ช่องโหว่ใหม่ที่มีความเสี่ยงร้ายแรง TeamCity ของ JetBrains ได้รับการแก้ไขแล้ว

    มีช่องโหว่ร้ายแรง CVE-2024-27198 ใน CI/CD ภายในของ TeamCity ของ JetBrains ที่ช่วยให้ผู้ไม่ประสงค์ดีโจมตีจากระยะไกล RAT ที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถควบคุมเซิร์ฟเวอร์โดยใช้สิทธิ์ผู้ดูแลระบบ 

    เนื่องจากมีรายละเอียดทางเทคนิคที่สมบูรณ์สําหรับใช้ในการการสร้างช่องโหว่จากสิทธิ์ผู้ดูแลระบบ แนะนําให้อัปเดตซอฟแวร์ของระบบให้เป็นเวอร์ชันล่าสุด หรือติดตั้งปลั๊กอินแพทช์ความปลอดภัยเวอร์ชันล่าสุด

    JetBrains ได้เปิดตัวผลิตภัณฑ์เวอร์ชันใหม่ซึ่งรวมถึงแก้ไขปัญหาช่องโหว่ด้านความปลอดภัยที่รุนแรงจาก CVE-2024-27199 ซึ่งช่วยให้สามารถปรับเปลี่ยนการตั้งค่าระบบจํานวนจํากัดโดยไม่ต้องรับรองความถูกต้อง

    ปัญหาทั้งสองนี้ส่งผลถึงซอฟต์แวร์เวอร์ชันทั้งหมดที่ติดตั้งภายในเครื่อง โดยจากทาง TeamCity ได้ตรวจสอบและแก้ไขปัญหาอย่างต่อเนื่อง CI/CD และช่วยให้นักพัฒนาซอฟต์แวร์สร้างและทดสอบผลิตภัณฑ์ของตนโดยอัตโนมัติ

ช่องโหว่ที่ยังไม่ได้รับการแก้ไข

    ช่องโหว่ทั้งสองนี้ถูกค้นพบโดย Stephen Nino หัวหน้านักวิจัยด้านความปลอดภัยของ Rapid 7 และรายงานไปยัง JetBrains ในช่วงกลางเดือนกุมภาพันธ์

    CVE-2024-27198 ช่องโหว่มีความเสี่ยงร้ายแรง ความรุนแรง 9.8 มีช่องโหว่ในการหลีกเลี่ยงการตรวจสอบสิทธิ์ที่สร้างขึ้น ไปยังส่วนสำคัญของ TeamCity

  CVE-2024-27199 ช่องโหว่มีความเสี่ยงสูง ความรุนแรง 7.3  มีช่องโหว่ในการอนุญาตผ่านการตรวจสอบสิทธิ์เข้าไปยังส่วนสำคัญ TeamCity

   นักวิจัยเตือนว่า CVE-2024-27198 ช่วยให้ผู้ไม่ประสงค์ดีโจมตีโดยสามารถควบคุมเซิร์ฟเวอร์ภายในของ TeamCity ได้อย่างสมบูรณ์รวมถึงการเรียกใช้งานรันคำสั่งระยะไกล 

  Rapid 7 พิสูจน์ความรุนแรงของช่องโหว่โดยการสร้างช่องโหว่ที่สร้างการตรวจสอบสิทธิ์และอนุญาตให้เข้าถึง shell Meterpreter บนเซิร์ฟเวอร์ TeamCity

    Rapid 7 ให้คําอธิบายเกี่ยวกับสาเหตุของช่องโหว่ และวิธีการเรียกใช้และใช้ประโยชน์จากช่องโหว่เพื่อสร้างบัญชีผู้ดูแลระบบใหม่ หรือสร้าง token การเข้าถึงผู้ดูแลระบบใหม่เพื่อให้สามารถควบคุมเซิร์ฟเวอร์เป้าหมายได้อย่างสมบูรณ์ โดยจุดประสงค์ของผู้ไม่หวังดีจําเป็นต้องอยู่ในเครือข่ายของเหยื่อต่อเพื่อให้สามารถควบคุมได้จากระยะไกล 

