Thailand People Cyber Army Cyber News

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า  “Memcrashed”  โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง  51,200  เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่า...

มีแหล่งข่าวเผยว่าบริษัท  Cellebrite  จากอิสราเอลได้พัฒนาเทคนิคปลดล็อก iOS 11 และโฆษณาไปให้กับหน่วยงานบังคับใช้กฏหมายเพื่อทำการ Forensic อุปกรณ์ของบุคคลผู้ต้องสงสัย ยิ่งกว่านั้นใน เอกสารวิจัย บริการของบริษัทได้นำเสนอถึงความสามารถในการเข้าถึงอุปกรณ์อย่าง iPhone, iPad, iPad Mini, iPad Pro และ iPod ที่ใช้งานระบบปฏิบัติการ iOS ตั้งแต่ 5 ถึง 11 Cellebrite ได้กลายมาเป็นตัวเลือกสำหรับรัฐบาลกลางสหรัฐฯ เพื่อปลอดล็อกอุปกรณ์มือถือ โดยคาดว่ากรณีที่มีการเข้าถึงข้อมูลอุปกรณ์ iPhone X เมื่อเดือนพฤษจิกายนที่ผ่านมาน่าจะเป็นผลจากเทคโนโลยีของ Cellebrite นั่นเอง นอกจากนี้แหล่งข่าวอีกแห่งภายกลุ่มสังคมการ Forensic ของตำรวจอ้างว่า Cellebrite สามารถปลดล็อก iPhone 8 ได้สำเร็จและเชื่อว่า iPhone X ก็น่าจะทำได้เพราะมีระบบความมั่นคงปลอดภัยคล้ายกัน โดยบริการที่บริษัทจากอิสราเอลนำเสนอคือ “ สามารถค้นหาหรือปิด PIN, Pattern (การล็อกโดยใช้ PIN หรือ Pattern) บนอุปกรณ์ล่าสุดทั้งฝั่ง Android และ iOS ” ตำรวจจะต้องส่งอุปกรณ์นั้นไปให้ Lab ของบริษัทก่อนและใช้วิธีการบางอย่างเพื่อ Crack อุปกรณ์ จากนั้นจึงส่งกลับไปยัง...

นาย Mohamed Baset นักวิจัยด้านความมั่นคงปลอดภัยได้บัญเอิญค้นพบ Bug ของ Facebook ที่เผยให้เห็นถึงรายละเอียดของผู้ดูแลเพจภายในอีเมลที่ส่งมากจากเพจที่เชื้อเชิญให้ตนไป Like โดยนักวิจัยได้รางวัลตอบแทนไปเบาๆ 2,500 ดอลล่าร์สหรัฐฯ นักวิจัยได้ค้นพบการเปิดเผยรายละเอียดของผู้ดูแลเพจจากการดู Raw Content บน HTML โดยบังเอิญเพราะเกิดเอะใจว่าไม่เคยได้รับอีเมลเชื้อเชิญให้กด Like เพจที่ตนได้เคยกด Like เนื้อหาภายในเพจนั้นและอยากค้นหาต่อว่าจะมีรายละเอียดอะไร ปรากฏว่าพบรายละเอียดของผู้ดูแลเพจที่เป็นคนกดปุ่มส่งข้อความเข้ามา อย่างไรก็ตามสำหรับ เจ้าของเพจส่วนตัว ทั่วๆ ไป มันดูไม่น่าร้ายแรงมากนักเพราะปกติแล้วผู้ดูแลระบบและเพจจะมีการแชร์ตัวตนร่วมกันอยู่แล้ว ดังนั้นข้อมูลที่เผยในอีเมลจึงไม่ได้ให้อะไรมากนัก แต่สำหรับ เพจธุรกิจหรือทางสังคม การเผยตัวตนของผู้ดูแลระบบร่วม (อาจจะเป็นลูกจ้างในองค์กร) โดยไม่มีการขออนุญาตถือเป็นเรื่องสำคัญเพราะอาจกลายเป็นช่องทางให้ถูกรบกวนความเป็นส่วนตัวของตัวตนจริงๆ ได้ โดย Facebook ได้แพตซ์แก้ไขเรียบร้อยแล้วดังนั้นเจ้าของเพจและผู้ใช้งานจึงวางใจได้ แต่ในกรณีของนักหา Bug ทั้งหลายจงจำ...

