Security

อัพเดตด่วน พบช่องโหว่ระบบล็อกอินของ cPanel เปิดโอกาสให้ brute-force รหัส 2FA จนล็อกอินได้

By BlackMiracle

on 27 November 2020 - 10:10 Tag: cPanel, Security, Authentication

cPanel

นักวิจัยด้านความปลอดภัยจาก Digital Defense ได้เปิดเผยช่องโหว่ของ cPanel และ WebHost Manager (WHM) ซอฟต์แวร์ชื่อดังสำหรับแอดมินที่ใช้จัดการการโฮสต์เว็บไซต์ด้วยหน้าตาที่ใช้งานง่าย

ช่องโหว่นี้มีรหัส CVE-2020-27641 เปิดโอกาสให้ผู้โจมตีสามารถ brute-force รหัส 2FA ได้เรื่อยๆ จนล็อกอินเข้าระบบ cPanel ได้ในที่สุด เพราะ cPanel ไม่มีการบล็อกผู้ใช้ทิ้งหากใส่รหัส 2FA ผิดติดกันบ่อยๆ โดยนักวิจัยระบุว่าปกติแล้วการ brute-force อาจใช้เวลาหลายชั่วโมง แต่จากการทดสอบในบางกรณีใช้เวลาไม่กี่นาทีก็ล็อกอินได้แล้ว

โรงเรียนใน Baltimore โดนโจมตีจากมัลแวร์เรียกค่าไถ่ ส่งผลระบบไอทีใช้งานไม่ได้

By nutmos

on 26 November 2020 - 20:06 Tag: Security, Ransomware, Malware, USA

Security

กลุ่มโรงเรียนใน Baltimore County หรือ Baltimore County Public Schools (BCPS) ในรัฐแมรีแลนด์โดนโจมตีจากมัลแวร์เรียกค่าไถ่ที่ทำให้ระบบเครือข่ายภายในโรงเรียนต้องหยุดทำงาน ส่งผลกระทบถึงระบบไอทีของโรงเรียนไม่สามารถให้บริการได้ กระทบตั้งแต่อีเมล, ระบบเกรด ไปจนถึงเว็บไซต์ (ณ ตอนที่เขียนข่าวนี้ เว็บไซต์ของโรงเรียนก็ยังไม่สามารถใช้งานได้)

Mychael Dickerson หัวหน้าพนักงานของ BCPS ยืนยันผ่านทวิตเตอร์ว่าเหตุการณ์ที่ระบบไอทีใช้งานไม่ได้นี้คาดว่าจะเกิดจากการโจมตีโดยมัลแวร์เรียกค่าไถ่ ซึ่งตอนนี้ทีมเทคโนโลยีของ BCPS กำลังเร่งแก้ไขสถานการณ์นี้

นักวิจัยความปลอดภัยค้นพบช่องโหว่ Windows 7 ในโค้ดที่ออกสู่สาธารณะแล้ว

By mk

on 26 November 2020 - 12:49 Tag: Windows 7, Microsoft, Operating System, Security

Windows 7

Clément Labro นักวิจัยความปลอดภัยชาวฝรั่งเศส เป็นเจ้าของสคริปต์ชื่อ PrivescCheck ใช้ตรวจสอบว่าคอนฟิกของ Windows เผลอเปิดให้เกิดช่องโหว่ความปลอดภัยหรือไม่

หลังออกสคริปต์เวอร์ชันใหม่ (เผยแพร่บน GitHub) เขาค้นพบว่าสคริปต์ของเขาทำงานแปลกๆ บน Windows 7 และ Windows Server 2008 R2 ที่เป็นระบบปฏิบัติการรุ่นเก่า หลังสอบสวนในรายละเอียดแล้วเขาก็พบว่านี่เป็นบั๊ก zero-day ของ Windows 7/2008 R2 ที่ทำให้เราสามารถเลื่อนขั้นสิทธิ (privilege escalation) ของบริการชื่อ RpcEptMapper ผ่านระบบ registry ของ Windows ได้อย่างที่ไม่ควรจะเป็น

