024 ว่าผู้ไม่หวังดีจากจีนได้ใช้ช่องโหว่ RCE ความรุนแรงระดับ Critical ของ FortiOS อีกช่องโหว่หนึ่ง (CVE-2022-42475) ระหว่างปี 2022 ถึง 2023 เพื่อโจมตี และแพร่กระจายมัลแวร์ในอุปกรณ์รักษาความปลอดภัยเครือข่าย Fortigate อย่างน้อย 20,000 เครื่อง

Ref : bleepingcomputer

Bypass 2FA โดยมุ่งเป้าไปที่บัญชี Microsoft 365

    รูปแบบการโจมตีแบบ  phishing-as-a-service (PhaaS) ที่เกิดขึ้นใหม่ชื่อว่า Mamba 2FA ถูกตรวจพบว่ากำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ในการโจมตีแบบAiTM โดยใช้หน้าเข้าสู่ระบบที่ออกแบบมาอย่างดี

นอกจากนี้ Mamba 2FA ยังมีระบบโจมตีแบบ Adversary-in-The-Middle (AiTM) เพื่อดักจับ authentication tokens ของเหยื่อ และ bypass multi-factor authentication (MFA) ในบัญชีของเหยื่อ

    Mamba 2FA กำลังถูกขายให้กับกลุ่มผู้ไม่ประสงค์ดีในราคา 250 ดอลลาร์ต่อเดือน ซึ่งเป็นราคาที่จับต้องได้ และทำให้มันเป็นหนึ่งในรูปแบบการโจมตีแบบ ฟิชชิ่งที่ดึงดูด และเติบโตเร็วที่สุดในวงการนี้

การค้นพบ และพัฒนา

    Mamba 2FA ถูกพบครั้งแรกโดยนักวิเคราะห์ของ Any.Run ในปลายเดือนมิถุนายน 2024 แต่ Sekoia รายงานว่าได้ติดตามกิจกรรมที่เชื่อมโยงกับรูปแบบการโจมตีแบบ ฟิชชิ่งนี้มาตั้งแต่เดือนพฤษภาคม 2024

หลักฐานเพิ่มเติมแสดงให้เห็นว่า Mamba 2FA ถูกใช้ในแคมเปญฟิชชิ่งมาตั้งแต่เดือนพฤศจิกายน 2023 โดยชุดเครื่องมือดังกล่าวถูกขายผ่าน ICQ และต่อมาที่ Telegram

    หลังจากรายงานของ Any.Run เกี่ยวกับแคมเปญที่ได้รับการสนับสนุนโดย Mamba 2FA ผู้ดำเนินการของชุดเครื่องมือฟิชชิ่งได้ทำการเปลี่ยนแปลงหลายอย่างใน Infrastructure และวิธีการของพวกเขา เพื่อเพิ่มการหลบหลีกการตรวจจับของแคมเปญฟิชชิ่ง

    ตัวอย่างเช่น ตั้งแต่เดือนตุลาคม Mamba 2FA ได้ใช้เซิร์ฟเวอร์พร็อกซีที่มาจาก IPRoyal ซึ่งเป็นผู้ให้บริการเชิงพาณิชย์ เพื่อซ่อนที่อยู่ IP ของเซิร์ฟเวอร์รีเลย์สำหรับ authentication logs

ก่อนหน้านี้ เซิร์ฟเวอร์รีเลย์จะเชื่อมต่อโดยตรงกับเซิร์ฟเวอร์ Microsoft Entra ID ซึ่งทำให้ที่อยู่ IP ถูกเปิดเผย และทำให้การบล็อกทำได้ง่ายขึ้น

    โดเมนลิงก์ที่ใช้ใน URL ฟิชชิ่งในปัจจุบันมีอายุการใช้งานที่สั้นมาก และมักจะถูกหมุนเวียนทุกสัปดาห์เพื่อหลีกเลี่ยงการถูกบล็อกโดยโซลูชันด้านความปลอดภัย

การเปลี่ยนแปลงอีกอย่างคือการปรับปรุงไฟล์แนบ HTML ที่ใช้ในแคมเปญฟิชชิ่งโดยเพิ่มเนื้อหาที่ไม่เป็นอันตรายเพื่อซ่อนส่วนเล็ก ๆ ของ JavaScript ที่ทำให้เกิดการโจมตี ทำให้เครื่องมือด้านความปลอดภัยตรวจจับได้ยากขึ้น

ผู้ใช้งาน Microsoft 365

    Mamba 2FA ถูกออกแบบมาโดยเฉพาะ เพื่อมุ่งเป้าไปที่ผู้ใช้บริการ Microsoft 365 ทั้งบัญชีขององค์กร และบัญชีส่วนบุคคล

    เช่นเดียวกับรูปแบบการโจมตีแบบ  PhaaS อื่น ๆ มันใช้เซิร์ฟเวอร์พร็อกซีในการดำเนินการโจมตีฟิชชิ่งแบบ AiTM ซึ่งทำให้ผู้ไม่หวังดีสามารถเข้าถึงรหัสผ่านแบบใช้ครั้งเดียว (OTP) และ authentication cookies