Tarvis Ormandy นักวิจัยด้านความมั่นคงปลอดภัยจาก Google Project Zero ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บนซอฟต์แวร์ Torrent ยอดนิยมอย่าง μTorrent บนระบบปฏิบัติการ Windows ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดจากระยะไกลและเข้าควบคุมเครื่องของเหยื่อได้ ช่องโหว่ที่ค้นพบนี้ ส่งผลกระทับทั้งบนโปรแกรม μTorrent บน PC และ μTorrent Web บริการใหม่จาก μTorrent ซึ่งช่วยให้ผู้ใช้สามารถดาวน์โหลดและสตรีมไฟล์ Torrent ได้จากเว็บเบราเซอร์ ซึ่งทั้งสองแอปพลิเคชันนี้จะมีการตั้ง HTTP RPC Server บนพอร์ต 10000 และ 19575 ตามลำดับ อย่างไรก็ตาม Ormandy ค้นพบปัญหาหลายประการบน RPC Server เหล่านี้ซึ่งทำให้แฮ็กเกอร์สามารถเข้าควบคุมซอฟต์แวร์ผ่านทางการปฏิสัมพันธ์เล็กน้อยกับผู้ใช้ได้ Ormandy ระบุว่าโปรแกรม μTorrent มีช่องโหว่ที่เรียกว่า  “Domain Name System Rebinding”  ซึ่งช่วยให้เมื่อผู้ใช้เข้าถึงเว็บไซต์ของแฮ็กเกอร์ที่ถูกออกแบบมาเป็นพิเศษ จะทำให้แฮ็กเกอร์สามารถลอบรันคำสั่งบนเครื่องของผู้ใช้จากระยะไกลได้ทันที โดยเขาได้เผยแพร่โค้ดสำหรับ PoC การโจมตี ( μTorrent Web  และ  μTorrent PC 1 ,...

ตอนนี้ Google กำลังเพิ่มความสามารถให้ Chrome OS สามารรันใช้ Linux Application เข้ามาภายใต้โปรเจ็คที่ชื่อว่า Costini โดยความสามารถนี้จะคล้ายกับ Windows Subsystem for Linux (WSL) แตกต่างกันตรงที่ผู้ใช้ Chrome OS จะมี GUI ให้ใช้งานกันไม่ใช่แค่ Terminal คาดว่าโปรเจ็ค  Costini  จะออกมาพร้อมกับ Chrome OS เวอร์ชัน 66 ประมาณช่วงเมษายน-พฤษภาคม ตอนนี้ในบล็อกของ  Commit  (ภายใต้เว็บ Chromium) ได้มีการเพิ่ม Policy เพื่ออนุญาต Linux VM บน Chrome เพื่อรัน Linux Application โดยใช้ภายใน Google เท่านั้น ไม่น่าแปลกใจเลยที่ Chrome พยายามทำการเช่นนี้หลัง Microsoft เพราะต้องการรักษาฐานกลุ่มนักพัฒนาไว้ให้ช่วยกันมาพัฒนา Extension และ แอปพลิเคชันของตน ซึ่งกลุ่มนักพัฒนายังนิยมใช้ Linux เป็นส่วนใหญ่ นอกจากนี้ยังหวังว่า Chromebook จะดึงดูดผู้ใช้ที่เป็นนักพัฒนามากขึ้น อย่างไรก็ตามเกมนี้ Microsoft ยังดูได้เปรียบกว่าตรงที่นักพัฒนาโปรแกรมหลายคนมีความแข็งแรงในการใช้งาน Windows ที่มา :  https://www.bleepingcomputer.com/news/google/project-crostini-chrome-os-to-support-containerized-linux-ap...

