31/01/2568

CISA ประกาศข้อบังคับให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัย Microsoft 365 Tenants


    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์
    ในช่วงที่ CISA ได้กำหนดมาตรฐานการตั้งค่าความปลอดภัย (Secure Configuration baselines - SCBs) สำหรับ Microsoft 365 เสร็จสมบูรณ์แล้วนั้น ก็ยังมีแผนที่จะประกาศมาตรฐานเพิ่มเติมสำหรับแพลตฟอร์มคลาวด์อื่น ๆ เช่นกัน โดยเริ่มที่ Google Workspace (ซึ่งคาดการณ์ว่าจะถูกรวมอยู่ในประกาศในไตรมาสที่ 2 ของปีงบประมาณ 2025)
    คำสั่งปฏิบัติการนี้นั้นมีเป้าหมายเพื่อลด attack surface ในระบบเครือข่ายของรัฐบาล โดยกำหนดให้มีการปฏิบัติตามมาตรฐานที่เหมาะสมเพื่อป้องกันระบบ และทรัพย์สินของหน่วยงานของรัฐบาลกลาง (Federal Civilian Executive Branch - FCEB)
    BOD 25-1 กำหนดให้หน่วยงาน FCEB ติดตั้งเครื่องมือประเมินการตั้งค่า ซึ่งถูกพัฒนาโดย CISA (ScubaGear for Microsoft 365 audits), รวมเข้ากันกับระบบโครงสร้างพื้นฐานของระบบตรวจสอบความปลอดภัยทางไซเบอร์อย่างต่อเนื่องของหน่วยงาน, และดำเนินการแก้ไขการตั้งค่าที่แตกต่างไปจากค่ามาตรฐานภายในระยะเวลาที่กำหนด
    CISA ยังระบุเพิ่มเติมในวันที่ 17 ธันวาคม 2024 ว่า “เหตุการณ์ความเสียหายด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุดนั้น แสดงให้เห็นถึงความเสี่ยงสำคัญ ซึ่งส่วนใหญ่เกิดจากการตั้งค่าที่ผิดพลาด และระบบควบคุมความปลอดภัยที่อ่อนแอ จึงทำให้ผู้ไม่ประสงค์ดีสามารถใช้งานช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต, การโจรกรรมข้อมูล หรือรบกวนการให้บริการได้”
    "คำสั่งปฏิบัติการนี้ กำหนดให้หน่วยงานพลเรือนดำเนินการระบุ Cloud tenants, ติดตั้งเครื่องมือสำหรับประเมินผล และทำให้สภาพแวดล้อมของคลาวด์สอดคล้องกับมาตรการการตั้งค่าความปลอดภัยสำหรับแอปพลิเคชันธุรกิจบนระบบคลาวด์ (Secure Cloud Business Applicaitons - SCuBA) ของ CISA"

สำหรับ Cloud Tenants ที่อยู่ในขอบเขตของคำสั่งนี้, หน่วยงาน FCEB ต้องดำเนินการตามขั้นตอนดังต่อไปนี้:
  • ระบุ Cloud Tenants ในขอบเขตของคำสั่งปฏิบัติการนี้ทั้งหมดให้แล้วเสร็จ ไม่เกินวันศุกร์ที่ 21 กุมภาพันธ์ 2025
  • ติดตั้งเครื่องมือประเมินผล SCuBA สำหรับ Cloud Tenant ทั้งหมดในขอบเขตของคำสั่งปฏิบัติการนี้ให้แล้วเสร็จ ไม่เกินวันศุกร์ที่ 25 เมษายน 2025 และเริ่มรายงานผลอย่างต่อเนื่องตามข้อกำหนดของคำสั่งนี้
  • ดำเนินการตามนโยบาย SCuBA ที่เป็นภาคบังคับทั้งหมดที่มีผลตั้งแต่วันที่ออกคำสั่งนี้ให้แล้วเสร็จภายในวันศุกร์ที่ 20 มิถุนายน 2025
  • ใช้งานการอัปเดตที่จะเกิดขึ้นในอนาคตตามนโยบาย SCuBA
  • ใช้งานการตั้งค่าความปลอดภัย SCuBA ที่เป็นภาคบังคับทั้งหมด และเริ่มตรวจสอบอย่างต่อเนื่องในส่วนของ Cloud Tenants ใหม่ ก่อนที่จะอนุมัติสิทธิ์ให้ใช้งาน (Authorization to Operate - ATO)
  • ในปัจจุบัน สามารถตรวจสอบรายการนโยบายที่เป็นข้อบังคับได้ทางเว็บไซต์ Requred Configurations ซึ่งในขณะนี้ประกอบไปด้วยมาตรฐานการตั้งค่าความปลอดภัยสำหรับผลิตภัณฑ์ Microsoft 365, รวมถึง Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive และ Microsoft Teams
    ถึงแม้ว่า BOD 25-01 จะบังคับใช้กับหน่วยงานของรัฐบาลกลางเพียงเท่านั้น แต่ทาง CISA ยังคงแนะให้หน่วยงาน หรือองค์กรอื่น ๆ ให้ตระหนักถึงความสำคัญของความปลอดภัยในสภาพแวดล้อมคลาวด์ รวมทั้งนำคำสั่งนี้ไปใช้งานเพื่อลด Attack Surface และความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ
    ในปีที่แล้ว CISA ได้ออกคำสั่งปฏิบัติภาคบังคับ (BOD 23-02) เพื่อให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยอุปกรณ์เครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต หรือเมื่อมีการตั้งค่าผิดพลาดภายใน 14 วัน นับตั้งแต่วันที่พบการตั้งค่าดังกล่าว
    ก่อนหน้านั้นสองปี, คำสั่งปฏิบัติภาคบังคับ (BOD 22-1) ของหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ ได้กำหนดให้หน่วยงาน FCEB ลดความเสี่ยงที่เพิ่มขึ้นจากช่องโหว่ที่เคยถูกโจมตี โดยการลดความเสี่ยง (Mitigation) ภายในระยะเวลาที่กำหนดอย่างเข้มงวด

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

30/01/2568

Zero-Day ระดับ Critical ส่งผลกระทบต่อปลั๊กอินระดับพรีเมียมของ WordPress


    RealHome theme และปลั๊กอิน Easy Real Estate สำหรับ WordPress มีช่องโหว่ระดับ Critical สองรายการที่สามารถทำให้ผู้ใช้งานที่ไม่ได้ผ่านการยืนยันตัวตนสามารถเข้าถึงสิทธิ์ผู้ดูแลระบบได้
    แม้ว่าช่องโหว่ทั้งสองรายการนี้จะถูกค้นพบในเดือนกันยายน 2024 โดย Patchstack และมีความพยายามหลายครั้งในการติดต่อผู้พัฒนา (InspiryThemes) แต่นักวิจัยระบุว่ายังไม่ได้รับการตอบกลับใด ๆ จากผู้พัฒนา
    นอกจากนี้ Patchstack ยังระบุว่า ผู้พัฒนาได้ปล่อยเวอร์ชันใหม่มาแล้วสามครั้งตั้งแต่เดือนกันยายน แต่ไม่มีการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical เหล่านี้ ดังนั้นช่องโหว่ดังกล่าวจึงยังคงไม่ได้รับการแก้ไข และสามารถถูกโจมตีได้ต่อไป
    RealHome theme และปลั๊กอิน Easy Real Estate ถูกออกแบบมาสำหรับเว็บไซต์อสังหาริมทรัพย์ โดยข้อมูลจาก Envanto Market ระบุว่า RealHome theme ถูกใช้งานในเว็บไซต์กว่า 32,600 แห่ง
ช่องโหว่แรก ซึ่งส่งผลกระทบต่อ RealHome theme เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ที่มีหมายเลข CVE-2024-32444 (คะแนน CVSS: 9.8)
    Theme ดังกล่าวอนุญาตให้ผู้ใช้งานสามารถลงทะเบียนบัญชีใหม่ได้ผ่านฟังก์ชัน inspiry_ajax_register แต่ไม่ได้ตรวจสอบการ authorization อย่างถูกต้อง หรือไม่มีการตรวจสอบเลย
    หากเปิดใช้งานการลงทะเบียนบนเว็บไซต์ ผู้ไม่ประสงค์ดีสามารถระบุ role ของตนเองให้เป็น "ผู้ดูแลระบบ" ได้ โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังฟังก์ชันการลงทะเบียน ซึ่งเป็นการ bypass การตรวจสอบความปลอดภัยโดยพื้นฐาน
    เมื่อผู้ไม่ประสงค์ดีลงทะเบียนเป็นผู้ดูแลระบบได้สำเร็จ พวกเขาจะสามารถควบคุมเว็บไซต์ WordPress ได้อย่างสมบูรณ์ ซึ่งรวมถึงการแก้ไขเนื้อหา, การฝังสคริปต์ และการเข้าถึงข้อมูลผู้ใช้งาน หรือข้อมูลสำคัญอื่น ๆ
    ส่วนช่องโหว่ที่ส่งผลกระทบต่อปลั๊กอิน Easy Real Estate เป็นช่องโหว่การยกระดับสิทธิ์โดยไม่ต้องผ่านการยืนยันตัวตน ผ่านฟีเจอร์ Social Login ซึ่งมีหมายเลข CVE-2024-32555 (คะแนน CVSS: 9.8)
ช่องโหว่นี้เกิดจากฟีเจอร์ Social Login ที่อนุญาตให้ผู้ใช้งานเข้าสู่ระบบด้วยที่อยู่อีเมลของตน โดยไม่มีการตรวจสอบว่าอีเมลนั้นเป็นของผู้ที่ส่ง request จริงหรือไม่
    ผลลัพธ์คือ หากผู้ไม่ประสงค์ดีทราบที่อยู่อีเมลของผู้ดูแลระบบ พวกเขาสามารถเข้าสู่ระบบได้โดยไม่จำเป็นต้องใช้รหัสผ่าน ผลกระทบจากการโจมตีนี้คล้ายคลึงกับช่องโหว่ CVE-2024-32444

ข้อแนะนำในการลดความเสี่ยง
    เนื่องจากทาง InspiryThemes ยังไม่ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ เจ้าของเว็บไซต์ และผู้ดูแลระบบที่ใช้งาน Theme หรือปลั๊กอินดังกล่าวควรปิดการใช้งานทันที
    การปิดการลงทะเบียนผู้ใช้งานบนเว็บไซต์ที่ได้รับผลกระทบจะช่วยป้องกันการสร้างบัญชีโดยไม่ได้รับอนุญาต ซึ่งจะลดโอกาสที่ช่องโหว่จะถูกใช้งาน
    เนื่องจากปัญหาช่องโหว่ในปลั๊กอิน และ Theme ทั้งสองรายการนี้ได้รับการเปิดเผยออกสู่สาธารณะแล้ว ผู้ไม่หวังดีอาจเริ่มสำรวจความเป็นไปได้ และสแกนหาเว็บไซต์ที่มีช่องโหว่ ดังนั้นการตอบสนองอย่างรวดเร็วเพื่อป้องกันภัยคุกคามจึงมีความสำคัญอย่างยิ่ง

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

29/01/2568

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ระดับ Critical (CVSS 9.9) บนระบบ Meeting Management


    Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้
    ช่องโหว่นี้มีหมายเลข CVE-2025-20156 และมีคะแนน CVSS 9.9 เต็ม 10.0 ซึ่งถือว่าเป็นช่องโหว่การยกระดับสิทธิ์ใน REST API ของ Cisco Meeting Management
    Cisco ระบุว่า “ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการ enforced authorization ที่เหมาะสมสำหรับผู้ใช้ REST API ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง API request ไปยัง specific endpoint” หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ในระดับผู้ดูแลระบบ และจะสามารถควบคุม edge nodes ที่ managed โดย Cisco Meeting Management ได้
    Cisco ให้เครดิตแก่ Ben Leonard-Lagarde จาก Modux เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชั่นของผลิตภัณฑ์ดังต่อไปนี้:
  • Cisco Meeting Management เวอร์ชัน 3.9 (ได้รับการแก้ไขแล้วในเวอร์ชั่น 3.9.1)
  • Cisco Meeting Management เวอร์ชัน 3.8 และเวอร์ชันก่อนหน้า (ควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไข)
  • Cisco Meeting Management เวอร์ชัน 3.10 (ไม่ได้รับผลกระทบ)
    Cisco ยังได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ BroadWorks ซึ่งเกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมสำหรับ Session Initiation Protocol (SIP) requests บางประเภท (CVE-2025-20165, คะแนน CVSS: 7.5) โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน RI.2024.11
    Cisco ระบุว่า “ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง SIP requests จำนวนมากไปยังระบบที่ได้รับผลกระทบ”
    "หากการโจมตีประสบความสำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีสามารถใช้หน่วยความจำที่จัดสรรให้กับ Cisco BroadWorks Network Servers จัดการกับ SIP traffic จนหมด หากหน่วยความจำไม่เพียงพอ Network Servers จะไม่สามารถประมวลผล requests ขาเข้าได้อีก ส่งผลให้เกิดการ DoS ที่ต้องเข้าไปแก้ไขด้วยตนเองเพื่อที่จะสามารถกู้คืนระบบให้กลับมาใช้งานได้อีกครั้ง"
    ช่องโหว่อีกรายการที่ Cisco ได้แก้ไขคือ CVE-2025-20128 (คะแนน CVSS: 5.3) ซึ่งเป็น bug ของ integer underflow ที่ส่งผลกระทบต่อกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ใน ClamAV และอาจนำไปสู่การโจมตีแบบ DoS ได้
    Cisco ได้ให้เครดิตกับ Google OSS-Fuzz สำหรับการรายงานช่องโหว่นี้ และระบุว่าทราบถึงการมีโค้ดการโจมตี (Proof-of-concept - PoC) ถูกปล่อยออกสู่สาธารณะ แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานจริงก็ตาม

CISA และ FBI เปิดเผยรายละเอียดเกี่ยวกับวิธีการโจมตีของ Ivanti
    ในขณะที่มีข่าวเรื่องช่องโหว่ของ Cisco รัฐบาลสหรัฐฯ CISA และ FBI ได้ออกมาเปิดเผยรายละเอียดทางเทคนิค และวิธีการโจมตีที่แฮ็กเกอร์ใช้ในการโจมตีระบบคลาวด์ของ Ivanti เมื่อเดือนกันยายน 2024 ที่ผ่านมา

ช่องโหว่ที่เกี่ยวข้องมีดังต่อไปนี้:
  • CVE-2024-8963, ช่องโหว่แบบ Administrative bypass
  • CVE-2024-9379, ช่องโหว่แบบ SQL injection
  • CVE-2024-8190 และ CVE-2024-9380 ช่องโหว่แบบ Remote code execution ทั้ง 2 รายการ
    จากรายงานของ CISA และ FBI วิธีการโจมตีมี 2 แบบ แบบแรกใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 และ CVE-2024-9380 ส่วนแบบที่สองใช้ CVE-2024-8963 ร่วมกับ CVE-2024-9379
Fortinet FortiGuard Labs ได้เปิดเผยวิธีการโจมตีแบบแรกเมื่อเดือนตุลาคม 2024 ที่ผ่านมา เชื่อว่าผู้ไม่ประสงค์ดีได้พยายามเจาะเข้าไปยังส่วนอื่น ๆ ของระบบหลังจากที่สามารถเข้าถึงระบบเบื้องต้นได้สำเร็จ
สำหรับการโจมตีแบบที่สอง พบว่าผู้ไม่ประสงค์ดีใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-9379 เพื่อเข้าถึงเครือข่ายเป้าหมาย หลังจากนั้นก็พยายามติดตั้ง web shells เพื่อเข้าควบคุมระบบอย่างต่อเนื่อง แต่ไม่สำเร็จ
    ทาง CISA และ FBI ยังระบุอีกว่า “ผู้ไม่ประสงค์ดีใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบเบื้องต้น หลังจากนั้นจะดำเนินการเรียกใช้โค้ดที่เป็นอันตรายระยะไกล (RCE), ขโมยข้อมูล credentials และติดตั้ง web shells บนเครือข่ายของเหยื่อ ส่วนข้อมูล Credentials และ Sensitive data ที่ถูกจัดเก็บไว้ในอุปกรณ์ Ivanti ที่โดนโจมตี ให้คาดว่าถูกขโมยไปแล้ว”

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

28/01/2568

Cisco แจ้งเตือนช่องโหว่ Denial of Service ที่พบว่ามี PoC exploit code แล้ว


    Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้
    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-20128 เป็นช่องโหว่ที่เกิดจาก Heap-based Buffer Overflow ในกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ซึ่งทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถทำให้เกิด DoS บนอุปกรณ์ที่มีช่องโหว่ได้
    หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้กระบวนการทำงานของ ClamAV antivirus หยุดทำงาน ส่งผลให้การสแกนไวรัสหยุดชะงัก หรือไม่สามารถดำเนินการต่อได้
    Cisco ระบุว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งไฟล์ที่ถูกสร้างขึ้นมาแบบพิเศษ ที่มีเนื้อหาแบบ OLE2 เพื่อให้ ClamAV บนอุปกรณ์ที่ได้รับผลกระทบทำการสแกน ซึ่งการโจมตีที่สำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถยุติกระบวนการสแกนของ ClamAV ส่งผลให้เกิดการ DoS บนซอฟต์แวร์ที่มีช่องโหว่ได้
    อย่างไรก็ตาม ในคำแนะนำที่ออกในวันนี้บริษัทระบุว่า ระบบโดยรวมจะไม่ได้รับผลกระทบแม้ว่าการโจมตีจะประสบความสำเร็จก็ตาม
    รายชื่อผลิตภัณฑ์ที่มีความเสี่ยงได้แก่ซอฟต์แวร์ Secure Endpoint Connector สำหรับแพลตฟอร์มที่ใช้ Linux, Mac และ Windows ซึ่งโซลูชันนี้จะช่วยนำ audit logs และ events ของ Cisco Secure Endpoint เข้าไปในระบบ SIEM แบบเดียวกับ Microsoft Sentinel

PoC สำหรับการโจมตี แต่ยังไม่พบการโจมตีจริงในปัจจุบัน
    ในขณะที่ทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่ายังไม่มีหลักฐานการโจมตีที่เกิดขึ้นจริง แต่อย่างไรก็ตามพบว่ามีโค้ดสำหรับการโจมตีช่องโหว่ CVE-2025-20128 ถูกปล่อยออกมาแล้ว
    วันที่ 22 มกราคม 2025 Cisco ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย DoS ใน Cisco BroadWorks (CVE-2025-20165) และช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการยกระดับสิทธิ์ใน Cisco Meeting Management REST API (CVE-2025-20156) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนอุปกรณ์ที่มีช่องโหว่ได้
    ในเดือนตุลาคมที่ผ่านมา Cisco ได้แก้ไขช่องโหว่ DoS อีกรายการหนึ่ง (CVE-2024-20481) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งถูกพบระหว่างแคมเปญการโจมตีแบบ Brute Force ขนาดใหญ่ที่มุ่งเป้าไปยังอุปกรณ์ Cisco Secure Firewall VPN ในเดือนเมษายน 2024
    หนึ่งเดือนถัดมา Cisco ได้แก้ไขช่องโหว่ระดับ Critical (CVE-2024-20418) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root บนอุปกรณ์ Ultra-Reliable Wireless Backhaul (URWB) ในส่วนของ industrial access points ที่มีช่องโหว่ได้


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

27/01/2568

ผู้ไม่ประสงค์ดีมือใหม่ติด Malware กว่า 18,000 รายจากเครื่องมือสร้าง Malware ปลอม


    ผู้ไม่ประสงค์ดีกำลังมุ่งเป้าไปที่ผู้ไม่ประสงค์ดีมือใหม่ที่เรียกว่า "script kiddies" โดยใช้เครื่องมือสร้าง Malware ปลอมที่ถูกซ่อน Malware ไว้ เพื่อให้คอมพิวเตอร์ของคนเหล่านั้นติดตั้ง backdoor เพื่อขโมยข้อมูล และเข้าควบคุมคอมพิวเตอร์
    จากการรายงานของนักวิจัยด้านความปลอดภัยจาก CloudSEK พบว่า  Malware นี้ได้แพร่กระจายไปยังอุปกรณ์มากถึง 18,459 เครื่องทั่วโลก โดยส่วนใหญ่จะพบในประเทศรัสเซีย, สหรัฐอเมริกา, อินเดีย, ยูเครน และตุรกี
    รายงาน CloudSEK ยังระบุว่า เวอร์ชันที่ถูกดัดแปลงของเครื่องมือ XWorm RAT ถูกนำมาใช้ในการโจมตีครั้งนี้ และได้ถูกเผยแพร่ไปยังผู้ใช้งานจำนวนมาก
"มันถูกออกแบบมาเพื่อโจมตีโดยเฉพาะกับกลุ่ม script kiddies ที่เป็นมือใหม่ในด้านความปลอดภัยทางไซเบอร์ และมักจะดาวน์โหลดเครื่องมือต่าง ๆ แล้วใช้ทันที ซึ่งก็แสดงให้เห็นว่าแม้แต่ในกลุ่มผู้ไม่ประสงค์ดีเองก็ไม่มีความซื่อสัตย์ต่อกัน"
    นักวิจัยจาก CloudSEK พบว่า  Malware นี้มีฟังก์ชันที่เรียกว่า ‘kill switch’ ซึ่งสามารถลบ Malware ออกจากเครื่องที่ติด Malware หลายเครื่องได้ แต่ยังมีบางเครื่องที่ยังคงถูกโจมตีอยู่ เนื่องจากมีข้อจำกัดในการดำเนินการ


เครื่องมือสร้าง RAT ปลอมหลอกติดตั้ง Malware 
    นักวิจัยระบุว่า พวกเขาพบเครื่องมือสร้าง XWorm RAT ที่ถูกดัดแปลงเป็น Trojan กำลังถูกเผยแพร่ผ่านช่องทางต่าง ๆ เช่น GitHub repositories, แพลตฟอร์ม file hosting, ช่อง Telegram, วิดีโอใน YouTube และเว็บไซต์ต่าง ๆ
    ช่องทางเหล่านี้ถูกใช้โปรโมตเครื่องมือสร้าง RAT โดยอ้างว่าเครื่องมือนี้จะช่วยให้ผู้ไม่ประสงค์ดีคนอื่นสามารถใช้ Malware ได้โดยไม่ต้องจ่ายเงิน
    แทนที่จะเป็นเครื่องมือสร้าง XWorm RAT จริง ๆ มันกลับแอบติดตั้ง Malware ในอุปกรณ์ของพวกเขา
เมื่อคอมพิวเตอร์ติด Malware  มันจะตรวจสอบ Windows Registry ว่าเครื่องนั้นทำงานในสภาพแวดล้อม virtualized หรือไม่ ถ้าพบว่ามันทำงานในเครื่อง virtual มันจะหยุดทำงาน แต่ถ้าพบว่าไม่ใช่ มันจะทำการเปลี่ยนแปลงบางอย่างในระบบเพื่อให้มันยังคงทำงานได้ทุกครั้งที่เปิดเครื่องใหม่
    ทุกระบบที่ติด Malware จะถูก register กับเซิร์ฟเวอร์ที่ใช้ Telegram เป็นระบบควบคุมคำสั่ง (C2) โดยใช้ Telegram bot ID และโทเค็นที่ฝังไว้ในตัว Malware 
    Malware ยังสามารถขโมยโทเค็นของ Discord, ข้อมูลระบบ และข้อมูลตำแหน่ง (จาก IP address) โดยอัตโนมัติ และส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ C2 แล้วรอคำสั่งอื่น ๆ จากผู้ไม่ประสงค์ดี

