Thailand People Cyber Army Cyber News

  ผู้เชี่ยวชาญจาก Qualys ได้สาธิตช่องโหว่ใหม่ที่ชื่อว่า ‘PwnKit’ ซึ่งเกิดขึ้นใน pkexec ซึ่งสามารถทำให้คนร้ายได้สิทธิ์ระดับ Root pkexec เป็นส่วนหนึ่งของโปรเจ็คโอเพ่นซอร์สที่ชื่อ Polket โดยส่วนประกอบนี้ทำให้ผู้ใช้งานที่มีผ่านการพิสูจน์ตัวตนสามารถรันคำสั่งในบริบทของผู้ใช้งานอื่น คล้ายกับความสามารถของ Sudo ซึ่ง Qualys พบช่องโหว่ CVE-2021-4034 (PwnKit) หรือช่องโหว่ Memory Corruption ทำให้คนร้ายที่ยังไม่มีสิทธิ์ในระดับ Local สามารถได้รับสิทธิ์ในระดับ Root โดยผู้เชี่ยวชาญพบว่าช่องโหว่เกิดขึ้นตั้งแต่เวอร์ชันแรกของ pkexec แล้วหรือตั้งแต่พฤษภาคมปี 2009 และกระทบกับลีนุกซ์ดิสโทรหลักๆทั้ง Ubuntu, Debian, Fedora และ CentOS ซึ่งคาดว่าจะมีมากกว่านี้ อย่างไรก็ดีทีมงานได้แจ้งเตือนทีมพัฒนา OS จะมีแพตช์ออกมาแล้วไม่ว่าจะเป็น Red Hat และ Ubuntu เป็นต้น สำหรับผู้สนใจชมวีดีโอสาธิตได้ที่ด้านล่าง ที่มา :  https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

  CISA ได้เพิ่มลิสต์รายการของช่องโหว่ 17 รายการ ที่มีการใช้โจมตีจริงและเห็นว่าอาจเป็นอันตรายต่อหน่วยงานรัฐ อย่างไรก็ดีองค์กรก็ควรรับทราบและไม่ละเลยด้วยเช่นกัน แม้ว่า CISA จะทำเพื่อกระตุ้นให้หน่วยงานภาครัฐบาลของตนใส่ใจกับช่องโหว่เหล่านี้ แต่องค์กรก็ไม่ควรมองข้ามเช่นกัน ช่องโหว่เหล่านี้มีแพตช์แล้วและไม่ได้ใหม่อะไรนัก แต่ถูกคนร้ายนำไปใช้เพื่อหวังผลอยู่ ดังนั้นควรอัปเดตกันไว้ โดยล่าสุดทำให้ฐานข้อมูลช่องโหว่ที่ CISA รวบรวมเอาไว้มีถึง 341 รายการ ศึกษาได้ที่  https://www.cisa.gov/known-exploited-vulnerabilities-catalog มีช่องโหว่หนึ่งที่น่าสนใจเป็นพิเศษคือ CVE-2021-32648 เป็นช่องโหว่ที่เพิ่งจะถูกเปิดเผยสัปดาห์นี้เอง ซึ่งเป็นผลจากการพิสูจน์ตัวตนอย่างไม่เหมาะสมของ CMS โดย CISA เตือนให้หน่วยงานรัฐต้องอัปเดตแพตช์ภายใน 1 กุมภาพันธ์ โดยถูกใช้ในการโจมตีรัฐบาลยูเครนและก็มีการโทษไปคนร้ายจากรัสเซีย ที่มา :  https://www.bleepingcomputer.com/news/security/cisa-adds-17-vulnerabilities-to-list-of-bugs-exploited-in-attacks/

