Thailand People Cyber Army Cyber News

มีรายงานเหตุการณ์พบมัลแวร์ตัวใหม่ที่ชื่อ ‘QSnatch’ ซึ่งมุ่งโจมตีอุปกรณ์ NAS ของค่าย QNAP ปัจจุบันผู้เชี่ยวชาญชี้ว่ามีเหยื่อแล้วกว่า 7,000 รายที่รายงานจากในเยอรมันเท่านั้น โดยเชื่อว่ากำลังขยายวงการโจมตีในไม่ช้า ปัจจุบัน (ระหว่างที่ข่าวออกมา) ยังไม่มีรายงานแน่ชัดถึงวิธีการทำงานของ QSnatch โดยมีรายงานจากเพียงฝั่งศูนย์ความมั่นคงทางไซเบอร์ของฟินแลนด์หรือ NCSC-FI ที่รายงานว่าพบมัลแวร์ตัวนี้เมื่อสัปดาห์ก่อน ซึ่งไม่ได้ระบุถึงวิธีการที่มัลแวร์แพร่กระจายการโจมตีหรือวิธีการเข้าถึง QNAP NAS อย่างไรก็ตาม QSnatch ได้มีการทำบางอย่างกับ Firmware เพื่อให้รอดจากการรีบูต นอกจากนี้จากการวิเคราะห์เบื้องต้นพบว่ามีความสามารถคือ แก้ไข OS Time Job และ Script เช่น Cronjob และ init Script เป็นต้น  ป้องกันไม่ให้ Firmware อัปเดตโดยการเขียนทับ URL  ป้องกันไม่ให้แอปพลิเคชัน QNAP MalwareRemover ทำงานได้ ขโมย Credentials ผู้ใช้งาน NAS ทุกคน เช่นกันตอนนี้ยังไม่สามารถสรุปได้ว่าคนร้ายเบื้องหลังมีจุดประสงค์อะไร แต่ก็มีสมมติฐานว่าคนร้ายอาจต้องการก่อกลุ่ม Botnet ขึ้น โดย NCSC-FI พบว่ามัลแวร์มีความสามารถใ...

นักวิจัยจาก Palo Alto Networks ได้ออกรายงานถึงมัลแวร์ที่ชื่อ Gafgyt ซึ่งปฏิบัติการมาตั้งแต่ปี 2014 แล้ว ที่เน้นเจาะช่องโหว่อุปกรณ์เราเตอร์เพื่อเป็นฐาน Botnet โดยปัจจุบันได้เพิ่มเราเตอร์ในโมเดล Zyxel P660HN-T1A เข้ามา Gafgyt เป็นมัลแวร์ที่ใช้ช่องโหว่เพื่อเข้าโจมตีเราเตอร์อย่าง Huawei HG532 (CVE-2017-17215) และ Realtek RTL81XX (CVE-2014-8361) ปัจจุบันได้เพิ่ม Zyxel P660HN-T1A (CVE-2017-18368) เข้ามาอีกหนึ่งรายการ โดยคนร้ายจะใช้การสแกนหาช่องโหว่เราเตอร์ผ่านมาทางอินเทอร์เน็ตเพื่อเข้าโจมตี นอกจากนี้นักวิจัยยังได้เผยว่าเมื่อ Gafgyt เข้าถึงเครื่องเหยื่อได้แล้วยังมีการกำจัด Botnet ตัวอื่นไปด้วย เช่น JenX เพื่อให้แน่ใจว่าตนคือคนเดียวที่กุมอำนาจ อย่างไรก็ตามพบว่ามีผลงานโจมตีของ Gafgyt ตัวใหม่เกิดขึ้นกับบริการของเกมออนไลน์ ซึ่งคาดว่าคนร้ายได้นำไปขายเป็นบริการโจมตี DDoS ต่ออีกทีหนึ่งบน IG ทั้งนี้จะเห็นได้ว่าเราเตอร์เหล่านั้นค่อนข้างเก่ามากแล้วจึงอาจไม่มีการอัปเดต Firmware เกิดขึ้น ดังนั้นจึงแนะนำให้ผู้ที่ยังใช้งานอยู่เร่งเปลี่ยนอุปกรณ์ให้ทันสมัย ที่มา :   https://www.zdnet.com/arti...

