Tags:
WordPress

ช่องโหว่ XSS ในกล่องคอมเมนต์ของ Wordpress 4.2 ทำให้คนร้ายสามารถวางคอมเมนต์ที่เรียกไฟล์จาวาสคริปต์ขึ้นมาได้ ทำให้เว็บเสี่ยงต่อการถูกขโมยผู้ใช้ หากผู้ใช้เป็นแอดมินเว็บก็อาจจะถูกขโมยข้อมูลทั้งหมด รวมถึงสั่งการเว็บในฐานะแอดมินได้

ช่องโหว่นี้อาศัยข้อจำกัดคอมเมนต์ที่ความยาว 64 กิโลไบต์ คนร้ายสามารถสร้างคอมเมนต์ที่ความยาวเกินกว่านั้นเพื่อให้ข้อมูลถูกตัดทิ้งก่อนใส่ลงฐานข้อมูล เมื่อแสดงคอมเมนต์จะแสดงเป็น HTML ที่ผิดมาตรฐาน แต่สามารถเรียกจาวาสคริปต์ที่คนร้ายต้องการได้

ทาง Wordpress ออกแพตช์เร่งด่วนมาแก้ไขปัญหานี้แล้ว ก็ควรรีบอัพเดตกันโดยเร็ว

ที่มา - ArsTechnica, Klikki

Tags:
USA

สภาผู้แทนสหรัฐฯ ผ่านร่างกฎหมายป้องกันภัยไซเบอร์สองฉบับที่เปิดช่องให้บริษัทเอกชนสามารถแบ่งปันข้อมูลการโจมตีกับรัฐบาล เพื่อประสานงานป้องกันระหว่างกันโดยบริษัทที่เข้าร่วมจะได้รับความคุ้มครองจากการฟ้องร้องในกรณีที่มีข้อมูลส่วนตัวรั่วไหล

กฎหมายสองฉบับได้ แก่

  • Protecting Cyber Networks Act (PCNA): จะตั้งศูนย์ประสานงานที่ชื่อว่า Cyber Threat Intelligence Integration Center ขึ้นมารับข้อมูลที่แชร์จากภาครัฐและเอกชน เอกชนสามารถกรองข้อมูลส่วนตัวของผู้ใช้ออกไปก่อนได้ และรัฐบาลเองจะตั้งหน่วยงานขึ้นมาตรวจสอบและกรองข้อมูลออกไปอีกชั้นในกรณีที่พบว่ามีข้อมูลส่วนตัวหลุดเข้ามา
  • National Cybersecurity Protection Advancement Act (NCPAA): เป็นกฎหมายป้องกันบริษัทที่แชร์ข้อมูลเหล่านี้ว่าไม่ต้องรับผิดจากการแชร์ข้อมูลตาม PCNA ไป

EFF โจมตีกฎหมายทั้งสองฉบับนี้ว่าเป็นกฎหมายดักฟังขนานใหญ่ที่แปลงร่างมาอยู่ในฐานะกฎหมายความปลอดภัยไซเบอร์ จากการนิยามของข้อมูลที่แชร์ได้นั้นกำกวม และทุกวันนี้บริษัทก็สามารถแชร์ข้อมูลได้ผ่านช่องทางอื่นๆ อยู่แล้วทุกวันนี้ พร้อมกับเรียกร้องให้ประชาชนสหรัฐฯ ติดต่อวุฒิสภาในเขตของตนเองเพื่อเรียกร้องให้คว่ำกฎหมายนี้

กฎหมายทั้งสองฉบับจะถูกรวมเป็นฉบับเดียวก่อนส่งขึ้นไปยังวุฒิสภาให้โหวตต่อไป

ที่มา - EFF, The Register

Tags:
IBM

Etay Maor นักวางแผนป้องกันการฉ้อโกงจาก IBM Security รายงานในงาน RSA Conference รายงานถึงพฤติกรรมของผู้ร้ายที่ควบคุมมัลแวร์เข้ารหัสไฟล์เพื่อเรียกค่าไถ่ ระบุว่าผู้ร้ายเหล่านี้รู้ดีว่าค่าเงินบิทคอยน์กำลังตกไปเรื่อยๆ ทำให้ต้องรีบเอาเงินออกเป็นเงินสดให้เร็วที่สุด