จากคำสั่งทั้งหมด 56 คำสั่ง ตัวอย่างต่อไปนี้คือคำสั่งที่เป็นอันตรายโดยเฉพาะ:
  • /machine_id*browsers - ขโมยรหัสผ่านที่บันทึกไว้, คุกกี้ และ autofill data จากเว็บเบราว์เซอร์
  • /machine_id*keylogger - บันทึกทุกสิ่งที่เป้าหมายพิมพ์บนคอมพิวเตอร์
  • /machine_id*desktop - จับภาพหน้าจอของเป้าหมายในขณะที่กำลังใช้งาน
  • /machine_id*encrypt<password>{*} - เข้ารหัสไฟล์ทั้งหมดในระบบด้วยรหัสผ่านที่กำหนด
  • /machine_id*processkill<process>* - ปิดการทำงานของโปรแกรมที่กำลังทำงานอยู่ รวมถึงซอฟต์แวร์รักษาความปลอดภัย
  • /machine_id*upload<file>* - ขโมยไฟล์ที่ระบุไว้โดยเฉพาะจากระบบที่ติด Malware 
  • /machine_id*uninstall - ถอนการติดตั้ง Malware จากอุปกรณ์
    CloudSEK พบว่า ผู้ไม่ประสงค์ดีได้ขโมยข้อมูลจากอุปกรณ์ที่ติด Malware ประมาณ 11% โดยส่วนใหญ่จะเป็นการจับภาพหน้าจอของอุปกรณ์ที่ติด Malware และขโมยข้อมูลจากเบราว์เซอร์


การหยุดการทำงานด้วย kill switch
    นักวิจัยจาก CloudSEK ได้ใช้เครื่องมือพิเศษที่ฝังอยู่ใน Malware เพื่อหยุดการทำงานของเครือข่ายคอมพิวเตอร์ที่ถูกโจมตี (Botnet) โดยการใช้ API token ที่ถูกตั้งค่าไว้ล่วงหน้า และฟังก์ชัน kill switch ที่สามารถลบ Malware ออกจากเครื่องที่ติด Malware ได้
    พวกเขาส่งคำสั่งถอนการติดตั้งจำนวนมากไปยังเครื่องที่กำลังเชื่อมต่อทั้งหมด โดยการวนผ่าน ID เครื่องทั้งหมดที่พวกดึงออกมาจาก Telegram logs ที่มีอยู่ก่อนหน้านี้ พวกเขายังใช้วิธีการ brute-force โดยการเดาหมายเลขเครื่องจาก 1 ถึง 9999 โดยคาดเดาว่าหมายเลขเครื่องจะเป็นลำดับตัวเลข


    แม้ว่าคำสั่งที่ส่งไปจะช่วยลบ Malware จากเครื่องที่ติด Malware ได้หลายเครื่อง แต่เครื่องที่ไม่ได้ออนไลน์ตอนที่ส่งคำสั่งจะยังคงติด Malware อยู่
    นอกจากนี้ Telegram มีการจำกัดจำนวนข้อความที่สามารถส่งได้ในแต่ละช่วงเวลา ทำให้คำสั่งถอนการติดตั้งบางคำสั่งอาจหายไประหว่างทาง
    การที่ผู้ไม่ประสงค์ดีโจมตีผู้ไม่ประสงค์ดีเป็นสถานการณ์ที่เราเห็นได้บ่อยในโลกไซเบอร์
บทเรียนจากการค้นพบของ CloudSEK คือ อย่าไว้ใจซอฟต์แวร์ที่ไม่ได้รับการรับรอง โดยเฉพาะซอฟต์แวร์ที่ถูกเผยแพร่โดยอาชญากรไซเบอร์รายอื่น และควรติดตั้งเครื่องมือสร้าง Malware ในสภาพแวดล้อมที่ใช้ทดสอบ หรือวิเคราะห์เท่านั้น

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

24/01/2568

ช่องโหว่ Apache Tomcat CVE-2024-56337 ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตีแบบ RCE


    Apache Software Foundation (ASF) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Tomcat Server ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ภายใต้เงื่อนไขบางอย่าง
    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-56337 ถูกระบุว่าเป็นการแก้ไขปัญหาที่ไม่สมบูรณ์ของช่องโหว่ CVE-2024-50379 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกช่องโหว่หนึ่งในผลิตภัณฑ์เดียวกัน และเคยได้รับการแก้ไขไปแล้วเมื่อวันที่ 17 ธันวาคม 2024
    นักพัฒนาได้ระบุในคำแนะนำเมื่อสัปดาห์ที่แล้วว่า "ผู้ใช้ที่ใช้งาน Tomcat บนระบบไฟล์ที่ไม่คำนึงถึงตัวพิมพ์เล็ก-ใหญ่ (case insensitive) และเปิดใช้งานการเขียน default servlet (ตั้งค่าพารามิเตอร์ readonly เริ่มต้นเป็นค่า false ซึ่งไม่ใช่ค่าเริ่มต้น) อาจจำเป็นต้องตั้งค่าเพิ่มเติม เพื่อแก้ไขช่องโหว่ CVE-2024-50379 ให้สมบูรณ์ แต่ก็ขึ้นอยู่กับเวอร์ชั่นของ Java ที่ใช้งานร่วมกับ Tomcat ด้วย"
    ช่องโหว่ทั้งสองรายการเป็นช่องโหว่แบบ Time-of-check Time-of-use (TOCTOU) ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดบนระบบไฟล์ที่ไม่แยกความแตกต่างระหว่างตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ เมื่อมีการเปิดใช้งาน default servlet สำหรับการเขียน
    Apache ระบุไว้ในการแจ้งเตือนสำหรับ CVE-2024-50379 "การอ่าน และการอัปโหลดพร้อมกันภายใต้โหลดของไฟล์เดียวกัน สามารถหลีกเลี่ยงการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ Tomcat และทำให้ไฟล์ที่อัปโหลดถูกมองว่าเป็น JSP ซึ่งจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

CVE-2024-56337 ส่งผลกระทบต่อ Apache Tomcat ตามเวอร์ชันต่อไปนี้
  • Apache Tomcat 11.0.0-M1 ถึง 11.0.1 (แก้ไขแล้วในเวอร์ชั่น 11.0.2 หรือเวอร์ชันใหม่กว่า)
  • Apache Tomcat 10.1.0-M1 ถึง 10.1.33 (แก้ไขแล้วในเวอร์ชั่น 10.1.34 หรือเวอร์ชันใหม่กว่า)
  • Apache Tomcat 9.0.0.M1 ถึง 9.0.97 (แก้ไขแล้วในเวอร์ชั่น 9.0.98 หรือเวอร์ชันใหม่กว่า)
    นอกจากนี้ ผู้ใช้งานจำเป็นต้องดำเนินการเปลี่ยนแปลงการตั้งค่าต่อไปนี้ ขึ้นอยู่กับเวอร์ชันของ Java ที่กำลังใช้งาน
  • Java 8 หรือ Java 11: กำหนดค่า system property sun.io.useCanonCaches เป็น false โดยเฉพาะ (ค่าเริ่มต้นคือ true)
  • Java 17: ตั้งค่า system property sun.io.useCanonCaches เป็น false หากมีการตั้งค่าไว้แล้ว (ค่าเริ่มต้นคือ false)
  • Java 21 และเวอร์ชันที่ใหม่กว่า: ไม่จำเป็นต้องดำเนินการใด ๆ เนื่องจาก system property นี้ถูกลบออกไปแล้ว
    ASF ได้ให้เครดิตแก่ทีมนักวิจัยด้านความปลอดภัย Nacl, WHOAMI, Yemoli, และ Ruozhi สำหรับการค้นพบ และรายงานช่องโหว่ทั้งสองรายการ นอกจากนี้ยังขอบคุณทีม KnownSec 404 ที่รายงานช่องโหว่ CVE-2024-56337 พร้อมกับโค้ดตัวอย่าง (Proof-of-Concept: PoC)
    รายงานนี้เกิดขึ้นในขณะที่ Zero Day Initiative (ZDI) ได้เผยแพร่รายละเอียดของช่องโหว่ระดับ Critical ใน Webmin (CVE-2024-12828, คะแนน CVSS: 9.9) ซึ่งอนุญาตให้ผู้โจมตีที่ผ่านการยืนยันตัวตน จะสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้
    ZDI ระบุว่า "ช่องโหว่นี้เกิดขึ้นในกระบวนการจัดการ CGI request และปัญหาเกิดจากการขาดการตรวจสอบค่าที่ผู้ใช้กรอก ก่อนที่จะใช้ค่าดังกล่าวเพื่อเรียกใช้ system call ผู้โจมตีจึงสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อเรียกใช้โค้ดด้วยสิทธิ์ของ root ได้"


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

23/01/2568

รูปแบบการโจมตี Phishing ที่ใช้ HubSpot โจมตีไปยังบัญชี Azure กว่า 20,000 รายการ


    พบรูปแบบการโจมตี Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure
    โดยกลุ่มผู้ไม่ประสงค์ดีได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเป้าหมายไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials
    ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบรูปแบบการโจมตี Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
    HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
    Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์


    นักวิจัย Unit 42 พบว่าผู้ไม่ประสงค์ดีได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเป้าหมายให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure


    รวมถึงผู้ไม่ประสงค์ดียังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย โดยต่อมาเป้าหมายจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์


    เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)


สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ
    นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ ผู้ไม่ประสงค์ดี จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเป้าหมาย และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว ผู้ไม่ประสงค์ดี ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง
    โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของรูปแบบการโจมตี Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของรูปแบบการโจมตีที่พบ เนื่องจาก ผู้ไม่ประสงค์ดี พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

22/01/2568

Mirai Botnet โจมตีแบบ DDoS ครั้งใหญ่ด้วยปริมาณ 5.6 Tbps โดยใช้อุปกรณ์ IoT มากกว่า 13,000 เครื่อง