Amit Dori นักวิจัยด้านความมั่นคงปลอดภภัยจาก Votiro ออกมาแจ้งเตือนถึงการซ่อนสคริปต์ Cryptojacking ไว้ในไฟล์วิดีโอที่ฝังมากับไฟล์เอกสาร MS Word เวอร์ชันล่าสุด เสี่ยงถูกลอบขุดเหรียญ Monero โดยไม่รู้ตัว การโจมตีนี้เกิดขึ้นได้จากการที่ Microsoft Word เวอร์ชันล่าสุดนั้นรองรับให้ผู้ใช้สามารถฝังวิดีโอจากอินเทอร์เน็ตเข้าไปในไฟล์เอกสาร แต่เป็นการฝังสคริปต์ ไม่ได้ใช้วิธีการฝังไฟล์วิดีโอเข้าไปในเนื้อเอกสารจริงๆ กล่าวคือ ผู้ใช้สามารถก็อปวางโค้ด iframe ของวิดีโอเข้าไปยังไฟล์ MS Word เมื่อผู้ใช้กดปุ่มเล่นวิดีโอบน iframe วิดีโอจะถูกโหลดและเด้งขึ้นมาเล่นในรูปแบบของ Pop-up ทันที ด้วยวิธีรันสคริปต์บนไฟล์ MS Word แบบนี้ ส่งผลให้แฮ็กเกอร์สามารถลอบฝังสคริปต์ Cryptojacking ไว้ในวิดีโอเพื่อขุดเหรียญดิจิทัลอย่าง Monero ได้ Dori ระบุว่า สาเหตุเกิดจากการที่ MS Word ยินยอมให้ฝังโค้ด iframe จากไหนไม่รู้บนอินเทอร์เน็ตลงบนไฟล์เอกสาร แทนที่จะบังคับให้เป็นโค้ดที่มาจากแหล่งที่มาที่ตัวเอง Whitelist ไว้ เช่น YouTube รวมไปถึง Pop-up ที่ให้เช่นวิดีโอนั้น แท้ที่จริงแล้วคือเบราว์เซอร์ Internet Explorer แบบ Headless เหล่...

ระบบปฏิบัติการ Android P ซึ่งเป็นเวอร์ชันหลักที่กำลังออกเป็นเวอร์ชันสมบูรณ์ราวๆ เดือนสิงหาคม-กันยายน ของปีนี้จะถูกเพิ่มความสามารถเพื่อบล็อกการเข้าถึงกล้องและไมค์ของแอปพลิเคชันที่มีสถานะ Idle ซึ่งเป็นเทคนิคที่แอปพลิเคชันอันตรายนิยมใช้มา 4-5 ปีแล้วแต่ Android Open Source Project (AOSP) เพิ่งจะออกฟีเจอร์ที่จำเป็นนี้ออกมา จากเว็บ Android Open Source Project กล่าวถึงฟีเจอร์ที่จะเพิ่มเข้ามามีรายละเอียดดังนี้ ถ้า UID เป็น idle (รันอยู่เบื้องหลังเกินกว่าเวลาที่กำหนด) มันไม่ควรเข้าถึงกล้องได้โดยใช้วิธีสร้าง Error ให้แอปพลิเคชันซึ่งควรจะสามารถจัดการกับ Error นี้ได้ เนื่องจากเราจะปิดกล้องสำหรับ Idle UID นั้นเพื่อประโยชน์ด้านความเป็นส่วนตัวของผู้ใช้งาน ศึกษาเพิ่มเติมได้ ที่นี่ ถ้า UID เป็น idle มันไม่ควรได้รับอนุญาตให้มีการบันทึกใดๆ เพื่อประโยชน์ด้านความเป็นส่วนตัวของผู้ใช้งาน โดยถ้าแอปพลิเคชันอยู่ในสถานะ Idle เราจะอนุญาตให้บันทึกแต่ถูกให้เป็นข้อมูลว่างๆ แทน (Byte array ที่มีแต่ข้อมูล 0) เมื่อแอปพลิเคชันอยู่ในสถานะ Active เราค่อยให้ข้อมูลจากไมค์จริง ที่ทำเช่นนี้เพราะต้องการหลีกเ...

รายงานจาก Recorded Future  พบว่า มัลแวร์เริ่มมีการใช้ Certificate ปลอมในกระบวนการ  Code Signing  (สร้างลายเซ็นดิจิตัลเพื่อรับรองถึงเจ้าของซอฟต์แวร์และการรันตีว่าโค้ดเหล่านั้นไม่ถูกแก้ไขหรือผิดพลาดหลังจากมันถูก Sign ไอเดียคล้ายกับเราเซ็นเอกสารสำคัญของธนาคาร) เพื่อหลบเลี่ยงกระบวนการตรวจจับด้านความมั่นคงปลอดภัย ทคนิคที่ใช้มันค่อนข้างซับซ้อนเลยทีเดียวเพราะมันไม่ได้เป็นการขโมยจากเจ้าของ Certificate เสมอไป เนื่องจากมีการร้องขอออก Certificate ตามปกติอย่างเฉพาะเจาะจงและลงทะเบียนด้วย Credential ขององค์กรที่ถูกขโมยไป นอกจากนี้ยังมีการซื้อขาย Certificate กันใน Dark Web มาหลายปีแล้วอีกด้วย โดย Recorded Future เผยว่า “ จากข้อมูลของผู้ขาย 2 รายในระหว่างการสนทนาส่วนตัวเพื่อยืนยันถึงปัญหาและอายุขัยของผลิตภัณฑ์ ซึ่ง Certificate ทุกใบนั้นมีการลงทะเบียนโดยใช้ข้อมูลจริงของบริษัทและเราเชื่อว่าบริษัทคงไม่ได้ตระหนักถึงการนำข้อมูลของพวกเขาไปใช้แบบนี้ ” นอกจากนั้นนักวิจัยยังได้ระบุว่า “ อุปกรณ์ด้านความมั่นคงปลอดภัยระดับเครือข่ายที่ใช้ Deep Packet Inspection จะมีประสิทธิภาพน้อยลงเมื่อเจอท...

