พบช่องโหว่ระดับ Critical ในปลั๊กอินป้องกันสแปมของ WordPress เว็บไซต์กว่า 200,000+ แห่งอาจถูกโจมตี

    VMware ได้เปิดเผยช่องโหว่ระดับ Critical หลายรายการในผลิตภัณฑ์ Aria Operations โดยช่องโหว่ที่อันตรายที่สุดเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้คำแนะนำเกี่ยวกับช่องโหว่นี้มีหมายเลข VMSA-2024-0022 ถูกเผยแพร่เมื่อวันที่ 26 พฤศจิกายน 2024 โดยมีช่องโหว่ 5 รายการ ดังนี้

• CVE-2024-38830 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local
• CVE-2024-38831 (คะแนน CVSS v3 7.8/10): เป็นช่องโหว่การยกระดับสิทธิ์แบบ local อีกหนึ่งรายการ
• CVE-2024-38832 (คะแนน CVSS v3 7.1/10): เป็นช่องโหว่ Stored Cross-Site Scripting (XSS)
• CVE-2024-38833 (คะแนน CVSS v3 6.8/10): เป็นช่องโหว่ Stored XSS

    ช่องโหว่การยกระดับสิทธิ์แบบ local ทั้งสองรายการ (CVE-2024-38830 และ CVE-2024-38831) ถือเป็นช่องโหว่ที่น่ากังวลเป็นพิเศษ

    ช่องโหว่การยกระดับสิทธิ์แบบ local ดังกล่าว สามารถทำให้ผู้โจมตีที่มีสิทธิ์การเข้าถึงในระดับผู้ดูแลระบบ สามารถยกระดับสิทธิ์เป็นผู้ใช้ root บนอุปกรณ์ที่รัน VMware Aria Operations ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบที่ได้รับผลกระทบทั้งหมดได้

    ช่องโหว่ Stored XSS (CVE-2024-38832, CVE-2024-38833, และ CVE-2024-38834) สามารถทำให้ผู้โจมตีที่มีสิทธิ์ในการแก้ไข components ต่าง ๆ (เช่น มุมมอง, เทมเพลตอีเมล และการตั้งค่าผู้ให้บริการคลาวด์) สามารถ inject สคริปต์ที่เป็นอันตรายได้ โดยสคริปต์เหล่านี้อาจถูกเรียกใช้เมื่อมีผู้ใช้รายอื่นเข้าถึงพื้นที่ที่ได้รับผลกระทบของแอปพลิเคชัน

    ช่องโหว่เหล่านี้ส่งผลกระทบต่อ VMware Aria Operations เวอร์ชัน 8.x ถึง 8.18.1 และ VMware Cloud Foundation เวอร์ชัน 4.x, 5.x

Patches Released

    VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่เหล่านี้แล้ว โดยผู้ใช้งานควรรีบอัปเดตเป็น VMware Aria Operations เวอร์ชัน 8.18.2 ซึ่งจะแก้ไขช่องโหว่ทั้ง 5 รายการข้างต้น และปัจจุบันยังไม่มีวิธีการลดผลกระทบด้วยวิธีการอื่น ดังนั้นองค์กรควรจะต้องทำการอัปเดตแพตซ์โดยเร็วที่สุด

1. Update Immediately: องค์กรที่ใช้ VMware Aria Operations ควรทำการอัปเดตเป็นเวอร์ชัน 8.18.2
2. Access Control: ใช้การควบคุมการเข้าถึงที่เข้มงวดเพื่อจำกัดจำนวนผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบ
3. Monitor Systems: เฝ้าระวังระบบอย่างใกล้ชิด เพื่อตรวจสอบพฤติกรรมที่น่าสงสัย ซึ่งอาจบ่งชี้ถึงความพยายามในการโจมตี
4. Security Audits: ทำการตรวจสอบความปลอดภัยอย่างละเอียดเพื่อให้มั่นใจว่าไม่มีการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตในระบบ

    VMware ได้ให้เครดิตนักวิจัยด้านความปลอดภัยหลายราย รวมถึงกลุ่ม MoyunSec Vlab, Bing, และสมาชิกของทีม Michelin CERT ที่รายงานช่องโหว่เหล่านี้

Ref : thehackernews.com

การอัปเดตเฟิร์มแวร์ของ QNAP ทำให้ผู้ดูแลระบบ NAS ไม่สามารถเข้าถึงอุปกรณ์ได้

    การอัปเดตเฟิร์มแวร์ล่าสุดที่ถูกส่งไปยังอุปกรณ์ QNAP Network Attached Storage (NAS) ทำให้ผู้ดูแลระบบหลายรายไม่สามารถเข้าถึงระบบจัดเก็บข้อมูลของตนได้ ทาง QNAP ได้ถอนการอัปเดตเฟิร์มแวร์ และปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้ว แต่การตอบสนองของบริษัททำให้บางผู้ใช้งานรู้สึกไม่มั่นใจในอุปกรณ์ที่ใช้เก็บข้อมูล

  ตามข้อมูลที่พบใน QNAP community thread และจากประกาศของ QNAP พบว่า ระบบปฏิบัติการ QNAP, QTS ได้รับการอัปเดตเวอร์ชัน 5.2.2.2950, build 20241114 ประมาณวันที่ 19 พฤศจิกายน 2024 หลังจากที่ QNAP "ได้รับแจ้งจากผู้ใช้งานบางรายที่รายงานปัญหาเกี่ยวกับการทำงานของอุปกรณ์หลังจากการติดตั้งแพตซ์" บริษัทระบุว่า ได้ถอนการอัปเดตที่มีปัญหาออก เพื่อทำการตรวจสอบอย่างละเอียด และได้ปล่อยเวอร์ชันที่ได้รับการแก้ไขแล้วภายใน 24 ชั่วโมง

    จาก community thread พบว่า ผู้ใช้งานจากระบบต่าง ๆ ประสบปัญหามากกว่ารายชื่อที่ QNAP ได้ระบุไว้ เช่น รุ่น Limited ของซีรีส์ TS-x53D และซีรีส์ TS-x51 ปัญหาที่รายงานเพิ่มเติม ได้แก่ ผู้ดูแลระบบถูกปฏิเสธการเข้าสู่ระบบ, อุปกรณ์มีปัญหาในระหว่างการบูต และมีการแจ้งว่าไม่ได้ติดตั้ง Python เพื่อรันแอปพลิเคชัน และบริการบางอย่าง