มีรายงานจาก Symantec และ Malwarebytes ว่าขณะนี้ผู้ใช้งานแอนดรอยด์กำลังเสี่ยงที่ต้องเจอกับมัลแวร์ชนิดฝังแน่น ลบยากสุดๆ ที่ชื่อว่า ‘xHelper’ ซึ่งมีเหยื่อแล้วราว 45,000 ราย xHelper ถือเป็นมัลแวร์ตัวใหม่ที่ได้รับการจับตาจาก Symantec และ Malwarebytes ซึ่งพบครั้งแรกราวเดือนมีนาคมและขยายวงการโจมตีเหยื่อเรื่อยมาจนล่าสุดคาดว่ามีเหยื่อถึง 45,000 รายแล้วในสหรัฐและรัสเซีย โดยกลไกการติดของมัลแวร์นั้นเกิดจากการถูกทำ Web Redirection เพื่อไปดาวน์โหลดแอปนอก Play Store ซึ่งในโค้ดนั้นมีการไปเรียกดาวน์โหลด xHelper เข้ามาซึ่งฟังก์ชันการทำงานหลักที่พบคือการแสดงโฆษณาและส่ง Spam ที่ชี้ไปยัง Play Store เพื่อให้ดาวน์โหลดแอปอื่นเข้ามาสร้างรายได้ให้แก่คนร้าย แม้ว่าปัจจุบัน xHelper ไม่ได้มีฟังก์ชันประเภททำลายล้างแต่ความเจ็บแสบของมัลแวร์ตัวนี้ต่อเหยื่อคือลบได้ยากมาก ถึงแม้ว่าผู้ใช้จะลบแอปต้นเหตุก็ไม่สามารถกำจัดมัลแวร์ออกไปได้เพราะถูกติดตั้งแยกกัน รวมถึงยังสามารถติดตั้งตัวเองกลับมาแม้ทำการ Factory Reset ไปแล้ว ซึ่งจนถึงตอนนี้ทางผู้เชี่ยวชาญยังงุนงงกับวิธีการดังกล่าวอยู่เพราะยังไม่พบว่ามีการเข้าไปแก้ไขเปลี่ยนแ...

Andrew Danau และทีมนักวิจัยด้านความมั่นคงปลอดภัย Wallarm ได้ออกมา แจ้งเตือน ถึงช่องโหว่ Remote Code Execution บนเว็บไซต์ PHP ที่เปิดใช้ฟีเจอร์ PHP-FPM และรันบน NGINX Server เสี่ยงถูกแฮ็กเกอร์ลอบรันคำสั่งแปลกปลอมจากระยะไกลได้ เริ่มพบเห็นรายงานการโจมตีผ่านช่องโหว่นี้แล้ว ช่องโหว่ดังกล่าวมีรหัส CVE-2019-11043 ถูกค้นพบขณะที่ Danau และทีมนักวิจัยกำลังแข่งขัน Capture the Flag เป็นช่องโหว่บนฟีเจอร์ PHP-FPM (FastCGI Process Manager) ที่ช่วยเพิ่มประสิทธิภาพในการประมวลผลสคริปต์ภาษา PHP ให้ดียิ่งขึ้น สาเหตุหลักของช่องโหว่นี้อยู่ที่  “env_path_info”  ซึ่งก่อให้เกิดปัญหา Memory Corruption เมื่อรวมช่องโหว่นี้เข้าด้วยกันกับปัญหาอื่นๆ จะช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution บน Web Server ที่ใช้ NGINX ได้ ช่องโหว่นี้ส่งผลกระทบบนเว็บไซต์ PHP ที่รันบน NGINX Server และมีการเปิดใช้ฟีเจอร์ PHP-FPM เท่านั้น ถึงแม้ว่า PHP-FPM จะไม่ใช่โมดูลมาตรฐานที่ติดตั้งใช้งานบน NGINX แต่ก็มีผู้ให้บริการ Web Hosting หลายรายที่เปิดใช้ฟีเจอร์ดังกล่าวเพื่อเพิ่มประสิทธิภาพการใช้ PHP การโจมตีผ่านช่...

HackerOne ได้ศึกษาพบว่าเหตุการณ์ที่บริษัทใหญ่หลายแห่งถูกแฮ็กและเกิดความเสียหายมากมายนั้น หากลงทุนทำ Bug Bounty แต่แรกเรื่องก็คงไม่เกิดขึ้นและมีค่าใช้จ่ายน้อยกว่าความเสียหายหลายพันเท่า HackerOne แพลตฟอร์มล่าบั๊กชื่อดังได้จัดทำรายงานเปรียบเทียบกรณีเหตุถูกแฮ็กอย่าง British Airways(2018), Carphone Warehouse(2018), TickerMaster(2018) และ TalkTalk(2015) ซึ่งมีมูลค่าความเสียหายรวมกันกว่า 265 ล้านปอนด์หรือราว 10,335 ล้านบาท โดยชี้ว่าหากบริษัทเหล่านั้นมาลงทุนหาช่องโหว่ด้วย Bug Bounty ตั้งแต่แรกและพบช่องโหว่ที่ถูกใช้แฮ็กบริษัทจะต้องจ่ายให้แก่นักวิจัยเพียงแค่ 9,600 – 32,000 เท่านั้น (สูงสุดคือ 1,248,000 บาท) ซึ่งถือว่าถูกกว่ามูลค่าความเสียหายเกือบหมื่นเท่าเลยทีเดียว อย่างไรก็ดีสำหรับในบ้านเราเองในบ้านเราเองก็มีแพลตฟอร์มล่าบั๊กเหมือนกันนะครับให้บริษัทต่างๆ เข้าร่วมได้ที่ชื่อ  PentestCrowd  และในฝั่งนักวิจัยได้ไปประลองฝีมืออย่างมีรายได้และถูกต้องครับ กันไว้ดีกว่าแก้ถึงเวลาแล้วจะพูดได้ไม่พูดว่ารู้อะไรไม่สู้ ‘รู้งี้’ ที่มา :   https://www.infosecurity-magazine.com/news/breac...