Maor ยังระบุว่าคนร้ายใช้บิทคอยน์เป็นชั้นแรกของการซ่อนตัวเท่านั้น เมื่อต้องการเอาเงินออกมาเป็นเงินสด คนร้ายมักจ้างคนมาช่วยฟอกเงินอีกชั้นหนึ่ง โดยคนเหล่านี้จะได้รับค่าจ้างในการแลกบิทคอยน์ออกมาเป็นเงินสดในอัตรา 15% ถึง 20%

ตัวกลางช่วยฟอกเงินเหล่านี้ ในยุโรปมักเป็นคนสูงอายุที่ต้องการหางานทำจากที่บ้าน ส่วนในเอเชียและออสเตรเลียมักเป็นนักเรียน คนเหล่านี้มักเป็นปลายทางที่ตำรวจจับได้ ขณะที่คนร้ายตัวจริงลอยนวล

การเติบโตของมัลแวร์เข้ารหัสข้อมูลยังทำให้ผู้ให้บริการ botnet หันมาขายบริการติดตั้งมัลแวร์เข้ารหัสข้อมูลบนเครื่องที่ติดมัลแวร์ botnet ไปก่อนแล้วด้วย

ที่มา - The Register

Tags:
Galaxy S5

นักวิจัยของ FireEye ออกมาเปิดเผยบั๊กร้ายแรงของ Galaxy S5 ที่เปิดช่องว่างให้ผู้ไม่หวังดีสามารถขโมยลายนิ้วมือของผู้ใช้ได้ โดยไม่ต้องแฮกเข้าไปใน TrustZone ซึ่งเป็นที่เก็บลายนิ้วมือ แต่อ่านจากตัวสแกนลายนิ้วมือโดยตรงแทน

จากรายงานดังกล่าวระบุว่านักวิจัยค้นพบวิธีการสร้างมัลแวร์ที่เข้าถึงเพียง system-level (ไม่ต้อง root ด้วยซ้ำ) ของเครื่อง Galaxy S5 จะสามารถเก็บข้อมูลจากตัวสแกนลายนิ้วมือได้โดยตรง โดยที่ไม่ต้องเข้าไปยุ่งกับส่วนที่เก็บข้อมูลที่เรียกว่า TrustZone แต่อย่างใด

FireEye บอกว่าได้ทำการติดต่อไปยังซัมซุงแล้ว และยืนยันว่าไม่มีความเสี่ยงกับ Galaxy S5 ที่อัพเดตเป็น Lollipop ไปแล้ว ดังนั้นใครที่ยังเป็น KitKat อยู่ก็ถึงเวลาอัพเดตกันได้แล้วครับ

ที่มา - Forbes

Tags:
NBTC

ข่าวต่อเนื่องจากกสทช. เห็นชอบให้เลื่อนการจ่ายเงินค่าประมูลทีวีดิจิตอล ในการประชุมวันเดียวกันทางกสทช. ก็อนุมัติเงินจากกองทุนวิจัยและพัฒนากิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคม เพื่อประโยชน์สาธารณะ เป็นจำนวนเงินกว่า 47 ล้านบาท โดยผ่านการอนุมัติทั้งหมด 14 โครงการ แต่มีโครงการด้านไอที ทั้งหมด 7 โครงการ ได้แก่

