Thailand People Cyber Army Cyber News

เมื่อสุดสัปดาห์ที่ผ่านมามีรายงานว่า Linus Torvalds ได้อนุมัติฟีเจอร์ด้านความมั่นคงปลอดภัย ‘Lockdown’ ที่เป็นการป้องกันระดับ Kernel เรียบร้อยแล้ว โดยคาดว่าจะอยู่ใน LSM (Linux Security Module) ที่มาใน Linux Kernel เวอร์ชัน 5.4 แต่จะปิดไว้โดย Default Lockdown เป็นฟีเจอร์ด้านความมั่นคงปลอดภัยที่ออกแบบมาให้ป้องกัน User Process และ Kernel แม้กระทั่งจากบัญชี Root เองไม่ให้เข้าไปปฏิสัมพันธ์กับโค้ดระดับ Kernel โดยไอเดียก็คือ Lockdown จะไปจำกัดฟังก์ชันระดับ Kernel บางอย่างซึ่งอาจนำไปสู่การลอบรันโค้ดจากระดับ User ได้ เช่น บล็อกโปรเซสไม่ให้เขียน/อ่านที่ /dev/mem และ /dev/kmem หรือบล็อกการเข้าถึงที่ /dev/port เพื่อป้องกันการเข้าถึง Raw port ผู้สนใจสามารถติดตามเพิ่มเติมได้ ที่นี่ ทั้งนี้เบื้องต้น Lockdown จะมี 2 โหมดคือ ‘integrity’ และ ‘confidentiality’ โดยโหมดแรก Tovalds กล่าวว่า “ ถ้าใช้งาน Integrity จะถูกปิดฟีเจอร์ระดับ Kernel ที่อนุญาต Userland เข้าไปแก้ไข Running Kernel ” ในขณะที่โหมดหลัง “ โหมด Confidentiality คือการปิดฟีเจอร์ที่ทำให้ userland สามารถ Extract ข้อมูลสำคัญออกมาจาก Kernel “ ...

ทีมนักวิจัยจาก Ginno Security Labs ได้ออกมาเปิดเผยการโจมตีใหม่บนซิมโทรศัพท์ โดยถูกตั้งชื่อว่า ‘WIBattack’ ไอเดียของ WIBattack ก็คือโจมตีฟังก์ชันที่มีอยู่บนซิมการ์ดอยู่แล้วที่ชื่อ Wireless Internet Browser (WIB) ซึ่งสามารถถูกใช้ได้โดยการส่ง Binary SMS เพื่อไปเรียกใช้คำสั่ง STK (SIM Toolkit) โดยสำหรับคำสั่งของ WIB มีความสามารถคือ สั่งโทรออก, ดึงข้อมูลพิกัดของผู้ใช้, ส่งออกข้อความ, ส่ง SS Request หรือ USSD Request, เปิด Browser เพื่อเรียก URL อย่างเฉพาะเจาะจง, แสดงผลข้อความ Text และเล่นเสียง อย่างไรก็ตาม WIBattack มีไอเดียคล้ายกับ  Simjacker  ที่เราเคยนำเสนอไปก่อนหน้านี้เพียงแต่ใช้คนละฟังก์ชันบนซิมการ์ดเท่านั้นเอง โดยทั่งคู่ใช้ Java Applets ที่ผู้ให้บริการติดตั้งไว้บนซิมการ์ดเพื่อให้สามารถบริหารจัดการได้จากระยะไกล นอกจากนี้นักวิจัยยังเผยว่าราวปี 2015 พบการโจมตีทั้งสองแล้วเพียงแต่ไม่ได้เปิดเผยสู่สาธารณะ ซึ่งประเมินว่าน่าจะมีผู้ได้รับผลกระทบหลายร้อยล้านทีเดียว ในอีกด้านหนึ่งบริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยฝั่งมือถือและ Telco ที่ชื่อ SRLabs ได้ศึกษาถึงผลกระทบในภาพรวมด้...