NPM หรือ Node Package Manager ถูกใช้อย่างกว้างขวางในแพ็กเก็ตการบริหารจัดการของ JavaScript เพื่อทำหน้า Change Ownership บน Linux เช่น /etc, /usr และ /boot เป็นต้น โดย Bug ของการอัปเดต NPM เวอร์ชัน 5.7.0 นี้อาจทำให้ระบบหรือแอปพลิเคชันบนเครื่องทำงานผิดพลาดหรือทำให้เครื่องไม่สามารถบูตได้ โดยผู้พบ Bug นี้กล่าวว่ามันจะเกิดขึ้นกับ ผู้ใช้งาน Linux ที่ไม่ได้เป็น Root และใช้คำสั่งอัปเดตผ่าน  sudo เช่น ‘sudo npm –help’ หรือ ‘sudo npm update -g’ ซึ่งทำให้เกิดกระบวนการ Change Ownership กับไดเรกทอรี่ /etc, /usr, /boot หรืออื่นๆ ซึ่งมันทำให้เกิดการทำการ Change Ownership ซ้ำๆ ระหว่างที่รัน NPM ซึ่งทางทีมงาน npm ได้ออกแก้ไขเป็นเวอร์ชัน 5.7.1 เรียบร้อยแล้ว อย่างไรก็ตามผู้ใช้งานโปรดระวังเพราะมีรายงานจากผู้ใช้ในทวิตเตอร์ว่าระบบโปรดักชันของตนร่วงไป 3 ตัวหลังจากการอัปเดต รวมถึงมีผู้ใช้อีกหลายคนได้รับผลกระทบจากการทำงานผิดพลาดในครั้งนี้ ที่มา :  https://www.bleepingcomputer.com/news/linux/botched-npm-update-crashes-linux-systems-forces-users-to-reinstall/

นักวิจัยด้านความมั่นคงปลอดภัยจาก Google กล่าวว่า Microsoft ไม่ได้แพตซ์ช่องโหว่ที่ตนแจ้งให้เรียบร้อยที่มีผลกระทบกับ Windows 10 และ Windows Server 2016 ในส่วนของการย้ายไฟล์และกระบวนการของ Storage โดยเกี่ยวกับฟังก์ชัน ‘SvcMoveFileInheritSecurity’ ที่ถูกเรียกใช้งานทุกครั้งเมื่อมีการย้ายไฟล์ ช่องโหว่นี้ทำให้แฮ็กเกอร์ได้รับสิทธิ์ระดับผู้ดูแลได้  James Forshaw นักวิจัยจากทีม Project Zero ของ Google ได้ทำการแจ้ง Bug ของช่วงโหว่ไปตั้งแต่เดือนพฤศจิกายนแล้ว ซึ่งมีวิธีการ 2 วิธีที่จะนำช่องโหว่นี้ไปใช้ยกระดับสิทธิ์บน Windows โดยมีหมายเลขอ้างอิงของช่องโหว่คือ  CVE-2018-0826  ผลคือทำให้ผู้โจมตีสามารถทำสำเนาหรือเขียนไฟล์ไปยังปลายทางที่ไม่ควรทำได้อย่าง \Windows เป็นต้น ซึ่งบางครั้งไฟล์หรือโฟลเดอร์ย่อยเหล่านั้นสามารถถูก Execute ได้อย่างอัตโนมัติเพราะได้รับความไว้วางใจจากแอปพลิเคชันต่างๆ ว่ามันเป็นส่วนหนึ่งของ Windows เอง ดังนั้นช่องโหว่นี้จึงอาจจะถูกนำไปใช้เพื่อยกระดับสิทธิ์ได้ไม่ยาก ปัญหาที่เกิดขึ้น Forshaw ได้กล่าวว่าตนได้ระบุถึง 2 วิธีของการใช้ช่องโหว่แต่ Microsoft ออกแพตซ์มาเพ...