    Cloudflare ได้เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า ได้ตรวจพบการโจมตีแบบ Distributed Denial-of-Service (DDoS) ด้วยความเร็วสูงถึง 5.6 Tbps ซึ่งเป็นการโจมตีที่รุนแรงที่สุดเท่าที่เคยมี
    การโจมตีดังกล่าวใช้โปรโตคอล UDP เกิดขึ้นเมื่อวันที่ 29 ตุลาคม 2024 ที่ผ่านมา โดยมีเป้าหมายโจมตีลูกค้ารายหนึ่งของบริษัท ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อจากเอเชียตะวันออก ซึ่งการโจมตีในครั้งนี้มีต้นตอมาจาก Mirai-variant botnet
    Omer Yoachimik และ Jorge Pacheco จาก Cloudflare ระบุว่า "การโจมตีครั้งนี้เกิดขึ้นเพียง 80 วินาที และมาจากอุปกรณ์ IoT มากกว่า 13,000 เครื่อง" ทั้งนี้ จำนวนเฉลี่ยของ Source IP จากต้นทางที่มีการตรวจพบ เฉลี่ยต่อวินาทีอยู่ที่ 5,500 IP โดยแต่ละ IP มีปริมาณการโจมตีโดยเฉลี่ยประมาณ 1 Gbps ต่อวินาที
    สถิติเดิมของการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงสุดเท่าที่เคยถูกบันทึกโดย Cloudflare ในเดือนตุลาคม 2024 ที่ผ่านมา โดยมีความเร็วสูงสุดอยู่ที่ 3.8 Tbps
    Cloudflare ยังเปิดเผยอีกว่าในปี 2024 บริษัทได้ป้องกันการโจมตีแบบ DDoS ได้ประมาณ 21.3 ล้านครั้ง ซึ่งเพิ่มขึ้น 53% เมื่อเทียบกับปี 2023 และจำนวนการโจมตีที่มีปริมาณข้อมูลเกิน 1 Tbps เพิ่มขึ้นถึง 1,885% เมื่อเทียบกับไตรมาสก่อนหน้านี้ โดยเฉพาะในไตรมาสที่ 4 ของปี 2024 มีการป้องกันการโจมตีแบบ DDoS มากถึง 6.9 ล้านครั้ง

    DDoS botnets ที่เป็นที่รู้จักมีส่วนเกี่ยวข้องกับการโจมตีแบบ HTTP DDoS ถึง 72.6% ของการโจมตีทั้งหมด
    รูปแบบการโจมตีที่พบบ่อยมากที่สุด 3 อันดับแรกในระดับ Layer 3 และ Layer 4 ได้แก่ การโจมตีแบบ SYN floods (38%), การโจมตีแบบ DNS flood (16%), และการโจมตีแบบ UDP floods (14%)
    การโจมตีแบบ Memcached DDoS, การโจมตีแบบ BitTorrent DDoS, และการโจมตีแบบ ransom DDoS มีอัตราเพิ่มขึ้น 314%, 304%, และ 78% ตามลำดับเมื่อเทียบกับไตรมาสก่อน
    ประมาณ 72% ของการโจมตีแบบ HTTP DDoS และ 91% ของการโจมตีแบบ DDoS ใน network layer จบลงภายในเวลาไม่เกิน 10 นาที
    ทั้งนี้การโจมตีส่วนมากมาจากประเทศ อินโดนีเซีย, ฮ่องกง, สิงคโปร์, ยูเครน และอาร์เจนตินา เป็นแหล่งที่มาของการโจมตีแบบ DDoS ที่ใหญ่ที่สุด
    และประเทศ จีน, ฟิลิปปินส์, ไต้หวัน, ฮ่องกง และเยอรมนี เป็นประเทศที่ถูกโจมตีมากที่สุด
    ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ โทรคมนาคม, อินเทอร์เน็ต, การตลาด, เทคโนโลยีสารสนเทศ และการพนัน
    ในขณะเดียวกันที่บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Qualys และ Trend Micro เปิดเผยว่าได้ตรวจพบมัลแวร์สายพันธุ์ย่อยของ Mirai botnet ที่กำลังโจมตีอุปกรณ์ Internet of Things (IoT) โดยใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักและข้อมูล Credentials เพื่อใช้เป็นช่องทางในการโจมตีแบบ DDoS อีกด้วย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

21/01/2568

กลุ่มผู้ไม่ประสงค์ดีปลอมตัวเป็นฝ่ายสนับสนุนไอทีเพื่อโจมตี Phishing ผ่านทาง Microsoft Teams


    กลุ่มผู้ไม่ประสงค์ดีหันมาใช้เทคนิคการโจมตีด้วยการส่งอีเมลขยะจำนวนมาก (email bombing) ตามด้วยการปลอมตัวเป็นฝ่ายสนับสนุนด้านเทคนิคผ่านการโทรใน Microsoft Teams เพื่อหลอกล่อให้พนักงานอนุญาตการควบคุมระยะไกลและติดตั้งมัลแวร์ที่ช่วยให้ผู้ไม่ประสงค์ดีเข้าถึงเครือข่ายของบริษัทได้
    ผู้ไม่หวังดีส่งข้อความสแปมจำนวนหลายพันฉบับในช่วงเวลาสั้น ๆ จากนั้นโทรหาผู้ใช้เป้าหมายผ่านบัญชี Office 365 ที่พวกเขาควบคุม โดยแสร้งทำตัวเป็นฝ่ายสนับสนุนไอทีขององค์กร
    เทคนิคนี้ถูกพบครั้งแรกตั้งแต่ปลายปีที่แล้วในแคมเปญโจมตีที่เชื่อมโยงกับแรนซัมแวร์ Black Basta อย่างไรก็ตาม นักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท Sophos พบว่ามีผู้โจมตีรายอื่นที่อาจเกี่ยวข้องกับกลุ่ม FIN7 ใช้วิธีการเดียวกัน
    ผู้ไม่ประสงค์ดีใช้ประโยชน์จากการตั้งค่าเริ่มต้นของ Microsoft Teams ที่อนุญาตให้บัญชีภายนอกสามารถโทรและแชทกับพนักงานในองค์กรได้

กิจกรรมที่ตรวจพบ
    Sophos ตรวจสอบแคมเปญแรกและเชื่อมโยงกับกลุ่มที่พวกเขาติดตามในชื่อ "STAC5143" โดยผู้ไม่ประสงค์ดีเริ่มต้นด้วยการส่งอีเมลจำนวนมากถึง 3,000 ฉบับภายใน 45 นาที
    หลังจากนั้นไม่นาน เป้าหมายได้รับสาย Teams จากบัญชีที่ใช้ชื่อ "Help Desk Manager" ซึ่งผู้โจมตีใช้กลอุบายโน้มน้าวให้เหยื่อตั้งค่าการควบคุมหน้าจอระยะไกลผ่าน Microsoft Teams
ผู้ไม่ประสงค์ดีได้อัปโหลดไฟล์ Java Archive (MailQueue-Handler.jar) และสคริปต์ Python (RPivot backdoor) ซึ่งโฮสต์อยู่บนลิงก์ SharePoint ภายนอก
    ไฟล์ JAR ทำการรันคำสั่ง PowerShell เพื่อดาวน์โหลดไฟล์ติดตั้ง ProtonVPN ที่ถูกต้อง แต่มีการโหลด DLL ที่เป็นอันตราย (nethost.dll) เพื่อเปิดช่องทางสื่อสารที่เข้ารหัสไปยังเซิร์ฟเวอร์ควบคุม (C2) ทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ถูกโจมตีได้ระยะไกล
    ผู้ไม่ประสงค์ดียังใช้ Windows Management Instrumentation (WMIC) และ whoami.exe เพื่อตรวจสอบรายละเอียดระบบ และติดตั้งมัลแวร์ Java ระยะที่สองเพื่อเรียกใช้ RPivot ซึ่งเป็นเครื่องมือทดสอบเจาะระบบที่ช่วยให้ผู้ไม่ประสงค์ดีส่งคำสั่งผ่าน SOCKS4 proxy tunneling
    RPivot เคยถูกใช้ในการโจมตีของกลุ่ม FIN7 มาก่อน นอกจากนี้ เทคนิคการปกปิดร่องรอยที่ใช้ยังเคยถูกพบในแคมเปญของ FIN7 เช่นกัน


    อย่างไรก็ตาม เนื่องจากเครื่องมือ RPivot และเทคนิคปกปิดร่องรอยเป็นแบบโอเพ่นซอร์ส Sophos ไม่สามารถยืนยันได้อย่างมั่นใจว่าการโจมตีของ STAC5143 เชื่อมโยงกับ FIN7 อย่างสมบูรณ์
Sophos ประเมินด้วย "ความมั่นใจระดับปานกลาง" ว่ามัลแวร์ Python ที่ใช้ในแคมเปญนี้อาจเกี่ยวข้องกับกลุ่ม FIN7/Sangria Tempest
    เนื่องจากการโจมตีถูกหยุดก่อนถึงขั้นตอนสุดท้าย นักวิจัยเชื่อว่าเป้าหมายของผู้ไม่ประสงค์ดีคือการขโมยข้อมูลและปล่อยแรนซัมแวร์ในภายหลัง

การโจมตีครั้งที่สอง
    แคมเปญที่สองถูกติดตามในชื่อ "STAC5777" โดยเริ่มจากการส่งอีเมลขยะจำนวนมากเช่นกัน และตามมาด้วยการส่งข้อความใน Microsoft Teams ที่อ้างว่าเป็นฝ่ายสนับสนุนไอที
    ในกรณีนี้ ผู้ไม่ประสงค์ดีหลอกให้เหยื่อติดตั้ง Microsoft Quick Assist เพื่อให้พวกเขาสามารถเข้าถึงระบบโดยตรง และดาวน์โหลดมัลแวร์ที่โฮสต์อยู่บน Azure Blob Storage
    มัลแวร์ (winhttp.dll) ถูกโหลดเข้ากับกระบวนการ OneDriveStandaloneUpdater.exe ของ Microsoft และมีการสร้างบริการด้วย PowerShell เพื่อให้มัลแวร์ทำงานอีกครั้งเมื่อบูตเครื่อง
    มัลแวร์นี้บันทึกการกดแป้นพิมพ์ของเหยื่อผ่าน Windows API, ขโมยรหัสผ่านจากไฟล์และรีจิสทรี และสแกนเครือข่ายเพื่อหาจุดเชื่อมต่อเพิ่มเติมผ่าน SMB, RDP และ WinRM
    Sophos พบว่าผู้ไม่ประสงค์ดีกลุ่มนี้พยายามติดตั้งแรนซัมแวร์ Black Basta ซึ่งบ่งชี้ว่าพวกเขาอาจมีความเชื่อมโยงกับกลุ่มแรนซัมแวร์นี้
    นักวิจัยยังพบว่าผู้โจมตีเข้าถึงเอกสาร Notepad และ Word ที่มีคำว่า "password" ในชื่อไฟล์ และไฟล์ Remote Desktop Protocol สองไฟล์ซึ่งอาจใช้ในการค้นหาข้อมูลรับรอง

คำแนะนำสำหรับองค์กร
    เนื่องจากเทคนิคเหล่านี้กำลังแพร่หลายมากขึ้น องค์กรควรพิจารณาบล็อกโดเมนภายนอกจากการส่งข้อความและโทรใน Microsoft Teams รวมถึงปิดใช้งาน Quick Assist ในระบบที่มีความสำคัญเพื่อป้องกันความเสี่ยง

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

20/01/2568

7-Zip ได้แก้ไขข้อบกพร่องที่ช่วยให้สามารถหลีกเลี่ยงคำเตือนความปลอดภัยของ Windows MoTW ได้แล้วควรอัปเดตแพตช์ทันที