    QNAP แจ้งว่า ผู้ใช้งานที่ได้รับผลกระทบ สามารถทำการดาวน์เกรดอุปกรณ์ของตนเองได้ (คาดว่าจะต้องดาวน์เกรดอุปกรณ์ก่อน แล้วจึงอัปเกรดอีกครั้งไปยังเวอร์ชันที่ได้รับการแก้ไข) หรือติดต่อฝ่าย support เพื่อขอความช่วยเหลือ อย่างไรก็ตาม การตอบสนองจากฝ่าย support ของ QNAP ตามที่ผู้ใช้รายงานในฟอรั่ม และโซเชียลมีเดียยังไม่สอดคล้องกับระดับความรุนแรงของการไม่สามารถเข้าถึงระบบสำรองข้อมูลทั้งหมด

    การอัปเดตเฟิร์มแวร์ของ QNAP มีจุดประสงค์ เพื่อปิดช่องโหว่ด้านความปลอดภัยล่าสุดในอุปกรณ์ของพวกเขา โดยอุปกรณ์ของ QNAP ตกเป็นเป้าหมาย และถูกโจมตีอย่างต่อเนื่องจากกลุ่มผู้ไม่หวังดี ช่องโหว่ระดับ Critical ที่พบในเดือนกุมภาพันธ์ 2023 ทำให้เกิดการโจมตีแบบ SQL injections และอาจนำไปสู่การถูกเข้าควบคุมระบบของอุปกรณ์ ส่งผลกระทบกับอุปกรณ์เกือบ 30,000 เครื่องที่พบจากการสแกนเครือข่าย ซึ่งเป็นผลมาจากการโจมตีของ DeadBolt ซึ่งเป็นกลุ่ม Ransomware ที่แพร่กระจายมัลแวร์ไปยังอุปกรณ์ QNAP หลายพันเครื่อง และทำให้ QNAP ต้องดำเนินการอัปเดตฉุกเฉินโดยอัตโนมัติ แม้แต่ลูกค้าที่ปิดการอัปเดตอัตโนมัติก็ตาม

    นักวิจัยด้านความปลอดภัยจาก WatchTowr พบช่องโหว่ 15 รายการในระบบปฏิบัติการ และบริการคลาวด์ของ QNAP และได้แจ้งบริษัทที่เกี่ยวข้องรับทราบ หลังจากที่ QNAP ล้มเหลวในการแก้ไขช่องโหว่บางส่วนเป็นเวลานานเกินกว่าเวลามาตรฐาน 90 วัน WatchTowr จึงจะเปิดเผยผลการวิจัยต่อสาธารณะ พร้อมตั้งชื่อรายงานนี้ว่า "QNAPping at the Wheel"

อุปกรณ์ QNAP เป็นอุปกรณ์จัดเก็บข้อมูลในเครือข่าย ไม่ควรเปิดให้เข้าถึงได้โดยตรงจากอินเทอร์เน็ต ควรเชื่อมต่อผ่าน VPN หรือมาตรการรักษาความปลอดภัยอื่น ๆ เท่านั้น

Ref : arstechnica.com

ผู้ไม่ประสงค์ดีชาวจีนใช้ช่องโหว่ Zero-Day ใน Fortinet VPN เพื่อขโมยข้อมูล Credentials

    พบผู้ไม่ประสงค์ดีชาวจีนใช้ชุดเครื่องมือ post-exploitation toolkit ในชื่อ "DeepData" เพื่อโจมตีช่องโหว่ Zero-Day ใน FortiClient Windows VPN client เพื่อโมยข้อมูล credentials

    โดยช่องโหว่ Zero-Day ดังกล่าว ทำให้ ผู้ไม่ประสงค์ดีสามารถ dump ข้อมูล credentials จากหน่วยความจำหลังจากที่ผู้ใช้งานผ่านการยืนยันตัวตนผ่านอุปกรณ์ VPN

    นักวิจัยของ Volexity รายงานว่า พวกเขาพบช่องโหว่นี้ในช่วงต้นฤดูร้อน และรายงานให้ Fortinet ทราบเมื่อวันที่ 18 กรกฎาคม 2024 และ Fortinet ยอมรับช่องโหว่ดังกล่าวเมื่อวันที่ 24 กรกฎาคม 2024 แต่ช่องโหว่ยังคงไม่ได้รับการแก้ไข และยังไม่มีการระบุหมายเลข CVE ให้กับช่องโหว่ดังกล่าว

การกำหนดเป้าหมายการโจมตีไปยังข้อมูลประจำตัว VPN

    การโจมตีที่ถูกดำเนินการโดย ผู้ไม่ประสงค์ดีชาวจีน ที่มีชื่อว่า "BrazenBamboo" ซึ่งเป็นที่รู้จักกันดีในการพัฒนา และใช้งานมัลแวร์ขั้นสูงที่โจมตีระบบ Windows, macOS, iOS และ Android

    Volexity อธิบายว่า ผู้ไม่ประสงค์ดีได้ใช้มัลแวร์จำนวนมากในการโจมตี รวมถึงมัลแวร์ LightSpy และ DeepPost

    LightSpy เป็นสปายแวร์ที่ทำงานได้หลายแพลตฟอร์ม สำหรับการรวบรวมข้อมูล keylogging การขโมยข้อมูล browser credential และการดักจับการเชื่อมต่อ

DeepPost เป็นมัลแวร์ที่ใช้เพื่อขโมยข้อมูลจากอุปกรณ์ที่ถูกโจมตี

    ทั้งนี้ รายงานของ Volexity ได้มุ่งเน้นไปที่ DeepData ซึ่งเป็นเครื่องมือ post-exploitation tool สำหรับ Windows ซึ่งใช้ plugins หลายตัวเพื่อขโมยข้อมูล

    โดย DeepData เวอร์ชันล่าสุด ที่พบเมื่อฤดูร้อน มี FortiClient plugin ที่ใช้โจมตีช่องโหว่ Zero-Day เพื่อขโมยข้อมูล credentials (ชื่อผู้ใช้ และรหัสผ่าน) และข้อมูล VPN server

ซึ่ง DeepData จะค้นหา และถอดรหัส JSON objects ในหน่วยความจำของ FortiClient process และขโมยข้อมูลเหล่านี้ส่งไปยัง C2 Server ของ ผู้ไม่ประสงค์ดีโดยใช้ DeepPost

    ในการโจมตีเพื่อเจาะ VPN accounts จะทำให้กลุ่ม BrazenBamboo สามารถเข้าถึงเครือข่ายองค์กรได้ จากนั้นจะทำการแพร่กระจายต่อไปในระบบ เพื่อเข้าถึงระบบที่มีความสำคัญ และขยายขอบเขตของแคมเปญการโจมตีออกไป