AiTM ใช้ไลบรารี JavaScript Socket.IO เพื่อสร้างการสื่อสารระหว่างหน้าเว็บฟิชชิ่ง และเซิร์ฟเวอร์รีเลย์ที่อยู่ในส่วนแบ็กเอนด์ ซึ่งเซิร์ฟเวอร์เหล่านี้จะสื่อสารกับเซิร์ฟเวอร์ของ Microsoft โดยใช้ข้อมูลที่ถูกขโมยมา

    Mamba 2FA มีเทมเพลตฟิชชิ่งสำหรับบริการต่าง ๆ ของ Microsoft 365 รวมถึง OneDrive, SharePoint Online, หน้าเข้าสู่ระบบของ Microsoft แบบทั่วไป และการแจ้งเตือนข้อความเสียงปลอมที่เปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบของ Microsoft

    สำหรับบัญชีองค์กร หน้าเว็บฟิชชิ่งจะปรับเปลี่ยนตามแบรนดิ้งการเข้าสู่ระบบที่กำหนดเองขององค์กรที่ตกเป็นเป้า รวมถึงโลโก้ และภาพพื้นหลัง ทำให้การโจมตีดูมีความน่าเชื่อถือมากขึ้น

    ข้อมูล credentials ที่ถูกดักจับ และ authentication cookies จะถูกส่งไปยังผู้โจมตีผ่าน Telegram bot ซึ่งช่วยให้พวกเขาสามารถใช้งานเซสชันได้ในทันที

    Mamba 2FA ยังมีฟีเจอร์ตรวจจับการทำงาน Sandbox โดยจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บ 404 ของ Google เมื่อมันวิเคราะห์พบว่ากำลังถูกตรวจสอบ

    โดยรวมแล้ว รูปแบบการโจมตีแบบ  Mamba 2FA ถือเป็นภัยคุกคามอีกหนึ่งอย่างต่อองค์กรต่าง ๆ ซึ่งช่วยให้ผู้ไม่หวังดีที่ไม่มีทักษะสามารถดำเนินการโจมตีฟิชชิ่งที่มีประสิทธิภาพสูงได้

เพื่อป้องกันการดำเนินการ PhaaS ที่ใช้ AiTM ควรพิจารณาใช้ hardware security keys, certificate-based authentication, geo-blocking, การอนุญาตที่อยู่ IP และการลดระยะเวลาอายุการใช้งานของโทเค็น

Ref : bleepingcomputer

Google Pay แจ้งเตือนผู้ใช้งานเกี่ยวกับระบบอีเมลให้ทำการ “เพิ่มบัตร Credit ใหม่” โดยไม่ถามความสมัครใจ

    สัปดาห์นี้ผู้ใช้งานรู้สึกตื่นตระหนกเมื่อได้รับอีเมลจาก Google Pay ซึ่งระบุว่าพวกเขาได้มีการ "เพิ่มบัตรใหม่" ลงในบัญชี Google ของตนได้สำเร็จ

    การแจ้งเตือนนี้ทำให้ผู้ใช้ตกใจ และแสดงความกังวลในโซเชียลมีเดีย ท่ามกลางความกังวลว่าพวกเขาอาจตกเป็นเหยื่อของการละเมิดข้อมูล

    สำหรับหลาย ๆ คน บัตรที่ถูกระบุถึงในอีเมลนั้นได้ถูกออกให้เมื่อหลายปีก่อน และปัจจุบันหมดอายุแล้ว ซึ่งทำให้เกิดความสับสนมากขึ้น

อีเมลที่แจ้งว่า 'เพิ่มบัตรใหม่' ใน Google Pay ทำให้ผู้ใช้ไม่สบายใจ

    ระหว่างวันพุธถึงวันพฤหัสบดีในสัปดาห์ที่ผ่านมา ผู้ใช้งาน Google Pay หลายคนได้รับอีเมลเกี่ยวกับการเพิ่มบัตรใหม่ในบัญชี Google Pay ของพวกเขา

    ผู้ใช้งานที่กังวลได้โพสต์ข้อมูลบนโซเชียลมีเดีย และฟอรัมสนับสนุนของ Google เพื่อขอคำชี้แจงเกี่ยวกับการแจ้งเตือนเหล่านี้ และพวกเขาเป็นเหยื่อของการถูกโจมตีหรือไม่

    ผู้ใช้งาน Google Pay ชื่อ Arran Dickson รายงานว่าได้รับการแจ้งเตือนทางอีเมลที่ผิดปกติช่วง 04.00 น. เกี่ยวกับบัตรเก่าที่หมดอายุแล้ว และได้สอบถามไปยัง Google ว่านี่ควรต้องกังวลกับเหตุการณ์นี้หรือไม่