    มีการค้นพบช่องโหว่ความรุนแรงสูงในโปรแกรมบีบอัดไฟล์ 7-Zip ที่ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงฟีเจอร์ความปลอดภัย Mark of the Web (MotW) ของ Windows และรันโค้ดบนคอมพิวเตอร์ของผู้ใช้เมื่อทำการแตกไฟล์อันตรายจากไฟล์เก็บข้อมูลซ้อนกัน (nested archives)
    7-Zip ได้เพิ่มการรองรับฟีเจอร์ MotW ตั้งแต่เดือนมิถุนายน 2022 ในเวอร์ชัน 22.00 โดยจะเพิ่มแฟล็ก MotW (ข้อมูลสตรีม Zone.Id แบบพิเศษ) ให้กับทุกไฟล์ที่ถูกแตกจากไฟล์เก็บข้อมูลที่ดาวน์โหลดมาโดยอัตโนมัติ
    แฟล็กนี้จะช่วยแจ้งเตือนระบบปฏิบัติการเบราว์เซอร์ และแอปพลิเคชันอื่น ๆ ว่าไฟล์อาจมาจากแหล่งที่ไม่น่าเชื่อถือและควรได้รับการพิจารณาด้วยความระมัดระวัง เมื่อผู้ใช้ดับเบิลคลิกเปิดไฟล์ที่มีความเสี่ยงซึ่งถูกแตกไฟล์โดย 7-Zip ระบบจะแสดงคำเตือนว่าการเปิดหรือรันไฟล์ดังกล่าวอาจนำไปสู่พฤติกรรมอันตราย เช่น การติดตั้งมัลแวร์บนอุปกรณ์ของผู้ใช้


    Microsoft Office ก็มีการตรวจสอบแฟล็ก MotW เช่นกัน โดยหากพบแฟล็กนี้ ไฟล์จะถูกเปิดในโหมด Protected View ซึ่งเป็นโหมดอ่านอย่างเดียวและปิดใช้งานแมโครโดยอัตโนมัติ
    อย่างไรก็ตาม บริษัท Trend Micro ได้ออกคำแนะนำเมื่อสุดสัปดาห์ที่ผ่านมาเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ได้รับการติดตามภายใต้รหัส CVE-2025-0411 ซึ่งช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงคำเตือนความปลอดภัยและรันโค้ดที่เป็นอันตรายบนคอมพิวเตอร์ของเป้าหมายได้
    "ช่องโหว่นี้ช่วยให้ผู้โจมตีทางไกลสามารถหลีกเลี่ยงกลไกการป้องกัน Mark-of-the-Web บน 7-Zip ที่ได้รับผลกระทบ โดยต้องอาศัยการกระทำของผู้ใช้ เช่น การเยี่ยมชมหน้าเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย" Trend Micro กล่าว
    "ข้อบกพร่องเฉพาะเกิดขึ้นในการจัดการไฟล์เก็บข้อมูล โดยเมื่อแตกไฟล์จากไฟล์เก็บข้อมูลที่มีเครื่องหมาย MotW โปรแกรม 7-Zip ไม่ได้ถ่ายทอดเครื่องหมาย MotW ไปยังไฟล์ที่ถูกแตกออกมา ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดอันตรายในบริบทของผู้ใช้ปัจจุบัน"
    โชคดีที่นักพัฒนา 7-Zip นาย Igor Pavlov ได้ออกแพตช์แก้ไขช่องโหว่นี้แล้วเมื่อวันที่ 30 พฤศจิกายน 2024 ด้วยการปล่อยเวอร์ชัน 7-Zip 24.09
"โปรแกรม 7-Zip File Manager ไม่ได้ถ่ายทอดสตรีม Zone.Identifier ไปยังไฟล์ที่แตกออกมาจากไฟล์เก็บข้อมูลซ้อนกัน (กรณีเปิดไฟล์เก็บข้อมูลภายในไฟล์เก็บข้อมูลอื่น)" Pavlov กล่าว

ช่องโหว่ลักษณะเดียวกันถูกนำไปใช้ในการโจมตีมัลแวร์
    เนื่องจาก 7-Zip ไม่มีฟีเจอร์อัปเดตอัตโนมัติ ผู้ใช้จำนวนมากยังคงใช้เวอร์ชันที่มีช่องโหว่อยู่ ซึ่งอาจถูกผู้ไม่หวังดีใช้โจมตีเพื่อแพร่กระจายมัลแวร์ได้ ผู้ใช้ 7-Zip ทุกคนควรทำการอัปเดตโดยด่วน เนื่องจากช่องโหว่ลักษณะนี้มักถูกใช้ในแคมเปญโจมตีมัลแวร์บ่อยครั้ง
    ตัวอย่างเช่น ในเดือนมิถุนายนที่ผ่านมา Microsoft ได้แก้ไขช่องโหว่การหลีกเลี่ยงความปลอดภัย Mark of the Web (CVE-2024-38213) ซึ่งถูกกลุ่มผู้โจมตี DarkGate ใช้เป็น zero-day ตั้งแต่เดือนมีนาคม 2024 เพื่อหลีกเลี่ยงการป้องกันของ SmartScreen และติดตั้งมัลแวร์ที่ปลอมแปลงเป็นตัวติดตั้งซอฟต์แวร์ชื่อดัง เช่น Apple iTunes, NVIDIA และ Notion

    กลุ่มผู้ไม่ประสงค์ดีที่มีแรงจูงใจทางการเงินชื่อ Water Hydra (หรือที่รู้จักในชื่อ DarkCasino) ก็เคยใช้ช่องโหว่ MotW อื่น (CVE-2024-21412) ในการโจมตีช่องทาง Telegram ของการซื้อขายหุ้นและฟอรัมฟอเร็กซ์เพื่อแพร่กระจายมัลแวร์ DarkMe remote access trojan (RAT)

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

17/01/2568

พบข้อมูลว่าผู้ไม่ประสงค์ดีสามารถใช้ Extensions ของ Google Chrome ได้กว่า 35 รายการในการโจมตีเป้าหมาย


    มีรายละเอียดใหม่เกี่ยวกับแคมเปญฟิชชิงที่กำหนดเป้าหมายไปยังผู้พัฒนา extension ของเบราว์เซอร์ Chrome ซึ่งนำไปสู่การถูกเจาะข้อมูลของ extension อย่างน้อย 35 รายการ เพื่อแทรกโค้ดที่ใช้สำหรับขโมยข้อมูลไว้ ซึ่งรวมถึง extension จากบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Cyberhaven ด้วย
    แม้รายงานเริ่มต้นจะเน้นไปที่ extension ที่เกี่ยวข้องกับความปลอดภัยของ Cyberhaven แต่จากการสืบสวนเพิ่มเติมพบว่าโค้ดเดียวกันนี้ถูกแทรกเข้าไปใน extension อย่างน้อย 35 รายการ ซึ่งมีผู้ใช้งานโดยรวมประมาณ 2,600,000 คน
    จากรายงานบน LinkedIn และ Google Groups ของนักพัฒนาที่ตกเป็นเป้าหมาย พบว่าแคมเปญล่าสุดเริ่มขึ้นประมาณวันที่ 5 ธันวาคม 2024 อย่างไรก็ตาม โดเมนย่อยที่ใช้ควบคุม และสั่งการที่พบโดย                  BleepingComputer มีการใช้งานมาตั้งแต่เดือนมีนาคม 2024 แล้ว ข้อความในโพสต์ของกลุ่ม Chromium Extension บน Google Group ระบุว่า “แจ้งเตือนให้ทุกคนทราบเกี่ยวกับอีเมลฟิชชิงที่มีความซับซ้อนมากกว่าปกติที่เคยได้รับ โดยระบุว่าเป็นการละเมิดนโยบายของ Chrome Extension ในรูปแบบ 'Unnecessary details in the description' "
    "ลิงก์ในอีเมลนี้ดูเหมือนจะเป็นลิงก์ไปยัง Webstore แต่แท้จริงแล้วนำไปยังเว็บไซต์ฟิชชิงที่พยายามจะเข้าควบคุม Chrome Extension ของคุณ และมีแนวโน้มที่จะอัปเดตมันด้วยมัลแวร์"

การโจมตีด้วย OAuth attack chain
    การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่ส่งตรงไปยังนักพัฒนา extension ของ Chrome หรือส่งผ่านอีเมลฝ่าย support ที่เกี่ยวข้องกับชื่อโดเมนของพวกเขา จากอีเมลที่ BleepingComputer พบ แคมเปญนี้ใช้โดเมนดังต่อไปนี้ในการส่งอีเมลฟิชชิง:
  • supportchromestore.com
  • forextensions.com
  • chromeforextension.com
    อีเมลฟิชชิงที่ทำขึ้นให้ดูเหมือนว่ามาจาก Google อ้างว่า extension ของนักพัฒนาละเมิดนโยบายของ Chrome Web Store และมีความเสี่ยงที่จะถูกลบออก
    ข้อความในอีเมลฟิชชิงระบุว่า "เราไม่อนุญาตให้ใช้ extension ที่มี metadata ที่ทำให้เข้าใจผิด, มีการจัดรูปแบบที่ไม่เหมาะสม, ไม่มีคำอธิบาย, ไม่เกี่ยวข้อง, มีเนื้อหาที่เกินความจำเป็น, รวมถึงการไม่จำกัดคำอธิบายของ extension, ชื่อผู้พัฒนา, ชื่อ extension, ไอคอน, ภาพหน้าจอ และภาพสำหรับการส่งเสริมการขาย"
    โดยเฉพาะอย่างยิ่ง ผู้พัฒนา extension จะถูกทำให้เชื่อว่าคำอธิบายของซอฟต์แวร์ของพวกเขามีข้อมูลที่ทำให้เข้าใจผิด และต้องยอมรับนโยบายของ Chrome Web Store


    หากผู้พัฒนาคลิกที่ปุ่ม 'Go To Policy' ซึ่งฝังอยู่ในอีเมลเพื่อพยายามทำความเข้าใจว่าพวกเขาละเมิดกฎข้อใด พวกเขาจะถูกนำไปยังหน้าล็อกอินที่ดูเหมือนถูกต้องบนโดเมนของ Google แต่แท้จริงแล้วเป็นแอปพลิเคชัน OAuth ที่เป็นอันตราย
    หน้านี้เป็นส่วนหนึ่งของกระบวนการ authorization มาตรฐานของ Google ซึ่งออกแบบมาเพื่อให้สิทธิ์การเข้าถึงทรัพยากรเฉพาะของบัญชี Google อย่างปลอดภัยแก่แอปพลิเคชัน third-party


    บนแพลตฟอร์มนั้น ผู้โจมตีโฮสต์แอปพลิเคชัน OAuth ที่เป็นอันตรายชื่อ "Privacy Policy Extension" ซึ่งจะขอให้เหยื่อให้สิทธิ์ในการจัดการ extension ของ Chrome เว็บสโตร์ผ่านบัญชีของพวกเขา
    "เมื่ออนุญาตการเข้าถึงนี้ "Privacy Policy Extension" จะสามารถดู, แก้ไข, อัปเดต หรือเผยแพร่ extension, ธีม, แอป และ licenses ของ Chrome เว็บสโตร์ที่สามารถเข้าถึงได้"