ช่องโหว่ Zero-Day ใน FortiClient

    Volexity พบว่า DeepData ใช้ช่องโหว่ Zero-Day ใน FortiClient เพื่อโจมตีเป้าหมายในช่วงกลางเดือนกรกฎาคม 2024 ซึ่งคล้ายกับช่องโหว่ในปี 2016 (ไม่มี CVE เช่นกัน) เป็นช่องโหว่ใน hardcoded memory ที่ทำให้ข้อมูลรั่วไหล

    อย่างไรก็ตาม ช่องโหว่ที่พบในปี 2024 ถือเป็นช่องโหว่ใหม่ และแยกจากช่องโหว่อื่น และใช้โจมตีได้เฉพาะกับเวอร์ชันที่เผยแพร่ล่าสุดเท่านั้น, รวมถึงเวอร์ชันล่าสุด, v7.4.0 ซึ่งแสดงให้เห็นว่าช่องโหว่นี้อาจเชื่อมโยงกับการเปลี่ยนแปลงล่าสุดของซอฟต์แวร์

    Volexity อธิบายว่า ช่องโหว่ดังกล่าวเกิดจากความผิดพลาดของ FortiClient ในการ clear ข้อมูลที่มีความสำคัญออกจากหน่วยความจำ รวมถึงชื่อผู้ใช้, รหัสผ่าน, VPN gateway และพอร์ต ซึ่งยังคงอยู่ใน JSON objects ในหน่วยความจำ

    จนกว่า Fortinet จะยืนยันช่องโหว่ และออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว ทาง Fortinet ได้แนะนำให้ทำการจำกัดการเข้าถึง VPN และตรวจสอบพฤติกรรมการเข้าสู่ระบบที่ผิดปกติ

Ref : bleepingcomputer.com

ช่องโหว่ RCE ระดับ Critical ใน VMware vCenter Server กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

    Broadcom ออกมาแจ้งเตือนว่าพบผู้ไม่ระสงค์ดีได้ใช้ช่องโหว่ VMware vCenter Server จำนวน 2 รายการ ในการโจมตีเป้าหมายอย่างต่อเนื่อง โดยหนึ่งในนั้นเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical

• CVE-2024-38812 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Heap Overflow ในการใช้งาน DCE/RPC protocol ของ vCenter ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ที่มี vCenter รวมถึง VMware vSphere และ VMware Cloud Foundation ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest
• CVE-2024-38813 (คะแนน CVSS v4.0 ที่ 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Privilege Escalation ที่ทำให้สามารถยกระดับสิทธิ์ไปยังระดับ Root โดยใช้ network packet ที่สร้างขึ้นมาเป็นพิเศษได้ ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ TZL ระหว่างการแข่งขัน China's 2024 Matrix Cup hacking contest

    Broadcom ได้ออกแพตซ์อัปเดตด้านความปลอดภัยในเดือนกันยายน 2024 เพื่อแก้ไขช่องโหว่ทั้ง 2 รายการ ต่อมา Broadcom ได้อัปเดตคำเตือนด้านความปลอดภัยที่ระบุว่าแพตช์ CVE-2024-38812 เดิมนั้น ไม่สามารถแก้ไขช่องโหว่ได้อย่างสมบูรณ์ และแนะนำอย่างยิ่งให้ผู้ดูแลระบบใช้แพตช์ตัวใหม่ เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว เนื่องจากไม่มีวิธีอื่นในการลดผลกระทบ

    รวมถึง Broadcom ยังได้ออกคำแนะนำพร้อมข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตด้านความปลอดภัยบนระบบที่มีช่องโหว่ ซึ่งอาจส่งผลกระทบต่อระบบที่ได้อัปเกรดไปแล้ว

    ในเดือนมิถุนายน 2024 บริษัทได้แก้ไขช่องโหว่ vCenter Server RCE ที่คล้ายคลึงกัน (CVE-2024-37079) ซึ่งผู้ไม่ระสงค์ดีสามารถโจมตีได้ผ่าน network packet ที่สร้างขึ้นมาเป็นพิเศษเช่นเดียวกัน

กลุ่ม Ransomware และกลุ่มผู้ไม่ระสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล มักมุ่งเป้าหมายการโจมตีไปยังช่องโหว่ VMware vCenter ตัวอย่างเช่น ในเดือนมกราคม Broadcom เปิดเผยว่าผู้ไม่ระสงค์ดีของรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ของ vCenter Server (CVE-2023-34048) ในการโจมตีเป้าหมาย โดยเป็นช่องโหว่ Zero-Day ตั้งแต่ช่วงปลายปี 2021 เป็นอย่างน้อย

    กลุ่มผู้ไม่ระสงค์ดี(ถูกติดตามโดย Mandiant ในชื่อ UNC3886) ได้ใช้ช่องโหว่เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ผ่านทาง vSphere Installation Bundles (VIB) ที่สร้างขึ้น

Ref : bleepingcomputer.com

จับรถตู้ส่งข้อความ SMS หลอกลวงกว่า 1 ล้านข้อความ

    ตำรวจไทย (DSI) พบรถตู้และจับกุมคนขับที่ใช้เครื่อง SMS Blaster เพื่อส่งข้อความฟิชชิง (Phishing) มากกว่า 100,000 ข้อความต่อชั่วโมงไปยังผู้คนในกรุงเทพฯ

    โดยอุปกรณ์ดังกล่าวมีระยะการทำงานประมาณ 3 กิโลเมตร (10,000 ฟุต) และสามารถส่งข้อความได้ในอัตรา 100,000 ข้อความต่อชั่วโมง ในช่วงเวลา 3 วัน แก๊งมิจฉาชีพได้ส่งข้อความ SMS เกือบ 1 ล้านข้อความไปยังอุปกรณ์มือถือในรัศมี โดยเนื้อหาข้อความระบุว่า "คะแนนของคุณ 9,268 กำลังจะหมดอายุ! รีบแลกของขวัญของคุณตอนนี้เลย"

    ข้อความที่ส่งมีลิงก์ไปยังเว็บไซต์ฟิชชิงซึ่งมีคำว่า "aisthailand" ใน URL เพื่อแอบอ้างเป็นบริษัท แอดวานซ์ อินโฟร์ เซอร์วิส (AIS) ซึ่งเป็นผู้ให้บริการโทรศัพท์มือถือรายใหญ่ที่สุดในประเทศไทย