มีรายงานจาก Microsoft ว่าพบความเคลื่อนไหวของมัลแวร์ตัวใหม่ที่ชื่อ ‘Nodersok’ ซึ่งความน่าสนใจคือมีการใช้เทคนิคหลากหลาย เช่น multi-stage infection, living-off-the-land และ Fileless นอกจากนี้มีรายงานจากฝั่งของ Cisco Talos ด้วยที่อ้างถึงมัลแวร์ตัวเดียวกันแต่ใช้ชื่อว่า ‘Divergent’ จากภาพสรุปการโจมตีด้านบน Nodersok ถือเป็นมัลแวร์ที่มีความน่าสนใจโดยจะเห็นได้ว่าเป็นการโจมตีแบบ Multi-stage infection ซึ่งเริ่มแรกจะแพร่มาทางโฆษณาอันตรายในหน้าเว็บหรือลิงก์อันตรายที่ทำให้ผู้ใช้โหลดไฟล์ HTA(HTML Appliaction) เข้ามา จากนั้นโค้ด JavaScript ที่อยู่ใน HTA จะไปดาวน์โหลดส่วนประกอบอื่นๆ คือ XSL และ JavaScript ขั้นถัดมาจะมีการไปรันคำสั่ง PowerShell ที่ถูก Encode ในรูปแบบของ  deadbeef   และสุดท้ายนำไปสู่ผลลัพธ์ดังนี้ พยายาม Disable โปรแกรม Windows Defender Antivirus และ Windows Update พยายามใช้ Binary Shellcode เพื่อยกระดับสิทธิ์ ใช้ Windivert ที่เป็นไลบรารี่ดักจับแพ็กเก็ต ใช้ JavaScript โมดูลที่เขียนใน Node.js เพื่อเปลี่ยนเครื่องให้เป็น Proxy สำหรับจุดที่น่าสังเกตตรงนี้คือเทคนิค Liv...

Cloudflare ได้ปล่อย WARP หรือบริการ VPN สำหรับผู้ใช้งานมือถือมาให้ได้ดาวน์โหลดกันแล้วทั้งในฝั่งของ iOS และ Android หลังจากล่าช้ามาหลายเดือน WARP เป็นบริการ VPN จาก Cloudflare ที่ได้นำเอาบริการ Secure DNS 1.1.1.1 และเทคโนโลยีอื่นๆ เข้ามาผสมผสานเพื่อแก้ปัญหา VPN แบบเดิมเพื่อการันตีด้าน Privacy และความรวดเร็ว อย่างไรก็ดีบริษัทคุยว่า IP ของผู้ใช้งานจะเป็นความลับต่อเว็บที่เข้าชมยกเว้นเพียงแค่หากเว็บนั้นใช้บริการของ Cloudflare เหมือนกันถึงจะมองเห็น IP คนที่เข้ามา โดยหลังจากล่าช้าจากกำหนดออกมาหลายเดือน วันนี้ผู้ใช้งานสามารถเข้าไปดาวน์โหลดกันได้แล้วโดย iOS จะรองรับที่เวอร์ชัน 10.3 ขึ้นไป ขณะที่ฝั่งของ Android จะรองรับที่เวอร์ชัน 5 ขั้นไป ทั้งนี้ WARP มี 2 เวอร์ชันคือ WARP  – ถึงจะเป็นเวอร์ชันฟรีแต่จะไม่มีการจำกัด Bandwidth หรือการใช้แต่อย่างใดพร้อมทั้งคุยว่าจากการทดสอบได้ความเร็วแทบไม่ต่างกับการใช้งานปกติ WARP+  – เวอร์ชันเสียเงินสนนราคาประมาณ 4.99 เหรียญสหรัฐต่อเดือนแต่ราคาขึ้นอยู่กับ Region ที่ใช้บริการ โดยความพิเศษคือผู้ใช้งาน WARP+ ทราฟฟิคจะถูก Route ผ่าน Virtual Privat...

นักวิจัยจาก Symantec ได้เปิดเผยถึงแอปพลิเคชันอันตรายกว่า 25 ตัว ซึ่งใช้ไฟล์ Config เพื่อเปลี่ยนตัวเองสู่ความอันตราย ทั้งหมดนี้เพื่อหลีกเลี่ยงการตรวจสอบของ Google Play แอปพลิเคชันกว่า 25 รายการที่นักวิจัยค้นพบนี้มีโครงสร้างหน้าตาโค้ดคล้ายๆ กันจึงสันนิษฐานว่าอาจจะมาจากผู้ผลิตรายเดียวกันหรือน่าจะใช้โค้ดพื้นฐานร่วมกัน โดยอยู่ในกลุ่มของแอปแฟชันและเครื่องมือภาพถ่าย ไอเดียของแอปพลิเคชันอันตรายคือเริ่มแรกจะเข้ามาอย่างปกติทั่วไปที่ดูเหมือนไม่มีอะไร แต่หลังจากนั้นจะคอยแอบอัปเดตConfig File เข้ามาเพิ่มเพื่อ Trigger ความอันตรายจนสุดท้ายนำไปสู่การแสดงเพจโฆษณาเต็มหน้าจอ ทั้งนี้ยังลบ icon เพื่อซ่อนตัวจากผู้ใช้ อย่างไรก็ตามแอปพลิเคชันยังมีการใช้ Initial Vector และกุญแจเข้ารหัสเพื่อทำการ Encode และ Encrypted ส่วนสำคัญของซอร์สโค้ดเพื่อหลบการตรวจจับของโซลูชัน Anti-malware ที่ผู้ใช้งานอาจติดตั้งไว้ด้วย เคราะห์ดีที่ปัจจุบันทาง Google ได้ทำการลบแอปพลิเคชันข้างตันออกไปแล้วหลังจากนักวิจัยแจ้งเข้าไปเมื่อวันที่ 2 กันยายนที่ผ่านมา ผู้สนใจสามารถติดตามบทวิเคราะห์ฉบับเต็มได้จาก  Symantec ที่มา : ...