นักวิจัยจาก ESET ได้ออกรายงานพบแอปพลิเคชันที่แฝงมากับ Spyware กว่า 42 ตัวซึ่งมียอดดาวน์โหลดไปแล้วถึง 8 ล้านครั้ง ESET ได้วิเคราะห์เจาะลึกถึงความสามารถของ Spyware ดังกล่าวพบว่ามีพฤติกรรมต่างๆ เช่น แสดงโฆษณาแบบเต็มหน้าจอโดยมีช่วงเวลาไม่แน่นอน ลบไอคอน Shortcut ของตัวเองออกไป หรือมีการเลียนแบบแอป Facebook หรือ Google ทั้งนี้ยังมีการลอบส่งข้อมูลของอุปกรณ์กลับไป นอกจากนี้นักวิจัยยังพบว่าแอปมีการเช็คว่าอุปกรณ์เชื่อมต่อกับเซิร์ฟเวอร์ของ Google หรือไม่เพื่อป้องกันการตรวจสอบ โดยหากพบว่ามีการทดสอบจากกลไกด้านความมั่นคงปลอดภัยของ Google ก็จะไม่แสดงฟังก์ชันของ Adware ออกมาให้เห็น อย่างไรก็ตามปัจจุบันนักวิจัยได้แจ้งเตือนการค้นพบไปยัง Google และได้ทำการลบแอปบน Play Store แล้ว แต่คาดว่ายังคงหลงเหลืออยู่ในแหล่งดาวน์โหลดของ Third-party อื่น โดยแอปข้างต้นมีหลายหมวด เช่น Video Downloader Master, Ringtone Maker Pro, Savelnsta และ Tank Classic เป็นต้น สำหรับผู้เขียนแอปเหล่านั้นจากการสืบสวนของนักวิจัยคาดว่าน่าจะเป็นนักศึกษาชาวเวียดนาม ซึ่งนักวิจัยสามารถย้อนรอยไปได้ถึงบัญชี GitHub, YouTube และ Facebook ...

FBI ออกประกาศเตือนหน่วยงานรัฐและเอกชน โดยเฉพาะอย่างยิ่งธุรกิจ e-Commerce ถึงการโจมตีแบบ e-Skimming หรือที่รู้จักกันในนาม Web Skimming/Magecart ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยข้อมูลส่วนบุคคลและบัตรเครดิตขณะทำการชำระเงินออนไลน์ได้ พร้อมให้คำแนะนำสำหรับการหลีกเลี่ยงการตกเป็นเหยื่อ การโจมตีแบบ e-Skimming/Web Skimming/Magecart นี้เริ่มต้นโดยอาชญากรไซเบอร์จะทำการแฮ็กระบบออนไลน์ขององค์กรหรือบริษัท จากนั้นฝังสคริปต์สำหรับดักจับข้อมูลไว้ในเว็บไซต์ เมื่อลูกค้า (เหยื่อ) กรอกข้อมูลส่วนบุคคลหรือบัตรเครดิตเพื่อชำระเงินออนไลน์ สคริปต์ดังกล่าวจะทำการเก็บรวบรวมข้อมูลแล้วส่งไปให้อาชญากรไซเบอร์ การโจมตีรูปแบบนี้ปรากฎมาตั้งแต่ปี 2016 แต่เริ่มพบบ่อยขึ้นในช่วง 2 ปีที่ผ่านมานี้ ซึ่งส่งผลกระทบทั้งผู้บริโภค บริษัท และหน่วยงานต่างๆ ที่ให้บริการระบบออนไลน์ โดยเฉพาะอย่างยิ่ง e-Commerce เริ่มแรกนั้น การโจมตีแบบ e-Skimming ใช้วิธีการเจาะช่องโหว่ของแพลตฟอร์ม e-Shopping แบบ Open Source โดยเฉพาะ Magento ที่มักจะตกเป็นเป้าหมายย อย่างไรก็ตาม ช่วงหลังมานี้แฮ็กเกอร์ได้เริ่มใช้หลากหลายการโจมตี และพุ่งเป้าไปยังเว็บ e-Co...