ผู้ใช้ที่คลิกลิงก์ฟิชชิงดังกล่าวจะถูกนำไปยังหน้าเว็บที่ขอข้อมูลบัตรเครดิต ซึ่งข้อมูลนี้จะถูกส่งไปยังมิจฉาชีพเพื่อใช้ทำธุรกรรมโดยไม่ได้รับอนุญาตในต่างประเทศ แก๊งมิจฉาชีพ ซึ่งมีทั้งสมาชิกในประเทศไทยและต่างประเทศ ร่วมกันประสานงานผ่านช่องทาง Telegram ส่วนตัว โดยใช้ช่องทางนี้ในการตัดสินใจเนื้อหาของข้อความที่ส่ง

    ตำรวจได้จับกุมชายชาวจีนอายุ 35 ปี ซึ่งเป็นคนขับรถตู้ที่ติดตั้งเครื่อง SMS Blaster และกำลังเร่งติดตามตัวผู้ต้องสงสัยอีกอย่างน้อย 2 คนที่เป็นสมาชิกของแก๊งนี้

    มีการรายงานว่า AIS ได้ให้ความช่วยเหลือตำรวจในการระบุตำแหน่งของเครื่องส่งข้อความ SMS Blaster อย่างไรก็ตาม AIS ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีการที่ใช้ในการติดตาม เพื่อป้องกันไม่ให้ผู้ส่งสแปมปรับเปลี่ยนกลยุทธ์ของพวกเขา

    แม้ว่าข้อความฟิชชิงเหล่านี้มักจะมีอัตราความสำเร็จต่ำ เนื่องจากประชาชนมีความตื่นตัวมากขึ้น แต่ด้วยปริมาณการส่งที่สูงและการมุ่งเป้าหมายในพื้นที่ที่มีประชากรหนาแน่น ก็สามารถสร้างรายได้มหาศาลให้กับผู้กระทำผิดได้

Ref : bleepingcomputer.com

อีเมลฟิชชิงเริ่มใช้ไฟล์แนบ SVG มากขึ้นเพื่อหลีกเลี่ยงการตรวจจับ

    ผู้ไม่ประสงค์ดีเริ่มใช้ไฟล์แนบ Scalable Vector Graphics (SVG) มากขึ้นเพื่อแสดงแบบฟอร์มฟิชชิง หรือแพร่กระจายมัลแวร์ และหลีกเลี่ยงการตรวจจับ

    ไฟล์รูปภาพส่วนใหญ่บนเว็บไซต์เป็นไฟล์ JPG หรือ PNG ซึ่งจะประกอบไปด้วยตารางของสี่เหลี่ยมเล็ก ๆ ที่เรียกว่า พิกเซล (pixel) โดยแต่ละพิกเซลมีค่าสีเฉพาะ และพิกเซลเหล่านี้จะรวมกันเป็นภาพทั้งหมด

SVG หรือ Scalable Vector Graphics จะแสดงรูปภาพในรูปแบบที่แตกต่างออกไป เนื่องจากแทนที่จะใช้พิกเซล ภาพจะถูกสร้างขึ้นด้วยเส้น, รูปร่าง และข้อความที่อธิบายไว้ในสูตรทางคณิตศาสตร์ในโค้ด

ตัวอย่างเช่น ข้อความต่อไปนี้จะสร้างสี่เหลี่ยมผืนผ้า, วงกลม, ลิงก์ และข้อความ

<svg width="200" height="200" xmlns="http://www.w3.org/2000/svg">

    <!-- A rectangle -->

    <rect x="10" y="10" width="100" height="50" fill="blue" stroke="black" stroke-width="2" />

    <!-- A circle -->

    <circle cx="160" cy="40" r="40" fill="red" />

    <!-- A line -->

    <line x1="10" y1="100" x2="200" y2="100" stroke="green" stroke-width="3" />

    <!-- A text -->

    <text x="50" y="130" font-size="20" fill="black">Hello, SVG!</text>

</svg>

เมื่อเปิดไฟล์ในเบราว์เซอร์ ไฟล์จะสร้างกราฟิกที่อธิบายไว้ในข้อความข้างต้น

    เนื่องจากรูปภาพเหล่านี้เป็น vector images มันจะปรับขนาดได้โดยอัตโนมัติ โดยไม่สูญเสียคุณภาพของรูปภาพ หรือรูปทรง ทำให้เหมาะกับการใช้งานในแอปพลิเคชันเว็บที่อาจมีความละเอียดที่แตกต่างกัน

การใช้ไฟล์แนบ SVG เพื่อหลีกเลี่ยงการตรวจจับ

    การใช้ไฟล์แนบ SVG ในแคมเปญฟิชชิงไม่ใช่เรื่องใหม่ โดยผู้ไม่ระสงค์ดีเริ่มใช้ไฟล์ SVG ในแคมเปญฟิชชิงมากขึ้น ตามข้อมูลจากนักวิจัยด้านความปลอดภัย MalwareHunterTeam ซึ่งได้แชร์ตัวอย่างล่าสุดกับ BleepingComputer

    แคมเปญอื่น ๆ ใช้ไฟล์แนบ SVG และ JavaScript ที่ฝังไว้ เพื่อทำการเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บไซต์ที่มีแบบฟอร์มฟิชชิงเมื่อเปิดภาพ

    ปัญหาคือเนื่องจากไฟล์เหล่านี้ส่วนใหญ่เป็นแค่การแทนค่าภาพในรูปแบบข้อความ ทำให้ไม่ถูกตรวจจับโดยซอฟต์แวร์ด้านความปลอดภัย จากตัวอย่างที่พบโดย BleepingComputer และอัปโหลดไปยัง VirusTotal พบว่า อย่างมากที่สุดจะมีการตรวจจับแค่หนึ่ง หรือสองผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัย

    ด้วยเหตุนี้ การได้รับไฟล์แนบ SVG จึงไม่ใช่เรื่องปกติสำหรับการใช้งานอีเมล และควรพิจารณาว่าเป็นเหตุการณ์ที่ผิดปกติทันทีเว้นแต่กรณีที่คุณเป็นนักพัฒนาซอฟต์แวร์ และอาจจะเป็นไปได้ที่ได้รับไฟล์แนบประเภทนี้ แต่การลบอีเมลเมื่อได้รับไฟล์แนบเหล่านี้จะเป็นวิธีการที่ปลอดภัยที่สุด

Ref : bleepingcomputer.com

ผู้ไม่ประสงค์ดีใช้ส่วนเสริม Extended file attributes ของเครื่องที่เป็น macOS เพื่อซ่อน Source Code ที่เป็นอันตราย