Microsoft ได้ออกมาประกาศถึง Out-of-Band Security Update เพื่ออุดช่องโหว่ Remote Code Execution (RCE) และ Denial of Service (DoS) บน Internet Explorer และ Windows Defender ตามลำดับ ช่องโหว่แรกนี้คือช่องโหว่ RCE ที่ได้รับรหัส CVE-2019-1367 บน Internet Explorer ซึ่งถูกเปิดเผยโดย Clément Lecigne แห่ง Google’s Threat Analysis Group โดยเป็นช่องโหว่ที่เปิดให้ผู้โจมตีสามารถควบคุมหน่วยความจำของระบบได้และทำให้เรียกใช้คำสั่งต่างๆ ได้ตามต้องการ และเข้าถึงสิทธิ์ของผู้ใช้งานปัจจุบันได้ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367 ช่องโหว่ถัดมาคือช่องโหว่ DoS ที่ได้รับรหัส CVE-2019-1255 บน Windows Defender ซึ่งถูกเปิดเผยโดย Charalampos Billinis แห่ง F-Secure Countercept และ Wenxu Wu แห่ง Tencent Security Xuanwu Lab แต่สำหรับช่องโหว่นี้ผู้ใช้งานอาจไม่ต้องกังวลมากนัก เพราะ Microsoft Malware Protection Engine จะทำการอัปเดตอัตโนมัติภายใน 48 ชั่วโมงอยู่แล้วหากมีการเปิดใช้งานไว้  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1255 ...

TheRegister ได้ออกมารายงานถึงกรณีที่ Source Code และ Credential ของธนาคาร Scotiabank ถูกเปิดเผยสู่สาธารณะบน GitHub เป็นเวลายาาวนานนับเดือน โดยมีการสันนิษฐานว่าเหตุนี้เกิดขึ้นจากการที่พนักงานของธนาคารนั้นตั้งค่าการทำงานของระบบผิดพลาด Jason Coulls ผู้เชี่ยวชาญทางด้าน IT จาก Great White North นั้นได้พบข้อมูล Blueprint ของ Software, Access Key สำหรับระบบ Foreign Exchange Rate, Source Code ของ Mobile Application และ Login Credential ไปยังบริการและฐานข้อมูลต่างๆ ของ Scotiabank ถูกเปิดให้เข้าถึงได้แบบสาธารณะบน GitHub และแจ้งมายังทีมงาน TheRegister ก่อนที่จะมีการติดต่อไปยังหน่วยงานต่างๆ ทั้งหมดก่อนจะทำการเผยแพร่ข่าวในครั้งนี้ ถึงแม้ปัจจุบันทางธนาคารและหน่วยงานต่างๆ ที่เกี่ยวข้องกับธนาคารจะได้รับการแจ้งเตือนและนำข้อมูลเหล่านี้ออกจากบน GitHub เรียบร้อยหมดแล้ว แต่ก็ยากที่จะพิจารณาว่าความเสียหายนั้นเกิดขึ้นมากน้อยเพียงใดและข้อมูลดังกล่าวหลุดรั่วไปสู่ใครบ้าง อย่างไรก็ดี Jason Coulls ได้ให้ความเห็นว่ากรณีลักษณะนี้ไม่ใช่เหตุการณ์ครั้งแรกที่เกิดขึ้นกับ Scotiabank โดยที่ผ่านมานั้นก็มีข่วเรื่องกา...

