Thailand People Cyber Army Cyber News

ที่งาน RSA นักวิจัยจาก ESET ได้เปิดเผยช่องโหว่ Kr00K ที่ช่วยให้คนร้ายสามารถถอดรหัสแพ็กเก็ตที่เข้ารหัสบน Wi-Fi ได้ Kr00K (CVE-2019-15126) จะเกิดขึ้นกับชิป Wi-Fi จาก Broadcom และ Cypress อย่างไรก็ตามด้วยความยอดนิยมคาดว่าจะกระทบกับอุปกรณ์ในวงกว้าง โดยนักวิจัยมีการทดสอบแล้วในอุปกรณ์ เช่น Amazon Echo, Kindle, Apple, Google Nexus, Samsung, Rasberry Pi และ Xiaomi หรือแม้กระทั่ง Asus AP และ Huawei ดังนั้นพอจะเห้นภาพได้ว่ากระทบไปตั้งแต่แล็ปท็อป AP และ IoT ด้วย ไอเดียก็คือ KR00K ก็คือบั๊กตัวหนึ่งที่เกิดขึ้นในกระบวนการเข้ารหัสข้อมูลที่ส่งบนการเชื่อมต่อ Wi-Fi โดยปกติแล้วข้อมูลของผู้ใช้งานจะถูกเข้ารหัสด้วย Password ของผู้ใช้ แต่นักวิจัยได้พบกับสถานะหนึ่งบนชิปจาก Broadcom และ Cypress ที่ชื่อ ‘Disasscociation’ Disasscociation เป็นการรีเซ็ตคีย์เป็นค่าศูนย์ทั้งหมด โดยจะเกิดขึ้นเป็นปกติเมื่อ Wi-Fi มีสัญญาณอ่อนหรือเชื่อมต่อไม่ได้ และจะกลับมาเชื่อมต่อใหม่เองโดยอัตโนมัติ ประเด็นคือนักวิจัยพบว่าสามารถหน่วงให้เกิดสถานะ Disasscociation ได้นานขึ้น ดังนั้นจึงเป็นโอกาสให้แฮ็กเกอร์สามารถรับและถอดรหัสแพ็กเก...

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์ Google Authenticator เป็นแอปพลิเคชันมือถือตัวหนึ่งจาก Google ที่ใช้รับโค้ด 2-Factor ซึ่งความน่ากังวลคือมีการค้นพบว่า Banking Trojan ‘Cerberus’ ได้มีความสามารถในการ Bypass 2FA ด้วยการลอบขโมยโค้ดที่ได้รับจากแอปพลิเคชันแล้ว ด้วยความสามารถ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการทำให้สามารถปฏิสัมพันธ์กับ UI ได้โดยอัตโนมัติแทนผู้ใช้ อย่างไรก็ตามปัจจุบัน Cerberus ที่ขายกันในท้องตลาดยังไม่มีติดอาวุธนี้ ซึ่งเชื่อว่ายังอยู่ในขั้นทดลอง ผู้สนใจสามารถติดตามเพิ่มเติมได้ ที่นี่ ที่มา :   https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

Microsoft เตรียมเปิดให้ผู้สนใจได้ทดลอง Defender Advance ATP สำหรับ Linux แล้ว ถ้าพูดถึง Antivirus สมัยนี้หลายคนคงเห็นแล้วว่า Antivirus ของ Windows 10 นั้นเจ๋งพอตัวทีเดียว อย่างไรก็ตาม Advance ATP สำหรับ Linux นั้นหมายถึงแพลตฟอร์มระดับองค์กร โดยที่งาน RSA Conference ล่าสุดทางบริษัทเผยว่ากำลังเตรียมเปิดทดสอบกับ Linux ระดับองค์กรเช่น RHEL 7+, CentOS 7+, Ubuntu 16.04 LTS หรือสูงกว่า, SUSE 12+, Debian 9+ และ Oracle Enterprise Linux 7 เป็นต้น โดยผู้ใช้สามารถใช้ Shell เพื่อบริหารจัดการตัว Agent ได้ นอกจากนี้ยังสามารถรองรับการใช้กับ Puppet, Ansible หรือ Bash Command ได้ด้วย อย่างไรก็ตามผู้ใช้งานต้องมี Subscription และเชื่อมต่อเซิร์ฟเวอร์กับ Defender ATP Portal ด้วย รวมถึงต้องเปิด  fanotify Kernel  เพื่ออนุญาตให้ติดตาม Event ของระบบด้วยเช่นกัน   สำหรับข้อมูลที่จะปรากฏใน Microsoft Security Center Console มีดังนี้ ข้อมูลแจ้งเตือนจาก Antivirus – ความรุนแรง ประเภทของการสแกน ข้อมูลอุปกรณ์ ไฟล์ ชนิดของภัยคุกคาม ข้อมูลอุปกรณ์ – Machine ID, Tenant ID, Hostname, OS Type, OS ...