    ผู้ไม่ประสงค์ดีกำลังใช้เทคนิคใหม่ที่อาศัยการใช้ extended attributes สำหรับไฟล์ใน macOS เพื่อส่งโทรจันตัวใหม่ที่นักวิจัยเรียกว่า RustyAttr

    ผู้ไม่ประสงค์ดีใช้วิธีการซ่อนโค้ดที่เป็นอันตรายไว้ในข้อมูล metadata ของไฟล์ที่สร้างขึ้นเอง และยังใช้เอกสาร PDF ปลอมพื่อช่วยหลีกเลี่ยงการตรวจจับ

    เทคนิคใหม่นี้คล้ายคลึงกับวิธีที่ Bundlore adware ได้มีการซ่อนเพย์โหลดใน Resource forks เพื่อซ่อนเพย์โหลดสำหรับ macOS ในปี 2020 ซึ่งนักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Group-IB เป็นผู้ค้นพบเทคนิคนี้ในตัวอย่างมัลแวร์บางส่วนที่พบเห็นได้ทั่วไป

    จากการวิเคราะห์ และเนื่องจากไม่สามารถยืนยันตัวตนของเหยื่อได้ นักวิจัยจึงเชื่อมโยงตัวอย่างมัลแวร์นี้กับกลุ่มผู้ไม่ประสงค์ดี Lazarus ของเกาหลีเหนือ โดยเชื่อว่าผู้ไม่ประสงค์ดีอาจกำลังทดลองใช้โซลูชันการส่งมัลแวร์รูปแบบใหม่

    วิธีการนี้โดยทั่วไปไม่ค่อยใช้กัน และได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพในการหลีกเลี่ยงการตรวจจับ เนื่องจากไม่มีผู้ให้บริการรายใดบนแพลตฟอร์ม Virus Total ที่สามารถตรวจพบไฟล์ที่เป็นอันตรายได้

การซ่อนโค้ดใน file attributes

    Extended Attributes ใน macOS เป็นข้อมูล metadata ที่ซ่อนอยู่ โดยมักจะเชื่อมโยงกับไฟล์ และไดเรกทอรี ซึ่งไม่สามารถมองเห็นได้โดยตรงใน Finder หรือผ่าน terminal แต่สามารถ extracted ออกมาได้โดยใช้คำสั่ง 'xattr' เพื่อแสดง, แก้ไข หรือลบ extended attributes

ในกรณีการโจมตีของ RustyAttr ชื่อของ Extended Attributes คือ 'test' และมี shell script ซ่อนอยู่

    แอปที่เป็นอันตรายซึ่งจัดเก็บ Extended Attributes นั้นถูกสร้างขึ้นโดยใช้ Tauri framework ซึ่งผสมผสานเว็บฟรอนต์เอนด์ (HTML, JavaScript) ที่สามารถเรียกใช้ฟังก์ชันบน Rust backend ได้

    เมื่อแอปพลิเคชันทำงาน จะมีการโหลดเว็บเพจที่มี JavaScript (‘preload.js’) ซึ่งดึงข้อมูลมาจากตำแหน่งที่ระบุใน Extended Attributes ที่ชื่อว่า “test” และส่งข้อมูลนั้นไปยังฟังก์ชัน 'run_command' เพื่อให้ shell script ถูกเรียกใช้งาน

    เพื่อไม่ให้ผู้ใช้สงสัยระหว่างกระบวนการนี้ ตัวอย่างบางส่วนจะเปิดไฟล์ PDF ปลอม หรือแสดงข้อความ error

    ไฟล์ PDF จะถูกดึงมาจาก pCloud instance ซึ่งเป็นแพลตฟอร์มสำหรับการแชร์ไฟล์สาธารณะ โดยในนั้นมีไฟล์ที่ใช้ชื่อที่เกี่ยวข้องกับการลงทุนในคริปโตเคอร์เรนซี ซึ่งสอดคล้องกับเป้าหมาย และวัตถุประสงค์ของกลุ่ม Lazarus

    ตัวอย่างแอป RustyAttr บางส่วนของ Group-IB พบว่าสามารถผ่านการทดสอบการตรวจจับจาก Virus Total และแอปพลิเคชันได้รับการ signed ด้วย leaked certificate ซึ่ง Apple ได้ทำการเพิกถอนไปแล้ว

    Group-IB ไม่สามารถดึง และวิเคราะห์ Malware ในขั้นตอนถัดไปได้ แต่พบว่ามีการเชื่อมต่อจาก staging server ไปยังปลายทางที่เป็นโครงสร้างพื้นฐานของกลุ่ม Lazarus เพื่อพยายามดึงข้อมูล Malware

การทดลองหลบเลี่ยงการตรวจจับบน macOS

    กรณีที่รายงานโดย Group-IB มีความคล้ายคลึงอย่างมากกับรายงานล่าสุดจาก SentinelLabs ซึ่งสังเกตเห็นกลุ่มผู้ไม่ประสงค์ดีจากเกาหลีเหนือที่ชื่อ BlueNoroff กำลังทดลองใช้เทคนิคที่คล้ายกัน แต่แตกต่างกันในวิธีการหลีกเลี่ยงการตรวจจับบน macOS

    BlueNoroff ใช้เทคนิคการฟิชชิงในรูปแบบ cryptocurrency-themed เพื่อหลอกล่อเป้าหมายให้ดาวน์โหลดแอปที่เป็นอันตรายซึ่งได้รับการ signed และรับรองแล้ว แอปเหล่านี้ใช้ไฟล์ ‘Info.plist’ ที่ถูกแก้ไข เพื่อสร้างการเชื่อมต่อไปยังโดเมนที่ผู้ไม่ประสงค์ดีควบคุมอยู่อย่างลับ ๆ ซึ่งเป็นแหล่งที่มาของเพย์โหลดในขั้นตอนที่สอง

Ref : bleepingcomputer.com

Microsoft แก้ไขช่องโหว่ Zero-Day บน Windows ที่ถูกนำมาใช้ในการโจมตียูเครน

    ผู้ไม่ประสงค์ดีที่คาดว่าเป็นชาวรัสเซีย มีการตรวจพบในการพยายามใช้ช่องโหว่บนระบบปฏิบัติการ Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าหมายไปที่หน่วยงานของยูเครน