Alert Logic ผู้ให้บริการ Threat Intelligence ออกรายงานด้านความมั่นคงปลอดภัยสำหรับธุรกิจ SMB โดยสำรวจข้อมูลจากเหตุการณ์ด้านไซเบอร์ที่เกิดขึ้นรวม 130,000 ครั้งจากลูกค้ากว่า 4,000 ราย พบว่าพอร์ตที่แฮ็กเกอร์ใช้เป็นช่องทางโจมตีมากที่สุุด คือ 22, 80 และ 443 สำหรับ SSH, HTTP และ HTTPS ตามลำดับ Alert Logic ระบุว่า ร้อยละ 65 ของเหตุการณ์โจมตีไซเบอร์ที่เกิดขึ้นมีพอร์ตทั้ง 3 เกี่ยวข้อง เนื่องจากแฮ็กเกอร์ต้องการเปิดช่องทางในการติดต่อสื่อสาร ในขณะที่อันดับ 4 คือ พอร์ต 3389 หรือ RDP ซึ่งมีช่องโหว่ที่นำไปสูู่การโจมตีแบบ Remote Code Execution เป็นจำนวนมากในปีนี้ เช่น CVE-2019-1181, CVE-2019-1182 และ CVE-2019-0708 นอกจากนี้อีก 1 พอร์ตที่มีความเสี่ยงสูงคือ FTP 20 และ 21 เนื่องจากมีเครื่องใช้สำนักงานในปัจจุบัน เช่น ปรินเตอร์, สแกนเนอร์ และกล้อง รองรับการใช้งานเป็นจำนวนมาก คาดว่าสูงถึง 1 ใน 3 ของ FTP Server ที่ค้นพบทั้งหมด ประเด็นอื่นๆ ที่น่าสนใจในรายงาน ได้แก่ ปัญหาด้านความมั่นคงปลอดภัยขององค์กรอันดับหนึ่ง คือ การใช้ซอต์ฟแวร์ที่หมดอายุ (75%) ตามมาด้วยการเข้ารหัสที่ไม่แข็งแกร่งเพียงพอ (66%) 66% ของ...

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request Forgery (CSRF) เพื่อหลอกให้ผู้ใช้ที่พิสูจน์ตัวตนแล้วดำเนินการบางอย่างตามความต้องการของแฮ็กเกอร์โดยที่ผู้ใช้ไม่รู้ตัวได้ phpMyAdmin เป็นหนึ่งในแอปพลิเคชัน Open Source ยอดนิยมสำหรับบริหารจัดการฐานข้อมูล MySQL และ MariaDB ซึ่งถูกนำไปใช้บน Content Management Platforms ที่หลากหลาย เช่น WordPress และ Joomla ซึ่งล่าสุด Cardenas ได้ค้นพบช่องโหว่ Zero-day ประเภท CSRF รหัส  CVE-2019-12922  ความรุนแรงระดับปานกลาง เนื่องจากช่องโหว่นี้มีขอบเขตการโจมตีที่จำกัด กล่าวคือ ช่วยให้แฮ็กเกอร์ลบเฉพาะ Server บนหน้า Setup Page ของ phpMyAdmin ของเหยื่อได้เท่านั้น แฮ็กเกอร์สามารถโจมตีผ่านช่องโหว่ดังกล่าวได้ด้วยการส่ง URL ที่ถูกสร้างขึ้นมาเป็นพิเศษไปให้ Web Admin ที่กำลังล็อกอินอยู่ในระบบ phpMyAdmin บนเบราว์เซอร์เดียวกัน เมื่อ Web Admin เข้าถึง URL นั้นๆ ก็จะดำเนินการลบ (DROP) เซิร์ฟเวอร์บน phpMyAdmin โ...

รายงาน   SOHOpelessly Broken 2.0   จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ NAS ที่ใช้งานภายในออฟฟิศขนาดเล็กหรือโฮมออฟฟิศ (SOHO) 13 ยี่ห้อ เสี่ยงถูกแฮ็กเกอร์เจาะเข้ามายังระบบภายในและละเมิดความเป็นส่วนบุคคลได้ ISE ได้ทำการตรวจหาช่องโหว่บน Router และ NAS ยอดนิยมจำนวน 13 ยี่ห้อ ได้แก่ Buffalo, Synology, TerraMaster, Zyxel, Drobo, ASUS และ Asustor, Seagate, QNAP, Lenovo, Netgear, Xiaomi และ Zioncom (TOTOLINK) พบว่าแต่ละยี่ห้อต้องมีช่องโหว่ Web Application อย่างน้อย 1 รายการที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ผ่าน Remote Shell หรือ Admin Panel ได้จากระยะไกล ตัวอย่างช่องโหว่ เช่น Cross-site Scripting (XSS), Cross-site Request Forgery (CSRF), Buffer Overflow, OS Command Injection, Authentication Bypass, SQL Injection และ File Upload Path Traversal ทีมนักวิจัยจาก ISE ระบุว่า พวกเขาประสบความสำเร็จในการเข้าถึง Root Shell บนอุปกรณ์ 12 รายการ ส่งผลให้สามารถเข้าควบคุมอุปกรณ์ได้ตามความต้องการ...