    Multi-factor authentication ไม่ได้ช่วยป้องกันการโจมตีรูปแบบนี้ เนื่องจากไม่จำเป็นต้องมีการยืนยันตัวตนโดยตรงในขั้นตอน OAuth authorization และกระบวนการนี้ถือว่าผู้ใช้เป็นคนให้ permissions เอง
Cyberhaven อธิบายในการวิเคราะห์หลังเหตุการณ์ว่า "พนักงานของบริษัททำตามขั้นตอนมาตรฐาน และเป็นคนให้ permissions กับแอปพลิเคชัน third-party ที่เป็นอันตรายนี้โดยไม่ได้ตั้งใจ"
    "พนักงานของบริษัทมีการเปิดใช้งาน Google Advanced Protection และมีการใช้ MFA กับบัญชีของพวกเขา อย่างไรก็ตาม ไม่มีการแจ้งเตือนจาก MFA และข้อมูล credentials ของ Google ของพนักงานไม่ได้ถูกเข้าถึง"
    เมื่อผู้โจมตีสามารถเข้าถึงบัญชีของผู้พัฒนา extension ได้แล้ว พวกเขาได้แก้ไข extension โดยเพิ่มไฟล์ที่เป็นอันตรายสองไฟล์ ได้แก่ 'worker.js' และ 'content.js' ซึ่งมีโค้ดสำหรับขโมยข้อมูลจากบัญชี Facebook

Extension ที่ถูกโจมตีนี้ถูกเผยแพร่เป็นรูปแบบ "เวอร์ชันใหม่" บน Chrome Web Store
    ในขณะที่ Extension Total กำลังติดตาม extension 35 รายการที่ได้รับผลกระทบจากแคมเปญฟิชชิงนี้ แต่ IOC จากการโจมตีแสดงให้เห็นว่ามีจำนวนเป้าหมายที่มากกว่านั้นมาก
    ตามรายงานของ VirusTotal ผู้โจมตีได้ลงทะเบียนโดเมนล่วงหน้าสำหรับ extension ที่เป็นเป้าหมาย แม้ว่า extension เหล่านั้นจะไม่ได้ตกเป็นเหยื่อของการโจมตีก็ตาม
    ในขณะที่โดเมนส่วนใหญ่ถูกสร้างขึ้นในเดือนพฤศจิกายน และธันวาคม แต่ BleepingComputer พบว่าผู้โจมตีได้ทดสอบการโจมตีนี้มาตั้งแต่เดือนมีนาคม 2024


การโจมตีบัญชีธุรกิจของ Facebook
    การวิเคราะห์เครื่องที่ถูกโจมตี แสดงให้เห็นว่าผู้โจมตีมุ่งเป้าไปที่บัญชี Facebook ของผู้ใช้งานที่ติดตั้ง extension ที่ถูกดัดแปลง
    โดยเฉพาะอย่างยิ่ง โค้ดที่ใช้ขโมยข้อมูลพยายามดึง Facebook ID, access token, ข้อมูลบัญชี, ข้อมูลบัญชีโฆษณา และบัญชีธุรกิจของผู้ใช้


    นอกจากนี้ โค้ดที่เป็นอันตรายยังได้เพิ่มฟีเจอร์ดักจับการคลิกเมาส์ โดยเฉพาะสำหรับการโต้ตอบของเหยื่อบน Facebook.com โดยมุ่งเป้าหมายไปที่ภาพ QR code ที่เกี่ยวข้องกับการยืนยันตัวตนสองขั้นตอน หรือกลไก CAPTCHA ของแพลตฟอร์ม
    เป้าหมายคือเพื่อ bypass การป้องกันแบบ 2FA บนบัญชี Facebook และเปิดทางให้ผู้โจมตีเข้าควบคุมบัญชีได้
    ข้อมูลที่ถูกขโมยจะถูกจัดเก็บร่วมกับคุกกี้ของ Facebook, User agent string, Facebook ID และเหตุการณ์การคลิกเมาส์ ก่อนที่จะถูกส่งออกไปยังเซิร์ฟเวอร์ควบคุม และสั่งการ (C2) ของผู้โจมตี
ผู้โจมตีได้มุ่งเป้าบัญชีธุรกิจของ Facebook ผ่านช่องทางการโจมตีต่าง ๆ เพื่อทำการชำระเงินโดยตรงจากบัตรเครดิตของเหยื่อไปยังบัญชีของพวกเขา, เผยแพร่ข้อมูลเท็จ หรือแคมเปญฟิชชิ่งบนแพลตฟอร์มโซเชียลมีเดีย หรือหารายได้จากการเข้าถึงโดยขายให้ผู้อื่น
    Or Eshed ซีอีโอของ LayerX Security ซึ่งมีส่วนเกี่ยวข้องกับการเปิดเผย extension ที่ถูกโจมตีบางส่วน ให้ข้อมูลกับ BleepingComputer ว่า ผู้ใช้งานในองค์กรจำนวนมากได้ติดตั้ง extension ที่มีความเสี่ยงสูงบนอุปกรณ์ของตนไปเรียบร้อยแล้ว
    Eshed ระบุว่า "Extension บนเบราว์เซอร์คือภัยคุกคามต่อข้อมูลส่วนบุคคล จากการวิจัยของ LayerX พบว่า 60% ของผู้ใช้ในองค์กรติดตั้ง extension บนเบราว์เซอร์บนคอมพิวเตอร์ของพวกเขา และกว่า 40% ของผู้ใช้เหล่านี้มี extension ที่มีสิทธิ์การเข้าถึงที่มีความเสี่ยงสูง ซึ่งทำให้ extension เหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับแคมเปญการโจมตีเพื่อขโมยข้อมูล"

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

16/01/2568

พบ Phishing Texts หลอกผู้ใช้งานปิดการป้องกันใน Apple iMessage


พบกลุ่มผู้ไม่ประสงค์ดีกำลังใช้กลวิธีเพื่อหลอกล่อให้ผู้ใช้งานปิดฟีเจอร์ Phishing Protection สำหรับข้อความของ Apple iMessage และหลังจากนั้นก็เปิดกลับมาอีกครั้ง

เนื่องจากกิจกรรมต่าง ๆ ในชีวิตประจำวัน ส่วนใหญ่ทำผ่านอุปกรณ์เคลื่อนที่ ไม่ว่าจะเป็นการจ่ายบิล ช้อปปิ้ง หรือติดต่อสื่อสารกับเพื่อน และเพื่อนร่วมงาน กลุ่มผู้ไม่ประสงค์ดีจึงใช้วิธีการโจมตีแบบ Smishing (SMS phishing) กับหมายเลขโทรศัพท์มือถือเพิ่มมากขึ้น
เพื่อปกป้องผู้ใช้จากการโจมตีดังกล่าว Apple iMessage จะปิดใช้งานลิงก์ในข้อความที่ได้รับจากผู้ส่งที่ไม่รู้จักโดยอัตโนมัติ ไม่ว่าจะเป็นที่อยู่อีเมล หรือหมายเลขโทรศัพท์ก็ตาม แต่หากหากผู้ใช้ตอบกลับข้อความดังกล่าว หรือเพิ่มผู้ส่งลงในรายชื่อผู้ติดต่อ ลิงก์จะเปิดใช้งาน

เทคนิคการหลอกให้ผู้ใช้ตอบกลับ
ในช่วงสองสามเดือนที่ผ่านมา BleepingComputer พบการโจมตีแบบ Smishing เพิ่มมากขึ้น ซึ่งพยายามหลอกล่อผู้ใช้ให้ตอบกลับข้อความเพื่อให้เปิดใช้งานลิงก์ได้อีกครั้ง
ดังตัวอย่างของข้อความ Phishing ที่แจ้งปัญหาการจัดส่งของ USPS และข้อความแจ้งค่าผ่านทางที่ไม่ได้รับการชำระถูกส่งมาจากผู้ส่งที่ไม่รู้จัก และ iMessage ได้ปิดใช้งานลิงก์โดยอัตโนมัติ


    แม้ว่าการหลอกลวงทาง Phishing ทั้งสองรูปแบบนี้จะไม่ใช่วิธีการใหม่ แต่สังเกตว่า Smishing Texts นี้และข้อความอื่น ๆ จะขอให้ผู้ใช้ตอบกลับด้วย "Y" เพื่อเปิดใช้งานลิงก์อันตราย
    เนื่องจากผู้ใช้คุ้นเคยกับการพิมพ์คำว่า STOP, Yes หรือ NO เพื่อยืนยันการนัดหมาย หรือไม่รับข้อความ กลุ่มผู้ไม่ประสงค์ดีจึงใช้วิธีการดังกล่าวเพื่อทำให้ผู้รับข้อความตอบกลับข้อความ และเปิดใช้งานลิงก์ การดำเนินการดังกล่าวจะเปิดใช้งานลิงก์อีกครั้ง และปิดการใช้งาน Phishing Protection ของ Apple iMessage สำหรับข้อความนี้
    แม้ว่าผู้ใช้จะไม่คลิกลิงก์ที่เปิดใช้งานแล้ว แต่การตอบกลับข้อความ ก็เป็นการแจ้งให้ผู้กลุ่มผู้ไม่ประสงค์ดีทราบว่าตอนนี้พวกเขามีเป้าหมายที่ตอบสนองต่อ Phishing Texts ทำให้พวกเขากลายเป็นเป้าหมายที่ใหญ่ขึ้น
    หากผู้ใช้ได้รับข้อความที่ลิงก์ถูกปิดใช้งาน หรือจากผู้ส่งที่ไม่รู้จักที่ขอให้ตอบกลับข้อความดังกล่าว แนะนำไม่ให้ทำการตอบกลับข้อความเด็ดขาด

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

15/01/2568

Fortinet แจ้งเตือนการโจมตีช่องโหว่ Zero-Day ที่สามารถ Bypass การ Authentication เพื่อเข้าควบคุม Firewall


    Fortinet แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีกำลังมุ่งเป้าโจมตีช่องโหว่ Zero-Day ใหม่ใน FortiOS และ FortiProxy เพื่อเข้าควบคุม FortiGate Firewall และเข้าถึงระบบเครือข่ายขององค์กร
  • CVE-2024-55591 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ authentication bypass ที่ส่งผลกระทบต่อ FortiOS 7.0.0 ถึง 7.0.16, FortiProxy 7.0.0 ถึง 7.0.19 และ FortiProxy 7.2.0 ถึง 7.2.12 ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ super-admin โดยการส่ง requests ที่เป็นอันตรายไปยังโมดูล Node.js websocket
    Fortinet พบว่ากลุ่มผู้ไม่ประสงค์ดีที่โจมตีช่องโหว่ดังกล่าวได้สร้าง admin user หรือ local users แบบสุ่มบนอุปกรณ์ที่ถูกโจมตีรวมถึงเพิ่มเข้าไปใน SSL VPN user group รวมถึงการเพิ่มหรือเปลี่ยน Firewall policy และการตั้งค่าอื่น ๆ รวมถึงการเข้าสู่ระบบ SSLVPN โดยใช้บัญชีปลอมที่สร้างไว้ก่อนหน้านี้เพื่อเข้าไปยังเครือข่ายภายในของเป้าหมาย
    แม้ว่า Fortinet จะยังไม่ได้ให้ข้อมูลรายละเอียดเพิ่มเติม แต่ทาง Arctic Wolf บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ได้เผยแพร่รายงาน และระบุ Indicators of Compromise (IOCs) ที่ตรงกันโดยระบุว่า FortiGate Firewall ที่เปิดให้เข้าถึง Management interfaces จากอินเทอร์เน็ต ได้ถูกโจมตีด้วยช่องโหว่ดังกล่าวมาตั้งแต่กลางเดือนพฤศจิกายน 2024 และคาดการณ์ว่ากลุ่ม ผู้ไม่ประสงค์ดีจะใช้ช่องโหว่ดังกล่าวในการโจมตีเป็นวงกว้าง