    Rapid 7 อธิบายว่าผู้ไม่ประสงค์ดีที่โจมตีสามารถสร้างเงื่อนไข DoS บนเซิร์ฟเวอร์ได้โดยการเปลี่ยนหมายเลขพอร์ต HTTPS หรืออัปโหลดใบรับรองที่ไม่ได้รับการตรวจสอบจาก Client

วิธีการแก้ไขและปรับปรุง

    ก่อนหน้านี้ JetBrains ประกาศเปิดตัว TeamCity 2023.11.4  ซึ่งแก้ไขช่องโหว่ทั้งสองนี้แต่ไม่ได้ให้รายละเอียดเกี่ยวกับปัญหาด้านความปลอดภัยที่แก้ไขแล้ว

    ในบทความบล็อกที่สองบริษัทได้เปิดเผยถึงความรุนแรงของปัญหา และผลกระทบจากการใช้ประโยชน์จากปัญหาเหล่านี้และชี้ให้เห็นว่า เวอร์ชันทั้งหมดก่อน 2023.11.3 ได้รับผลกระทบจากช่องโหว่ 

    ขอแนะนําให้ผู้ดูแลระบบอัปเดตเซิร์ฟเวอร์เป็นเวอร์ชัน 2023.11.4 หากไม่สามารถทําได้มีปลั๊กอินแพทช์รักษาความปลอดภัยสําหรับ  TeamCity 2018.2 และสําหรับ TeamCity 2018.1 

    JetBrains Cloud ของเซิร์ฟเวอร์ได้รับการแก้ไขและไม่มีข้อบ่งชี้ว่าผู้ไม่ประสงค์ดีพยายามโจมตีจากช่องโหว่ทั้งสองนี้

 

 Ref : bleepingcomputer 

 

ช่องโหว่จาก Bug ของ ExpressVPN ทำให้ข้อมูล DNS รั่วไหล

        ExpressVPN ได้ลบฟีเจอร์  split tunneling  ออกจากซอฟต์แวร์เวอร์ชั่นล่าสุด หลังจากพบว่ามีช่องโหว่ที่เปิดเผยโดเมนที่ผู้ใช้งานเมื่อเชื่อมต่อเซิร์ฟเวอร์ DNS โดยช่องโหว่เกิดขึ้นใน ExpressVPN Windows เวอร์ชัน 12.23.1 – 12.72.0 เปิดตัวใช้งานระหว่างวันที่ 19 พฤษภาคม 2022 ถึง 7 กุมภาพันธ์ 2024 ทำให้ส่งผลต่อเฉพาะผู้ที่ใช้ฟีเจอร์ split tunneling เท่านั้น

        คุณสมบัติฟีเจอร์  split tunneling  คือการแยกส่วนการสื่อสารข้อมูลเข้าและออกจากท่อ  VPN  โดยทำให้ผู้ใช้งานสามารถเลือกเส้นทางที่ตนเองต้องการ

        จากคุณสมบัติเมื่อผู้ใช้งานเชื่อมต่อกับเซิร์ฟเวอร์ทำให้เกิดการร้องขอ  DNS  โดยปกติแล้วข้อมูล  DNS  ทั้งหมดจะถูกดำเนินการผ่านเซิร์ฟเวอร์ DNS ที่ไม่เก็บบันทึกของ  ExpressVPN  เพื่อป้องกันการติดตามโดเมนที่ผู้ใช้เข้าชมโดยผู้ให้บริการอินเทอร์เน็ต ISP  และองค์กรอื่น ๆ แต่จากช่องโหว่นี้ข้อมูล DNS ของผู้ใช้งานจะถูกส่งไปยัง ISP ของผู้ใช้

        แต่จากช่องโหว่ ทำให้ข้อมูลการใช้งานของผู้ใช้ที่ถูกส่งไป ISP ในช่วงเวลาที่มีฟีเจอร์  split tunneling  บน Windows อยู่อาจทำให้  ISP  สามารถตรวจสอบการใช้งานของผู้ใช้งานได้ และอาจถูกเปิดเผยข้อมูลไปให้องค์กร อื่น ๆ

        แต่จาก  ExpressVPN  ได้เปิดเผยว่า จากช่องโหว่ดังกล่าวเมื่อข้อมูลที่รั่วไหลออกไปถูกเข้ารหัสไม่เปิดหรือนำไปใช้งานได้โดย ISP  หรือองค์กรอื่น ๆ