หลังจากที่ Mozilla ประกาศเตรียมเปิดใช้ฟีเจอร์ DNS over HTTPS (DoH) โดยอัตโนมัติสำหรับผู้ใช้ Firefox ในสหรัฐฯ เร็วๆ นี้ ล่าสุด Google ได้ประกาศเตรียมทดสอบฟีเจอร์ดังกล่าวบน Chrome 78 ที่จะอัปเดตในอีก 2 สัปดาห์ข้างหน้าเช่นกัน DNS over HTTPS (DoH) ถูกพัฒนาขึ้นในปี 2017 เพื่อเพิ่มความมั่นคงปลอดภัยและความเป็นส่วนบุคคลขณะดำเนินการแปลงชื่อโดเมนไปเป็นหมายเลข IP โดยอาศัยการทำ DNS Lookup บนช่องทาง HTTPS ที่มีการเข้ารหัสข้อมูล โปรโตคอลดังกล่าวช่วยป้องกันไม่ให้ผู้ไม่ประสงค์ดี รวมไปถึง ISP ดักฟังการทำ DNS Lookup เพื่อดููว่าผู้ใช้กำลังเข้าถึงเว็บไซต์ไหน นอกจากนี้ยังช่วยป้องกันการเปลี่ยนเส้นทางทราฟฟิกไปยังเว็บไซต์อันตรายของแฮ็กเกอร์หรือเว็บ Phishing อีกด้วย อย่างไรก็ตาม DoH กลับมาพร้อมกับความท้าทายใหม่สำหรับการรักษาความมั่นคงปลอดภัยขององค์กร กล่าวคือ ทำให้การตรวจสอบทราฟฟิกบนเครือข่ายเพื่อค้นหาพฤติกรรมไม่พึงประสงค์ทำได้ยากยิ่งขึ้น ล่าสุด Google ได้ประกาศจะเร่ิมการทดสอบใช้งาน DoH บน Chrome 78 ที่จะออกเวอร์ชัน Beta ในอีก 2 สัปดาห์ข้างหน้านี้ โดยจะเริ่มใช้งานกับผู้ใช้บางส่วนที่ ISP มีการใช้บริการ DNS...

Malwarebytes ได้ออก Browser Extension สำหรับผู้ใช้งาน Chrome และ Firefox เพื่อให้สามารถเข้าเว็บต่างๆ ได้อย่างมั่นคงปลอดภัย ทั้งหมดนี้ฟรีไม่มีค่าใช้จ่าย เครื่องมือ Browser Guard ตัวนี้มีความสามารถหลากหลาย เช่น บล็อก Pop-ups, กรอง Content ที่น่าสงสัยหรือไม่ได้รับการตรวจสอบ, ป้องกันโฆษณาและการติดตามการใช้งาน รวมถึงการถูก Hijack Browser หรือป้องกันการ Lock Browser เป็นต้น นอกจากนี้สามารถใช้ GSuite สำหรับองค์กรเรียกติดตั้งเข้ามาได้ด้วย ซึ่ง Extension ยังมีการจัดเก็บรายงานว่าบล็อกอะไรไปบ้างได้ด้วย ไม่เพียงเท่านั้นผู้ใช้งานยังสามารถ Customize เพื่อทำสร้างข้อยกเว้นบางอย่างกับหน้าเพจได้ด้วย ผู้ใช้  Chrome  และ  Firefox  สามารถดาวน์โหลดได้จากลิงก์ครับ ที่มา :   https://betanews.com/2019/09/13/malwarebytes-browser-guard/

AdaptiveMobile Security ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้เปิดเผยถึงช่องโหว่บนซิมของโทรศัพท์มือถือ ‘Simjacker’ เพียงแค่ส่ง SMS ไปหาเหยื่อเพื่อใช้งาน นอกจากนี้ยังได้ยืนยันว่ามีการใช้งานจริงมาสักพักใหญ่แล้วซึ่งอาจจะเป็นบริษัทลับที่รัฐบาลสนับสนุน โดยหากประเมินถึงผู้ที่ได้รับผลกระทบน่าจะเป็นไปได้กว่าพันล้านราย ไอเดียของช่องโหว่คือแฮ็กเกอร์สามารถใช้ GSM Modem, Application หรือมือถือส่ง SMS เพื่อนำคำสั่ง  SIM Tookit (STK)  ไปหาเหยื่อ เนื่องจากใน SIM Card จะมี S@T Browser ที่รองรับคำสั่งนี้ได้ ซึ่งในอดีตผู้ให้บริการเครือข่ายได้ใช้ช่องทางนี้เพื่อส่งโปรโมชันหรือข้อมูลค่าใช้จ่ายไปหาผู้ใช้งาน อย่างไรก็ตามการโจมตีครั้งนี้แฮ็กเกอร์ได้ประยุกต์ใช้เพื่อการรับข้อมูลพิกัดและโค้ด IMEI แต่อันที่จริงแล้ว STK ยังรองรับคำสั่ง เช่น สั่งโทร, ปิด SIM, รันคำสั่ง AT Modem, เปิด Browser ซึ่งอาจนำไปสู่การ Phishing ได้ด้วย โดยเมื่อผู้โจมตีส่ง SMS ไปหาซิมของเหยื่อแล้วจะมีการส่ง SMS กลับไปยังอุปกรณ์ Third-party ซึ่งผู้โจมตีสามารถ Log ข้อมูลเหล่านั้นได้ เลวร้ายกว่านั้นคือกระบวนการดังกล่าวเหยื่อไม...