Kevin Beaumont ผู้เชี่ยวชาญด้าน InfoSec ออกมาแจ้งเตือนผู้ใช้ Amazon S3 ซึ่งเป็นบริการ Cloud Storage ของ AWS เสี่ยงถูก Ransomware โจมตีเพื่อเรียกค่าไถ่เหมือนที่ MongoDB หลายหมื่น Databases ถูกโจมตีตลอดปี 2017 เนื่องจากการตั้งค่าไม่มั่นคงปลอดภัย ในปี 2017 ที่ผ่านมานี้ เราได้เห็นข่าวข้อมูลใน Amazon S3 รั่วไหลออกสู่สาธารณะเป็นจำนวนมาก ไม่ว่าจะเป็น NSA, กองทัพสหรัฐฯ, ผู้ให้บริการการทำ Data Analytics และอื่นๆ ซึ่งส่วนใหญ่มีสาเหตุมาจากการตั้งค่าให้ Amazon S3 เป็นแบบ Publicly-readable โดยไม่รู้ตัว อย่างไรก็ตาม พบว่ามีผู้ใช้บริการบางรายเผลอตั้งค่าแย่ยิ่งกว่านั้น คือเป็น Publicly-writable ซึ่งช่วยให้ใครก็ตาม ต่อให้ไม่มีบัญชี AWS ก็สามารถเขียนหรือลบข้อมูลออกจาก Amazon S3 ได้ทันที จากการสำรวจของ Skyhigh Networks ในเดือนกันยายน 2017 พบว่ามี Amazon S3 ถึง 7% ที่ตั้งค่าแบบ Publicly-writable ด้วยเหตุนี้ทำให้ผู้เชี่ยวชาญหลายรายเชื่อว่า กลุ่มแฮ็กเกอร์ที่อยู้เบื้องหลังจากโจมตีเพื่อเรียกค่าไถ่จาก MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra และ MySQL servers ในปี 2017 จะเริ่มหันมาพุ่งเป้าที่ Ama...

หลังจากที่แพตซ์ก่อนหน้านี้เผชิญปัญหาความไม่สเถียรมาแล้ว ตอนนี้ Intel ได้เริ่มทยอยออกแพตซ์ใหม่สำหรับ CPU ในบางรุ่นซึ่งมีการประกาศผ่านหน้าเว็บของตนอย่างเป็นทางการว่ามีแพตซ์ใน CPU รุ่นไหนที่พร้อมใช้งานบ้าง แพตซ์ที่ประกาศออกมาสำหรับรุ่น Kaby Lake, Coffee Lake และอื่นๆ รวมถึง Generation 6th, 7th และ 8th และ X-Series ด้วย อีกทั้งโปรเซสเซอร์ในดาต้าเซนเตอร์อย่าง Xeon Scalable และ Xeon D ถูกกล่าวถึงในแพตซ์ครั้งนี้เช่นเดียวกัน แพตซ์เวอร์ชันที่ Intel กล่าวว่าพร้อมใช้งานรองรับกับ CPU รุ่นตามด้านล่าง Anniedale/Moorefield, Apollo Lake, Avoton/Rangeley, Broxton, Cherry View, Coffee Lake, Cougar Mountain, Denverton, Gemini Lake, Kaby Lake, Knights Landing, Knights Mill, Skylake, SoFIA, Tangier, Valleyview/Bay Trail และ XGold นอกจากนี้มีแพตซ์เวอร์ชัน Beta ที่อยู่ในระหว่างการทดลองให้กับเจ้าของผลิตภัณฑ์ OEM มีรายชื่อดังนี้ Broadwell, Gladden, Haswell, Ivy Bridge (บางรุ่น), Sandy Bridge และ Skylake Xeon E3 processors โดย Intel ได้แนะนำให้เจ้าของผลิตภัณฑ์นำแพตซ์เวอร์ชันใหม่นี้ไปใช้งานแทน อีกทั้...