ช่องโหว่นี้สามารถสร้างไฟล์ DLL ของตัวเองแล้วให้ระบบเรียกใช้งานด้วยสิทธิของระบบ (system privilege) ได้ อย่างไรก็ตาม ช่องโหว่นี้จำเป็นต้องเข้าถึงเครื่องแบบ local access ดังนั้นความรุนแรงจึงไม่เยอะมากนัก

ทีมทำงาน Joe Biden ใช้ Google Workspace บังคับล็อกอินกุญแจ Titan เพื่อความปลอดภัย

By mk

on 23 November 2020 - 07:33 Tag: Joe Biden, Google Workspace, Security, Enterprise, Authentication

Joe Biden

หลัง Joe Biden ชนะการเลือกตั้งประธานาธิบดีสหรัฐ สิ่งที่ต้องเกิดขึ้นคือทีมทำงานในช่วงเปลี่ยนผ่าน (presidential transition team หรือ ptt) จะเข้าไปรับช่วงงานต่อจากรัฐบาลชุดปัจจุบัน ก่อนเริ่มทำงานจริงหลังพิธีสาบานตนในเดือนมกราคม 2021

แต่เนื่องจาก Donald Trump ยังไม่ยอมรับความพ่ายแพ้ ทำให้ทีมทำงานของ Biden ยังไม่สามารถรับช่วงต่ออย่างเป็นทางการได้ และยังไม่ได้อีเมล @ptt.gov ที่ดูแลโดยหน่วยงานความมั่นคงไซเบอร์ของรัฐบาลสหรัฐ

สิ่งที่เกิดขึ้นคือทีมทำงานของ Biden จึงต้องเซ็ตระบบไอทีของตัวเองกันไปก่อน โดยเลือกใช้ Google Workspace (G Suite เดิม) แบบแพ็กเกจมาตรฐาน (จ่ายเงินกันเอง)

Capcom โดนแฮ็กระบบ ข้อมูลส่วนตัวผู้ใช้-เอกสารภายในรั่วไหล

By mk

on 19 November 2020 - 16:17 Tag: Capcom, Data Breach, Hacking, Security, Ransomware

Capcom

Capcom ออกมายอมรับว่าโดนการโจมตี ransomware ในระบบไอทีของบริษัท ส่งผลให้ข้อมูลส่วนตัวของลูกค้า-พนักงาน-อดีตพนักงาน-ผู้ถือหุ้น รั่วไหลประมาณ 350,000 รายการ

ข้อมูลที่รั่วไหลแตกต่างกันตามแต่ละภูมิภาคและชนิดของบุคคล มีทั้งชื่อ อีเมล วันเกิด ที่อยู่ หมายเลขโทรศัพท์ และวันเกิด แต่ไม่มีข้อมูลบัตรเครดิตที่ Capcom ไม่ได้เก็บรักษาไว้เองตั้งแต่ต้น

นอกจากข้อมูลของบุคคลแล้ว ยังมีไฟล์เอกสารทางธุรกิจของ Capcom รั่วไหลออกมาด้วย ซึ่งมีทั้งตัวเลขยอดขาย ข้อมูลการพัฒนาเกม และข้อมูลของพาร์ทเนอร์ธุรกิจ

ไมโครซอฟท์เปิดตัว Pluton ชิปความปลอดภัยของตัวเอง เหมือนเป็น TPM แต่ฝังในซีพียู

By mk

on 18 November 2020 - 20:46 Tag: Microsoft, Processor, Security

Microsoft

ไมโครซอฟท์เปิดตัวชิปความปลอดภัย Pluton ที่ดีไซน์เอง จะฝังในตัวซีพียูเลยเพื่อความปลอดภัยที่ดีกว่าเดิม แทนการใช้ชิป Trusted Platform Module (TPM) แยกจากซีพียูแบบของเดิม