    Arctic Wolf ยังได้ระบุ Timeline สำหรับแคมเปญการโจมตีช่องโหว่ CVE-2024-55591 โดยระบุว่ามี 4 ระยะ ดังนี้:
  • Vulnerability scanning (16 พฤศจิกายน 2024 ถึง 23 พฤศจิกายน 2024)
  • Reconnaissance (22 พฤศจิกายน 2024 ถึง 27 พฤศจิกายน 2024)
  • SSL VPN configuration (4 ธันวาคม 2024 ถึง 7 ธันวาคม 2024)
  • Lateral Movement (16 ธันวาคม 2024 ถึง 27 ธันวาคม 2024)
    Fortinet และ Arctic Wolf มี IOCs ที่แทบจะเหมือนกัน โดยระบุว่าสามารถตรวจสอบ Log สำหรับรายการต่อไปนี้เพื่อระบุว่ามีอุปกรณ์ในองค์กรตกเป็นเป้าหมายการโจมตีช่องโหว่หรือไม่

    หลังจาก ผู้ไม่ประสงค์ดี เข้าสู่ระบบผ่านช่องโหว่ Log จะแสดง source IP address และ destination IP แบบสุ่ม :
type="event" subtype="system" level="information" vd="root" logdesc="Admin login successful" sn="1733486785" user="admin" ui="jsconsole" method="jsconsole" srcip=1.1.1.1 dstip=1.1.1.1 action="login" status="success" reason="none" profile="super_admin" msg="Administrator admin logged in successfully from jsconsole"

    ผู้ไม่ประสงค์ดี สร้าง admin user หรือ local users ข้อมูล Log จะถูกสร้างขึ้นโดยมีสิ่งที่ดูเหมือนชื่อ user และ source IP address ที่ถูกสร้างขึ้นแบบสุ่ม :
type="event" subtype="system" level="information" vd="root" logdesc="Object attribute configured" user="admin" ui="jsconsole(127.0.0.1)" action="Add" cfgtid=1411317760 cfgpath="system.admin" cfgobj="vOcep" cfgattr="password[*]accprofile[super_admin]vdom[root]" msg="Add system.admin vOcep"

    รวมถึง Arctic Wolf ยังเตือนอีกว่า ผู้ไม่ประสงค์ดี มักใช้ที่ IP address ต่อไปนี้ในการโจมตี :
  • 1.1.1.1
  • 127.0.0.1
  • 2.2.2.2
  • 8.8.8.8
  • 8.8.4.4

    Arctic Wolf ระบุว่าได้แจ้งให้ Fortinet ทราบเกี่ยวกับการโจมตีช่องโหว่เมื่อวันที่ 12 ธันวาคม 2024 และได้รับการยืนยันจาก FortiGuard Labs PSIRT เมื่อวันที่ 17 ธันวาคม 2024 ว่ารับทราบถึงการดำเนินการดังกล่าวแล้ว และอยู่ระหว่างการสอบสวน
    Fortinet ได้ออกแจ้งเตือนให้ผู้ดูแลระบบปิดการใช้งาน Management interfaces จากอินเทอร์เน็ตโดยด่วน รวมถึงยังแนะนำให้ผู้ดูแลระบบปิดการใช้งาน HTTP/HTTPS administrative interface หรือจำกัด IP addresses ที่สามารถเข้าถึง IP addresses ได้ผ่าน local policy
    Fortinet ยังได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Hard-coded cryptographic key (CVE-2023-37936) ซึ่งช่องโหว่นี้ทำให้ ผู้ไม่ประสงค์ดี จากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน ซึ่งมี Key สามารถเรียกใช้คำสั่งที่ไม่ได้รับอนุญาตผ่าน cryptographic request ที่สร้างขึ้นได้
    ในช่วงเดือนธันวาคม 2024 Volexity เคยรายงานว่าพบ ผู้ไม่ประสงค์ดี ชาวจีนใช้ post-exploitation toolkit ที่เรียกว่า "DeepData" เพื่อโจมตีช่องโหว่ zero-day (โดยยังไม่มี CVE ID) ใน Fortinet's FortiClient Windows VPN client เพื่อขโมยข้อมูล credentials
    สองเดือนก่อนหน้านี้ Mandiant ได้เปิดเผยว่าช่องโหว่ใน Fortinet FortiManager ที่เรียกว่า "FortiJump" (CVE-2024-47575) ได้ถูกโจมตีในรูปแบบ zero-day เพื่อเจาะระบบเซิร์ฟเวอร์มากกว่า 50 เครื่องมาตั้งแต่เดือนมิถุนายน 2024

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

14/01/2568

Microsoft Patch Tuesday เดือนมกราคม 2025 ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ Zero-day จำนวน 8 รายการ และช่องโหว่ทั้งหมด 159 รายการ


วันนี้เป็นวันอัปเดตความปลอดภัยของ Microsoft ประจำเดือนมกราคม 2025 (Patch Tuesday) ซึ่งมีการออกอัปเดตด้านความปลอดภัยสำหรับช่องโหว่จำนวน 159 รายการ รวมถึงช่องโหว่แบบ Zero-day จำนวน 8 รายการ โดยมี 3 รายการที่ถูกโจมตีในสถานการณ์จริง
การอัปเดตครั้งนี้ยังแก้ไขช่องโหว่ "Critical" จำนวน 12 รายการ ซึ่งครอบคลุมถึงช่องโหว่การเปิดเผยข้อมูล (Information Disclosure), การยกระดับสิทธิ์ (Privilege Elevation) และการเรียกใช้โค้ดจากระยะไกล (Remote Code Execution)
จำนวนช่องโหว่ในแต่ละประเภทมีดังนี้:
  • 40 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege Vulnerabilities)
  • 14 ช่องโหว่การข้ามคุณสมบัติความปลอดภัย (Security Feature Bypass Vulnerabilities)
  • 58 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution Vulnerabilities)
  • 24 ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure Vulnerabilities)
  • 20 ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service Vulnerabilities)
  • 5 ช่องโหว่การปลอมแปลงข้อมูล (Spoofing Vulnerabilities)
สำหรับรายละเอียดเกี่ยวกับอัปเดตที่ไม่ใช่ด้านความปลอดภัย สามารถดูได้ในบทความเกี่ยวกับการอัปเดตสะสม Windows 11 KB5050009 และ KB5050021 รวมถึง Windows 10 KB5048652 (Link)

3 ช่องโหว่ Zero-day ที่ถูกโจมตีแล้ว
    การอัปเดตในเดือนนี้มีการแก้ไขช่องโหว่ Zero-day จำนวน 3 รายการที่ถูกใช้ในสถานการณ์จริง และอีก 5 รายการที่ได้รับการเปิดเผยต่อสาธารณะ
ช่องโหว่ Zero-day ที่ถูกโจมตีในเดือนนี้ได้แก่:
    Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ใน Windows Hyper-V ซึ่งถูกใช้เพื่อให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนอุปกรณ์ Windows
    ไม่มีรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการโจมตี และช่องโหว่เหล่านี้ถูกเปิดเผยแบบไม่ระบุตัวตน
การที่หมายเลข CVE เป็นลำดับต่อเนื่องกันและเกี่ยวข้องกับฟีเจอร์เดียวกัน แสดงว่าพวกมันอาจถูกค้นพบจากการโจมตีแบบเดียวกัน
    ช่องโหว่นี้สามารถถูกใช้เพื่อให้ผู้โจมตีได้รับสิทธิ์ระดับ SYSTEM
    ช่องโหว่นี้ถูกส่งรายงานไปยัง Microsoft โดยไม่ระบุตัวตน
    ผู้โจมตีสามารถใช้ไฟล์ธีมพิเศษเพื่อล่อให้ผู้ใช้เปิดไฟล์ และทำให้เกิดการส่งข้อมูลรับรอง NTLM ของผู้ใช้ไปยังเครื่องของผู้โจมตี
    ช่องโหว่นี้ค้นพบโดย Blaz Satler จากบริษัท ACROS Security ซึ่งเคยออกแพตช์ชั่วคราวมาก่อนในเดือนตุลาคม 2024 หาก NTLM ถูกปิดใช้งานหรือมีการตั้งค่านโยบาย "Restrict NTLM: Outgoing NTLM traffic to remote servers" ก็สามารถลดความเสี่ยงได้

    ช่องโหว่เหล่านี้สามารถถูกใช้ได้เมื่อผู้ใช้เปิดไฟล์ Microsoft Access ที่ได้รับการปรับแต่งพิเศษ
Microsoft ได้ลดความเสี่ยงโดยการบล็อกการเปิดไฟล์ Access ที่ส่งผ่านอีเมล เช่น accdb, accde, accdw เป็นต้น ช่องโหว่เหล่านี้ถูกค้นพบโดยแพลตฟอร์ม AI "Unpatched.ai"

บริษัทอื่น ๆ ที่ได้ออกอัปเดตด้านความปลอดภัยในเดือนนี้ ได้แก่:

Adobe ออกอัปเดตสำหรับ Photoshop, Substance3D Stager และ Designer, Adobe Illustrator สำหรับ iPad และ Adobe Animate
Cisco ออกอัปเดตสำหรับผลิตภัณฑ์หลายรายการ เช่น Cisco ThousandEyes Endpoint Agent และ Crosswork Network Controller
Ivanti ออกอัปเดตสำหรับช่องโหว่ zero-day ใน Connect Secure ที่ถูกใช้เพื่อติดตั้งมัลแวร์บนอุปกรณ์
Fortinet ออกอัปเดตแก้ไขช่องโหว่ bypass การยืนยันตัวตนใน FortiOS และ FortiProxy ซึ่งถูกโจมตีมาตั้งแต่เดือนพฤศจิกายน
GitHub ออกอัปเดตสำหรับช่องโหว่ใน Git จำนวน 2 รายการ
Moxa ออกอัปเดตสำหรับช่องโหว่ความรุนแรงสูงและวิกฤติในอุปกรณ์เครือข่ายอุตสาหกรรม
SAP ออกอัปเดตแก้ไขช่องโหว่สำคัญใน SAP NetWeaver
SonicWall แก้ไขช่องโหว่การ bypass การยืนยันตัวตนใน SSL VPN และ SSH Management ที่เสี่ยงต่อการถูกโจมตี
Zyxel ออกอัปเดตเพื่อแก้ไขช่องโหว่การจัดการสิทธิ์ในอินเทอร์เฟซการจัดการผ่านเว็บ

อัปเดตความปลอดภัย Patch Tuesday ประจำเดือนมกราคม 2025
ด้านล่างนี้คือรายการช่องโหว่ทั้งหมดที่ได้รับการแก้ไขในอัปเดต Patch Tuesday เดือนมกราคม 2025หากต้องการดูรายละเอียดฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ คุณสามารถดูรายงานฉบับเต็มได้ที่นี่