เมื่อวานนี้ได้มีการออกแพตช์ช่องโหว่รุนแรงสูงบน Chrome ซึ่งพบการโจมตีแล้ว ดังนั้นจึงเตือนให้ผู้ใช้เร่งอัปเดตครับ ช่องโหว่หมายเลข CVE-2020-6418 นี้เกิดขึ้นใน V8 หรือส่วนประกอบในการประมวลผลโค้ด JavaScript โดยช่องโหว่ยังไม่ได้รับการเปิดเผยมากนักจาก Google รู้เพียงแค่ว่าเป็น Type Confusion หรือบั๊กจากการเขียนโค้ดที่เกิดเมื่อแอปพยายาม Execute ปฏิบัติการเกี่ยวกับข้อมูลที่ระบุ Type แต่มีบางอย่างที่ทำให้เกิดการปฏิบัติต่อ Input เป็น Type ไม่เป็นไปตามที่คาดหวัง ซึ่งสุดท้ายแล้วอาจนำไปสู่การเกิดข้อผิดพลาดในหน่วยความจำหรือทำให้ผู้โจมตีสามารถรันโค้ดอันตรายภายในแอปพลิเคชันได้ แพตช์ป้องกันออกมาแล้วในเวอร์ชัน 80.0.3987.122 ดังนั้นจึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ ที่มา :   https://www.zdnet.com/article/google-patches-chrome-zero-day-under-active-attacks/  และ   https://www.securityweek.com/google-patches-chrome-vulnerability-exploited-wild

Akamai ได้สรุปสถิติในช่วงครึ่งหลังของปี 2019 พบว่า API กลายมาเป็นเป้าหมายหลักเมื่อแฮ็กเกอร์โจมตีบริการทางการเงิน (Financial Service) นอกจากนี้ยังมีสถิติอื่นๆ ที่น่าสนใจมาให้ติดตามกันด้วยครับ สถิติการโจมตีที่น่าสนใจต่อกลุ่มบริการทางการเงินที่ Akamai รายงานมีดังนี้ แฮ็กเกอร์พยายามโจมตี API เพื่อ Bypass การควบคุมด้านความมั่นคงปลอดภัย 75% ของปริมาณการโจมตีด้วย Credential กับบริการทางการเงินเกิดขึ้นกับ API จากสถิติระหว่างธันวาคม 2017 ถึงธันวาคม 2019 Akamai พบว่ามีการโจมตีด้วย Credential ทั้งสิ้นกว่า 85,422,079,109 ครั้ง โดย 20% ยิงไปที่ API Endpoint และเกิดขึ้นกับบริการทางการเงินจำนวน 473,518,955 ครั้ง Akamai พบการโจมตี Credential Stuffing ครั้งใหญ่ที่สุดที่ตนเคยพบในวันที่ 7 สิงหาคม 2019 ซึ่งมีความพยายามล็อกอินกว่า 55,141,782 ครั้งกับส่วน API และอื่นๆ ถัดมาวันที่ 25 เดือนเดียวกันมีการโจมตีที่ API ถึง 19,000,000 ครั้ง แม้ในภาพรวมการโจมตีด้วย SQL-injection (SQLi) จะครองแชมป์อันดับหนึ่งจากสถิติ 2 ปีล่าสุด แต่หากนับเฉพาะธุรกิจบริการทางการเงิน วิธีการโจมตียอดนิยมกลับเป็น  Local File...

Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัย WordPress ได้ออกเตือนว่าพบแฮ็กเกอร์กำลังใช้งานช่องโหว่ Zero-day ของปลั๊กอิน WordPress ที่ชื่อ ThemeREX Addons ซึ่งปัจจุบันยังไม่มีแพตช์แก้ไขออกมา ThemeREX Addons เป็น Plugin จากค่าย ThemeREX ซึ่งทำธีม WordPress ขาย โดย Addons ตัวนี้จะถูกติดตั้งมาให้อยู่แล้วแก่ลูกค้า โดยทาง Wordfence ประเมินว่าน่าจะมีผู้ใช้งานอยู่ราว 44,000 ไซต์ ไอเดียคือปลั๊กอินมีการเรียกใช้งาน WordPress REST-API แต่ไม่ได้ตรวจสอบคำสั่งที่เข้ามาว่ามาจากสิทธิ์ที่สมควรหรือไม่ ซึ่งนำไปสู่ช่องโหว่ Remote Code Execution ที่คนร้ายสามารถใช้เพื่อสร้างผู้ใช้ระดับแอดมินคนใหม่ได้ อย่างไรก็ตามปัจจุบันยังไม่มีแพตช์ออกมาทาง Wordfence จึงแนะให้ผู้ใช้ ThemeREX Addons เวอร์ชัน 1.6.50 ขึ้นไปลบปลั๊กอินออกไปก่อน ที่มา :   https://www.zdnet.com/article/hackers-exploit-zero-day-in-wordpress-plugin-to-create-rogue-admin-accounts/

องค์การอนามัยโลก (WHO) ได้ออกประกาศเตือนให้ระมัดระวังแคมเปญ Phishing ที่คนร้ายจะแอบอ้างเป็นเจ้าหน้าที่และหลอกขโมย Credentials จากเหยื่อหรือหลอกให้เปิดไฟล์มัลแวร์ในอีเมล แน่นอนว่าหลังจากเรื่องไวรัสโคโรน่ากลายเป็นเรื่องเหตุการณ์ระดับโลก ก็ย่อมมีคนร้ายฉวยโอกาสความดังเพื่อสร้างประโยชน์ โดย Sophos พบแคมเปญ Phishing ที่พยายามหลอกล่อให้เหยื่อดาวน์โหลดและเปิดเอกสารผ่านปุ่ม ‘Safety Measure’ หลังจากนั้นก็จะ Redirect เหยื่อไปยังหน้า WHO ปลอมและหลอกให้ Verify อีเมลเพื่อขโมย Credentials (ภาพตามด้านบน) ด้วยเหตุนี้เอง WHO จึงออกมาเตือนถึงแคมเปญดังกล่าวและไม่ให้หลงเชื่ออีเมลหรือการติดต่อชวนเชื่อว่าเป็นเจ้าหน้าที่ พร้อมกันนี้ยังได้แนะนำมาตรการป้องกันตัวไม่ให้ตกเป็นเหยื่อไว้ดังนี้ ตรวจสอบอีเมลที่ส่งมาว่าเป็นของ WHO จริงหรือไม่ ซึ่งจะเป็นโดเมน person@who.int ลิงก์ที่ปรากฏอยู่ภายใต้โดเมนของ WHO จริงหรือไม่ โดยโดเมนจริงคือ  https://www.who.int  หรือลองนำ URL ใส่เข้าไปเองใน Address Bar ก็ได้ อย่าให้ข้อมูลส่วนบุคคล โดยเฉพาะ Credentials แก่ Third-party แม้กระทั่ง WHO อย่าตกเป็นเหยื่อของความ...

เวอร์ชันของ Office นี้ต่างจากปกติเป็นการรวมทั้ง Excel, Word และ PowerPoint ไว้ภายในแอปเดียว ซึ่งจากเดิมเป็นการแยกแต่ละแอป นอกจากนี้ยังฟรีด้วย ในเวอร์ชันฟรีของ Office ที่ถูกปล่อยออกมาจะมีฟีเจอร์พื้นฐานนอกจากการ Edit และอ่านเอกสารได้เช่น สแกนภาพหรือ QR โดยใช้กล้องมือถือ ถ่ายโอนไฟล์ไปยังคอมพิวเตอร์หรืออุปกรณ์รอบข้าง จดโน๊ตและซิงค์โครไนซ์กับ Windows 10 Sticky Note  สแกนข้อความจากภาพหรือ Speedsheet เซ็นเอกสาร PDF ด้วยนิ้วมือ สำหรับผู้สนใจสามารถดาวน์โหลดมาลองใช้ได้จาก  PlayStore  หากต้องการฟีเจอร์เพิ่มขึ้นก็สามารถอัปเกรตได้ และผู้ใช้งาน Galaxy Note 10 จะมีแอปนี้ติดมาอยู่แล้ว อย่างไรก็ตามยังไม่เป็นที่แน่ชัดว่าแอปรวม Office ใหม่นี้กับ Office ของเดิมจะมี Roadmap เป็นอย่างไรในระยะยาว ที่มา :   https://www.zdnet.com/article/microsoft-free-unified-office-app-is-now-open-to-all-android-users/  และ   https://thenextweb.com/apps/2020/02/17/microsoft-just-combined-word-excel-and-powerpoint-into-a-single-handy-android-app/