สำหรับแพตช์ของ Microsoft ในเดือนกันยายนนี้มีการแก้ไขช่องโหว่ด้านความมั่นคงปลอดภัยถึง 80 รายการ โดยเป็นช่องโหว่ร้ายแรงกว่า 17 รายการ ซึ่งมี Zero-day 2 รายการในนั้นด้วย จึงแนะนำให้ผู้ใช้เร่งอัปเดต ช่องโหว่ที่น่าสนใจมีดังนี้ Zero-day  – ช่องโหว่ 2 รายการมีหมายเลขอ้างอิง CVE-2019-1214 และ CVE-2019-1215 เป็นช่องโหว่การยกระดับสิทธิ์ที่เกิดกับ Windows Common Log File System (CLFS) และ Winsock ตามลำดับ ทั้งนี้ Microsoft ไม่มีการเปิดเผยรายละเอียดว่ามีการนำไปใช้ได้จริงอย่างไรแต่คาดว่ามีการโจมตีจริงแล้ว RDP  – ช่องโหว่ใหม่ 2 รายการบน Remote Desktop Protocol คือ CVE-2019-1290 และ CVE-2019-1291 เป็นช่องโหว่ Remote Code Execution อย่างไรก็ตามบริษัทค้นพบด้วยตัวเองและไม่ได้ระบุว่าจะร้ายแรงระดับ BlueKeep หรือ DejaBlue ที่เป็นช่องโหว่เกี่ยวกับ RDP เช่นกัน Publicly Disclosed  – มีช่องโหว่ 3 รายการที่ถูกเปิดเผยต่อสาธารณะแล้วคือ CVE-2019-1235 ที่เกิดขึ้นกับ Windows Text Service Framework และนำไปสู่การยกระดับสิทธิ์, CVE-2019-1253 ซึ่งเป็นการยกระดับสิทธิ์เช่นกัน รวมถึง CVE-2019-1294 เป็น...

ผู้เชี่ยวชาญจาก ESET ได้ออกมาเปิดเผยเรื่องราวของมัลแวร์ใช้ Windows BITS เพื่อลอบติดต่อกับเซิร์ฟเวอร์ควบคุม โดยคาดว่าจะเป็นกลุ่มของแฮ็กเกอร์ที่มีนามแฝงว่า Stealth Falcon Background Intelligence Transfer Service ( BITS ) เป็นส่วนประกอบหนึ่งใน Windows ที่ถูกใช้เพื่อนำส่งการอัปเดตต่างๆ สู่ผู้ใช้งานเมื่อไม่ได้ใช้งานเครือข่าย เช่น Windows Update, Microsoft Update, Server Update และ System Center Configuration Update เป็นต้น รวมถึง Windows Defender ก็ใช้ช่องทางนี้เพื่ออัปเดต Signature ด้วย ทั้งนี้แอปพลิเคชันอื่นก็มีความเป็นไปได้ที่จะเข้ามาใช้ช่องทางนี้ อย่างตอนนี้ที่ Mozilla กำลังพยายามพัฒนาให้ Firefox สามารถใช้ BITS เพื่ออัปเดตได้ อย่างไรก็ตามดูเหมือนว่าเหรียญย่อมมีสองด้านเสมอเพราะหลายปีที่ผ่านมา BITS เคยถูกใช้ในแคมเปญการโจมตีมาแล้วหลายครั้ง ซึ่งมีแนวโน้มว่าจะพบเห็นได้บ่อยขึ้นด้วย โดยล่าสุด ESET ก็ได้เผยถึงกลุ่ม Stealth Falcon ที่ได้ใช้ช่องทางนี้กับ Backdoor ของตนเพื่อลอบติดต่อกับเซิร์ฟเวอร์ ที่คาดว่าหลายองค์กรไม่ค่อยใส่ใจกับทราฟฟิคทางของ BITS เท่าไหร่นัก สำหรับ Stealth Falcon นั้นเป็...