นักวิจัย Technical University of Cologne ได้ตีพิมพ์ผลงานที่กล่าวถึงวิธีการโจมตีเว็บไซต์ที่ชื่อ CPDoS Attack (Cache-Poisoned Denial-of-Service) ที่กระทบกับเว็บไซต์ที่มีการใช้งาน CDN เจ้าต่างๆ ไอเดียของการโจมตีมุ่งไปที่การใช้งาน 2 ส่วนคือเว็บเซิร์ฟเวอร์และบริการ CDN ที่ถูกใช้เพื่อทำแคชของเว็บไซต์ให้ปฏิสัมพันธ์กับผู้ใช้แทนเพื่อลดงานของเซิร์ฟเวอร์ตัวจริง โดยนักวิจัยเผยว่าผู้โจมตีสามารถส่ง HTTP Request ที่ประดิษฐ์ขึ้นอย่างพิเศษ เช่น Oversize HTTP Header ที่ CDN จะส่งต่อไปยังเซิร์ฟเวอร์ตัวจริงและตอบกลับมาด้วยหน้า Error 400 จากนั้นจะถูกเก็บเป็น Cache ไว้ที่ CDN (ตามรูปด้านบน) ด้วยเหตุนี้เมื่อผู้ชมท่านอื่นเรียกเว็บไซต์เข้ามาก็จะได้รับหน้า Error Page กลับไปหรือพูดง่ายๆ ว่าเหมือนเว็บล่ม (เซิร์ฟเวอร์ตัวจริงยังทำงานอยู่) โดยการ Trigger Error นั้น นักวิจัยชี้ว่าเกิดได้ 3 วิธีคือ HTTP Header Oversize (HHO) HTTP Meta Character (HMC) HTTP Method Override (HMO) อย่างไรก็ตามวิธีการข้างต้นล้วนนำไปสู่การทำให้ CDN ได้รับค่า Error Page มาเก็บเอาไว้นั่นเอง จากการทดลองนักวิจัยพบว่าการโจมตีได้ผลจริ...

ในช่วงวันที่ผ่านมานี้ ระบบ DNS ของ AWS ถูกโจมตีด้วยการทำ Distributed Denial-of-Service (DDoS) จนบริการบางส่วนเข้าใช้งานไม่ได้อย่างต่อเนื่องหลายชั่วโมง ซึ่งทาง AWS เองก็ได้ออกมารับมือกับปัญหา และแจ้งเตือนวิธีการบรรเทาปัญหาแก่เหล่าลูกค้าแล้ว การโจมตีระบบ DNS Server ของ AWS ครั้งนี้ส่งผลให้บริการต่างๆ ของ AWS นั้นไม่สามารถถูกเข้าถึงได้ผ่านการทำ DNS Query เช่น การอ้างถึงบริการ Cloud เบื้องหลังอย่างเช่น S3, RDS, SQS, CloudFront, EC2, ELB และอื่นๆ แต่ปัญหานี้ไม่ได้ส่งผลกระทบกับทั้งโลกแต่ส่งผลกับเพียงแค่ระบบบางส่วนของ AWS เท่านั้น ทำให้มีเว็บไซต์หรือบริการ Application บางส่วนที่ต้องหยุดชะงักจากการโจมตีครั้งนี้ด้วย แน่นอนว่า AWS เองนั้นมีเทคโนโลยีในการป้องกันระบบของตนเองจากการโจมตีแบบ DDoS อยู่แล้ว ซึ่งระบบป้องกันตนเองนั้นก็ทำงานอยู่ในเหตุการณ์การโจมตีครั้งนี้ แต่ก็มี Request ของผู้ใช้งานบางคนที่ถูกระบุผิดพลาดว่าเป็นส่วนหนึ่งของการโจมตีด้วยเช่นกัน ทำให้ผู้ใช้งานบางส่วนไม่สามารถเข้าใช้งานบริการของ AWS ได้ วิธีการบรรเทาปัญหานี้ทางหนึ่งที่ AWS ระบุก็คือการเปลี่ยนวิธีการอ้างอิงถึงบริการของ ...

Luise Frerichs และ Fabian Bräunlein สองนักวิจัยด้านความมั่นคงปลอดภัยจาก Security Research Labs (SRLabs) ออกมาเปิดเผยถึงวิธีใหม่ในการใช้ Amazon Alexa และ Google Home ดักฟังการสนทนาของผู้ใช้ รวมไปถึงโจมตีแบบ Phishing เพื่อขโมยรหัสผ่าน เลขบัญชีบัตรเครดิต หรือข้อมูลสำคัญอื่นๆ ทีมนักวิจัยระบุว่า การดักฟังและโจมตีแบบ Phishing นี้สามารถกระทำได้ผ่านทาง Backend ที่ Amazon และ Google ให้บริการแก่นักพัฒนาแอปพลิคเชันของ Alexa และ Google Home โดย Backend เหล่านี้จะให้บริการการเข้าถึงฟังก์ชันที่นักพัฒนาสามารถใช้เพื่อปรับแต่งคำสั่งที่อุปกรณ์จะตอบสนอง รวมไปถึงวิธีการที่อุปกรณ์จะตอบกลับ ซึ่งทีมนักวิจัยพบว่า ถ้าใส่ชุดอักขระ “�. ” (U+D801, dot, space) ลงไปภายใน Backend ของ Alexa/Google Home App หลายๆ จุด จะทำให้สามารถสร้างช่วงเวลาเงียบๆ แต่แอปพลิเคชันยังคงทำงานอยู่ได้ ไอเดียของการโจมตีแบบ Phishing คือ บอกผู้ใช้ว่าแอปพลิเคชันทำงานผิดปกติ ใส่ชุดอักขระ “�. ” เพื่อสร้างช่วงเวลาเงียบๆ จากนั้นรอสักระยะแล้วสั่งให้ข้อความ Phishing ทำงาน เพื่อพลอกให้เหยื่อเชื่อว่าข้อความนั้นๆ เป็นข้อความใหม่ที่ Alexa/Google ...