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู้โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ ThemeGrill Demo Importer เป็นปลั๊กอินยอดนิยมตัวหนึ่งในกลุ่มผู้ดูแล WordPress ที่ช่วยให้สามารถ Demo Content, Widget และการตั้งค่าธีมจากบริษัท ThemeGrill ซึ่งมีผู้ติดตั้งแล้วกว่า 200,000 ไซต์ ประเด็นคือ WebARX ได้พบช่องโหว่ RCE ในปลั๊กอินที่ทำให้คนร้ายสามารถส่ง Payload พิเศษเข้าไปใช้งานฟังก์ชันในปลั๊กอินให้รีเซ็ตค่าเป็น Default นอกจากนี้หากฐานข้อมูลใช้ Username เป็น admin อยู่แฮ็กเกอร์จะได้รับสิทธิ์เป็นผู้ดูแลทันทีด้วย ปัจจุบันช่องโหว่ส่งผลกระทบกับปลั๊กอินเวอร์ชัน 1.3.4 – 1.6.1 ดังนั้นสามารถอัปเดตป้องกันได้ในเวอร์ชัน 1.6.2 โดยด่วนครับ ที่มา :   https://www.zdnet.com/article/bug-in-wordpress-plugin-can-let-hackers-wipe-up-to-200000-sites/  และ   https://www.securityweek.com/flaw-wordpress-themes-plugin-allowed-hackers-become-site-admin

ClearSky บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์จากอิสราเอลได้เปิดเผยข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์จากอิหร่านว่าที่ผ่านมาได้มุ่งโจมตีเซิร์ฟเวอร์ VPN ด้วยช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะเช่นที่เกิดขึ้นกับผลิตภัณฑ์ Fortinet, Palo Alto Networks, Pulse Secure และ Citrix ClearSky ได้เปิดเผยรายงานพฤติกรรมของแฮ็กเกอร์ระดับรัฐจากจากอิหร่านที่มุ่งเน้นองค์กรด้าน ไอที โทรคมนาคม น้ำมันและแก๊ส อวกาศ รัฐบาลและหน่วยงานด้านความปลอดภัยต่างๆ โดยชี้ให้เห็นว่าปัจจุบันทีมแฮ็กเกอร์จากอิหร่านมีการพัฒนาขึ้นมาก เช่น ทำงานร่วมกันหลายกลุ่ม สามารถประยุกต์ใช้ช่องโหว่ที่ถูกเปิดเผยได้ภายในไม่กี่ชั่วโมง มีการใช้เครื่องมือโอเพ่นซอร์สอย่าง JuicyPotato และ Invoke the Hash และพยายามเลือกใช้เครื่องมือปกติที่มีอยู่บนเครื่องแล้ว หรือแม้กระทั่งการพัฒนาเครื่องมือของตัวเองขึ้นมาดังนี้ STSRCheck – ฐานข้อมูลเพื่อจับคู่ระหว่างพอร์ตที่เปิดอยู่ (รูปตัวอย่างด้านล่าง) POWSSHNET – Backdoor สำหรับทำ RDP-over-SSH VBScripts – ใช้สำหรับดาวน์โหลดไฟล์ TXT จากเซิร์ฟเวอร์ควบคุมและแปลงเป็นไฟล์ Executable Socket-based Backdoor over cs.exe ...