TagCVE IDCVE TitleSeverity
.NETCVE-2025-21171.NET Remote Code Execution VulnerabilityImportant
.NETCVE-2025-21173.NET Elevation of Privilege VulnerabilityImportant
.NET and Visual StudioCVE-2025-21172.NET and Visual Studio Remote Code Execution VulnerabilityImportant
.NET, .NET Framework, Visual StudioCVE-2025-21176.NET, .NET Framework, and Visual Studio Remote Code Execution VulnerabilityImportant
Active Directory Domain ServicesCVE-2025-21293Active Directory Domain Services Elevation of Privilege VulnerabilityImportant
Active Directory Federation ServicesCVE-2025-21193Active Directory Federation Server Spoofing VulnerabilityImportant
Azure Marketplace SaaS ResourcesCVE-2025-21380Azure Marketplace SaaS Resources Information Disclosure VulnerabilityCritical
BranchCacheCVE-2025-21296BranchCache Remote Code Execution VulnerabilityCritical
Internet ExplorerCVE-2025-21326Internet Explorer Remote Code Execution VulnerabilityImportant
IP HelperCVE-2025-21231IP Helper Denial of Service VulnerabilityImportant
Line Printer Daemon Service (LPD)CVE-2025-21224Windows Line Printer Daemon (LPD) Service Remote Code Execution VulnerabilityImportant
Microsoft AutoUpdate (MAU)CVE-2025-21360Microsoft AutoUpdate (MAU) Elevation of Privilege VulnerabilityImportant
Microsoft Azure Gateway ManagerCVE-2025-21403On-Premises Data Gateway Information Disclosure VulnerabilityImportant
Microsoft Brokering File SystemCVE-2025-21315Microsoft Brokering File System Elevation of Privilege VulnerabilityImportant
Microsoft Brokering File SystemCVE-2025-21372Microsoft Brokering File System Elevation of Privilege VulnerabilityImportant
Microsoft Digest AuthenticationCVE-2025-21294Microsoft Digest Authentication Remote Code Execution VulnerabilityCritical
Microsoft Graphics ComponentCVE-2025-21382Windows Graphics Component Elevation of Privilege VulnerabilityImportant
Microsoft OfficeCVE-2025-21346Microsoft Office Security Feature Bypass VulnerabilityImportant
Microsoft OfficeCVE-2025-21365Microsoft Office Remote Code Execution VulnerabilityImportant
Microsoft Office AccessCVE-2025-21186Microsoft Access Remote Code Execution VulnerabilityImportant
Microsoft Office AccessCVE-2025-21366Microsoft Access Remote Code Execution VulnerabilityImportant
Microsoft Office AccessCVE-2025-21395Microsoft Access Remote Code Execution VulnerabilityImportant
Microsoft Office ExcelCVE-2025-21364Microsoft Excel Security Feature Bypass VulnerabilityImportant
Microsoft Office ExcelCVE-2025-21362Microsoft Excel Remote Code Execution VulnerabilityCritical
Microsoft Office ExcelCVE-2025-21354Microsoft Excel Remote Code Execution VulnerabilityCritical
Microsoft Office OneNoteCVE-2025-21402Microsoft Office OneNote Remote Code Execution VulnerabilityImportant
Microsoft Office OutlookCVE-2025-21357Microsoft Outlook Remote Code Execution VulnerabilityImportant
Microsoft Office Outlook for MacCVE-2025-21361Microsoft Outlook Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2025-21344Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2025-21348Microsoft SharePoint Server Remote Code Execution VulnerabilityImportant
Microsoft Office SharePointCVE-2025-21393Microsoft SharePoint Server Spoofing VulnerabilityImportant
Microsoft Office VisioCVE-2025-21345Microsoft Office Visio Remote Code Execution VulnerabilityImportant
Microsoft Office VisioCVE-2025-21356Microsoft Office Visio Remote Code Execution VulnerabilityImportant
Microsoft Office WordCVE-2025-21363Microsoft Word Remote Code Execution VulnerabilityImportant
Microsoft PurviewCVE-2025-21385Microsoft Purview Information Disclosure VulnerabilityCritical
Microsoft Windows Search ComponentCVE-2025-21292Windows Search Service Elevation of Privilege VulnerabilityImportant
Power AutomateCVE-2025-21187Microsoft Power Automate Remote Code Execution VulnerabilityImportant
Reliable Multicast Transport Driver (RMCAST)CVE-2025-21307Windows Reliable Multicast Transport Driver (RMCAST) Remote Code Execution VulnerabilityCritical
Visual StudioCVE-2025-21405Visual Studio Elevation of Privilege VulnerabilityImportant
Visual StudioCVE-2024-50338GitHub: CVE-2024-50338 Malformed URL allows information disclosure through git-credential-managerImportant
Visual StudioCVE-2025-21178Visual Studio Remote Code Execution VulnerabilityImportant
Windows BitLockerCVE-2025-21213Secure Boot Security Feature Bypass VulnerabilityImportant
Windows BitLockerCVE-2025-21214Windows BitLocker Information Disclosure VulnerabilityImportant
Windows Boot LoaderCVE-2025-21211Secure Boot Security Feature Bypass VulnerabilityImportant
Windows Boot ManagerCVE-2025-21215Secure Boot Security Feature Bypass VulnerabilityImportant
Windows Client-Side Caching (CSC) ServiceCVE-2025-21374Windows CSC Service Information Disclosure VulnerabilityImportant
Windows Client-Side Caching (CSC) ServiceCVE-2025-21378Windows CSC Service Elevation of Privilege VulnerabilityImportant
Windows Cloud Files Mini Filter DriverCVE-2025-21271Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityImportant
Windows COMCVE-2025-21281Microsoft COM for Windows Elevation of Privilege VulnerabilityImportant
Windows COMCVE-2025-21272Windows COM Server Information Disclosure VulnerabilityImportant
Windows COMCVE-2025-21288Windows COM Server Information Disclosure VulnerabilityImportant
Windows Connected Devices Platform ServiceCVE-2025-21207Windows Connected Devices Platform Service (Cdpsvc) Denial of Service VulnerabilityImportant
Windows Cryptographic ServicesCVE-2025-21336Windows Cryptographic Information Disclosure VulnerabilityImportant
Windows Digital MediaCVE-2025-21261Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21258Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21232Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21256Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21255Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21226Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21310Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21324Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21249Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21341Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21227Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21260Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21265Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21263Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21228Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21327Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Digital MediaCVE-2025-21229Windows Digital Media Elevation of Privilege VulnerabilityImportant
Windows Direct ShowCVE-2025-21291Windows Direct Show Remote Code Execution VulnerabilityImportant
Windows DWM Core LibraryCVE-2025-21304Microsoft DWM Core Library Elevation of Privilege VulnerabilityImportant
Windows Event TracingCVE-2025-21274Windows Event Tracing Denial of Service VulnerabilityImportant
Windows Geolocation ServiceCVE-2025-21301Windows Geolocation Service Information Disclosure VulnerabilityImportant
Windows HelloCVE-2025-21340Windows Virtualization-Based Security (VBS) Security Feature Bypass VulnerabilityImportant
Windows Hyper-V NT Kernel Integration VSPCVE-2025-21335Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege VulnerabilityImportant
Windows Hyper-V NT Kernel Integration VSPCVE-2025-21334Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege VulnerabilityImportant
Windows Hyper-V NT Kernel Integration VSPCVE-2025-21333Windows Hyper-V NT Kernel Integration VSP Elevation of Privilege VulnerabilityImportant
Windows InstallerCVE-2025-21275Windows App Package Installer Elevation of Privilege VulnerabilityImportant
Windows InstallerCVE-2025-21331Windows Installer Elevation of Privilege VulnerabilityImportant
Windows InstallerCVE-2025-21287Windows Installer Elevation of Privilege VulnerabilityImportant
Windows KerberosCVE-2025-21242Windows Kerberos Information Disclosure VulnerabilityImportant
Windows KerberosCVE-2025-21299Windows Kerberos Security Feature Bypass VulnerabilityImportant
Windows KerberosCVE-2025-21218Windows Kerberos Denial of Service VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21316Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21318Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21321Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21320Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21317Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21319Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows Kernel MemoryCVE-2025-21323Windows Kernel Memory Information Disclosure VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21268MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21269Windows HTML Platforms Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21332MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21276Windows MapUrlToZone Denial of Service VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21219MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21328MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21329MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows MapUrlToZoneCVE-2025-21189MapUrlToZone Security Feature Bypass VulnerabilityImportant
Windows Message QueuingCVE-2025-21251Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21230Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21220Microsoft Message Queuing Information Disclosure VulnerabilityImportant
Windows Message QueuingCVE-2025-21270Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21285Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21290Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21289Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows Message QueuingCVE-2025-21277Microsoft Message Queuing (MSMQ) Denial of Service VulnerabilityImportant
Windows NTLMCVE-2025-21217Windows NTLM Spoofing VulnerabilityImportant
Windows NTLMCVE-2025-21311Windows NTLM V1 Elevation of Privilege VulnerabilityCritical
Windows OLECVE-2025-21298Windows OLE Remote Code Execution VulnerabilityCritical
Windows PrintWorkflowUserSvcCVE-2025-21235Windows PrintWorkflowUserSvc Elevation of Privilege VulnerabilityImportant
Windows PrintWorkflowUserSvcCVE-2025-21234Windows PrintWorkflowUserSvc Elevation of Privilege VulnerabilityImportant
Windows Recovery Environment AgentCVE-2025-21202Windows Recovery Environment Agent Elevation of Privilege VulnerabilityImportant
Windows Remote Desktop ServicesCVE-2025-21309Windows Remote Desktop Services Remote Code Execution VulnerabilityCritical
Windows Remote Desktop ServicesCVE-2025-21297Windows Remote Desktop Services Remote Code Execution VulnerabilityCritical
Windows Remote Desktop ServicesCVE-2025-21225Windows Remote Desktop Gateway (RD Gateway) Denial of Service VulnerabilityImportant
Windows Remote Desktop ServicesCVE-2025-21330Windows Remote Desktop Services Denial of Service VulnerabilityImportant
Windows Remote Desktop ServicesCVE-2025-21278Windows Remote Desktop Gateway (RD Gateway) Denial of Service VulnerabilityImportant
Windows Secure BootCVE-2024-7344Cert CC: CVE-2024-7344 Howyar Taiwan Secure Boot BypassImportant
Windows Security Account ManagerCVE-2025-21313Windows Security Account Manager (SAM) Denial of Service VulnerabilityImportant
Windows Smart CardCVE-2025-21312Windows Smart Card Reader Information Disclosure VulnerabilityImportant
Windows SmartScreenCVE-2025-21314Windows SmartScreen Spoofing VulnerabilityImportant
Windows SPNEGO Extended NegotiationCVE-2025-21295SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution VulnerabilityCritical
Windows Telephony ServiceCVE-2025-21243Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21244Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21241Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21303Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21246Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21252Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21417Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21248Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21306Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21233Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21411Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21413Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21237Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21239Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21339Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21236Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21245Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21409Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21223Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21282Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21305Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21273Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21266Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21250Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21302Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21240Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21286Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows Telephony ServiceCVE-2025-21238Windows Telephony Service Remote Code Execution VulnerabilityImportant
Windows ThemesCVE-2025-21308Windows Themes Spoofing VulnerabilityImportant
Windows UPnP Device HostCVE-2025-21300Windows upnphost.dll Denial of Service VulnerabilityImportant
Windows UPnP Device HostCVE-2025-21389Windows upnphost.dll Denial of Service VulnerabilityImportant
Windows Virtual Trusted Platform ModuleCVE-2025-21210Windows BitLocker Information Disclosure VulnerabilityImportant
Windows Virtual Trusted Platform ModuleCVE-2025-21284Windows Virtual Trusted Platform Module Denial of Service VulnerabilityImportant
Windows Virtual Trusted Platform ModuleCVE-2025-21280Windows Virtual Trusted Platform Module Denial of Service VulnerabilityImportant
Windows Virtualization-Based Security (VBS) EnclaveCVE-2025-21370Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege VulnerabilityImportant
Windows Web Threat Defense User ServiceCVE-2025-21343Windows Web Threat Defense User Service Information Disclosure VulnerabilityImportant
Windows Win32K - GRFXCVE-2025-21338GDI+ Remote Code Execution VulnerabilityImportant
Windows WLAN Auto Config ServiceCVE-2025-21257Windows WLAN AutoConfig Service Information Disclosure VulnerabilityImportant
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)