ไมโครซอฟท์บอกว่า TPM ถูกใช้เก็บรักษาข้อมูลลับ (เช่น รหัสผ่าน คีย์ ลายนิ้วมือ) ในฮาร์ดแวร์มายาวนาน และตอนนี้เริ่มเจอการโจมตีแบบใหม่ๆ อย่างการดักข้อมูลระหว่างทางขณะส่งจากซีพียูไปกลับ TPM ทางแก้ในเชิงระบบคือย้าย TPM ไปอยู่ในตัวซีพียูเลย

Zoom ออกเครื่องมือสแกนอินเทอร์เน็ต ค้นหาว่าลิงก์ห้องประชุมถูกเอาไปโพสต์สาธารณะหรือไม่

By nismod

on 17 November 2020 - 11:03 Tag: Zoom, Security

Zoom

Zoom ประกาศฟีเจอร์ด้านความปลอดภัยในการใช้งาน 2 ฟีเจอร์ใหม่ ตัวแรกคือ At-Risk Meeting Notifier สำหรับสแกนอินเทอร์เน็ต ทั้งโซเชียลมีเดียหรือเว็บไซต์ที่เป็นสาธารณะ ว่ามีการโพสต์ลิงก์ห้องประชุม Zoom หรือไม่ หากพบก็จะแจ้งเตือนโฮสต์พร้อมชี้แนะแนวทางแก้ไขต่อไป

อีกฟีเจอร์คือ Suspend Participant Activities ใต้ไอคอนกุญแจสีเขียว ที่ให้โฮสต์สามารถพักการประชุมชั่วคราวและจัดการกับผู้เข้าร่วมประชุมที่สร้างความวุ่นวาย โดยเมื่อกดปุ่ม Suspend Participant Activities วิดีโอคอล, แชท, การแชร์หน้าจอ, การบันทึกหน้าจอหรือการแยกห้อง Breakout Rooms ทุกอย่างจะหยุดลงชั่วคราวทันที

พบเซิร์ฟเวอร์ Gatekeeper มีข้อมูลผู้ใช้แมคว่าใช้แอปจากผู้ผลิตใด เวลาใดบ้าง แอปเปิลยืนยันไม่ได้นำข้อมูลไปใช้ เตรียมลบไอพีออก

By lew

on 16 November 2020 - 23:48 Tag: Apple, Security, Privacy

Apple

เมื่อสัปดาห์ที่แล้วผู้ใช้แมคพบปัญหาเปิดแอปจากผู้ผลิตภายนอกไม่ได้เนื่องจากเซิร์ฟเวอร์ OCSP ของแอปเปิลเกิดล่มไป แม้แอปเปิลจะแก้ปัญหาได้ในเวลาไม่นานแต่คำถามใหม่คือ Mac OS ส่งข้อมูลว่าผู้ใช้รันแอปตั้งแต่เมื่อใดและนำข้อมูลไปใช้อะไรบ้าง

เซิร์ฟเวอร์ OCSP จะได้รับหมายเลขไอพีของเครื่องผู้ใช้ และใบรับรองประจำตัวนักพัฒนา เช่น หากผู้ใช้เปิด Photoshop เซิร์ฟเวอร์ก็จะเห็นหมายเลขไอพีและรู้ว่าเครื่องนั้นกำลังเปิดโปรแกรมจากอโดบี เซิร์ฟเวอร์ OCSP จะเห็นรายการผู้ผลิตแอปอื่นนอกแอปเปิลทั้งหมด

ไมโครซอฟท์รายงานแฮกเกอร์จากรัสเซียและเกาหลีเหนือ ไล่โจมตีบริษัทวิจัยยา COVID-19

By lew

on 13 November 2020 - 23:30 Tag: Microsoft, COVID-19, Medical, Security

Microsoft

ไมโครซอฟท์รายงานพบกลุ่มแฮกเกอร์ระดับชาติ (nation-state actor) จากรัสเซียและเกาหลีเหนือไล่โจมตีบริษัทยาหลายแห่งที่กำลังวิจัยยาหรือวัคซีน COVID-19 อยู่