  • โครงการสื่อสารและข่าวสารด้วยพลังแสงอาทิตย์เพื่อการพัฒนาของชุมชนแม่หละ อำเภอท่าสองยาง จ.ตาก (สื่อสุริยะอาสา): มหาวิทยาลัยเทคโนโลยีราชมงคลล้านนา ตาก จำนวนเงิน 7,568,450 บาท
  • โครงการส่งเสริมและพัฒนาการศึกษาระบบทางไกลในถิ่นทุรกันดารโดยผ่านระบบอินเทอร์เนตความเร็วสูง: มูลนิธิชุมชนท้องถิ่นพัฒนา จำนวนเงิน 8,653,000 บาท
  • โครงการจัดตั้งศูนย์ให้คำแนะนำผู้ปกครอง (Parent Port) เพื่อป้องกันเยาวชนจากการบริโภคเนื้อหาที่ไม่เหมาะสมผ่านสื่อใหม่: ศูนย์ศึกษานโยบายการสื่อสาร มหาวิทยาลัยสุโขทัยธรรมาธิราช จำนวนเงิน 1,696,000 บาท
  • โครงการเทเลโบกี้มหัศจรรย์สร้างเด็กอัจฉริยะด้านไอซีที: สมาคมโทรคมนาคมเพื่อการพัฒนาประเทศ จำนวนเงิน 6,547,920 บาท
  • โครงการพัฒนาความพร้อมระดับประเทศของการสื่อสารด้วยแสงสว่าง การถ่ายทอดเทคโนโลยีการพัฒนาบุคคลากรด้านกิจการโทรคมนาคม การจัดทำร่างมาตรฐานและสื่อ: มหาวิทยาลัยราชภัฎนครปฐม จำนวนเงิน 2,265,939 บาท
  • โครงการสื่อสารปลอดภัยสูงสุดด้วยรหัสลับควอนตัม การถ่ายทอดเทคโนโลยีและพัฒนาบุคคากร: มหาวิทยาลัยนเรศวร จำนวนเงิน 2,254,490 บาท
  • โครงการออกแบบระบบสมองกลอัจฉริยะสำหรับการสื่อสารแบบไร้สาย: มหาวิทยาลัยเทคโนโลยีราชมงคลพระนคร จำนวนเงิน 2,268,486 บาท

ถ้ามีโอกาสทีมงาน Blognone จะลองติดตามผลของโครงการเหล่านี้มาให้ดูกันอีกครั้งครับ

ที่มา - กสทช.

Tags:

ศูนย์ความร่วมมือป้องกันไซเบอร์แห่งนาโต้ (NATO Cooperative Cyber Defence Centre of Excellence - CCDCOE) เริ่มงาน Locked Shields 2015 งานซ้อมป้องกันการโจมตีไซเบอร์ใหญ่ที่สุดครั้งหนึ่งของโลก ปีนี้มีชาติเข้าร่วม 16 ชาติ รวมผู้เชี่ยวชาญกว่า 400 คน

การซ้อมครั้งนี้จะซ้อมป้องกันการโจมตีระดับรัฐ ผู้เข้าร่วมจะได้รับมอบหมายให้ป้องกันโครงสร้างของประเทศสมมติที่ชื่อว่า Berylia อย่างไรก็ดี ความขัดแย้งระหว่างชาตินาโต้และรัสเซียทำให้ผู้เชี่ยวชาญให้ความเห็นว่าการจำลองครั้งนี้น่าจะจำลองจากการโจมตีจากแฮกเกอร์ที่รัฐบาลรัสเซียหนุนหลัง

Locked Shields เริ่มการซ้อมทุกปีมาตั้งแต่ปี 2010 ปีนี้เพิ่มการจำลองการโจมตีระบบ ICS/SCADA, Windows 8, และ Windows 10 จากปีที่แล้วที่เพิ่มการโจมตีแอนดรอยด์, กล้องวงจรปิด, และระบบโทรศัพท์ไอพี

งานจัดขึ้นที่ศูนย์ CCDCOE ในเอสโตเนีย ปีนี้รัฐบาลแคนาดาเป็นผู้สนับสนุนค่าใช้จ่ายในการจัดซื้ออุปกรณ์

ที่มา - CCDCOE, The Japan Times

Tags:
Android

ที่งาน RSA Conference วันนี้ Will Dormann นักวิจัยจาก CERT ที่มหาวิทยาลัย Carnegie Mellon รายงานถึงช่องโหว่การตรวจสอบใบรับรอง SSL ที่มีแอพจำนวนมากเขียนโค้ดอย่างหละหลวม ทำให้ตัวแอพไม่ตรวจสอบใบรับรองทำให้แฮกเกอร์สามารถดักฟังแบบ man-in-the-middle ได้

Dormann ระบุว่าทาง CERT ตรวจสอบแอพกว่าล้านรายการเมื่อต้นปีที่ผ่านมา และพบแอพที่มีช่องโหว่นี้มากถึง 23,667 แอพ ทางทีมงานได้ส่งอีเมลไปแจ้งผู้พัฒนา เกือบทั้งหมดไม่มีการตอบกลับใดๆ บางส่วนแสดงท่าทีว่าอีเมลแจ้งเตือนเป็นเรื่องแย่ มีอีเมลตอบกลับพร้อมแจ้งการแก้ปัญหาเพียง 0.1% เท่านั้น