ผู้ใช้งานคนอื่น ๆ ก็เข้ามาแสดงความคิดเห็น รวมถึง Anthony Parkes ที่ระบุว่าเขาได้รับอีเมลเช่นนี้ถึง 15 ฉบับ ซึ่งทำให้เขาเริ่มสงสัยว่าเขาถูกแฮ็กหรือไม่

    ฟอรัมสนับสนุนของ Google ยังมีหัวข้อที่เป็น trending โดยมีการโหวตจากผู้ใช้งานเป็นจำนวนหลายร้อยคน อีกทั้งยังมีหัวข้อที่คล้ายกันปรากฏบน Reddit เช่นเดียวกัน

Google ยืนยันว่าไม่มีการละเมิดข้อมูล และอีเมลนั้นเป็นความผิดพลาดที่เกิดขึ้นโดยไม่ได้ตั้งใจ

    เมื่อวันเสาร์ที่ผ่านมา Google ได้ส่งอีเมลเพิ่มเติมไปยังผู้ใช้งานที่ได้รับผลกระทบ โดยระบุว่าอีเมลการแจ้งเตือนก่อนหน้านั้นเป็น "ความผิดพลาด" และไม่มีเหตุผลให้ต้องกังวล

    การแก้ไขที่ส่งจากทีม Google Pay ระบุไว้ว่า "คุณอาจได้รับอีเมลหนึ่ง หรือหลายฉบับเกี่ยวกับวิธีการชำระเงินที่ถูกเพิ่มลงในบัญชี Google ของคุณ หากได้รับอีเมลเหล่านี้ ถือเป็นความผิดพลาดที่ได้ถูกแก้ไขแล้ว เราขออภัยในความไม่สะดวกนี้ ไม่มีการเข้าถึงบัญชี Google ของคุณโดยไม่ได้รับอนุญาต และข้อมูลของคุณไม่ได้ถูกละเมิด คุณไม่จำเป็นต้องดำเนินการใด ๆ คุณสามารถตรวจสอบวิธีการชำระเงินของคุณได้ทุกเมื่อในบัญชี Google ของคุณ"

    ดังนั้น ผู้ที่ได้รับอีเมลการ 'เพิ่มบัตรใหม่' ในสัปดาห์นี้สามารถเพิกเฉยต่ออีเมลดังกล่าวได้อย่างปลอดภัย

    ตามแนวทางปฏิบัติที่ดีที่สุด ผู้ใช้ควรตรวจสอบวิธีการชำระเงิน และรายการธุรกรรมที่ระบุไว้ภายใต้บัญชี Google ของตน และผลิตภัณฑ์กระเป๋าเงินดิจิทัลอื่น ๆ อยู่เป็นประจำ

Ref : bleepingcomputer

CISA แจ้งเตือนช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Network Switch ส่งผลต่อโครงสร้างพื้นฐานที่สำคัญขององค์กร

    หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ CISA กำลังเตือนเกี่ยวกับช่องโหว่ร้ายแรง 2 รายการที่สามารถทำให้เกิดการข้ามการยืนยันตัวตนและการเรียกใช้โค้ดจากระยะไกลในผลิตภัณฑ์ Optigo Networks ONS-S8 Aggregation Switch ซึ่งถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญ

    ช่องโหว่เหล่านี้เกี่ยวข้องกับปัญหาการยืนยันตัวตนที่อ่อนแอ ซึ่งทำให้สามารถข้ามการตรวจสอบรหัสผ่านได้ และปัญหาการตรวจสอบความถูกต้องของข้อมูลผู้ใช้ ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล การอัปโหลดไฟล์ที่เป็นอันตราย และการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal)

    อุปกรณ์นี้ถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญและหน่วยการผลิตทั่วโลก และเนื่องจากช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ด้วยความซับซ้อนต่ำ ความเสี่ยงจึงถูกประเมินว่าสูงมาก

ขณะนี้ยังไม่มีการแก้ไขปัญหาช่องโหว่ดังกล่าว ผู้ใช้งานจึงถูกแนะนำให้ใช้มาตรการลดความเสี่ยงที่ผู้จำหน่ายในแคนาดาเสนอแนะ

    ช่องโหว่แรกได้รับการติดตามในรหัส CVE-2024-41925 และถูกจัดประเภทเป็นปัญหา PHP Remote File Inclusion (RFI) ซึ่งเกิดจากการตรวจสอบหรือการกรองเส้นทางไฟล์ที่ผู้ใช้ระบุไม่ถูกต้อง

ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อทำการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal) ข้ามการยืนยันตัวตน และเรียกใช้โค้ดจากระยะไกล

    ปัญหาที่สองที่ถูกติดตามในรหัส CVE-2024-45367 เป็นปัญหาการยืนยันตัวตนที่อ่อนแอซึ่งเกิดจากการบังคับใช้การตรวจสอบรหัสผ่านที่ไม่เหมาะสมในกลไกการยืนยันตัวตน