หลังจากที่เป็นข่าวกันไปเมื่อปี 2014 ว่ากองทัพทหารของสหรัฐอเมริกายังคงต้องใช้แผ่น Floppy Disk ขนาด 8 นิ้วในการรับคำสั่งยิงนิวเคลียร์จากประธานาธิบดีนั้น ล่าสุดทางกองทัพได้ออกมาแถลงแล้วว่ามีการยกเลิกแผ่น Floppy Disk หันไปใช้ Solid State Digital Storage Solution ที่มีความมั่นคงปลอดภัยในระดับสูงแทน ระบบสั่งยิงนิวเคลียร์นี้มีชื่อว่า Strategic Automated Command and Control System หรือ SACCS ซึ่งใช้ในการส่งคำสั่งฉุกเฉินจากศูนย์บัญชาการไปยังภาคสนาม ซึ่งทางกองทัพสหรัฐอเมริกาได้สร้างระบบนี้ขึ้นมาก่อนที่จะมีระบบ IP Address บนโลกเสียอีก จึงเชื่อว่ามีความมั่นคงปลอดภัยเป็นอย่างมากและไม่สามารถถูกแฮ็คได้ แผนการอัปเกรดระบบดังกล่าวนี้เป็นข่าวมาตั้งแต่ปี 2016 โดยในครั้งนั้นระบุว่าการอัปเกรดระบบ IBM Series/1 SACCS นี้จะแล้วเสร็จภายในปีงบประมาณ 2017 แต่ก็ไม่ได้มีการอัปเดตข่าวใหม่ใดๆ อีก ซึ่งทางกองทัพอากาศของสหรัฐอเมริกาเองก็เคยออกมาแถลงตั้งแต่ปี 2016 ว่าการอัปเกรดระบบครั้งนี้ไม่ใช่เรื่องง่าย เพราะต้องมั่นใจว่าระบบใหม่ที่จะนำมาใช้งานนี้จะต้องมีความมั่นคงปลอดภัยสูงและไม่ถูกโจมตีเพื่อเข้ายึดครองอาวุธ เพื่...

Samsung ได้ยอมรับว่ามีบั๊กบนการสแกนลายนิ้วมือกับ Galaxy S10 จริงและเตรียมออกแพตช์แก้ไข ดังนั้นระหว่างนี้ผู้ใช้งานควรเปลี่ยนไปใช้การป้องกันรูปแบบอื่นก่อน ประเด็นคือมีหญิงชาวอังกฤษรายหนึ่งได้พบบั๊กเมื่อเธอได้ไปซื้อแผ่นกันรอยมาแปะแล้วพบว่าสามารถใช้นิ้วอีกข้างผ่านการป้องกันเข้าไปได้จึงเกิดเป็นข่าวขึ้นมาในช่วงไม่กี่วันนี้ จนตอนนี้เรื่องราวได้ส่งไปถึง Samsung แล้วพร้อมกับแจ้งว่ากำลังเร่งออกแพตช์อยู่ ดังนั้นระหว่างนี้ผู้ใช้งานก็ควรเปลี่ยนไปใช้การป้องกันรูปแบบอื่นกันก่อนนะครับ สาเหตุนั้นจากรายงานพบว่าแผ่นปิดกันรอยทำให้เกิดช่องว่างที่ไปกวนการทำงานของ Ultrasonic Scanner นั่นเอง ที่มา :   https://techcrunch.com/2019/10/17/samsung-confirms-glaring-s10-fingerprint-reader-flaw-promises-fix/  และ   https://thenextweb.com/plugged/2019/10/17/samsung-security-flaw-allows-your-fingerprint-to-unlock-any-galaxy-s10/