มีการโพสต์แจ้งเตือนจาก Microsoft Tech Community ที่ออกมาเตือนให้ผู้ดูแลเซฺร์ฟเวอร์ Exchange เร่งปิด SMBv1 เสียก่อนตกเป็นเหยื่อของมัลแวร์ TrickBot และ Emotet ข้อความในโพสต์กล่าวว่า “ เพื่อป้องกัน Exchange ของท่านจากความเสี่ยงของมัลแวร์ใหม่ๆ เช่น Emotet, Trickbot หรือ WannaCry เราขอเตือนให้ปิด SMBv1 บนเซิร์ฟเวอร์ Exchange ซะ ” สำหรับ Microsoft ได้พยายามเตือนหลายปีแล้วว่า SMBv1 นั้นไม่ปลอดภัยอย่างไร โดยอย่างน้อยๆ คือไม่มีการป้องกันด้านความมั่นคงปลอดภัยเหมือนเวอร์ชันใหม่แน่ สำหรับผู้ใช้งาน Windows 10 1709 ขึ้นไปและ Windows Server ในช่วงหลังที่ออกมาจากไม่มีการติดตั้ง SMBv1 มาแล้วแต่จะใช้เป็น SMBv3 แทน ดังนั้นความเสี่ยงจะตกอยู่กับผู้ที่ยังใช้งาน Windows รุ่นเก่าโดยสามารถตรวจสอบได้ดังนี้ Windows Server 2008 R2  สามารถใช้คำสั่ง ‘Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}’ หากค่า SMB1 Value เป็น 1 แสดงว่ามีการเปิดใช้งานอยู่ให้ใช้คำสั่งปิดว่า ‘Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\Lan...

Adam Thorn นักวิจัยจากมหาวิทยาลัย Cambridge ได้พบช่องโหว่ที่สามารถทำ Amplify DDoS Attack กับเซิร์ฟเวอร์ Jenkins ได้ ไอเดียก็คือปกติแล้วเซิร์ฟเวอร์ Jenkins จะรองรับ Network Discovery Protocol ได้ 2 ตัวคือ UDP Multicast/Broadcast และ DNS Multicast ได้โดย Default เพื่อให้เซิร์ฟเวอร์สามารถมองเห็นกันและทำงานเป็น Cluster ได้ ด้วยเหตุนี้เองนักวิจัยจึงได้ค้นพบช่องโหว่ CVE-2020-2100 หรือการส่ง UDP ไปที่พอร์ต 33848 โดยทีมงาน Jenkins กล่าวว่า “ เพียงแค่ส่งการ Request ไบต์เดียวไปที่บริการนี้ก็จะได้รับการตอบกลับขนาดมากกว่า 100 ไบต์กลับมาที่นำไปสู่การโจมตี Jenkins Master ได้ “ สำหรับในด้านของการป้องกันปัจจุบันทีมงาน Jenkins ได้แพตช์แก้ไขแล้วในเวอร์ชัน 2.219 และ 2.204.2 LTS ด้วยการปิด UDP Multicast/Broadcast และ DNS Multicast เป็นค่า Default แต่หากผู้ดูแลต้องการใช้จริงๆ ก็สามารถทำตามคำแนะนำได้ ที่นี่  หรือจะใช้ Firewall ช่วยป้องกันที่พอร์ต UDP 33848 ก็ได้ อย่างไรก็ตามช่องโหว่นี้ยังมีผลกระทบที่ทำให้เซิร์ฟเวอร์ Jenkins ส่งแพ็กเก็ตวนลูปไม่มีวันจบจนกระทั่งเครื่องค้างไปเลยได้ มีข้อมูลจากทา...

เจ้าหน้าที่สหรัฐฯ ได้ประกาศการเข้าจับกุมชาวจีน 4 รายที่เชื่อว่าเป็นแฮ็กเกอร์เบื้องหลังเหตุการณ์แฮ็กครั้งใหญ่กับ Equifax ในปี 2017 Equifax บริษัทฐานข้อมูลด้านการเงินและสินเชื่อยักษ์ใหญ่ของสหรัฐฯ ได้ประกาศเหตุการถูกแฮ็ก ในเหตุการณ์ครั้งนั้นคนร้ายได้ใช้ช่องโหว่ Apache Structs จากหน้า Portal ของบริษัทเป็นจุดเริ่มต้น ซึ่งเชื่อว่ามีข้อมูลประชาชนสหรัฐฯ กว่า 145 ล้านรั่วไหลออกไป รวมถึงข้อมูลชาวบราซิลและแคนนาดาอีกหลายล้ายราย นับเป็นเหตุการณ์ถูกแฮ็กที่โด่งดังมากทีเดียว โดยล่าสุดมีการเข้าจับกุมกลุ่มชาวจีน 4 รายที่เป็นสมาชิกของ Chinese People’s Liberation Army (PLA) 54th Research Institute ประกอบด้วย Liu Lei, Wang Qian, Wu Zhiyong และ Xu Ke ซึ่งเชื่อว่าอยู่เบื้องหลังเหตุการณ์ครั้งนั้นแล้ว ที่มา :   https://www.zdnet.com/article/doj-charges-four-chinese-military-hackers-for-equifax-hack/  และ   https://www.bleepingcomputer.com/news/security/us-charges-chinese-military-hackers-for-equifax-breach/