นาย Patrick Wardle หัวหน้านักวิจัยที่ Digita Security ได้ค้นพบ Remote Access Trojan (RAT) ที่ชื่อ Coldroot ถูกวางขายอยู่ภายในตลาดมืดตั้งแต่วันที่ 1 มกราคมปี 2017 ซึ่งมีโค้ดหลายเวอร์ชันปรากฏอยู่บน GitHub เกือบ 2 ปีมาแล้ว อีกทั้งปัจจุบันยังมีการปรับให้ใช้งานบน macOS ได้ด้วยเทคนิคที่ซับซ้อนมากขึ้น ที่สำคัญนักวิจัยได้เตือนว่า Antivirus ส่วนใหญ่ยังไม่สามารถตรวจจับได้ จากการทดลองของ Wardle พบว่า RAT สามารถใช้งานได้ทั้ง Windows Linux และ macOS โดยตัวอย่างไฟล์ RAT ที่ Wardle ทดสอบนั้นพยายามอ้างตัวเป็น ‘Apple Audio Driver’ แต่ความน่าสงสัยคือเมื่อตรวจสอบโดย  What’s Your Sign  มันไม่มีพบการถูกรับรองความน่าเชื่อถือและมีความพยายามไปอ้างถึง TCC.db โดยมันคือฐานข้อมูลที่เก็บรายชื่อของแอปพลิเคชันว่ามีสิทธิ์เข้าถึงอะไรได้บ้าง “ หากแก้ไขฐานข้อมูลนี้ได้มันจะสามารถกำหนดการปฏิสัมพันธ์กับ UI ของระบบหรือแอปพลิเคชันอื่นได้ หรือแม้แต่การดักจับคีย์ (Kerlogger) ซึ่งการแก้ไขฐานข้อมูลโดยตรงนี้จะสามารถหลบเลี่ยงการแจ้งเตือนของระบบต่อผู้ใช้งานได้ “–“Wardle กล่าว สิ่งที่ RAT ตัวนี้ทำคือพยายามอ้างตัวเป็น Driv...

Satoshi Tanda นักวิจัยด้านความมั่นคงปลอดภัยได้พบช่องโหว่การใช้ NULL Character เพื่อลัดผ่านฟีเจอร์สแกนมัลแวร์ หรือ Anti-Malware Scan Interface ที่เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยบน Windows 10 ได้ AMSI ถูกออกแบบให้เป็นตัวกลางระหว่างแอปพลิเคชันและกลไก Antivirus โดยมันอนุญาตให้แอปพลิเคชันส่งไฟล์ต่างๆ มาสแกนโดยซอฟต์แวร์ภายในเครื่องและส่งผลลัพธ์กลับออกไป แท้จริงแล้วนอกจากจะรองรับการสแกนไฟล์ได้ทุกประเภท Microsoft เองตั้งใจให้ AMSI ช่วยดูแลเรื่องของสคริปต์ตอน Runtime เช่น PowerShell, VBScript, Ruby และอื่นๆ ที่ช่วยตรวจจับเพิ่มเติมมากกว่า Antivirus ที่อาศัย Signature เพียงอย่างเดียว ซึ่งมันสามารถรู้ได้ว่าหลังจากที่โปรแกรมรันไปแล้วมีการเรียกใช้ทรัพยากรอะไรเพิ่มเติมระหว่างการ Execution บ้าง สิ่งที่นักวิจัยสังเกตและทดลองคือตัว AMSI มีการคัดไฟล์ PowerShell ที่มีโค้ดอันตรายซึ่งวางไปต่อท้าย NULL Character (ตามรูปด้านบน) ออกมาจากการตรวจสอบ “ เจ้าของซอฟต์แวร์ที่มีการใช้งาน AMSI เพื่อสแกนเนื้อหาควรตรวจสอบซ้ำว่ามันสามารถจัดการกับ NULL Character ได้จริง “–Tanda กล่าว นอกจากนี้ Tanda ยังได้แนะนำให้เจ้า...

Google ได้ออกมาเผยถึงสาเหตุที่บริการ Google Cloud Platform (GCP) ในส่วนของ Google Compute Engine ที่สหรัฐอเมริกาและยุโรปล่มไป 93 นาทีเมื่อวันที่ 18 มกราคม 2018 ที่ผ่านมา ว่าเกิดจากการที่ระบบ Automation บน Cloud นั้นมีปัญหา ระบบ Automation ที่เป็นต้นตอในการทำให้ Cloud ล่มในครั้งนี้อยู่ในส่วนของ Network Programming ที่ส่งผลให้ระบบ Autoscaler ไม่สามารถทำงานได้ตามที่กำหนดไว้ ส่งผลต่อเนื่องให้ระบบ VM ใหม่หรือ VM ที่เพิ่งย้ายมานั้นไม่สามารถเชื่อมต่อเข้ากับ VM ใน Zone อื่นๆ ได้ โดยปกติแล้วเวลาที่มีการสร้าง VM ใหม่หรือย้าย VM ใหม่เข้ามา ระบบของ Google จะต้องจัดการสร้าง Configuration ในส่วนของ VM, Network, Firewall, Scaling ให้เรียบร้อย และทำการอัปเดตไปยังระบบอื่นๆ ภายใน Zone เดียวกันเพื่อให้ VM ใหม่นี้สามารถเชื่อมต่อกับบริการอื่นๆ ได้ แต่ในช่วงที่ GCP มีปัญหานั้นระบบไม่ได้มีการส่งข้อมูล Configuration ในส่วนนี้ ทำให้การสื่อสารระหว่าง Zone ของระบบนั้นไม่สามารถทำงานได้ดังปกติ และเกิดเหตุบริการล่มขึ้นมานั่นเอง นอกจากนี้ ระบบ Failover นั้นก็ไม่สามารถทำงานได้เนื่องจากไม่สามารถบังคับหยุดการทำงา...