นักวิจัยจาก BlackBerry Cylance ได้ออกมาประกาศถึงการค้นพบการโจมตีแบบใหม่ที่อาศัยไฟล์เสียงนามสกุล .WAV ในการซ่อม Backdoor และ Monero Cryptominer เพื่อใช้ในการโจมตี ก่อนหน้านี้การซ่อม Payload สำหรับใช้ในการโจมตีนั้นมักนิยมทำกับไฟล์ภาพนามสกุล .JPEG หรือ .PNG ด้วยการอาศัยเทคนิค Steganography กันเป็นหลักเพื่อหลบการตรวจจับจากเทคโนโลยี Anti-Malware แต่สำหรับการซ่อน Payload ในไฟล์เสียงนั้น นี่ถือเป็นครั้งที่สองเท่านั้น โดยครั้งแรกนั้นคือการที่ Symantec ตรวจพบกลุ่ม Turla ว่ามีการฝัง Metasploit Meterpreter Backdoor มาใน .WAV การค้นพบในครั้งนี้ ทีม Cylance ได้พบการทำ Steganography เพื่อโจมตีเหยื่อด้วย XMRig Monero Cryptominer หรือใช้ Metasploit เพื่อเปิด Reverse Shell โดยตัวไฟล์เสียงเหล่านั้นหากเปิดฟังแล้วก็จะพบว่าเป็นไฟล์เสียงตามปกติที่ไม่ได้มีปัญหาในเชิงคุณภาพใดๆ หรือเป็นเสียงนิ่งๆ แบบ White Noise เท่านั้น ซึ่งตัวไฟล์เสียงเหล่นี้จะมาพร้อมกับ Loader ที่ทำการ Decode และ Execute คำสั่งต่างๆ ที่ถูกซ่อนอยู่ในไฟล์เสียงเหล่านั้นด้วย โดยมีวิธีการในการ Decode และ Execute ที่แตกต่างกันออกไปถึง 3 แบบด...

Indiana University Bloomington ได้งานวิจัยวิเคราะห์สาเหตุการออก SSL/TLS Certificate ผิดพลาด ซึ่งพบว่าหลักๆ เกิดขึ้นเพราะบั๊กบนซอฟต์แวร์ที่ใช้งาน ระบบ Public Key Infrastructure (PKI) ได้พูดถึงองค์ประกอบที่เกี่ยวข้องกับการรับรองและออก SSL Certificate ไม่ว่าจะเป็น ซอฟต์แวร์ คน ฮาร์ดแวร์ กระบวนการ Certificate Authorities (CA) ซึ่งเบื้องหลังของเครือข่ายเกิดขึ้นได้เพราะใช้ความน่าเชื่อถือ โดย CA คือองค์กรที่มีหน้าที่ออก SSL Certificate ที่ใช้ในการเข้ารหัสบน HTTPS ทั้งนี้กิจกรรมของ CA จะถูกกำกับด้วยกลุ่มของผู้ให้บริการ Browser, OS และ องค์กร CA เองด้วย หรือที่เรียกว่า CA/B Forum อย่างไรก็ตามมีเหตุการณ์หลายต่อหลายครั้งที่ Certificate ที่น่าจะได้รับการรับรองอย่างน่าเชื่อถือกลับถูกใช้ไปอย่างผิดวัตถุประสงค์ ซึ่งวันนี้มีผลรายงานสำรวจที่ชื่อ “A Complete Study of P.K.I (PKI’s Known Incidents)” โดยสำรวจ Incident ที่เกิดขึ้นจริงกว่า 379 ครั้งในการออก Certificate ผิดพลาดและพบสิ่งน่าสนใจดังนี้ สาเหตุอันดับหนึ่งของการออก Certificate ผิดพลาดคิดเป็น 24% เกิดขึ้นจากบั๊กบนซอฟต์แวร์เอง สาเหตุอันดับสอ...

ทีมพัฒนา Python ได้ออกมาประกาศเปิดตัว Python 3.8.0 แบบ Stable Release แล้วอย่างเป็นทางการ โดยมีความสามารถใหม่ๆ ที่น่าสนใจดังนี้ รองรับการใช้ Assignment Expression หรือ := ประกาศตัวแปรไปพร้อมๆ กับการใช้ตัวแปรนั้นในเงื่อนไข if หรือ while ได้เลย รองรับการใช้ Positional-only Parameter ใช้ / ระบุว่า Argument ใดในฟังก์ชันที่จะเป็น Positional-only หรือตัวแปรใดจะเป็นได้ทั้ง positional หรือ keyword รองรับการทำ Parallel Filesystem Cache สำหรับ Compiled Bytecode File ได้ Debug Build จะใช้ ABI เดียวกันกับ Release Build รองรับการใช้ = ใน f-strings เพื่อช่วยให้การเขียนโค้ดแสดงผลหรือ Debug นั้นสั้นลง เพิ่มความสามารถในการทำ Audit Hood และ Verified Open Hook เพิ่ม C API เข้ามาสำหรับการตั้งค่า Python Initialization ได้ดีขึ้น เพิ่มโปรโตคอล Vectorcall ใน Python/C API โดยความสามารถนี้ยังอยู่ในช่วงทดลอง จะเปิด Public เต็มตัวใน Python 3.9 Pickle Protocol 5 รองรับการทำ Out-of-Band Data Buffer ได้แล้ว ทำให้สามารถส่งข้อมูลขนาดใหญ่ระหว่าง Python Process ได้ดีขึ้น อัปเดตนี้ยังมีความสามารถอื่นๆ ที่น่...