ทีมนักวิจัยจากอิสราเอลได้คิดค้นวิธีการ Encode ข้อมูลด้วยการดัดแปลงความสว่างของหน้าจอ LED และนำไปถอดความภายหลัง โดยสาธิตการโจมตีในพื้นที่ Air gap ซึ่งมักเป็นโซนที่มีข้อมูลความลับ Air gap เป็นมาตรการทางด้านความมั่นคงปลอดภัยที่จะแยกโซนคอมพิวเตอร์ที่มักมีข้อมูลลับออกไป โดยอาจไม่เชื่อมต่อกับอินเทอร์เน็ตหรือ LAN ( Wikipedia ) และมักถูกใช้ในธุรกิจหรือองค์กรสำคัญเช่น รัฐบาล หน่วยงานการทหาร หรือองค์กรทางการเงิน ดังนั้นการเข้าถึงเครื่องใน Air gap อาจต้องผ่าน USB หรือจุดเชื่อมต่อที่กำหนดไว้  BRIGHTNESS คือวีธีการลักลอบขโมยข้อมูลในโซน Air gap ที่ทีมนักวิจัยจากมหาวิทยาลัย Ben-Gurion ในอิสราเอลคิดค้นขึ้นซึ่งขั้นตอนมีดังนี้ เข้าถึงเครื่องใน Air gap เพื่อติดตั้งมัลแวร์ให้ได้ มัลแวร์จะทำการเปลี่ยนแปลงสีความสว่างของหน้าจอ LED เพื่อใช้แทนบิต 0 และ 1 โดยจากการทดลองนักวิจัยพบว่าการแก้ไขพิกเซลสีแดงประมาณ 3% ได้ผลดีที่สุด ซึ่งประเด็นคือมนุษย์ไม่สามารถมองเห็นความเปลี่ยนแปลงได้ด้วย แต่สามารถบันทึกวีดีโอที่เก็บความเปลี่ยนแปลงได้ผ่านมือถือ โน๊ตบุ๊คและเว็บแคม บันทึกวีดีโอหน้าจอของ LCD ซึ่งทำได้ภายในร...

ทีมงาน Check Point ได้สาธิตวีดีโอการโจมตีผลิตภัณฑ์ Philips Smart light bulbs เพื่อใช้แทรกซึมเข้าสู่เครือข่ายขยายวงการโจมตี การสาธิตนี้แสดงให้เห็นถึงความเสี่ยงของอุปกรณ์ IoT ได้ไม่น้อย โดยเหยื่อในการโจมตีครั้งนี้คือผลิตภัณฑ์ Smart light bulbs และ Bridge ของ Philips Hue โดยเริ่มต้นคนร้ายจะติดตั้ง Firmware อันตรายบน light bulbs เพื่อทำให้ผู้ใช้งานเสียการควบคุม ซึ่งอุปกรณ์มีการใช้โปรโตคอล Zigbee ทำให้ระยะการโจมตีสูงสุดอยู่ที่ 100 เมตร จากนั้นเมื่อผู็ใช้งานเกิดปัญหาต่อการควบคุมจึงต้องทำการรีเซ็ตการเชื่อมต่อด้วยการลบแอปออกแล้วค่อยค้นหาใหม่ซึ่งทำให้อุปกรณ์อันตรายเชื่อมเข้าสู่เน็ตเวิร์กได้ ขั้นต่อมาคนร้ายสามารถใช้ช่องโหว่บนโปรโตคอล Zigbee เพื่อโจมตี Heap buffer overflow บนอุปกรณ์ Bridge ด้วยการส่งข้อมูลจำนวนมากและมัลแวร์ หลังจากคนร้ายเข้าแทรกแซง Bridge ได้แล้วก็สามารถขยายวงการโจมตีสู่เครือข่ายได้ต่อไปนั่นเอง สำหรับช่องโหว่ที่ทีมงาน Check Point ใช้ในการสาธิตมีหมายเลขอ้างอิง CVE-2020-6007 ซึ่งหลังจากแจ้ง Philips แล้ว ทางบริษัทจึงปล่อยแพตช์อัปเดตที่  Firmware 1935144040  ผู้สนใจสา...