การโจมตีนี้ทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซการจัดการสวิตช์โดยไม่ได้รับอนุญาต เปลี่ยนการตั้งค่า เข้าถึงข้อมูลสำคัญ หรือขยายไปยังจุดอื่น ๆ ในเครือข่ายได้

    ทั้งสองปัญหาถูกค้นพบโดยทีม Claroty Team82 และได้รับการจัดอันดับว่าร้ายแรง โดยมีคะแนน CVSS v4 อยู่ที่ 9.3 ช่องโหว่นี้มีผลกระทบต่อ ONS-S8 Spectra Aggregation Switch ทุกเวอร์ชันจนถึงเวอร์ชัน 1.3.7

การรักษาความปลอดภัยของสวิตช์ แม้ว่า CISA จะยังไม่พบหลักฐานว่าช่องโหว่เหล่านี้ถูกใช้โจมตีในขณะนี้

ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงจากช่องโหว่เหล่านี้:

• แยกการรับส่งข้อมูลการจัดการ ONS-S8 โดยวางไว้ใน VLAN เฉพาะ เพื่อแยกออกจากการรับส่งข้อมูลเครือข่ายทั่วไปและลดการเปิดเผย
• เชื่อมต่อกับ OneView ผ่าน NIC เฉพาะบนคอมพิวเตอร์ BMS เพื่อให้มั่นใจว่าการเข้าถึงเครือข่าย OT มีความปลอดภัยและเป็นเอกสิทธิ์
• ตั้งค่าไฟร์วอลล์เราเตอร์เพื่ออนุญาตเฉพาะอุปกรณ์ที่ระบุไว้เท่านั้น เพื่อจำกัดการเข้าถึง OneView เฉพาะกับระบบที่ได้รับอนุญาตและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
• ใช้ VPN ที่ปลอดภัยสำหรับการเชื่อมต่อกับ OneView เพื่อให้มั่นใจว่าการสื่อสารมีการเข้ารหัสและป้องกันการดักฟังข้อมูลที่อาจเกิดขึ้น
• ปฏิบัติตามแนวทางความมั่นคงปลอดภัยทางไซเบอร์ของ CISA โดยการประเมินความเสี่ยง การดำเนินการรักษาความปลอดภัยแบบหลายชั้น (Defense-in-Depth) และการปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการรักษาความปลอดภัยระบบควบคุมอุตสาหกรรม (ICS)

    CISA แนะนำว่าองค์กรที่พบเห็นกิจกรรมที่น่าสงสัยในอุปกรณ์เหล่านี้ควรปฏิบัติตามมาตรการตอบโต้เหตุการณ์ที่เกิดขึ้นและรายงานเหตุการณ์ต่อหน่วยงานความมั่นคงไซเบอร์เพื่อให้สามารถติดตามและเชื่อมโยงกับเหตุการณ์อื่น ๆ ได้

Ref : bleepingcomputer

Microsoft ออก Patch Tuesday ของเดือนตุลาคม 2024 ได้แก้ไขช่องโหว่ 0-day จำนวน 5 รายการ และช่องโหว่อีก 118 รายการ

Patch Tuesday ของ Microsoft ประจำเดือนตุลาคม 2024 ซึ่งมีการอัปเดตด้านความปลอดภัยเพื่อแก้ไขข้อบกพร่องทั้งหมด 118 รายการ รวมถึงช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะ 5 รายการ โดย 2 รายการจากนั้นกำลังถูกใช้งานอย่างแข็งขัน

การอัปเดตแพทช์นี้ได้แก้ไขช่องโหว่ที่สำคัญ 3 รายการ ซึ่งทั้งหมดเป็นช่องโหว่ที่เกี่ยวข้องกับการรันโค้ดจากระยะไกล (Remote Code Execution)

จำนวนข้อบกพร่องในแต่ละหมวดหมู่ของช่องโหว่มีดังนี้:

ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) 28 รายการ

ช่องโหว่การเลี่ยงผ่านคุณสมบัติความปลอดภัย (Security Feature Bypass) 7 รายการ

ช่องโหว่การรันโค้ดจากระยะไกล (Remote Code Execution) 43 รายการ

ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) 6 รายการ

ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service) 26 รายการ

ช่องโหว่การปลอมแปลง (Spoofing) 7 รายการ

จำนวนนี้ไม่รวมช่องโหว่ใน Edge 3 รายการที่ได้รับการแก้ไขเมื่อวันที่ 3 ตุลาคมที่ผ่านมา

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการอัปเดตที่ไม่เกี่ยวข้องกับความปลอดภัยในวันนี้ สามารถตรวจสอบบทความเฉพาะที่เกี่ยวกับการอัปเดต

Windows 11 KB5044284 และ KB5044285 Link

Windows 10 KB5044273 Link

ช่องโหว่ Zero-day 4 รายการ

Patch Tuesdayของเดือนนี้ Microsoft ได้แก้ไขช่องโหว่ Zero-day 5 รายการ โดย 2 รายการจากนั้นถูกใช้งานในโจมตี และทั้ง 5 รายการถูกเปิดเผยสู่สาธารณะแล้ว