ทาง Betanews ได้แจกฟรี Ebook เรื่อง ‘Hands-On Network Forensics’ ทางเราจึงขอมาแนะนำผู้อ่านกันต่ออีกทีหนึ่งครับ Network Forensics เป็นทักษะหนึ่งในส่วน Digital Forensics (เก็บและวิเคราะห์หลักฐานทางดิจิทัล) เพื่อต่อกรกับการโจมตีและภัยคุกคาม ซึ่งหนึงสือเล่มนี้จะพูดถึงเรื่องในเชิงของหลักฐานในเครือข่าย เช่น การค้นหาและตีความการเข้ารหัสข้อมูล โปรโตคอลในเครือข่าย เข้าใจวิธีการและพฤติกรรมของมัลแวร์ในเครือข่าย เชื่อมโยงประกอบภาพหลักฐานจากการโจมตี พัฒนาและสร้างสคิร์ปต์เพื่อทำ Network Forensics ได้อย่างอัตโนมัติ นอกจากนี้ในช่วงท้ายของหนังสือยังมีส่วนจำลองฝึกฝนให้ได้ทดสอบความเข้าใจด้วย ปกติหนังสือเล่มนี้มีราคาอยู่ที่ 20 ดอลล่าร์สหรัฐฯหรือราว 600 บาทแต่ทาง Betanews ได้เปิดให้ดาวน์โหลดฟรีได้ถึง 20 กันยายนนี้ครับ ที่นี่ ที่มา :   https://betanews.com/2019/09/04/hands-on-network-forensics-ebook/

Google ได้เปิดโอเพ่นซอร์สไลบรารี่ที่จะช่วยให้นักพัฒนาสามารถรวมรวบข้อมูลโดยไม่กระทบหรือเปิดเผยข้อมูลส่วนบุคคล โดยไลบรารี่ดังกล่าวมีชื่อว่า ‘Differential Privacy’ ที่ใช้จริงใน Google อยู่แล้ว Differential Privacy จะใช้เทคนิคด้านสถิติ (สามารถติดตามงานวิจัยได้ที่  Diffentially Private SQL ) เพื่อช่วยให้ขั้นตอนการเก็บหรือแชร์ข้อมูลไม่เปิดเผยหรือระบุไปถึงตัวบุคคลได้ โดย Miguel Guevara, Product Manager ด้านความเป็นส่วนตัวและการปกป้องข้อมูลของ Google กล่าวว่า ”  Differentailly Private data analysis จะเข้ามาช่วย นักวางผังเมือง เจ้าของธุรกิจขนาดเล็ก หรือนักพัฒนาที่ใช้ประโยชน์จากข้อมูลเพื่อพัฒนาคุณภาพบริการให้สามารถรักษา Privacy ของข้อมูลส่วนบุคคลไว้ได้ ” ทั้งนี้ไลบรารี่เป็นภาษา C++ ซึ่งภายในจะมีฟังก์ชันด้านสถิติ เช่น Count, Sum, Mean, Variance หรืออื่นๆ มาให้ โดยผู้สนใจสามารถศึกษาเพิ่มเติมได้จาก  GitHub  ครับ ที่มา :   https://techcrunch.com/2019/09/05/google-launches-an-open-source-version-of-its-differential-privacy-library/  และ   https:...

นักวิจัยจาก Check Point ได้ออกมาเปิดเผยถึงช่องโหว่บนขั้นตอนการส่ง SMS แบบพิเศษที่ผู้ให้บริการโทรศัพท์ใช้เพื่อส่งการตั้งค่าเครือข่ายให้แก่ผู้ใช้งานมือถือ ทั้งนี้นักวิจัยยังชี้ว่าช่องโหว่กระทบกับมือถือหลายยี่ห้อ เช่น Samsung, Huawei, LG และ Sony Open Mobile Alliance Client Provisioning หรือ OMA CP เป็นสิ่งที่ทำให้ผู้ให้บริการเครือข่ายสามารถทำการส่งการตั้งค่าเครือข่ายไปยังอุปกรณ์ใหม่ที่เชื่อมต่อเครือข่ายได้ โดยขั้นตอนนี้เรียกว่า Provisioning ซึ่งอาศัยข้อความ OMA CP นั่นเอง ทั้งนี้บางครั้งองค์กรใหญ่ๆ ก็นำวิธีการนี้ไปใช้กับอุปกรณ์มือถือขององค์กรเพื่อตั้งค่า เช่น Email หรือ Proxy ด้วยเช่นกัน สำหรับนักวิจัยได้ค้นพบช่องโหว่ว่าแฮ็กเกอร์สามารถแอบอ้างเป็นผู้ให้บริการเครือข่ายเพื่อส่งข้อความ OMA CP เข้ามาหาเหยื่อได้ที่อาจนำไปสู่การตั้งค่าบางอย่าง เช่น Route ทราฟฟิคของเหยื่อไปยังเซิร์ฟเวอร์ Proxy ของคนร้าย เป็นต้น ประเด็นที่น่ากังวลคือผู้ผลิตมือถือหลายยี่ห้อมีการป้องกันวิธีการโจมตีนี้ไม่ดีพอ โดยเฉพาะ Samsung ที่ถือว่ากระทบสูงสุดเพราะไม่มีการพิสูจน์ตัวตนจากผู้ส่ง OMA CP ว่าเป็นตัวจริงหรือไม่ ...