ผู้เชี่ยวชาญจาก Cybereason ได้เปิดเผยพบแคมเปญที่คนร้ายลักลอบใช้ Bitbucket เพื่อเป็นฐานกระจายมัลแวร์หลายตัว คาดว่ามีเหยื่อถึงหลายหมื่นราย Bitbucket เป็นบริการเก็บโค้ด (อาจมองได้ว่าคล้ายกับ GitHub) ซึ่งวันนี้ได้มีการเปิดเผยว่าคนร้ายได้ใช้บริการดังกล่าวเพื่อเป็นฐานกระจายมัลแวร์สู่เหยื่อ การโจมตีในครั้งนี้มีการใช้มัลแวร์หลายตัวร่วมกันคือ Predator – มัลแวร์ด้านลอบขโมยข้อมูล Credentials ในบราวน์เซอร์ ใช้กล้องแอบถ่ายภาพ จับภาพหน้าจอ และขโมยเงินดิจิทัล Azorult – Backdoor ขโมยข้อมูลเก็บ Credentials ของอีเมล คุ๊กกี้ ประวัติของบราวน์เซอร์ และข้อมูลเงินดิจิทัล นอกจากนี้ยังสามารถแอบสร้าง RDP Connection ภายใต้บัญชีระดับผู้ดูแล  Evasive Monero Miner – Dropper สำหรับลอบติดตั้งการขุดเงินดิจิทัล XMRig โดยใช้เทคนิค Evasion ขั้นสูง STOP – เป็น Ransomware ตัวหนึ่งที่เรียกร้องเงินค่าไถ่ประมาณ 300-600 ดอลล่าร์สหรัฐฯ แต่มัลแวร์ยังสามารถดาวน์โหลด Payload เพิ่มเติมได้ Vidar – Spyware ที่ถูกเขียนด้วยภาษา C++ สามารถใช้ค้นหาไฟล์ที่ต้องการขโมย คุ๊กกี้ ID และประวัติการใช้งานบราวน์เซอร์ ลอบจับภาพหน้าจอ แ...

มีรายงานพบปัญหาฟังก์ชัน Search ใน Windows 10 ทั้งใน Start menu และ File Explorer ใช้การไม่ได้ชั่วคราว ปัญหาที่ฟังก์ชัน Search ใน Windows 10 ทั้งใน Start menu และ File Explorer ใช้การไม่ได้ชั่วคราว ซึ่งจะไม่ปรากฏผลลัพธ์อะไรขึ้นมาตามภาพด้านบน คาดว่าปัญหานั้นเกิดจากการรวม Bing Search เข้ามาใน Windows อย่างไรก็ตามปัจจุบัน Microsoft รับทราบและแก้ไขแล้ว ดังนั้นผู้ใช้งานไม่น่าจะมีปัญหา เป็นการแจ้งเตือนในกรณีหากมีคนพบปัญหาครับ วิธีการแก้ไขใน Registry ทำได้ดังนี้ กดปุ่ม Windows + R เพื่อใช้ Run ใช้ Regidit (Registry) เข้าไปที่ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search คลิกขวาที่ Search เลือก New-> DWORD(32-bit) Value (ตามรูป)  ตั้งชื่อเป็น ‘BingSearchEnabled’ และค่า Vaule = 0  หาไฟล์ใน Search ที่ชื่อ CortanaConsent และตั้ง value = 0 Restart Windows Explorer หากต้องการเปิด integrate Bing กับ Search เพียงแค่เปลี่ยนค่าไฟล์ทั้งคู่เป็น 1 ที่มา :   https://www.bleepingcomputer.com/news/microsoft/windows-10-search-is-broken-and-shows-...