Microsoft จัดประเภทช่องโหว่ Zero-day ว่าเป็นช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกใช้งานโดยไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day 2 รายการที่ถูกใช้งานในโจมตีในวันนี้คือ:

CVE-2024-43573 - ช่องโหว่การปลอมแปลงของแพลตฟอร์ม MSHTML ใน Windows

แม้ว่า Microsoft จะไม่ได้ให้รายละเอียดเกี่ยวกับช่องโหว่นี้หรือวิธีการถูกโจมตี แต่พวกเขาระบุว่ามันเกี่ยวข้องกับแพลตฟอร์ม MSHTML ซึ่งเคยใช้ใน Internet Explorer และ Microsoft Edge รุ่นเก่า (Legacy) โดยส่วนประกอบเหล่านี้ยังคงติดตั้งใน Windows อยู่

Microsoft อธิบายว่า "แม้ว่า Microsoft จะประกาศยุติการใช้งานแอปพลิเคชัน Internet Explorer 11 ในบางแพลตฟอร์ม และแอปพลิเคชัน Microsoft Edge Legacy ก็ถูกยกเลิก แต่แพลตฟอร์มพื้นฐาน MSHTML, EdgeHTML และแพลตฟอร์มสคริปต์ยังคงได้รับการสนับสนุนอยู่"

"แพลตฟอร์ม MSHTML ถูกใช้งานในโหมด Internet Explorer ของ Microsoft Edge รวมถึงแอปพลิเคชันอื่น ๆ ผ่านการควบคุม WebBrowser แพลตฟอร์ม EdgeHTML ถูกใช้ใน WebView และแอป UWP บางตัว แพลตฟอร์มสคริปต์ถูกใช้ทั้งใน MSHTML และ EdgeHTML แต่ก็สามารถถูกใช้งานโดยแอปพลิเคชันรุ่นเก่าอื่น ๆ ได้"

แม้ยังไม่มีการยืนยัน แต่ช่องโหว่นี้อาจเป็นการเลี่ยงผ่านช่องโหว่ก่อนหน้านี้ที่ใช้ประโยชน์จาก MSHTML ในการปลอมแปลงนามสกุลไฟล์ในคำเตือนที่แสดงเมื่อเปิดไฟล์ ช่องโหว่การปลอมแปลงที่คล้ายกันของ MSHTML ถูกเปิดเผยเมื่อเดือนที่แล้ว โดยการโจมตีใช้ตัวอักษรเบรลล์ในชื่อไฟล์เพื่อปลอมแปลงไฟล์ PDF

Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้รายงานช่องโหว่นี้

CVE-2024-43572 - ช่องโหว่การรันโค้ดระยะไกลใน Microsoft Management Console

ช่องโหว่นี้อนุญาตให้ไฟล์ Microsoft Saved Console (MSC) ที่เป็นอันตรายสามารถรันโค้ดจากระยะไกลบนอุปกรณ์ที่มีช่องโหว่ได้

Microsoft ได้แก้ไขช่องโหว่นี้โดยการป้องกันไม่ให้เปิดไฟล์ MSC ที่ไม่ได้รับการไว้วางใจ

Microsoft อธิบายว่า "การอัปเดตความปลอดภัยนี้จะป้องกันไม่ให้ไฟล์ Microsoft Saved Console (MSC) ที่ไม่ได้รับการไว้วางใจถูกเปิด เพื่อปกป้องลูกค้าจากความเสี่ยงที่เกี่ยวข้องกับช่องโหว่นี้"

ยังไม่ทราบแน่ชัดว่าช่องโหว่นี้ถูกใช้งานอย่างไรในการโจมตี

Microsoft ระบุว่าช่องโหว่นี้ถูกเปิดเผยโดย "Andres และ Shady"

Microsoft ยังกล่าวว่าช่องโหว่ทั้งสองนี้ (รวมถึงช่องโหว่อื่น ๆ) ถูกเปิดเผยสู่สาธารณะแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้รายงานช่องโหว่นี้

ช่องโหว่อีกสามรายการที่ถูกเปิดเผยต่อสาธารณะ แต่ไม่ได้ถูกใช้งานในโจมตีคือ:

CVE-2024-6197 - ช่องโหว่การรันโค้ดระยะไกลใน Open Source Curl

Microsoft ได้แก้ไขช่องโหว่การรันโค้ดระยะไกลในไลบรารี libcurl ที่อาจทำให้คำสั่งถูกเรียกใช้เมื่อ Curl พยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่เป็นอันตราย

Curl security advisory อธิบายว่า "โค้ดที่มีช่องโหว่นี้สามารถถูกเรียกใช้งานได้โดยเซิร์ฟเวอร์ที่เป็นอันตรายที่นำเสนอใบรับรอง TLS ที่ออกแบบมาเป็นพิเศษ"