Ubiquiti ได้ออกมาประกาศเปิดตัวบริการ Ubiquiti Speedtest เพื่อให้ผู้ใช้งานสามารถทำการทดสอบความเร็ว Internet ได้ฟรีๆ และยังเปิดให้ผู้ใช้งานทำการตั้ง Test Server ด้วยตนเองได้ รวมถึงยังเพิ่มความสามารถให้ UniFi Network Controller ทำการทดสอบความเร็ว Internet โดยอัตโนมัติได้อีกด้วย สำหรับการใช้งานแบบฟรีๆ เพื่อทดสอบความเร็ว Internet โดยเบื้องต้นผ่านทาง Browser กับ Server ของ Ubiquiti นั้น ผู้ใช้งานสามารถทำการทดสอบด้วยตัวเองที่  http://speed.ui.com/  ได้ทันที ส่วนผู้ที่ต้องการตั้ง Test Server เองนั้น ทาง Ubiquiti ก็ได้เตรียม Docker Image ที่สามารถติดตั้งใช้งานบน Linux Server หรือ VM ได้อย่างง่ายๆ โดยสามารถติดตั้งได้บนทั้ง Public IP และ Private IP เพื่อให้การทดสอบความเร็วในการเชื่อมต่อ Internet นั้นเกิดขึ้นในเส้นทางที่ต้องการได้ และสามารถทำการ Setup ระบบได้ผ่านทาง  https://speed-admin.ui.com/ นอกจากนี้ Ubiquiti ยังได้แนะนำถึงความสามารถของ UniFi Network Controller ที่สามารถทำ Automated Scheduled Speed Test ระหว่างสาขาต่างๆ ไปยัง Test Server ที่ต้องการได้ เพื่อรวบรวมสถิติด้านป...

Mozilla ประกาศอัปเดต Firefox เวอร์ชัน 69 อย่างเป็นทางการสำหรับ Windows, Mac, Linux และ Android พร้อมเปิดใช้งานฟีเจอร์  “Enhanced Tracking Protection”  โดยอัตโนมัติเพื่อเพื่อป้องกัน 3rd-Party Tracking Cookies และ Web-based Cryptocurrency Mining Scripts ก่อนหน้านี้ Mozilla ได้เริ่มใช้ฟีเจอร์ Enhanced Tracking Protection มาตั้งแต่เดือนมิถุนายน แต่เปิดใช้งานแบบ Default สำหรับผู้ใช้ใหม่ที่ดาวน์โหลดและติดตั้ง Firefox ใหม่เท่านั้น แต่ล่าสุด ฟีเจอร์ดังกล่าวจะถูกเปิดใช้งานโดยอัตโนมัติทันทีสำหรับผู้ที่อัปเดตเป็นเวอร์ชัน 69 ซึ่งผู้ใช้ยังคงเลือกปิดการใช้งานได้ถ้าต้องการ Tracking Cookies เป็นหน่ึงในประเภทของ 3rd-Party Cookies สำหรับช่วยให้นักโฆษณาและเว็บไซต์ติดตามพฤติกรรมและความสนใจของผู้ใช้ออนไลน์ได้ ส่งผลให้สามารถนำเสนอโฆษณา เนื้อหา และโปรโมชันบนเว็บไซต์ที่เยี่ยมชมได้อย่างเหมาะสม อย่างไรก็ตาม การโฆษณาออนไลน์ในปัจจบันเริ่มรุกล้ำความเป็นส่วนบุคคลมากขึ้น ทำให้ Firefox ตัดสินใจเปิดใช้ฟีเจอร์เพื่อบล็อก Tracking Cookies เหล่านี้ Firefox 69 ยังเพิ่มฟีเจอร์การบล็อก Web-based Cryptocurrenc...