ImmuniWeb ได้จัดทำรายงานที่ประเมินเรื่อง Security ของสนามบินระดับนานาชาติ 100 ลำดับแรก พบว่ามีเพียง 3 แห่งเท่านั้นที่ผ่านการประเมินขั้นพื้นฐาน ImmuniWeb ได้ชื่นชม 3 สนามบินที่เป็นตัวอย่างที่ดีให้แก่ทุกภาคอุตสาหกรรมประกอบด้วย Amsterdam Schiphol Airport จากเนเธอแลนด์ Helsinki Vantaa Airport จากฟินแลนด์และ Dublin International Airport จากไอร์แลนด์ โดยทั้ง 3 ได้ผ่านการประเมินคือ ตรวจสอบจากเว็บไซต์สาธารณะของสนามบิน แอปพลิเคชันมือถือ และข้อมูลสำคัญของสนามบินหรือผู้โดยสารที่รั่วไหลจากบริการคลาวด์ Repository ที่เปิดเผยต่อสาธารณะ และ Dark Web โดยกล่าวอย่างเจาะจงคือ การใช้งาน HTTPS อีเมลเซิร์ฟเวอร์ของสนามบินรองรับ SPF, DKIM และ DMARC หรือไม่ เว็บไซต์ CMS รันซอฟต์แวร์เวอร์ชันล่าสุดหรือมีช่องโหว่ ทดสอบด้าน PCI DSS, NIST และข้อปฏิบัติของ HIPAA มีการใช้ WAF หรือไม่ การตั้งค่าผิดพลาดใน Header, Cookies และที่เกี่ยวข้องกับเรื่อง Security ช่องโหว่ในแอปพลิเคชันมือถือ การพึ่งพาใช้งาน Framework จาก Third-party ในแอปพลิเคชันมือถือ แอปมือถือมีการกำหนดค่าด้าน Security พื้นฐานอย่างไรและวิธีการเข...

Vladislav Yarmak นักวิจัยด้านความมั่นคงปลอดภัยได้ออกมาเผยถึงกลไก Backdoor ใน SoC จาก HiSilicon ซึ่งนักวิจัยเองไม่เชื่อถือในตัว Vendor จึงได้ทำการเปิดเผยช่องโหว่ต่อสาธารณะ โดยชิปดังกล่าวเป็นที่นิยมในกลุ่มภัณฑ์ DVR และ NVR Yarmak ไม่เชื่อในตัว Vendor เป็นอย่างมากโดยชี้ถึงปูมหลังว่าก่อนหน้านี้เคยมีกรณีพบ Backdoor ในชิปจาก HiSilicon ในลักษณะนี้มาแล้ว ที่เปิดการเข้าถึง Telnet เอาไว้หรือมีช่องโหว่ RCE ในเว็บเซิร์ฟเวอร์ รวมถึงช่องโหว่อื่นๆ ซึ่งบริษัทละเลยต่อช่องโหว่ถึงขนาดกล่าวว่า “ HiSilicon ไม่ต้องการหรือไม่สามารถแก้ไขด้านความมั่นคงปลอดภัยทำให้ยังปรากฏรูปแบบ Backdoor โดยอาจจะเป็นสิ่งที่สร้างขึ้นโดยตั้งใจ “ ไอเดียของ Backdoor คือพบว่าสามารถส่งชุดของคำสั่งผ่านพอร์ต TCP 9530 ไปยังอุปกรณ์ที่ใช้งานชิป HiSilicon ได้เพื่อเปิดบริการ Telnet จากนั้นสามารถล็อกอินบริการได้ด้วย Credentials 6 ตัวด้วยสิทธิ์ระดับ Root ตามตารางด้านบน โดย Yarmak ได้เผยแพร่โค้ด PoC ของตนไว้บน  GitHub  และอธิบายเรื่องไว้ใน เว็บไซต์  ซึ่งโค้ด PoC สามารถใช้เพื่อทดสอบอุปกรณ์ได้ว่าใช้ชิปจาก HiSilicon หรือไม่แล...

เป็นที่ทราบกันดีว่า Google Maps จะอาศัยข้อมูลจะมือถือของเราเพื่อคาดเดาปริมาณรถบนท้องถนนได้ ด้วยเหตุนี้เอง Simon Weckert ศิลปินชาวเยอรมันจึงได้ทดสอบสร้างให้ถนนโล่งกลายเป็นสีแดงใน Maps ด้วยการเดินช้าๆ พร้อมกับมือถืออีก 99 เครื่อง Weckert ได้เดินเท้ารอบกรุงเบอร์ลินประเทศเยอรมันด้วยกระเป๋าลากโดยใส่มือถือไว้ 99 เครื่องที่เชื่อมต่อกับบริการและพบว่าเขาสามารถสร้าง Virtual Maps ของ Google ให้เป็นถนนรถติดได้ (ผู้สนใจสามารถชมคลิปได้ตามด้านบน) นี่เป็นข้อพิสูจน์ให้เราเห็นว่า Google Maps ก็สามารถถูกป่วนได้ไม่ยากนัก ที่มา :   https://www.bleepingcomputer.com/news/software/hack-creates-fake-google-maps-traffic-jams-with-99-cell-phones/