Ivan Fabric นักวิจัยของทีม Project Zero จาก Google ได้ออกรายงานเกี่ยวกับ Bug บน Microsoft Edge ที่สามารถลัดผ่านฟีเจอร์การป้องกันที่ชื่อว่า Arbitrary Code Guard (ACG) โดย Google ได้ค้นพบและแจ้งทาง Microsoft เกี่ยวกับ Bug ไปตั้งแต่พฤศจิกายนที่ผ่านมาแต่ทาง Microsoft อ้างว่า Bug นี้มีความซับซ้อนมากเกินกว่าจะแก้ให้เสร็จภายในเวลาที่กำหนดได้ ACG เป็นฟีเจอร์ของ Microsoft ที่ตั้งใจออกมาเพื่อป้องกันไม่ให้ผู้โจมตีสามารถใช้ JavaScript โหลดโค้ดอันตรายเข้าไปยังส่วนความจำของ Edge บนคอมพิวเตอร์ โดยทาง Microsoft  เคยให้นิยาม เกี่ยวกับ Code Integrity Guard (CIG) ไว้ว่าแอปพลิเคชันจะสามารถโหลดต้นฉบับของโค้ดอันตรายโดยตรงลงไปในหน่วยความจำได้ 2 ทางคือ โหลด DLL หรือ EXE อันตรายจากดิสก์ สร้างหรือแก้ไขโค้ดขึ้นมาบนหน่วยความจำ ดังนั้น CIG จะป้องกันในข้อแรกด้วยการใช้งานเฉพาะ DLL ที่มีการรับรองสำหรับ Edge เท่านั้น ส่วน ACG จะมาช่วยเพิ่มเติมคือการันตีว่าโค้ดที่โหลดมานั้นจะไม่ถูกแก้ไขเปลี่ยนแปลงหรือไม่มีโค้ดที่ไม่ผ่านการรับรองถูกสร้างขึ้นมาได้ อย่างไรก็ตามนักวิจัยจาก Google ได้พบช่องทางที่ทำให้สามารถโหลดโ...

ธนาคารกลางสิงคโปร์ออก Guildeline แนวทางการปกป้องผู้บริโภคจากการใช้งาน E-Payment เตรียมผลักดันการใช้งาน E-Payment ในประเทศให้มากขึ้น ธนาคารกลางสิงคโปร์  The Monetary Authority of Singapore (MAS)  ออก Guideline แนวทางการปกป้องผู้บริโภคจากการใช้งานระบบ E-Payment ในประเทศ ซึ่งเป็นแนวทางที่จะบังคับใช้งานกับสถาบันการเงินที่เกี่ยวข้อง โดยใน Guildeline ฉบับนี้จะเน้นย้ำให้สถาบันการเงินต่างๆจะต้องมีการประกาศขั้นตอนการรับผิดชอบที่ชัดเจนหากเกิดปัญหาการจ่ายเงินที่ไม่ถูกต้อง รวมถึงการแจ้งเตือนผู้ใช้งานทุกครั้งหากมีการทำธุรกรรมเกิดขึ้น นอกจากนี้ยังแนะนำให้ผู้บริโภคปฏิบัติตามแนวทางการรักษาความมั่นคงปลอดภัยสำหรับบัญชี E-Payment ของตนเอง เช่น การตั้งรหัสผ่านให้แข็งแรง และใช้งานจากอุปกรณ์ที่มีความปลอดภัยเท่านั้น Guideline ฉบับนี้ยังอยู่ในขั้นตอนเปิดรับฟังความคิดเห็นสาธารณะ (Public Consultation) จากประชาชนและหน่วยงานต่างๆ ซึ่งจะสิ้นสุดกระบวนการนี้ในวันที่ 16 มีนาคม 2018 ซึ่งการผลักดัน Guildeline ฉบับนี้เนื่องจากที่ผ่านมาสิงคโปร์ยังคงตามหลังจีนในเรื่องการใช้งาน E-Payment ในประเทศอยู่มาก โดย 6 ...