        ปัญหานี้ถูกค้นพบโดย Attila Tomaschek จาก CNET และแจ้ง ExpressVPN ทราบว่าเกิดขึ้นเมื่อโหมด split tunneling ถูกเปิดใช้งาน

        ExpressVPN รายงานว่าปัญหามีผลกระทบกับผู้ใช้งาน  Windows  ประมาณ 1% เท่านั้น ปัญหาที่เกขึ้นเกิดขึ้นเฉพาะเมื่อใช้งานฟีเจอร์ split tunneling เท่านั้น และผู้ใช้ ExpressVPN เวอร์ชัน 12.23.1 ถึง 12.72.0 บน Windows ควรอัปเกรดเป็นเวอร์ชันล่าสุด 12.73.0 เวอร์ชันนี้ลบคุณสมบัติ split tunneling ออก

        หากการอัปเกรด การปิดใช้งาน split tunneling เพื่อจะป้องกันการรั่วของข้อมูล DNS ของผู้ใช้งานได้

        หากคุณจำเป็นต้องใช้ split tunneling ExpressVPN แนะนำให้ใช้เวอร์ชัน 10 ซึ่งไม่ได้รับผลกระทบจากช่องโหว่นี้

Ref : bleepingcomputer

 

 

Microsoft ถอดอัปเดต Microsoft Exchange ล่าสุดออก หลังพบข้อผิดพลาดในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ

    Microsoft ได้ถอดการอัปเดตด้านความปลอดภัยในเดือนสิงหาคมของ Microsoft Exchange Server ออกจาก Windows Update หลังจากพบว่าตัวอัปเดต Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ มีข้อผิดพลาด

  การอัปเดตความปลอดภัยเหล่านี้ ได้แก้ไขช่องโหว่ 6 รายการ ได้แก่ ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 4 รายการ ช่องโหว่ด้านการยกระดับสิทธิ์ (Privilege Escalation) 1 รายการ และช่องโหว่การปลอมแปลง (Spoofing) 1 รายการที่สามารถใช้เพื่อโจมตีแบบ NTLM Relay Attack

  โดยผู้ใช้งานที่ทำการอัปเดตแพตซ์ Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ พบว่าหลังจากทำการอัปเดต Exchange Windows ไม่สามารถใช้งานได้ ซึ่งพบ Error Code 1603 ในขณะที่ทำการอัปเดต

ต่อมา Microsoft ได้อัปเดตข่าวการอัปเดตความปลอดภัยของ Exchange Server ในเดือนสิงหาคม 2023 ว่าได้ทำการลบตัวอัปเดตออกจาก Windows และ Microsoft Update ชั่วคราวในขณะที่กำลังตรวจสอบปัญหาที่เกิดขึ้น โดย Microsoft พบว่าเมื่อทำการอัปเดตแพตซ์ความปลอดภัย Microsoft Exchange Server 2019 หรือ 2016 บนระบบปฏิบัติการที่ไม่ใช่ภาษาอังกฤษ ตัวติดตั้งจะหยุด และย้อนกลับการเปลี่ยนแปลง และปล่อยให้บริการ Exchange Server Windows อยู่ในสถานะปิดใช้งาน

  รวมถึงได้แนะนำให้ผู้ใช้งาน Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษ งดเว้นการอัปเดตไปก่อน จนกว่าจะมีการแก้ไขที่ประกาศจาก Microsoft อีกครั้ง

  ทั้งนี้สำหรับผู้ใช้งานที่ได้รับผลกระทบจากการติดตั้ง Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษที่มีปัญหา ทาง Microsoft ได้แนะนำขั้นตอนเพื่อเปิดใช้งานเซิร์ฟเวอร์ Windows และเริ่ม Exchange Server ดังนี้ :

    1. หากได้ติดตั้ง SU แล้ว ให้ reset service ก่อนเรียกใช้การติดตั้งอีกครั้ง ซึ่งสามารถทำได้โดยการเรียกใช้ PowerShell script ต่อไปนี้ในหน้าต่าง PowerShell window :
เปลี่ยนเป็น directory ต่อไปนี้: \Exchange Server\V15\Bin
กด Enter .\ServiceControl.ps1 AfterPatch, แล้วกด Enter
Restart คอมพิวเตอร์