Adrian Ludwig ผู้ดูแลความปลอดภัยระบบแอนดรอยด์ระบุว่าตามข้อตกลงการใช้งานของกูเกิล กูเกิลมีสิทธิถอดแอพที่มีช่องโหว่เหล่านี้ออกจากตลาด แต่ปัญหาที่ยากที่สุดคือการบีบให้นักพัฒนาออกอัพเดตแอพเหล่านี้ ทางกูเกิลเคยเตือนไปบ้างแล้วและจะเตือนหนักขึ้นในอนาคต

ที่มา - Threatpost

Tags:
Microsoft

ตามปกติแล้ว ไมโครซอฟท์มีนโยบายการออกแพตช์วินโดวส์ทุกวันอังคารที่สองและสี่ของเดือน หรือที่เรียกกันว่า Patch Tuesday แต่เดือนนี้ไมโครซอฟท์แหวกธรรมเนียมเล็กน้อย โดยออก Patch Tuesday รอบใหม่ตั้งแต่วันอังคารที่สามของเดือน

Patch Tuesday รอบนี้จัดมาชุดใหญ่ 34 ตัว โดยกระจายตามวินโดวส์เวอร์ชันต่างๆ (Windows 7 โดนไป 6 ตัว ส่วน Windows 8.1 อาจมากถึง 20 ตัว) แพตช์ทั้งหมดมีความสำคัญแบบ optional คือจะลงหรือไม่ลงก็ได้ไม่บังคับ บางแพตช์ก็ไม่ได้กระทบผู้ใช้ทุกคน จำกัดเฉพาะฮาร์ดแวร์บางชิ้นเท่านั้น

ผู้สนใจสามารถดูรายการแพตช์ทั้งหมดได้จาก Microsoft ส่วนผู้ใช้งานทั่วไปก็อัพเดตกันตามปกติครับ

ที่มา - ZDNet

Tags:
WordPress

WordPress ออกเวอร์ชัน 4.1.2 เพื่อแก้ปัญหาช่องโหว่ระดับร้ายแรง (critical) ที่อาจทำให้เว็บไซต์โดนบุคคลภายนอกแฮ็กได้โดยไม่ต้องมีบัญชี WordPress ด้วยซ้ำ (ผ่าน cross-site scripting)

ช่องโหว่ข้างต้นมีผลกระทบกับ WordPress ทุกเวอร์ชัน ดังนั้นใครที่มีเว็บไซต์ทำด้วย WordPress ควรอัพเดตกันด่วน นอกจากนี้ยังมีปลั๊กอินหลายตัวที่ออกแพตช์แก้ประเด็นเดียวกันมาแล้ว ตามอัพเดตปลั๊กอินกันด้วยครับ

WordPress 4.1.2 ยังปิดช่องโหว่อื่นอีก 3 จุดที่เกี่ยวกับเรื่อง SQL injection และชื่อไฟล์ที่อาจไม่ปลอดภัย

ที่มา - WordPress.org

Tags:
FireEye

FireEye รายงานการโจมตีของกลุ่ม APT 28 ที่มีฐานอยู่ในรัสเซีย เจาะเครื่องของเหยื่อเพื่อเข้าควบคุมเครื่องในระดับสิทธิสูงสุด (System Level Privileges) ด้วยช่องโหว่ CVE-2015-1701 ที่ยังไม่เปิดเผยข้อมูลและยังไม่มีแพตช์ในตอนนี้

แฮกเกอร์กลุ่มนี้ เริ่มจากส่งลิงก์ให้เหยื่อผ่านทางเว็บที่ทางกลุ่มควบคุมได้ จากนั้นใช้ HTML และจาวาสคริปต์ส่งไฟล์แฟลชที่เจาะช่องโหว่ CVE-2015-3043 เข้ามารันในเครื่องก่อนแล้วจึงรัน shellcode จากนั้นจึงดาวน์โหลดโปรแกรมเพื่อเจาะ CVE-2015-1701