กลุ่มแรกคือกลุ่ม Strontium จากรัสเซียอาศัยการโจมตีแบบ password spray กวาดสุ่มบัญชีและรหัสผ่านนับล้านครั้งเพื่อพยายามเข้าถึงบัญชีของพนักงานบริษัทเหยื่อ

กลุ่ม Zinc จากเกาหลีเหนือส่งเมลฟิชชิ่งอย่างเจาะจง (spear phishing) หลอกเอารหัสผ่าน บางครั้งส่งเมลหลอกว่าเป็นคนรับสมัครงานแชตไปหาเหยื่อ ขณะที่กลุ่ม Cerium จากเกาหลีเหนือเช่นกันหลอกเหยื่อว่าเป็นตัวแทน World Health Organization

เซิร์ฟเวอร์ OCSP ของแอปเปิลล่ม ทำเครื่องแมคเปิดแอปจากผู้ผลิตภายนอกไม่ได้

By lew

on 13 November 2020 - 07:19 Tag: Apple, Security, Service Outage

Apple

เซิร์ฟเวอร์ ocsp.apple.com สำหรับตรวจสอบสถานะใบรับรองยืนยันนักพัฒนาของแอปเปิลเกิดเหตุล่ม ทำให้เครื่องแมคไม่สามารถรันแอปที่สร้างโดยผู้ผลิตอื่นนอกจากแอปเปิลเองได้

ระหว่างที่แอปเปิลซ่อมเซิร์ฟเวอร์ ผู้ใช้มีทางเลือกคือตัดการเชื่อมต่ออินเทอร์เน็ตก่อนรันโปรแกรมที่มีปัญหา หรือใส่ไฟร์วอลล์เพื่อปิดกั้นการเข้าถึง ocsp.apple.com ไปเลยก็ได้

กระบวนการรันซอฟต์แวร์ของแมคจะต้องตรวจสอบใบรับรองของนักพัฒนาว่ายังใช้งานได้หรือไม่ และเซิร์ฟเวอร์ OCSP มีไว้เพื่อตรวจสอบสถานะล่าสุดว่าแอปเปิลถอดถอนใบรับรองแล้วหรือยัง

ไมโครซอฟท์ขอทุกคนเลิกใช้ SMS สำหรับล็อกอิน ชี้ไม่ปลอดภัยแถมส่งไม่ถึงบ่อย

By lew

on 12 November 2020 - 23:25 Tag: Microsoft, Security, SMS

Microsoft

Alex Weinert ผู้อำนวยการฝ่าย Identity Security ของไมโครซอฟท์เขียนบล็อกถึงการยืนยันตัวตนผู้ใช้ที่ไม่ต้องอาศัยรหัสผ่านเพียงอย่างเดียว แต่อาศัยการล็อกอินหลายขั้นตอนที่ช่วยลดความเสี่ยงให้ผู้ใช้เป็นอย่างมาก แต่เขาแสดงถึงข้อเสียของการยืนยันตัวตนด้วยเครือข่ายโทรศัพท์ทั้งการโทรหาผู้ใช้และการส่ง SMS ว่ามีปัญหาหลายประการ เช่นการส่งข้อความยาวๆ ก็ทำได้ยาก หรือส่งในรูปแบบใหม่ๆ ก็ทำไม่ได้

แฮกเกอร์ปล่อย Ransomware แล้วยิงโฆษณาบนเฟซบุ๊กประจานเหยื่อเรียกให้มาจ่ายค่าไถ่

By lew

on 12 November 2020 - 00:42 Tag: Security, Ransomware

Security

Campari Group บริษัทผู้ผลิตเครื่องดื่มในอิตาลีถูกมัลแวร์เข้ารหัสเรียกค่าไถ่ของกลุ่ม Ragnar Locker Team โจมตีตั้งแต่วันที่ 1 พฤศจิกายนที่ผ่านมา แต่หลังจากปิดระบบไอทีเพื่อรับมือ ก็เริ่มมีผู้ใช้เฟซบุ๊กรายงานว่าเห็นโฆษณาประจานทาง Campari ว่าถูกแฮกข้อมูลออกไป