    2. ใน Active Directory (AD) ให้สร้างบัญชีที่มีชื่อเฉพาะที่ให้ไว้ในขั้นตอนนี้ โดยคำสั่งต่อไปนี้:
New-ADUser -Name "Network Service" -SurName "Network" -GivenName "Service" -DisplayName "Network Service" -Description "Dummy user to work around the Exchange August SU issue" -UserPrincipalName "Network Service@$((Get-ADForest).RootDomain)"

    3. รอการ AD replication (ประมาณ 15 นาที) และจากนั้น เริ่มการติดตั้ง Exchange Server SU ใหม่ ทั้งนี้การติดตั้งครั้งนี้ ควรที่จะทำงานได้

    4. หลังจากการติดตั้งเสร็จสิ้น ให้ใช้คำสั่งต่อไปนี้:
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System. Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server " -AclObject $acl

    5. ทำการ Restart Exchange server เพื่อให้การติดตั้งเสร็จสิ้น

    6. หลังจากอัปเดต Exchange server ทั้งหมดแล้ว คุณสามารถลบบัญชี AD ที่สร้างขึ้นในขั้นตอนที่ 2 ได้
เมื่อทำตามขั้นตอนเหล่านี้ และทำการ Restart Exchange server แล้ว Windows ควรที่จะสามารถทำงานได้อีกครั้ง และ Exchange จะถูก back up และ running

  สำหรับผู้ใช้งานที่ใช้ Windows ที่เป็นภาษาอังกฤษ Microsoft ได้แนะนำให้ดาวน์โหลด และติดตั้งการอัปเดตเพื่อป้องกันการโจมตีจากช่องโหว่ที่เกิดขึ้น

Ref : bleepingcomputer

แก้ปัญหา Login เข้า admin ของ wordpress แล้วไป localhost

บางทีเมื่อทำการ login เข้า admin ของ wordpress ที่อยุ่ในโดเมนของเราแล้วยังลิ้งค์มาที่ localhost อยุ่

ให้ทำการแก้ปัญหาดังนี้

เข้าไปที่ ฐานข้อมูลของเรา แล้วเลือกหัวข้อ option แก้ ตรงช่อง siteurl จาก ของเดิมเป็น localhost ให้เป็นไซต์ของเราเองแบบช่องที่2 แล้วช่องที่2 ก็ต้องแก้ด้วยเช่นกัน

เมื่อแก้เสร็จทำการลองเข้า login อีกรอบ ก็จะ login ได้ตามปกติ

dllhost.exe com surrogate และวิธีแก้ปัญหา

ปัญหาคือ พบ ว่า เครื่องทำงานช้าผิดปกติ
เปิด Mycomputer ก็โหลดไม่เสร็จ
ตรวจสอบเพิ่มเติมพบว่า มี Process ทำงาน หนักผิดปกติด ชื่อว่า
dllhost.exe com surrogate ใช้ CPU 25 % ขึ้นไป และ ใช้ Memory มากขึ้นเรื่อย ๆ
ไม่สามารถ ปิดการทำงานนั้น ได้

จนหาข้อมูลได้ว่า เป็น Bug ของ Windows ทดสอบแก้ปัญหาหลายวันก็ไม่ดีขึ้น จนพบวิธี
โดยให้ดำเนินการดังนี้

1. Click Start, type cmd, right-click and select Run as administrator.
2. Run the following commands:

regsvr32 vbscript.dll
regsvr32 jscript.dll

ลองดูนะครับ เครื่องผม นิ่ง ๆ เป็นปกติแล้ว ไม่พบ Process ดังกล่าว แล้วครับ

ที่มา
http://answers.microsoft.com/en-us/windows/forum/windows_7-performance/com-surrogate-error/0bec0d1c-e0d8-4fed-81f3-910973b14bb7?auth=1

---

เพิ่มเติมนะครับ

หลังจากที่ทำตาม ขั้นตอนด้านบนแล้ว ก็พบว่ายังมีการทำงานของ ไฟล์ดังกล่าวอยู่ครับ จึงได้ลองไล่ Uninstall โปรแกรม หลาย ๆ โปรแกรมที่มีอยู่ในเครื่อง (ที่ไม่ใช่โปรแกรมหลัก) พบว่า Process ดังกล่าว ไม่ทำงานแล้วครับ