ช่องโหว่ CVE-2015-3043 นั้นมีแพตช์แล้วทำให้กลุ่มนี้ไม่สามารถเจาะเครื่องที่แพตช์เต็มรูปแบบได้ แต่การที่ทางกลุ่มสามารถเจาะช่องโหว่ที่ยังไม่มีข้อมูลได้ก็แสดงว่าเป็นกลุ่มแฮกเกอร์ที่มีประสิทธิภาพสูง

ไมโครซอฟท์รับรู้ช่องโหว่ CVE-2015-1701 แล้วและกำลังพัฒนาแพตช์อยู่ในตอนนี้ ระหว่างนี้ผู้ใช้ทั่วไปก็ควรระวังตัวด้วยการแพตช์ระบบตัวเองให้ทันสมัยเสมอ

ที่มา - FireEye

Tags:

กองทัพบกสหรัฐฯ ยอมรับว่ากระบวนการจัดหากำลังพลตามช่องทางปกติไม่สามารถหาคนทำงานด้านไซเบอร์ได้เร็วพอ และมีข้อจำกัดการจ่ายค่าตอบแทนที่ไม่สามารถแข่งขันกับเอกชนได้ ในการแถลงต่อวุฒิสภารอบล่าสุด นายพลสหรัฐฯ ก็ออกมาระบุว่าต้องสร้างช่องทางใหม่ให้กับการดึงตัวพลเรือนมาประจำหน่วยนี้

สหรัฐฯ มีหน่วย Cyber Branch 17 สำหรับกำลังพลของตัวเองอยู่ก่อนแล้ว แต่การหาคนเข้ามาทำงานและดึงตัวไว้ให้ทำงานต่อเนื่องกลับทำได้ยาก ตอนนี้่ทางกองทัพจึงเตรียมหาทางดึงตัวพลเรือนเข้ามาทำงาน พร้อมกับแรงจูงใจใหม่ๆ เช่น การทำการตลาด, จ่ายค่าย้ายที่อยู่, จ่ายโบนัสในกรณีทำงานต่อเนื่อง, และช่วยจ่ายเงินกู้ยืมเพื่อการศึกษา

แรงจูงใจเหล่านี้กองทัพเคยทำมาก่อนแล้ว แต่ทางกองทัพต้องการให้มีการให้ทุนระยะยาวที่คาดเดาได้เพื่อจัดการบุคลากรได้ดีกว่าเดิม

กองทัพบกสหรัฐฯ ระบุว่าต้องการกำลังพลด้านไซเบอร์ทั้งหมด 3,806 คน

ที่มา - U.S. Army

Tags:
Google

ตลก April Fool's ของกูเกิลปีนี้อันหนึ่งคือเว็บ com.google ที่เปิดเว็บกลับข้างซ้ายเป็นขวา แต่ Netcraft ออกมาเตือนว่าการเล่นแบบนี้กลับสร้างช่องโหว่ใหม่ให้กับระบบ

ปกติแล้วเว็บกูเกิลหน้าสำคัญๆ จะไม่สามารถนำไปแสดงในหน้าเว็บภายนอกผ่าน iframe ได้ เพราะล็อกไว้ด้วย X-Frame-Options แต่ทีมงานกูเกิลสร้างช่องทางปิดล็อกอันนี้เพื่อเล่นตลก April Fool's ด้วยการสร้างออปชั่น igu=2 เพื่อให้เว็บกูเกิลไม่ล็อกการฝังไว้ใน iframe อีกต่อไป

แต่แฮกเกอร์สามารถนำเว็บนี้ไปหลอกล่อให้ผู้ใช้กดผิดได้ ทาง Netcraft สาธิตด้วยการแสดงหน้าตั้งค่าการค้นหาไว้ในหน้าเว็บของ Netcraft เอง หากแสดงบางส่วนอย่างแม่นยำพอก็อาจจะล่อให้ผู้ใช้กดเพื่อปิดออปชั่นบางอย่างได้ เรียกว่าการโจมตีแบบ click-jacking

กูเกิลรับทราบปัญหานี้และแก้ไขไปแล้ว

ที่มา - Netcraft

Tags:

IBM Security เปิดฐานข้อมูลด้านความปลอดภัยของตัวเองกว่า 700TB ขึ้นบนอินเทอร์เน็ต ในชื่อโครงการ IBM X-Force Exchange