ก่อนหน้านี้ Campari เคยแถลงว่ายังไม่สามารถยืนยันได้ว่ามีข้อมูลหลุดออกไปจากบริษัทขณะที่ถูกมัลแวร์โจมตีจริงหรือไม่ แต่โฆษณาจากแฮกเกอร์กลับระบุว่าบริษัทโกหกและข้อมูลมากกว่า 2TB ถูกขโมยออกไปแล้วแน่นอน พร้อมกับเรียกร้องให้ Campari ยอมจ่ายค่าไถ่เสีย ไม่เช่นนั้นจะเปิดเผยไฟล์ออกมา

Google Drive กำลังทดสอบการเข้ารหัสไฟล์ที่เก็บแบบออฟไลน์บนสมาร์ทโฟน

By nismod

on 11 November 2020 - 16:05 Tag: Google Drive, Security

Google Drive

Google กำลังทดสอบการเข้ารหัสไฟล์ที่เก็บแบบออฟไลน์บน Google Drive ในแอนดรอยด์ หลังจากทาง XDA พบ string ที่เกี่ยวกับฟีเจอร์นี้บนไฟล์ apk รวมถึงมีมีนักพัฒนาโพสต์ภาพสกรีนช็อตจาก Google Drive ยืนยันฟีเจอร์นี้

ตัวเลือก Encryption จะอยู่ด้านล่างในหน้า Settings ของ Google Drive เมื่อเปิดแล้ว Google Drive จะแจ้งว่าจำเป็นต้องลบไฟล์ที่เก็บเอาไว้ในเครื่อง (เปิดแบบออฟไลน์ได้) ทั้งหมด ขณะที่ไฟล์เหล่านี้จะมีสัญลักษณ์กุญแจปรากฎขึ้นมาให้เห็นด้วยว่ามีการเข้ารหัส

ที่มา - XDA

UIH รุกเป็นที่ปรึกษามืออาชีพทางด้านการบริหารจัดการความปลอดภัยไซเบอร์ (Managed Security Services Provider)

By sponsored on 10 November 2020 - 19:25 Tag: UIH, Security, Advertorial

UIH

ภัยคุกคามไซเบอร์ทวีความรนแรงและซับซ้อนยิ่งขึ้นในทุกๆ วัน การวางมาตรการควบคุมเพื่อป้องกันเพียงอย่างเดียวไม่เพียงพออีกต่อไป

บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH) ผู้ให้บริการ Secure Digital Infrastructure & Solutions ชั้นนำของไทยจึงเปิดให้คำปรึกษา วางกลยุทธ์ เฝ้าระวัง และดูแลระบบรักษาความมั่นคงปลอดภัยขององค์กรแบบครบวงจรในรูป Managed Security Services ด้วยมาตรฐานสากล ISO/IEC 27001:2013

Let's Encrypt เตรียมเลิกทำ cross-sign จาก IdenTrust, Android เก่ากว่า 7.1.1 จะใช้งานเว็บไม่ได้

By lew

on 7 November 2020 - 11:01 Tag: Let's Encrypt, Security, Digital Certificate

Let's Encrypt

Let's Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรีประกาศว่าตั้งแต่ 1 กันยายน 2021 เป็นต้นไปใบรับรองของ Let's Encrypt จะไม่ได้รับการ cross-sign โดย IdenTrust อีกแล้ว ทำให้เบราว์เซอร์เก่าที่ไม่ได้ใส่ใบรับรอง ISRG Root X1 เอาไว้ในระบบจะมองว่าใบรับรองจาก Let's Encrypt ไม่น่าเชื่อถืออีกต่อไป

Cisco แจ้งเตือนช่องโหว่ AnyConnect เปิดทางแฮกเกอร์ที่รันโปรแกรมบนเครื่องยกระดับสิทธิ์ ยังไม่มีแพตช์