Microsoft ได้แก้ไขช่องโหว่นี้โดยการอัปเดตไลบรารี libcurl ที่ใช้ในไฟล์ปฏิบัติการ Curl ซึ่งถูกรวมอยู่ใน Windows

ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ "z2_" ซึ่งได้แบ่งปันรายละเอียดทางเทคนิคในรายงานของ HackerOne

CVE-2024-20659 - ช่องโหว่การเลี่ยงผ่านคุณสมบัติความปลอดภัยใน Windows Hyper-V

Microsoft ได้แก้ไขช่องโหว่การเลี่ยงผ่าน UEFI ที่อาจทำให้นักโจมตีสามารถโจมตี hypervisor และ kernel ได้

Microsoft อธิบายว่า "ช่องโหว่ใน Hypervisor นี้เกี่ยวข้องกับเครื่องเสมือน (Virtual Machines) ภายในเครื่องโฮสต์ที่ใช้ Unified Extensible Firmware Interface (UEFI)"

"ในฮาร์ดแวร์บางชนิด อาจเป็นไปได้ที่จะเลี่ยงผ่าน UEFI ซึ่งอาจนำไปสู่การโจมตี hypervisor และ kernel ที่ปลอดภัยได้"

Microsoft ระบุว่านักโจมตีต้องเข้าถึงอุปกรณ์โดยตรง (ทางกายภาพ) และต้องทำการรีบูตเครื่องเพื่อใช้ประโยชน์จากช่องโหว่นี้

ช่องโหว่นี้ถูกค้นพบโดย Francisco Falcón และ Iván Arce จาก Quarkslab แต่ยังไม่ทราบว่าเปิดเผยต่อสาธารณะครั้งแรกที่ใด

CVE-2024-43583 - ช่องโหว่การยกระดับสิทธิ์ใน Winlogon

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่อาจให้นักโจมตีได้รับสิทธิ์ SYSTEM ใน Windows

Microsoft ระบุว่าผู้ดูแลระบบต้องดำเนินการเพิ่มเติมเพื่อป้องกันช่องโหว่นี้

Microsoft อธิบายว่า "เพื่อแก้ไขช่องโหว่นี้ ให้ตรวจสอบให้แน่ใจว่ามีการเปิดใช้งาน Microsoft first-party IME (Input Method Editor) บนอุปกรณ์ของคุณ"

"การทำเช่นนี้จะช่วยปกป้องอุปกรณ์จากช่องโหว่ที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับ IME ของบุคคลที่สาม (3P) ในระหว่างกระบวนการลงชื่อเข้าใช้"

ช่องโหว่นี้ถูกค้นพบโดย wh1tc และ Zhiniang Peng จาก pwnull

ผู้จำหน่ายรายอื่นที่ออกการอัปเดตหรือคำแนะนำในเดือนตุลาคม 2024 ได้แก่:

Cisco: ออกการอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ

DrayTek: ออกการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ 14 รายการในรุ่นเราเตอร์ต่าง ๆ

Fortinet: แก้ไขช่องโหว่ 4 รายการในเฟิร์มแวร์ต่างๆ โดยไม่มีการรายงานว่าใดถูกโจมตีในขณะนี้

Ivanti: ออกการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ 0-day สามรายการที่ถูกใช้ในการโจมตีจริง

Optigo Networks: ออกการอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ 2 รายการในผลิตภัณฑ์ ONS-S8 Aggregation Switch

Qualcomm: ออกการแก้ไขช่องโหว่ 0-day ในบริการ Digital Signal Processor (DSP)

SAP: ออกการอัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการใน Patch Day เดือนตุลาคม

การอัปเดตด้านความปลอดภัยใน Patch Tuesday เดือนตุลาคม 2024

ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในอัปเดต Patch Tuesday เดือนตุลาคม 2024

เพื่อเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ คุณสามารถดูรายงานฉบับเต็มได้ที่นี่