  นักวิจัยจาก SafeBreach ได้เผยว่าข้อมูลต่างที่ถูกอัปโหลดเข้ามาบน VirusTotal จำนวนมากมีข้อมูลของเหยื่ออยู่ภายใน VirusTotal นั้นเปรียบเสมือนเป็นฐานข้อมูล DNA ของมัลแวร์หลายล้านตัว ทั้งนี้หากต้องการทราบว่าไฟล์ต้องสงสัยนั้นอันตรายหรือไม่ ผู้เชี่ยวชาญก็จะอาศัยข้อมูลตรงนี้มาเทียบกัน ฝั่งกลับกันคนร้ายก็อาจโฆษณาว่ามัลแวร์ของตนนั้นเป็นของใหม่ไม่มี DNA ตรงกับตัวอย่างบน VirusTotal ประเด็นคือนักวิจัยจาก SafeBreach ได้ตั้งข้อสังเกตและทดลองว่าเมื่อสมาชิกที่จ่ายค่าบริการเดือนละ 600 ยูโรให้ VirusTotal แล้วจะไปขุดหาข้อมูลอันตรายที่ฝังอยู่ในไฟล์ตัวอย่างมัลแวร์ได้หรือไม่ ซึ่งเมื่อทดลองแล้วผู้เชี่ยวชาญพบข้อมูลเหยื่อเช่น Credentials ของอีเมล บัญชี Social Media เว็บไซต์อีคอมเมิร์ซ บริการจ่ายเงินออนไลน์ แพลตฟอร์มเกม บริการ Streaming บัญชีธนาคารออนไลน์ แม้กระทั่งกุญแจเข้ารหัสของกระเป๋าเงินคริปโต โดยผู้เชี่ยวชาญตั้งชื่อให้วิธีการนี้ว่า ‘VirusTotal Hacking’ ปัจจุบัน SafeBreach ได้แจ้งเตือน Google ซึ่งเป็นเจ้าของบริการนี้แล้วว่า ให้เฝ้าดูและลบไฟล์ที่มีข้อมูลละเอียดอ่อน พร้อมป้องกันการใช้ API Key เพื่ออัปโหล...

  สำหรับผู้ดูแลเซิร์ฟเวอร์ท่านใดที่มีแผนอัปเดตแพตช์ล่าสุด ควรชะลอไว้ก่อนนะครับเนื่องจากมีรายงานพบปัญหาหลายอาการทั้งรีบูตวน Hyper-V ใช้การไม่ได้ หรือมีปัญหากับ ReFS Volume แพตช์อัปเดตฝั่งเซิร์ฟเวอร์ของเดือนมกราคมที่ปล่อยออกมาวานนี้ (เวลาไทย) คือ KB5009624(Server 2021 R2), KB5009557 (Server 2019) และ KB5009555 (Server 2022) โดยมีผู้ที่ได้อัปแพตช์เครื่องแล้วรายงานปัญหาเข้ามาหลายอาการคือ เครื่องรีบูตวนลูป เข้าถึง ReFS Volume ไม่ได้โดยแสดงเป็น Raw Files รวมถึง Hyper-V ไม่ทำงาน ล่าสุดทีมงาน Microsoft ได้ปลดการอัปเดตออกจาก Windows Update แล้ว แต่ยังเข้าได้ผ่าน Microsoft Catalog จึงเตือนให้ทุกท่านชะลอแผนไว้ก่อนดีกว่าครับ นอกจากนี้ยังมีรายงานว่า Windows 10 และ Windows 11 ก็เกิดปัญหาจากการอัปเดตกับ L2TP VPN ด้วย ที่มา :  https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-new-windows-server-updates-due-to-critical-bugs/

  Microsoft ออก Patch เร่งด่วน แก้ไขบั๊กการตรวจสอบวันที่บน Exchange Server ซึ่งทำให้ไม่สามารถส่งอีเมล์ได้ ปัญหาดังกล่าวเกิดจากกระบวนการตรวจสอบวันที่บน Exchange ทำงานผิดพลาด ไม่ได้เกิดจากปัญหาด้านความปลอดภัยแต่อย่างใด ทำให้อีเมล์ที่ส่งออกนั้นติดอยู่ใน Transport Queue โดยรุ่นที่ได้รับผลกระทบได้แก่ Exchange Server 2016 และ Exchange Server 2019 แบบ On-premise Microsoft ได้ออก  Patch  แก้ไขแล้ว ผู้ดูแลระบบจะต้องทำการแก้ไขเอง ซึ่งมีทั้งวิธีการแบบ Automated Script และแบบ Manual ให้เลือกใช้งาน การแก้ไขนั้นใช้เวลา ขึ้นอยู่กับขนาดขององค์กรแต่ละแห่ง ที่มา:  https://www.zdnet.com/article/microsoft-issues-emergency-fix-for-exchange-2022-date-check-bug/