เป็นอีกกรณีหนึ่งของการที่ธุรกิจชื่อดังทำข้อมูลของลูกค้าหลุดรั่วผ่านบริการ Cloud Storage เนื่องจากไม่ได้ทำการตั้งค่าของระบบให้ดี นักวิจัยจาก Kromtech Security Center ได้ออกมาเปิดเผยถึงการค้นพบ Amazon S3 Bucket ของ FedEx ที่มีข้อมูลของลูกค้าจำนวนมากถูกเปิดให้เข้าถึงได้จากสาธารณะ โดยข้อมูลเหล่านี้ครอบคลุมถึงเอกสารจากการแสกนจำนวนมากกว่า 119,000 รายการ ทั้งพาสปอร์ต, ใบขับขี่, ข้อมูลการกรอกแบบฟอร์ม ซึ่งมีทั้งข้อมูลชื่อ, ที่อยู่, เบอร์โทรศัพท์ และเลขไปรษณีย์ของลูกค้าจากหลากหลายประเทศทั่วโลก ข้อมูลดังกล่าวนี้ถูกเก็บอยู่ภายในบริการ Cloud ซึ่งเดิมทีเป็นของบริษัท Bongo International ซึ่งเป็นบริษัทที่ FedEx เข้าซื้อกิจการมาตั้งแต่ปี 2014 ทำให้ธุรกิจใดๆ ก็ตามที่เคยใช้บริการของบริษัทนี้มาก่อนในช่วงปี 2009 – 2012 ก็อาจตกอยู่ในความเสี่ยงเดียวกันได้เช่นกัน ปัจจุบันทาง FedEx ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวจากพื้นที่สาธารณะไปที่เรียบร้อย พร้อมยืนยันว่ายังไม่พบหลักฐานว่าข้อมูลเหล่านี้ได้ตกไปอยู่ในมือของผู้ประสงค์ร้ายแต่อย่างใด อย่างไรก็ดี ที่ผ่านมานั้นมีการโจมตีซึ่งมุ่งเป้าไปที่การเข้าถึงข้อมู...

กลายเป็นอุทาหรณ์เตือนใจสำหรับหลายๆ คนที่ต้องการลงทุน ICO (Initial Coin Offereing) กับบริษัทเปิดใหม่ หลังจากที่ LoopX บริษัท Startup ทางด้าน Cryptocurrency หลอกผู้ใช้ให้ร่วมลงทุน ICO ก่อนปิดเว็บไซต์, Facebook และ YouTube พร้อมเชิดเงินหนีกว่า $4,500,000 (ประมาณ 140 ล้านบาท) โดยไม่บอกไม่กล่าว LoopX เป็นบริษัท Startup รายใหม่ที่เปิดให้ผู้ที่สนใจเข้าลงทุน ICO เพื่อพัฒนาแอปพลิเคชันสำหรับแลกเปลี่ยนเงินดิจิทัลบนอุปกรณ์พกพาโดยใช้อัลกอริธึมประสิทธิภาพสูงที่ตนเป็นผู้ออกแบบเอง ซึ่งก่อนเกิดเหตุนั้น LoopX ระบุว่า ขณะนี้รวบรวมเงินทุนได้แล้วกว่า $4,500,000 จากเป้าหมาย $12,000,000 ที่ตั้งไว้ และมีการส่งอีเมลไปยังผู้ที่ร่วมลงทุนและลูกค้าเมื่อสัปดาห์ที่ผ่านมาว่า  “พวกเราเตรียมที่จะเซอร์ไพรส์อะไรบางอย่างกับพวกคุณตลอดสัปดาห์นี้ คอยติดตามให้ดี”  แต่ปรากฏว่าการเซอร์ไพรส์ดังกล่าวกลับกลายเป็นการปิดเว็บไซต์, Facebook, Telegram และ YouTube พร้อมเชิดเงินลงทุนทั้งหมดหนีไปอย่างไร้ร่องรอย อย่างไรก็ตาม หลังเกิดเหตุพบว่าบัญชี  Twitter (ที่คาดว่าเป็น) ของ LoopX  กลับปรากฏทวีตซึ่งเป็นลิงค์ไปยังบทคว...