Tag	CVE ID	CVE Title	Severity
.NET and Visual Studio	CVE-2024-38229	.NET and Visual Studio Remote Code Execution Vulnerability	Important
.NET and Visual Studio	CVE-2024-43485	.NET and Visual Studio Denial of Service Vulnerability	Important
.NET, .NET Framework, Visual Studio	CVE-2024-43484	.NET, .NET Framework, and Visual Studio Denial of Service Vulnerability	Important
.NET, .NET Framework, Visual Studio	CVE-2024-43483	.NET, .NET Framework, and Visual Studio Denial of Service Vulnerability	Important
Azure CLI	CVE-2024-43591	Azure Command Line Integration (CLI) Elevation of Privilege Vulnerability	Important
Azure Monitor	CVE-2024-38097	Azure Monitor Agent Elevation of Privilege Vulnerability	Important
Azure Stack	CVE-2024-38179	Azure Stack Hyperconverged Infrastructure (HCI) Elevation of Privilege Vulnerability	Important
BranchCache	CVE-2024-43506	BranchCache Denial of Service Vulnerability	Important
BranchCache	CVE-2024-38149	BranchCache Denial of Service Vulnerability	Important
Code Integrity Guard	CVE-2024-43585	Code Integrity Guard Security Feature Bypass Vulnerability	Important
DeepSpeed	CVE-2024-43497	DeepSpeed Remote Code Execution Vulnerability	Important
Internet Small Computer Systems Interface (iSCSI)	CVE-2024-43515	Internet Small Computer Systems Interface (iSCSI) Denial of Service Vulnerability	Important
Microsoft ActiveX	CVE-2024-43517	Microsoft ActiveX Data Objects Remote Code Execution Vulnerability	Important
Microsoft Configuration Manager	CVE-2024-43468	Microsoft Configuration Manager Remote Code Execution Vulnerability	Critical
Microsoft Defender for Endpoint	CVE-2024-43614	Microsoft Defender for Endpoint for Linux Spoofing Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2024-9369	Chromium: CVE-2024-9369 Insufficient data validation in Mojo	Unknown
Microsoft Edge (Chromium-based)	CVE-2024-9370	Chromium: CVE-2024-9370 Inappropriate implementation in V8	Unknown
Microsoft Edge (Chromium-based)	CVE-2024-7025	Chromium: CVE-2024-7025 Integer overflow in Layout	Unknown
Microsoft Graphics Component	CVE-2024-43534	Windows Graphics Component Information Disclosure Vulnerability	Important
Microsoft Graphics Component	CVE-2024-43508	Windows Graphics Component Information Disclosure Vulnerability	Important
Microsoft Graphics Component	CVE-2024-43556	Windows Graphics Component Elevation of Privilege Vulnerability	Important
Microsoft Graphics Component	CVE-2024-43509	Windows Graphics Component Elevation of Privilege Vulnerability	Important
Microsoft Management Console	CVE-2024-43572	Microsoft Management Console Remote Code Execution Vulnerability	Important
Microsoft Office	CVE-2024-43616	Microsoft Office Remote Code Execution Vulnerability	Important
Microsoft Office	CVE-2024-43576	Microsoft Office Remote Code Execution Vulnerability	Important
Microsoft Office	CVE-2024-43609	Microsoft Office Spoofing Vulnerability	Important
Microsoft Office Excel	CVE-2024-43504	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office SharePoint	CVE-2024-43503	Microsoft SharePoint Elevation of Privilege Vulnerability	Important
Microsoft Office Visio	CVE-2024-43505	Microsoft Office Visio Remote Code Execution Vulnerability	Important
Microsoft Simple Certificate Enrollment Protocol	CVE-2024-43544	Microsoft Simple Certificate Enrollment Protocol Denial of Service Vulnerability	Important
Microsoft Simple Certificate Enrollment Protocol	CVE-2024-43541	Microsoft Simple Certificate Enrollment Protocol Denial of Service Vulnerability	Important
Microsoft WDAC OLE DB provider for SQL	CVE-2024-43519	Microsoft WDAC OLE DB provider for SQL Server Remote Code Execution Vulnerability	Important
Microsoft Windows Speech	CVE-2024-43574	Microsoft Speech Application Programming Interface (SAPI) Remote Code Execution Vulnerability	Important
OpenSSH for Windows	CVE-2024-43615	Microsoft OpenSSH for Windows Remote Code Execution Vulnerability	Important
OpenSSH for Windows	CVE-2024-43581	Microsoft OpenSSH for Windows Remote Code Execution Vulnerability	Important
OpenSSH for Windows	CVE-2024-38029	Microsoft OpenSSH for Windows Remote Code Execution Vulnerability	Important
Outlook for Android	CVE-2024-43604	Outlook for Android Elevation of Privilege Vulnerability	Important
Power BI	CVE-2024-43612	Power BI Report Server Spoofing Vulnerability	Important
Power BI	CVE-2024-43481	Power BI Report Server Spoofing Vulnerability	Important
Remote Desktop Client	CVE-2024-43533	Remote Desktop Client Remote Code Execution Vulnerability	Important
Remote Desktop Client	CVE-2024-43599	Remote Desktop Client Remote Code Execution Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43521	Windows Hyper-V Denial of Service Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-20659	Windows Hyper-V Security Feature Bypass Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43567	Windows Hyper-V Denial of Service Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43575	Windows Hyper-V Denial of Service Vulnerability	Important
RPC Endpoint Mapper Service	CVE-2024-43532	Remote Registry Service Elevation of Privilege Vulnerability	Important
Service Fabric	CVE-2024-43480	Azure Service Fabric for Linux Remote Code Execution Vulnerability	Important
Sudo for Windows	CVE-2024-43571	Sudo for Windows Spoofing Vulnerability	Important
Visual C++ Redistributable Installer	CVE-2024-43590	Visual C++ Redistributable Installer Elevation of Privilege Vulnerability	Important
Visual Studio	CVE-2024-43603	Visual Studio Collector Service Denial of Service Vulnerability	Important
Visual Studio Code	CVE-2024-43488	Visual Studio Code extension for Arduino Remote Code Execution Vulnerability	Critical
Visual Studio Code	CVE-2024-43601	Visual Studio Code for Linux Remote Code Execution Vulnerability	Important
Windows Ancillary Function Driver for WinSock	CVE-2024-43563	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Important
Windows BitLocker	CVE-2024-43513	BitLocker Security Feature Bypass Vulnerability	Important