IBM บอกว่านักวิจัยด้านความปลอดภัยของตัวเองสะสมข้อมูลด้านความปลอดภัย (threat intelligence) ซึ่งประกอบด้วยเว็บไซต์และ URL กว่า 25 พันล้านแห่ง ข้อมูลมัลแวร์ หมายเลขไอพี ช่องโหว่ โดยบริษัทเปิดให้นักวิจัยและผู้สนใจทั่วไปสามารถเข้าถึงข้อมูลเหล่านี้ เพื่อแชร์และศึกษาภัยคุกคามด้านความปลอดภัยระหว่างกัน (ตัวแทนของ IBM เรียกมันว่า "Pinterest for security") และหวังว่าบริษัทด้านความปลอดภัยรายอื่นจะมาร่วมแชร์ข้อมูลแบบเดียวกันด้วย

X-Force Exchange ประกอบด้วยหน้าแรกเป็น dashboard แสดงภาพรวมภัยคุกคามออนไลน์แบบเรียลไทม์ และตารางข้อมูลภัยคุกคามแยกตามหมวดหมู่ อัพเดตแบบเรียลไทม์เช่นกัน ใครสนใจลองเข้าไปเล่นได้ที่ X-Force Exchange

ที่มา - The Register

Tags:
PCI-DSS

มาตรฐาน PCI-DSS 3.0 ออกมาเมื่อปลายปีที่แล้ว ตอนนี้ก็อัพเดตเป็นรุ่น 3.1 เพื่อรองรับช่องโหว่ที่รู้กันทั่วไป เช่น BEAST และ POODLE ส่งผลให้หน่วยงานที่ได้รับรอง PCI-DSS จะไม่สามารถใช้ SSL ทุกรุ่นและ TLS รุ่นแรกๆ ได้หลังจากวันที่ 30 พฤษภาคม 2016

ระหว่างนี้ผู้ที่ยังคงใช้ SSL และ TLS รุ่นแรกๆ จะต้องทำแผนลดผลกระทบจากช่องโหว่ของกระบวนการเข้ารหัสเหล่านี้ มีข้อยกเว้นคือ จุดรับจ่ายเงิน (Point of Sale - POS) จะสามารถใช้งานการเข้ารหัสเหล่านี้ได้ต่อไป หากสามารถยืนยันได้ว่าไม่เสี่ยงต่อการโจมตีช่องโหว่ที่เป็นที่รู้กัน

หน่วยงานที่รับมาตรฐาน PCI-DSS คงมีไม่มากนัก แต่แนวทางการอัพเดตก็เป็นแนวทางที่ควรทำตามเท่าที่ทำได้ครับ

ที่มา - PCI Council (PDF)

Tags:
IIS

เมื่อวันอังคารที่ผ่านมาไมโครซอฟท์ออกแพตช์ชุดใหญ่ และมีบั๊กความร้ายแรงสูง คือ MS15-034 ร่วมอยู่ด้วย ตอนนี้ถ้าใครดูแลเซิร์ฟเวอร์รุ่นที่ได้รับผลกระทบแล้วยังรีรอไม่อัพเดต เซิร์ฟเวอร์ของท่านอาจจะถูกยิงให้แครชทั้งเครื่องได้ง่ายๆ ด้วยคำสั่งเดียว

การส่งคำสั่งด้วย curl เพียงบรรทัดเดียวสามารถทำให้เซิร์ฟเวอร์แครชไปทั้งเครื่องได้ เพราะ HTTP.sys เป็นไดร์เวอร์ระดับเคอร์เนล ช่องโหว่นี้เกิดจากการรับค่าใน HTTP Header ที่ฟิลด์ Range ผิดพลาด หากใส่ค่าใหญ่เกินไปก็สามารถทำให้เคอร์เนลแครชได้ทันที

นอกจากจะทำให้เซิร์ฟเวอร์แครชได้แล้ว ช่องโหว่นี้อาจจะทำให้แฮกเกอร์ดึงข้อมูลจากเครื่อง หรือรันโค้ดในเซิร์ฟเวอร์ได้ อย่างไรก็ตาม ยังไม่มีกระบวนการแฮกเหล่านั้นเผยแพร่ออกมาสู่สาธารณะ