By lew

on 6 November 2020 - 00:35 Tag: Cisco, Security

Cisco

ซิสโก้ออกประกาศแจ้งเตือนช่องโหว่ CVE-2020-3556 ของโปรแกรม AnyConnect Secure Mobility เวอร์ชั่นเดสก์ทอปทั้งวินโดวส์, ลินุกซ์, และแมค โดยช่องโหว่ยังไม่มีแพตช์แต่ทางซิสโก้แจ้งเตือนออกมาเนื่องจากมีโค้ดตัวอย่างออกมาสู่สาธารณะแล้ว

ช่องโหว่เกิดจากการเชื่อมต่อระหว่างโปรเซส (interprocess communication) ที่คนร้ายที่รันโปรแกรมบนเครื่องอยู่แล้วสามารถยิงข้อมูลที่ออกแบบเฉพาะเข้าไปยัง AnyConnect เพื่อรันสคริปต์ได้

Project Zero เปิดเผยช่องโหว่ GitHub Action หลังครบเส้นตาย 104 วัน นักพัฒนาควรตรวจสคริปต์

By lew

on 4 November 2020 - 08:43 Tag: Project Zero, GitHub, Security

Project Zero

Project Zero รายงานถึงช่องโหว่ของฟีเจอร์ GitHub Action ที่มีฟีเจอร์ Workflow เปิดให้ runner รับคำสั่งเพิ่มเติมจากเอาท์พุตของโปรแกรมใดๆ ใน Action เปิดทางให้แฮกเกอร์ใส่เอาท์พุตมุ่งร้ายได้

แม้ว่า Workflow จะรับคำสั่งได้จำกัด แต่มีสองคำสั่งได้แก่ add-path และ set-env ที่สามารถแก้ไขค่าตัวแปร environment ได้ ทำให้คนร้ายแก้ไขค่าตัวแปรเพื่อโจมตีสคริปต์ใน Action ได้

นักวิจัยรายงานช่องโหว่ Slipstreaming เปิดทางแฮกเกอร์เจาะทะลุ NAT เข้าเครื่องเหยื่อได้ทุกพอร์ต

By lew

on 2 November 2020 - 13:45 Tag: Security, Network

Security

Samy Kamkar นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ Slipstreaming ที่อาศัยการรันจาวาสคริปต์บนเบราว์เซอร์ของเหยื่อที่อยู่หลัง NAT จนเปิดทางให้แฮกเกอร์สามารถเข้าถึงทุกพอร์ตบนเครื่องเหยื่อได้ ขอเพียงเหยื่อเข้าเว็บของคนร้ายเท่านั้น

โดยปกติแล้ว NAT ไม่ใช่อุปกรณ์ป้องกันภัยไซเบอร์โดยตัวเอง แต่เนื่องจากการทำงานของ NAT จำกัดการเชื่อมต่อจากโลกภายนอกเข้าไปยังเน็ตเวิร์คภายในได้ ทำให้องค์กรจำนวนมากอาศัย NAT เป็นเครื่องมือรักษาความปลอดภัยเครือข่ายไปในตัว

กูเกิลเปิดเผยช่องโหว่วินโดวส์ หลังให้เวลาไมโครซอฟท์เพียง 7 วันหลังแจ้งเพราะพบช่องโหว่ถูกใช้โจมตีแล้ว

By lew

on 31 October 2020 - 21:55 Tag: Project Zero, Microsoft, Windows, Security

Project Zero

Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง

กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ

US-CERT แจ้งเตือนแฮกเกอร์กลุ่ม Trickbot กำลังไล่โจมตีโรงพยาบาลด้วย Ransomware

By lew

on 29 October 2020 - 09:10 Tag: Ransomware, USA, Security

Ransomware

US-CERT ออกรายงานแจ้งเตือนว่ากลุ่มคนร้ายที่อยู่เบื้องหลังมัลแวร์ Trickbot กำลังไล่โจมตีโรงพยาบาลและสถานพยาบาลอื่นด้วยมัลแวร์เรียกค่าไถ่ Ryuk โดยล่าสุดพบว่ากลุ่มแฮกเกอร์นี้พัฒนา Anchor_DNS เครื่องมือสร้าง tunel ขโมยข้อมูลออกโลกภายนอกด้วย DNS

Subscribe to Security