Windows Common Log File System Driver	CVE-2024-43501	Windows Common Log File System Driver Elevation of Privilege Vulnerability	Important
Windows Cryptographic Services	CVE-2024-43546	Windows Cryptographic Information Disclosure Vulnerability	Important
Windows cURL Implementation	CVE-2024-6197	Open Source Curl Remote Code Execution Vulnerability	Important
Windows EFI Partition	CVE-2024-37982	Windows Resume Extensible Firmware Interface Security Feature Bypass Vulnerability	Important
Windows EFI Partition	CVE-2024-37976	Windows Resume Extensible Firmware Interface Security Feature Bypass Vulnerability	Important
Windows EFI Partition	CVE-2024-37983	Windows Resume Extensible Firmware Interface Security Feature Bypass Vulnerability	Important
Windows Hyper-V	CVE-2024-30092	Windows Hyper-V Remote Code Execution Vulnerability	Important
Windows Kerberos	CVE-2024-43547	Windows Kerberos Information Disclosure Vulnerability	Important
Windows Kerberos	CVE-2024-38129	Windows Kerberos Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2024-43502	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2024-43511	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2024-43520	Windows Kernel Denial of Service Vulnerability	Important
Windows Kernel	CVE-2024-43527	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2024-43570	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel	CVE-2024-37979	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows Kernel-Mode Drivers	CVE-2024-43554	Windows Kernel-Mode Driver Information Disclosure Vulnerability	Important
Windows Kernel-Mode Drivers	CVE-2024-43535	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Important
Windows Local Security Authority (LSA)	CVE-2024-43522	Windows Local Security Authority (LSA) Elevation of Privilege Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43555	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43540	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43536	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43538	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43525	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43559	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43561	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43558	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43542	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43557	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43526	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43543	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43523	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43524	Windows Mobile Broadband Driver Remote Code Execution Vulnerability	Important
Windows Mobile Broadband	CVE-2024-43537	Windows Mobile Broadband Driver Denial of Service Vulnerability	Important
Windows MSHTML Platform	CVE-2024-43573	Windows MSHTML Platform Spoofing Vulnerability	Moderate
Windows Netlogon	CVE-2024-38124	Windows Netlogon Elevation of Privilege Vulnerability	Important
Windows Network Address Translation (NAT)	CVE-2024-43562	Windows Network Address Translation (NAT) Denial of Service Vulnerability	Important
Windows Network Address Translation (NAT)	CVE-2024-43565	Windows Network Address Translation (NAT) Denial of Service Vulnerability	Important
Windows NT OS Kernel	CVE-2024-43553	NT OS Kernel Elevation of Privilege Vulnerability	Important
Windows NTFS	CVE-2024-43514	Windows Resilient File System (ReFS) Elevation of Privilege Vulnerability	Important
Windows Online Certificate Status Protocol (OCSP)	CVE-2024-43545	Windows Online Certificate Status Protocol (OCSP) Server Denial of Service Vulnerability	Important
Windows Print Spooler Components	CVE-2024-43529	Windows Print Spooler Elevation of Privilege Vulnerability	Important
Windows Remote Desktop	CVE-2024-43582	Remote Desktop Protocol Server Remote Code Execution Vulnerability	Critical
Windows Remote Desktop Licensing Service	CVE-2024-38262	Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability	Important
Windows Remote Desktop Services	CVE-2024-43456	Windows Remote Desktop Services Tampering Vulnerability	Important
Windows Resilient File System (ReFS)	CVE-2024-43500	Windows Resilient File System (ReFS) Information Disclosure Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43592	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43589	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-38212	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43593	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-38261	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43611	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43453	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-38265	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43607	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43549	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43608	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2024-43564	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Scripting	CVE-2024-43584	Windows Scripting Engine Security Feature Bypass Vulnerability	Important
Windows Secure Channel	CVE-2024-43550	Windows Secure Channel Spoofing Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43516	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43528	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Shell	CVE-2024-43552	Windows Shell Remote Code Execution Vulnerability	Important
Windows Standards-Based Storage Management Service	CVE-2024-43512	Windows Standards-Based Storage Management Service Denial of Service Vulnerability	Important
Windows Storage	CVE-2024-43551	Windows Storage Elevation of Privilege Vulnerability	Important
Windows Storage Port Driver	CVE-2024-43560	Microsoft Windows Storage Port Driver Elevation of Privilege Vulnerability	Important
Windows Telephony Server	CVE-2024-43518	Windows Telephony Server Remote Code Execution Vulnerability	Important
Winlogon	CVE-2024-43583	Winlogon Elevation of Privilege Vulnerability	Important

Ref : bleepingcomputer