ทาง Internet Storm Center ออกมาเตือนว่าพบการยิงเครื่องให้แครชแบบนี้บนเครื่องล่อ (honeypot) บางเครื่องแล้ว และดูเหมือนว่าแฮกเกอร์กำลังยิงไปทั่วอินเทอร์เน็ต ดังนั้นผู้ดูแลระบบทุกคนควรเร่งปิดช่องโหว่ไม่ว่าจะลงแพตช์, ปิดตัวเลือก Kernel Caching, หรือจะเพิ่มกฏของ IPS เพื่อบล็อคการยิงแบบนี้ออกไป

ที่มา - Internet Storm Center, The Register

Tags:
Dropbox

Dropbox ประกาศเปิดโครงการจ่ายเงินรางวัลให้แฮกเกอร์ที่พบบั๊กความปลอดภัย โดยจ่ายเงินรางวัลขั้นต่ำ 216 ดอลลาร์ให้กับบั๊กที่เข้าข่ายได้รับเงินรางวัล

ทาง Dropbox ส่งคำขอบคุณแฮกเกอร์ 26 คนที่รายงานบั๊กมาแล้วจำนวน 27 บั๊กก่อนหน้านี้ พร้อมกับจ่ายเงินรวม 10475 ดอลลาร์เป็นรางวัล บั๊กที่ใหญ่ที่สุดมูลค่าถึง 4913 ดอลลาร์

แอพพลิเคชั่นที่เข้าข่าย ต้องเป็นแอพพลิเคชั่นของ Dropbox เองบนทุกแพลตฟอร์ม รวมถึง Carousel ตัว API แต่หากเป็นช่องโหว่ในแอพพลิเคชั่นภายนอก ทาง Dropbox ระบุว่าทางบริษัทอาจจะจ่ายเงินรางวัลหากช่องโหว่มีความโดดเด่นพอ

ที่มา - Dropbox

Tags:
Oracle

ออราเคิลออกแพตช์ตามรอบการอัพเดตปกติ เป็นการปล่อยแพตช์ประจำไตรมาสที่สอง ซอฟต์แวร์จำนวนมากมีอัพเดตออกมา

แพตช์ที่ออกมามีระดับความร้ายแรงสูง คะแนน CVSS เกิน 9.0 ขึ้นไปหลายรายการ แต่ที่กระทบกับคนวงกว้าง คือ Java ที่มีช่องโหว่ในส่วนโค้ด 2D เสี่ยงต่อการถูกแฮกสูง มีคะแนน CVSS 10.0 ช่องโหว่นี้ทำให้แฮกเกอร์สามารถวาง Java applet แล้วทะลุ sandbox ออกมาได้ กระทบ Java 5 ขึ้นไป แต่กระทบเฉพาะการติดตั้งแบบไคลเอนต์เท่านั้น

ส่วนช่องโหว่ร้ายแรงสูงอื่น กระจายไปตามซอฟต์แวร์ต่างๆ เช่น MySQL Enterprise Monitor, Cisco MDS Fiber Channel Switch, และ Oracle Exalogic Infrastructure

ผู้ดูแลระบบที่ใช้ซอฟต์แวร์ออราเคิลควรไปรีวิวกันว่าตัวไหนกระทบ จะได้วางแผนอัพเกรดกันได้ครับ

ที่มา - Oracle, ThreatPost

Tags:
Microsoft

ไมโครซอฟท์ออกอัพเดตตามรอบการออกปกติชุดใหญ่ เป็นบั๊กร้ายแรงที่ทำให้ ไฟล์แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ด้วยช่องทางหลากหลาย ตั้งแต่หน้าเว็บมุ่งร้ายที่โจมตีผ่านเบราว์เซอร์, การยิงผ่านเว็บเซิร์ฟเวอร์, และการเปิดไฟล์หลายประเภท