Mozilla ได้เพิ่มมาตรการป้องกัน Code Injection ให้ Firefox Mozilla ได้ Hardening การทำงานของ Firefox เป็น 2 ส่วนหลักดังนี้ 1.about:pages เป็นส่วนที่ผู้ใช้งานสามารถปรับแต่งค่าต่างๆ ได้ ซึ่งเบื้องหลังก็เกิดจาก HTML และ JavaScript นั่นเอง ทำให้ผู้ไม่หวังดีสามารถทำ Code Injection Attack ได้ในบริบทของผู้ใช้งาน ด้วยเหตุนี้เอง Mozilla จึงได้แก้เกมด้วยการเขียน  inline event handler   (เป็นส่วนที่อนุญาตให้สร้างตัวแปรได้ตอน Runtime) ของหน้า about:pages ขึ้นมาใหม่ ผลลัพธ์ทำให้สามารถใช้งาน Content Security Policy ได้ดีขึ้น  2.Mozilla มองว่าฟังก์ชัน Eval() นั้นอันตรายเพราะเปิดช่องให้สามารถ Execute String ซึ่งสามารถประยุกต์ใช้ให้อันตรายได้ด้วย จึงได้มีการเขียนฟังก์ชัน-ขั้นมาใหม่ นอกจากนี้ยังมีการทำ  Assertion  เพื่อตรวจสอบการใช้งานฟังก์ชันอย่างอันตรายอีกทางหนึ่ง ที่มา :   https://www.securityweek.com/mozilla-hardens-firefox-against-injection-attacks  และ   https://www.bleepingcomputer.com/news/security/mozilla-rolls-out-code-injection-att...

อีกไม่นานนี้ผู้ใช้งาน Windows 10 จะได้รับการอัปเดตเพื่อเปิดฟีเจอร์ Tamper Protection เป็นค่าพื้นฐาน ซึ่งช่วยไม่ให้เกิดการแก้ไข Windows Security และ Defender ได้ง่ายๆ Tamper Protection เป็นฟีเจอร์ที่ถูกเพิ่มเข้ามาใน Windows 10 เวอร์ชัน 1903 ซึ่งช่วยป้องกันไม่ให้ Windows Security และ Defender ถูกแก้ไขได้โดยโปรแกรม, Command Line, Register หรือ Group Policy ประเด็นก็คือมัลแวร์หรือคนร้ายพยายามที่จะ Bypass การป้องกันของ Windows ด้วย PowerShell, Group Policy และการแก้ไข Registry อยู่บ่อยครั้ง เช่นในมัลแวร์ TrickBot, GootKit และ Nosersok เป็นต้น ดังนั้น Microsoft จึงได้แก้เกมด้วยการทำให้การแก้ไขค่าดังกล่าวทำได้ยากขึ้น โดยในองค์กรสามารถบริหารจัดการ Tamper Protection ได้ผ่าน  Intune Management Software  และมีการทำ Digital Signed กับการ Request ด้วย(รูปประกอบด้านบน) ในขณะที่ผู้ใช้งานทั่วไปสามารถเข้าไปตั้งค่าได้ที่ Virus & Threat Protection settings ภายใต้ Windows Security นั่นเอง ที่มา :   https://www.bleepingcomputer.com/news/microsoft/microsoft-now-enables-w...

Twitter ออกแถลงการณ์ยอมรับว่า หมายเลขโทรศัพท์และอีเมลที่ผู้ใช้บางรายส่งให้ Twitter เพื่อเปิดใช้งาน 2-factor Authentication (2FA) ถูกเอาไปใช้เพื่อการโฆษณา อย่างไรก็ตาม ทางบริษัทฯ ยืนยันว่า “ไม่ได้ตั้งใจ”​ ให้เป็นเช่นนั้น Twitter ระบุใน  Blog  ว่า เกิดข้อผิดพลาดบนระบบโฆษณา Tailored Audiences และ Partner Audiences ส่งผลให้ข้อมูลของผู้ใช้ที่ส่งให้ Twitter เพื่อจุดประสงค์ด้านความมั่นคงปลอดภัยกลับหลุดเข้าไปยังระบบโฆณษาดังกล่าว “โดยไม่ได้ตั้งใจ” ทำให้เกิดการรันแคมเปญโฆณษาไปยังเจ้าของข้อมูลเกิดขึ้น “เมื่อเจ้าของโฆษณาอัปโหลดลิสต์การทำการตลาด [เข้าสู่ระบบ] น่าจะเกิดการจับคูู่ระหว่างผู้ใช้ Twitter กับลิสต์เหล่านั้นโดยใช้อีเมลหรือหมายเลขโทรศัพท์ที่เจ้าของบัญชี Twitter ส่งให้เพื่อวัตถุประสงค์ด้านความมั่นคงปลอดภัย ซึ่งสิ่งเหล่านี้คือความผิดพลาดและพวกเราขอประทานอภัย ” — Twitter ระบุใน Blog แม้ว่าผู้ใช้จะเปิดใช้งาน 2-Factor Authentication ผ่านทาง Security Keys หรือ Authenticator Apps แทนที่จะเป็นการรับ 2FA Code ผ่านทาง SMS ผู้ใช้เหล่านั้นก็ยังต้องบอกหมายเลขโทรศัพท์แก่ Twitter อยู่ดี ทำ...