• CVE-2024-43451 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) เป็นช่องโหว่ NTLM Hash Disclosure spoofing ที่สามารถใช้เพื่อขโมย NTLMv2 hash ของผู้ใช้ที่ล็อกอินโดยบังคับให้เชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดย ผู้ไม่ประสงค์ดีจากระยะไกล (C2 Server) ที่ถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยของ ClearSky

    ClearSky ได้ตรวจพบแคมเปญการโจมตีในเดือนมิถุนายน 2024 หลังจากสังเกตเห็น phishing email ที่ออกแบบมาเพื่อใช้โจมตีในแคมเปญ โดยอีเมลเหล่านี้มี hyperlink ที่จะดาวน์โหลด Internet shortcut file ที่โฮสต์บนเซิร์ฟเวอร์ที่ถูกโจมตีก่อนหน้านี้ (osvita-kp.gov[.]ua) ซึ่งเป็นของแผนกการศึกษา และวิทยาศาสตร์ของสภาเมือง Kamianets-Podilskyi ทั้งนี้เมื่อผู้ใช้โต้ตอบกับ URL file ด้วยการคลิกขวา ลบ หรือย้ายไฟล์ การโจมตีช่องโหว่ก็จะเริ่มขึ้น

    โดยเมื่อเกิดการโต้ตอบกับ URL file การเชื่อมต่อกับ C2 Server จะถูกสร้างขึ้นเพื่อดาวน์โหลด malware payload ซึ่งรวมถึง SparkRAT ที่เป็นเครื่องมือ open-source สำหรับการเข้าถึงจากระยะไกล และใช้งานได้หลายแพลตฟอร์ม ทำให้ ผู้ไม่ประสงค์ดีสามารถควบคุมระบบที่โจมตีได้จากระยะไกล

    ในขณะทำการสืบสวนเหตุการณ์ดังกล่าว นักวิจัยยังได้รับการแจ้งเตือนถึงความพยายามในการขโมย NTLM hash ผ่าน Server Message Block (SMB) protocol ซึ่ง password hash เหล่านี้สามารถนำมาใช้ในการโจมตีแบบ " pass-the-hash " หรือถอดรหัสเพื่อให้ได้รหัสผ่านแบบ plaintext password ของผู้ใช้งานได้

ClearSky ได้แบ่งปันข้อมูลนี้กับทีม Ukraine's Computer Emergency Response Team (CERT-UA) ซึ่งได้เชื่อมโยงการโจมตีเข้ากับกลุ่ม ผู้ไม่ประสงค์ดีชาวรัสเซีย และถูกระบุในชื่อ UAC-0194

    Microsoft ได้แก้ไขช่องโหว่ดังกล่าวไปแล้ว โดยเป็นส่วนหนึ่งของแพตช์ประจำเดือนพฤศจิกายน 2024 และยืนยันการค้นพบของ ClearSky โดยระบุว่าจำเป็นต้องมีการโต้ตอบจากผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ

    CISA ยังได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog แล้ว โดยสั่งให้รักษาความปลอดภัยระบบที่มีช่องโหว่บนเครือข่ายภายในวันที่ 3 ธันวาคม 2024 ตามที่กำหนดโดย Binding Operational Directive (BOD) 22-01

    ทั้งนี้ CISA แจ้งเตือนว่าช่องโหว่ประเภทนี้มักเป็นช่องทางการโจมตีของกลุ่ม ผู้ไม่ประสงค์ดีและก่อให้เกิดความเสี่ยงต่อองค์กรของรัฐบาลกลาง

Ref : bleepingcomputer.com

ไมโครซอฟท์ออกอัปเดตแพตช์วันอังคารประจำเดือนพฤศจิกายน 2024 แก้ไขช่องโหว่จำนวน 4 ช่องโหว่ที่เป็น Zero-day และข้อบกพร่องอื่น ๆ อีก 91 รายการ

    วันนี้เป็นวัน Patch Tuesday ของไมโครซอฟท์สำหรับเดือนพฤศจิกายน 2024 ซึ่งมีการออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ทั้งหมด 91 รายการ รวมถึงช่องโหว่ Zero-day 4 รายการ โดยมี 2 รายการที่กำลังถูกโจมตีอย่างต่อเนื่องในปัจจุบัน

    การอัปเดตครั้งนี้ได้แก้ไขช่องโหว่ที่มีความเสี่ยงสูง 4 รายการ ซึ่งแบ่งออกเป็น 2 ช่องโหว่ประเภทการเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution) และ 2 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privileges)

จำนวนข้อบกพร่องในแต่ละประเภทของช่องโหว่มีดังนี้:

• ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege): 26 รายการ
• ช่องโหว่ข้ามผ่านฟีเจอร์ความปลอดภัย (Security Feature Bypass): 2 รายการ
• ช่องโหว่การเรียกใช้งานโค้ดจากระยะไกล (Remote Code Execution): 52 รายการ
• ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure): 1 รายการ
• ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service): 4 รายการ
• ช่องโหว่การปลอมแปลง (Spoofing): 3 รายการ

Windows 11 KB5046617 Link

Windows 10 KB5046613 Link

ช่องโหว่ Zero-day ที่ถูกเปิดเผย 4 รายการ

    การอัปเดต Patch Tuesday ในเดือนนี้ได้แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในปัจจุบัน และ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้ว

    ไมโครซอฟท์กำหนดว่าช่องโหว่ Zero-day คือช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day 2 รายการที่ถูกโจมตีอย่างต่อเนื่องในวันนี้ ได้แก่:

• CVE-2024-43451 - ช่องโหว่การปลอมแปลงเพื่อเปิดเผยแฮช NTLM

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ทำให้แฮช NTLM ของผู้ใช้สามารถถูกเปิดเผยต่อผู้โจมตีจากระยะไกลได้ โดยที่ผู้ใช้มีปฏิสัมพันธ์กับไฟล์ที่เป็นอันตรายน้อยมาก

    "ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเข้าถึงแฮช NTLMv2 ของผู้ใช้ ซึ่งสามารถใช้เพื่อยืนยันตัวตนในนามของผู้ใช้ได้" ไมโครซอฟท์อธิบาย "เพียงแค่ผู้ใช้คลิกเลือก (คลิกเดียว), ตรวจสอบ (คลิกขวา), หรือกระทำการอื่นใดโดยไม่จำเป็นต้องเปิดหรือเรียกใช้ ก็สามารถกระตุ้นให้เกิดช่องโหว่นี้ได้" ไมโครซอฟท์กล่าวต่อ