สำหรับผู้ดูแลระบบควรทดสอบแพตช์ MS15-034 อย่างเร่งด่วน บั๊กนี้ทำให้แฮกเกอร์สามารถยิง HTTP request เข้ามาเพื่อรันโค้ดบนเซิร์ฟเวอร์ได้ กระทบ ตั้งแต่ Windows 7, Windows 8, Windows Server 2008, และ Windows Server 2012 บั๊กนัี้กระทบเซิร์ฟเวอร์ที่ใช้ IIS ทุกคน และอาจจะกระทบเซิร์ฟเวอร์อื่นๆ ที่ใช้ HTTP.sys สำหรับผู้ที่ไม่พร้อมอัพเดตไมโครซอฟท์แนะนำให้ปิด kernel caching บน IIS ไว้เพื่อแก้ปัญหาชั่วคราว

MS15-032 กระทบผู้ใช้ Internet Explorer รุ่น 6 ถึง 11 เว็บมุ่งร้ายสามารถส่งโค้ดมารันบนเครื่องได้ เพียงแค่เปิดหน้าเว็บ

MS15-033 และ MS15-035 ไฟล์มุ่งร้ายสามารถรันโค้ดบนเครื่องได้ ทั้งไฟล์ RTF, Office, และ EMF

บั๊กอื่นๆ เป็นบั๊กสำคัญหลายบั๊ก ผู้รับผิดชอบเครือข่ายเข้าไปดูรายการและทดสอบพร้อมอัพเดตกันได้

ที่มา - The Register

Tags:
USA

เซิร์ฟเวอร์ที่แชร์กันของตำรวจสี่เมืองและสำนักงานนายอำเภออีกหนึ่งเมืองในรัฐเมนติดมัลแวร์ megacode หลังจากมีผู้ใช้ดาวน์โหลดไฟล์มารันบนเซิร์ฟเวอร์

ทางตำรวจยอมจ่ายเงิน 300 ยูโร หรือ 318 ดอลลาร์ผ่านบิตคอยน์เพื่อจะได้กุญแจถอดรหัสมาทำงานต่อไป

เจ้าหน้าที่ฝ่ายไอทีได้สำรองข้อมูลเอาไว้แล้ว แต่ช่องว่างของการออกแบบระบบสำรองข้อมูลทำให้ข้อมูลในเซิร์ฟเวอร์สำรองถูกเข้ารหัสไปพร้อมกัน ทางฝ่ายไอทีติดตั้งเซิร์ฟเวอร์ใหม่เพื่อให้แน่ใจว่ารอบต่อไปจะสามารถทำงานต่อได้ทันทีในกรณีติดมัลแวร์เช่นนี้

ที่มา - Network World

Tags:
Microsoft

INTERPOL ร่วมมือกับ Digital Crimes Unit (DCU) ของไมโครซอฟท์ ไล่ปิดศูนย์ส่งคำสั่งของบอตเน็ต Simda พร้อมกันทั่วโลก

Simda ตอนนี้ติดคอมพิวเตอร์ถึง 770,000 เครื่อง มันเปิดช่องโหว่ให้แฮกเกอร์เข้ามาควบคุม ระบบการพัฒนาเป็นโมดูลทำให้สามารถโจมตีได้หลายอย่าง เช่น ดึงข้อมูลส่วนตัว, เก็บข้อมูลธนาคาร, ขุดบิทคอยน์, คลิกโฆษณา, ติดตั้งซอฟต์แวร์ที่มีคนจ่ายเงินค่าติดตั้ง

Simda แพร่ระบาดหนักขึ้นเรื่อยๆ ในช่วงต้นปีที่ผ่านมา เฉพาะสองเดือนแรกของปีนี้มีเครื่องติดเพิ่มขึ้นประมาณ 90,000 เครื่อง

ศูนย์ควบคุมหลักของ Simda อยู่ในเนเธอร์แลนด์ ทีมงานยื่นเรื่องขอยึดเซิร์ฟเวอร์ในวันที่ 30 มีนาคมและได้รับอนุญาตในวันที่ 3 เมษายน จากนั้นจึงนัดกันยึดเครื่องทั้งหมด 10 เครื่องในเนเธอร์แลนด์ และเครื่องอื่นๆ ในสหรัฐฯ, รัสเซีย, ลักเซมเบิร์ก, และโปแลนด์

ปฎิบัติการครั้งนี้ยังได้รับความร่วมมือกับ Trend Micro, Kaspersky, และ CDI ช่วยวิเคราะห์ตัวมัลแวร์และเตรียมการล้างมัลแวร์

ที่มา - INTERPOL