มีรายงานในหลายช่องทางว่า Cumulative Update ของ Windows 10 KB4524147 สร้างปัญหาหลายอย่างให้ผู้ใช้งาน เช่น บูตไม่ขึ้นหรือมีปัญหากับการ Print Windows 10 KB4524147 ยังคงสร้างความสับสนให้แก่ผู้ใช้เป็นอย่างมากว่าเป็นการอัปเดตอะไรกันแน่ ระหว่างแก้ไขปัญหาด้าน Security หรือเป็นการอัปเดตหลักด้าน Security หรือไม่เกี่ยวข้องกับ Security โดยประเด็นคือ KB4524147 มีการแก้ไขแพตช์ที่ออกมาก่อนหน้าเพื่ออุดช่องโหว่บน IE (CVE-2019-1367) นอกจากนี้ได้อ้างว่าแก้ปัญหาของการ Printing ด้วย ประเด็นคือพบปัญหาว่าแทนที่จะแก้ไขแต่กลับทำให้คนที่เคยใช้ได้ดี Print ไม่ได้ขึ้นมาแทน ทำให้ยังแยกประเด็นไม่ขาดว่าการแก้ไขด้าน Security ส่งผลต่อการ Print หรือควรแยกเป็น 2 ปัญหา นอกจากนี้ยังมีรายงานว่า Start Menu เกิดทำงานผิดพลาดซึ่งปรากฏข้อความ Error (ตามภาพด้านบน) และไม่มีทางแก้ไขนอกจากถอนการติดตั้ง KB4524147 ออก รวมถึงยังมีปัญหาของการบูต Windows 10 ไม่ขึ้นและมีปัญหากับการใช้ eGPU ด้วยเช่นกัน อย่างไรก็ตามจึงเตือนให้ผู้ใช้งานได้รับทราบและชั่งน้ำหนักระหว่างการอัปเดตและประเมินความเสี่ยงจากช่องโหว่ที่ถูกแก้ไขใน IE ซึ่งคนร้ายได้ป...

เมื่อไม่นานนี้ทาง Google และ Mozilla ต่างออกมาสนับสนุนและรองรับการใช้งาน DNS-over-HTTPS (DoH) แถมยังคุยว่าจะช่วยเรื่อง Privacy ในการใช้งาน อย่างไรก็ตามวันนี้เริ่มมีผู้เชี่ยวชาญจากหลายองค์กรได้ออกมาแสดงความคิดเห็นและจัดทำรายงานถึงความกังวลว่า DoH อาจก่อปัญหามากว่าประโยชน์ที่ได้รับ โดยเฉพาะกับการใช้งานระดับองค์กร ประเด็นหลักที่ผู้เชี่ยวชาญไม่เห็นด้วยกับการโฆษณาและความสามารถจริงๆ ของ DoH สามารถสรุปได้ 3 ข้อดังนี้ 1.ไม่สามารถติดตามการใช้งานได้ (Privacy) Privacy คือหัวใจของการโปรโมต DoH จากทั้ง Mozilla และ Google ว่าผู้ใช้งานจะไม่ถูก ISP หรือ Censorship ติดตามได้ ทางผู้เชี่ยวชาญชี้ว่าเป็นการโฆษณาเกินจริง โดยมีเหตุผลสนับสนุนดังนี้ อันที่จริงแล้วการใช้งาน Internet ประกอบไปด้วยองค์ประกอบและโปรโตคอลหลายส่วน ซึ่งถ้าเอาเข้าจริง ISP ก็สามารถติดตามการใช้งานของผู้ใช้ได้อยู่ดี เช่น หากผู้ใช้เข้าเว็บด้วย HTTP การใช้งาน DoH ก็ไม่เกิดประโยชน์ หรือ HTTPS ไม่ได้เข้ารหัสทุกองค์ประกอบอย่าง SNI Fields หรือ OCSP Connection  ISP รู้เส้นทางของทราฟฟิคอยู่แล้วว่าเรากำลังทำการเชื่อมต่อกับ IP ปลายทางอ...