ไมโครซอฟท์ระบุว่า Israel Yeshurun จาก ClearSky Cyber Security เป็นผู้ค้นพบช่องโหว่นี้ และได้มีการเปิดเผยต่อสาธารณะ แต่ไม่มีการเปิดเผยรายละเอียดเพิ่มเติม

• CVE-2024-49039 - ช่องโหว่การยกระดับสิทธิ์ใน Windows Task Scheduler

    ช่องโหว่นี้ทำให้แอปพลิเคชันที่ถูกออกแบบพิเศษสามารถถูกเรียกใช้งานเพื่อยกระดับสิทธิ์ขึ้นเป็นระดับ Medium Integrity ได้"ในกรณีนี้ การโจมตีที่ประสบความสำเร็จสามารถทำได้จาก AppContainer ที่มีสิทธิ์ต่ำ ผู้โจมตีสามารถยกระดับสิทธิ์ของตนและรันโค้ดหรือเข้าถึงทรัพยากรที่มีระดับความสมบูรณ์สูงกว่า AppContainer" ไมโครซอฟท์อธิบายไมโครซอฟท์ระบุว่า การใช้ประโยชน์จากช่องโหว่นี้จะทำให้ผู้โจมตีสามารถรันฟังก์ชัน RPC ที่ปกติแล้วจำกัดเฉพาะบัญชีที่มีสิทธิ์สูงได้

    ช่องโหว่นี้ถูกค้นพบโดย Vlad Stolyarov และ Bahare Sabouri จากทีมวิเคราะห์ภัยคุกคามของ Google (Google's Threat Analysis Group) ยังไม่ทราบว่าช่องโหว่นี้ถูกโจมตีในลักษณะใด

ช่องโหว่อีก 3 รายการที่ถูกเปิดเผยต่อสาธารณะ แต่ยังไม่ถูกนำไปใช้ในการโจมตี ได้แก่:

• CVE-2024-49040 - ช่องโหว่การปลอมแปลงใน Microsoft Exchange Server

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ใน Microsoft Exchange ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลงที่อยู่อีเมลของผู้ส่งในอีเมลที่ส่งถึงผู้รับภายในเครือข่ายได้

"ไมโครซอฟท์ทราบถึงช่องโหว่ (CVE-2024-49040) ที่ช่วยให้ผู้โจมตีสามารถโจมตีด้วยการปลอมแปลงบน Microsoft Exchange Server ได้" ตามที่มีการอธิบายในคำแนะนำที่เกี่ยวข้องของไมโครซอฟท์

ช่องโหว่นี้เกิดจากการตรวจสอบส่วนหัว P2 FROM ในกระบวนการส่งอีเมลที่ยังไม่มีการป้องกันอย่างเหมาะสม

    เริ่มตั้งแต่อัปเดตด้านความปลอดภัยของ Microsoft Exchange ในเดือนนี้ ไมโครซอฟท์จะเริ่มตรวจจับและติดธงเตือนอีเมลที่มีการปลอมแปลง พร้อมทั้งแสดงข้อความเตือนในเนื้อหาอีเมลที่ระบุว่า "Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method."

    ไมโครซอฟท์ระบุว่าช่องโหว่นี้ถูกค้นพบโดย Slonser จาก Solidlab ซึ่งได้เปิดเผยช่องโหว่นี้ต่อสาธารณะในบทความ (https://blog.slonser.info/posts/email-attacks/)

• CVE-2024-49019 - ช่องโหว่การยกระดับสิทธิ์ใน Active Directory Certificate Services 

    ไมโครซอฟท์ได้แก้ไขช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็นผู้ดูแลโดเมนได้ โดยใช้ประโยชน์จากเทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ในระบบ

    "ตรวจสอบว่าคุณได้เผยแพร่ใบรับรองที่สร้างขึ้นโดยใช้เทมเพลตใบรับรองรุ่น 1 ที่ตั้งค่า Source of subject name เป็น 'Supplied in the request' และกำหนดสิทธิ์การลงทะเบียน (Enroll permissions) ให้กับกลุ่มบัญชีผู้ใช้ที่กว้างกว่า เช่น ผู้ใช้หรือคอมพิวเตอร์ในโดเมน" ไมโครซอฟท์อธิบาย

    "ตัวอย่างเช่น เทมเพลต Web Server ที่มีอยู่ในระบบ แต่จะไม่เกิดช่องโหว่โดยค่าเริ่มต้นเนื่องจากสิทธิ์การลงทะเบียนที่จำกัด"

    ช่องโหว่นี้ถูกค้นพบโดย Lou Scicchitano, Scot Berner, และ Justin Bollinger จาก TrustedSec ซึ่งได้เปิดเผยช่องโหว่ที่เรียกว่า "EKUwu" ในเดือนตุลาคม

    "โดยการใช้เทมเพลตใบรับรองรุ่น 1 ที่มีอยู่ ผู้โจมตีสามารถสร้าง CSR ที่รวมถึงนโยบายการใช้งานที่ถูกต้องและมีสิทธิพิเศษกว่า Extended Key Usage ที่กำหนดในเทมเพลต" รายงานของ TrustedSec ระบุ

    "สิ่งที่จำเป็นคือสิทธิ์การลงทะเบียนเท่านั้น และช่องโหว่นี้สามารถใช้ในการสร้างใบรับรองสำหรับการยืนยันตัวตนของไคลเอนต์, การร้องขอใบรับรองโดยเอเจนต์, และการลงนามโค้ดโดยใช้เทมเพลต WebServer"

    ในรายการที่ 3 ช่องโหว่ CVE-2024-43451 ก็ได้ถูกเปิดเผยต่อสาธารณะเช่นกัน แต่ยังไม่มีรายละเอียดใด ๆ

การอัปเดตล่าสุดจากบริษัทอื่น ๆ

บริษัทอื่น ๆ ที่ได้ปล่อยอัปเดตหรือคำแนะนำด้านความปลอดภัยในเดือนพฤศจิกายน 2024 ได้แก่:

• Adobe ได้ปล่อยอัปเดตความปลอดภัยสำหรับแอปพลิเคชันหลายรายการ รวมถึง Photoshop, Illustrator, และ Commerce
• Cisco ได้ออกอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ เช่น โทรศัพท์ Cisco, Nexus Dashboard, Identity Services Engine และอื่น ๆ
• Citrix ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ใน NetScaler ADC และ NetScaler Gateway รวมถึงอัปเดตสำหรับ Citrix Virtual Apps และ Desktops ซึ่งรายงานโดย Watchtowr
• Dell ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ที่เกี่ยวกับการเรียกใช้งานโค้ดและการข้ามการตรวจสอบในระบบปฏิบัติการ SONiC OS
• D-Link ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรงใน DSL6740C ซึ่งช่วยให้สามารถแก้ไขรหัสผ่านของบัญชีได้
• Google ได้ปล่อย Chrome เวอร์ชัน 131 ซึ่งรวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 12 รายการ โดยไม่มี Zero-day
• Ivanti ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ 25 รายการใน Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), และ Ivanti Secure Access Client (ISAC)
• SAP ได้ปล่อยอัปเดตความปลอดภัยสำหรับหลายผลิตภัณฑ์ในวัน Patch Day ของเดือนพฤศจิกายน
• Schneider Electric ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ในผลิตภัณฑ์ Modicon M340, Momentum, และ MC80
• Siemens ได้ปล่อยอัปเดตความปลอดภัยสำหรับช่องโหว่ร้ายแรง 10/10 ใน TeleControl Server Basic ซึ่งติดตามได้ด้วยรหัส CVE-2024-44102

    ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในการอัปเดต Patch Tuesday เดือนพฤศจิกายน 2024 หากต้องการเข้าถึงคำอธิบายฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่

Tag	CVE ID	CVE Title	Severity
.NET and Visual Studio	CVE-2024-43499	.NET and Visual Studio Denial of Service Vulnerability	Important
.NET and Visual Studio	CVE-2024-43498	.NET and Visual Studio Remote Code Execution Vulnerability	Critical
Airlift.microsoft.com	CVE-2024-49056	Airlift.microsoft.com Elevation of Privilege Vulnerability	Critical
Azure CycleCloud	CVE-2024-43602	Azure CycleCloud Remote Code Execution Vulnerability	Important
LightGBM	CVE-2024-43598	LightGBM Remote Code Execution Vulnerability	Important
Microsoft Defender for Endpoint	CVE-2024-5535	OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread	Important
Microsoft Edge (Chromium-based)	CVE-2024-10826	Chromium: CVE-2024-10826 Use after free in Family Experiences	Unknown
Microsoft Edge (Chromium-based)	CVE-2024-10827	Chromium: CVE-2024-10827 Use after free in Serial	Unknown
Microsoft Exchange Server	CVE-2024-49040	Microsoft Exchange Server Spoofing Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49031	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Graphics Component	CVE-2024-49032	Microsoft Office Graphics Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49029	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49026	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49027	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49028	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2024-49030	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office SharePoint	ADV240001	Microsoft SharePoint Server Defense in Depth Update	None
Microsoft Office Word	CVE-2024-49033	Microsoft Word Security Feature Bypass Vulnerability	Important
Microsoft PC Manager	CVE-2024-49051	Microsoft PC Manager Elevation of Privilege Vulnerability	Important
Microsoft Virtual Hard Drive	CVE-2024-38264	Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability	Important
Microsoft Windows DNS	CVE-2024-43450	Windows DNS Spoofing Vulnerability	Important
Role: Windows Active Directory Certificate Services	CVE-2024-49019	Active Directory Certificate Services Elevation of Privilege Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43633	Windows Hyper-V Denial of Service Vulnerability	Important
Role: Windows Hyper-V	CVE-2024-43624	Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability	Important
SQL Server	CVE-2024-48998	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48997	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48993	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49001	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49000	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48999	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49043	Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43462	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48995	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48994	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-38255	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-48996	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-43459	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49002	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49013	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49014	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49011	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49012	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49015	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49018	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49021	Microsoft SQL Server Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49016	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49017	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49010	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49005	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49007	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49003	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49004	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49006	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49009	SQL Server Native Client Remote Code Execution Vulnerability	Important
SQL Server	CVE-2024-49008	SQL Server Native Client Remote Code Execution Vulnerability	Important
TorchGeo	CVE-2024-49048	TorchGeo Remote Code Execution Vulnerability	Important
Visual Studio	CVE-2024-49044	Visual Studio Elevation of Privilege Vulnerability	Important
Visual Studio Code	CVE-2024-49050	Visual Studio Code Python Extension Remote Code Execution Vulnerability	Important
Visual Studio Code	CVE-2024-49049	Visual Studio Code Remote Extension Elevation of Privilege Vulnerability	Moderate
Windows CSC Service	CVE-2024-43644	Windows Client-Side Caching Elevation of Privilege Vulnerability	Important
Windows Defender Application Control (WDAC)	CVE-2024-43645	Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability	Important
Windows DWM Core Library	CVE-2024-43636	Win32k Elevation of Privilege Vulnerability	Important
Windows DWM Core Library	CVE-2024-43629	Windows DWM Core Library Elevation of Privilege Vulnerability	Important
Windows Kerberos	CVE-2024-43639	Windows Kerberos Remote Code Execution Vulnerability	Critical
Windows Kernel	CVE-2024-43630	Windows Kernel Elevation of Privilege Vulnerability	Important
Windows NT OS Kernel	CVE-2024-43623	Windows NT OS Kernel Elevation of Privilege Vulnerability	Important
Windows NTLM	CVE-2024-43451	NTLM Hash Disclosure Spoofing Vulnerability	Important
Windows Package Library Manager	CVE-2024-38203	Windows Package Library Manager Information Disclosure Vulnerability	Important
Windows Registry	CVE-2024-43641	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Registry	CVE-2024-43452	Windows Registry Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43631	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43646	Windows Secure Kernel Mode Elevation of Privilege Vulnerability	Important
Windows Secure Kernel Mode	CVE-2024-43640	Windows Kernel-Mode Driver Elevation of Privilege Vulnerability	Important
Windows SMB	CVE-2024-43642	Windows SMB Denial of Service Vulnerability	Important
Windows SMBv3 Client/Server	CVE-2024-43447	Windows SMBv3 Server Remote Code Execution Vulnerability	Important
Windows Task Scheduler	CVE-2024-49039	Windows Task Scheduler Elevation of Privilege Vulnerability	Important
Windows Telephony Service	CVE-2024-43628	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43621	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43620	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43627	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43635	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43622	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2024-43626	Windows Telephony Service Elevation of Privilege Vulnerability	Important
Windows Update Stack	CVE-2024-43530	Windows Update Stack Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43643	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43449	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43637	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43634	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows USB Video Driver	CVE-2024-43638	Windows USB Video Class System Driver Elevation of Privilege Vulnerability	Important
Windows VMSwitch	CVE-2024-43625	Microsoft Windows VMSwitch Elevation of Privilege Vulnerability	Critical
Windows Win32 Kernel Subsystem	CVE-2024-49046	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Important

Ref : bleepingcomputer.com