คลังเก็บป้ายกำกับ: SECURITY

พบช่องโหว่บน Samba อายุกว่า 7 ปี ผู้ใช้ Linux ทั่วโลกตกอยู่ในความเสี่ยง

เมื่อวานนี้ Samba ออก Security Advisory อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งเข้ามารันอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux จากระยะไกลได้ ผู้ใช้ Samba ทั่วโลกกว่า 100,000 รายเสี่ยงถูกอุปกรณ์ถูกเข้าควบคุมโดยไม่รู้ตัว

Credit: Pavel Ignatov/ShutterStock

Samba เป็นแพ็คเกจซอฟต์แวร์สำหรับระบบ Unix ซึ่งให้บริการ File และ Printer Sharing ผ่านทางโปรโตคอล SMB และ CIFS ซึ่งช่วยให้ผู้ใช้ระบบปฏิบัติการ Linux, macOS, FreeBSD สามารถตั้งค่าแชร์โฟลเดอร์และเข้าถึงโฟลเดอร์ที่แชร์บนคอมพิวเตอร์ที่รัน Windows ได้ เสมือนเป็นตัวประสานระหว่างโปรโตคอล SMB บน UNIX และ Windows

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-7494 ซึ่งส่งผลกระทบบน Samba ตั้งแต่เวอร์ชัน 3.5.0 ซึ่งเริ่มใช้งานตั้งแต่วันที่ 1 มีนาคม 2010 (7 กว่าปีก่อน) เป็นต้นมา จนกระทั่งถึงเมื่อวานนี้ที่ทีม Samba ได้ออกแพทช์เวอร์ชัน 4.6.4, 4.5.10 และ 4.4.14 เพื่ออุดช่องโหว่ดังกล่าว

HD Moore รองประธานฝ่ายวิจัยและพัฒนาของ Atredis Partners ระบุว่า ช่องโหว่นี้สามารถเจาะได้ผ่านทางการเขียนโค้ดเพียงบรรทัดโดยใช้โมดูลบน Metasploit ซึ่งขณะนี้กำลังอยู่ระหว่างการพัฒนา แต่นั่นหมายความว่าสามารถใช้เครื่องมือในการสแกนช่องโหว่และเขียนสคริปต์เพื่อที่โจมตีได้ทันที นอกจากนี้ทาง Rapid7 ยังค้นพบว่ามีอุปกรณ์มากกว่า 104,000 เครื่องที่รันซอฟต์แวร์ Samber ที่มีช่องโหว่แบบออนไลน์อยู่ คาดว่าสาเหตุมาจาก Linux บาง Distribution เปิดการใช้เซอร์วิสของ Samba มาตั้งแต่โรงงาน

สำหรับผู้ที่ใช้งาน Samba เวอร์ชัน 4.4.x, 4.5.x, 4..6.x แนะนำให้อัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่ดังกล่าว ส่วนผู้ที่ไม่สามารถอัปเดตแพทช์ไปยังเวอร์ชัน 4.4 ได้ ไม่ว่าจะเป็นข้อจำกัดทางด้านฮาร์ดแวร์หรือความเข้ากันได้ของซอฟต์แวร์ ทีม Samba แนะนำให้แก้ไขปัญหาด้วยการเพิ่มพารามิเตอร์ด้านล่างไปที่ไฟล์ smb.conf แล้วรีสตาร์ท smbd daemon ซึ่งพารามิเตอร์นี้จะช่วยให้แฮ็คเกอร์ไม่สามารถเปิด “Pipe” ซึ่งจะทำให้เขาสามารถอัปโหลดโค้ดแปลกปลอมเข้ามารันได้ อย่างไรก็ตาม การแก้ไขนี้อาจส่งผลกระทบต่อการทำงานร่วมกับคอมพิวเตอร์ Windows

nt pipe support = no

รายละเอียดเชิงเทคนิค: https://www.samba.org/samba/security/CVE-2017-7494.html

ที่มา: https://www.bleepingcomputer.com/news/security/over-104-000-samba-installations-vulnerable-to-remote-takeover-attacks/

from:https://www.techtalkthai.com/7-year-olds-samba-vulnerability-results-in-rce/

Advertisements

[PCI Community Meeting 2017] สรุป Keynote Session วันที่ 2 โดย ดร. ชาลี วรกุลพิพัฒน์ จาก NECTEC

บทความนี้เป็นสรุปเซสชัน Keynote ในงาน PCI Community Meeting 2017 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา ในหัวข้อ “Security Awareness, Policies, Practices and Challenges” โดย ดร. ชาลี วรกุลพิพัฒน์ จากศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) ซึ่งจะมาถกประเด็นเรื่องความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์ ไม่ว่าจะเป็นนโยบาย แนวทางปฏิบัติ และความท้าทายของธรุกิจไทยในปัจจุบัน

“ตามความเห็นของผม กรณี WannaCry มีสาเหตุมาจากความผิดพลาดของมนุษย์ (Human Error) เราสามารถป้องกัน WannaCry ได้ด้วยการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัย คือ พนักงาน IT ควรต้องอัปเดตแพทช์เพื่ออุดช่องโหว่ของซอฟต์แวร์อย่างสม่ำเสมอ” — ดร. ชาลี กล่าวถึงเหตุการณ์ WannaCry Ransowmare ที่เพิ่งแพร่ระบาดไปเมื่อสุดสัปดาห์ที่ผ่านมา

เข้าใจเกี่ยวกับคำว่า “ความมั่นคงปลอดภัยสารสนเทศ” ก่อนเล็กน้อย

วัตถุประสงค์ของความมั่นคงปลอดภัยสารสนเทศ (Information Security) คือการปกป้อง “ทรัพย์สินสารสนเทศ (Information Asset)” ไม่ใช่ซอฟต์แวร์ ฮาร์ดแวร์ หรืออุปกรณ์คอมพิวเตอร์ สิ่งเหล่านั้นจะเป็นผลพลอยได้จากการปกป้องทรัพย์สินสารสนเทศ ก่อนที่จะทำ Security ได้ ต้องทำ Asset Management ก่อนว่าข้อมูลสารสนเทศของเราคืออะไร ถูกจัดเก็บอยู่ที่ไหน เช่น ข้อมูลบัตรเครดิต หรือข้อมูลส่วนบุคคล เป็นต้น เนื่องจากข้อมูลสารสนเทศแต่ละประเภทมีมาตรการควบคุมที่แตกต่างกัน เช่น ข้อมูลส่วนบุคคล อาจไม่จำเป็นต้องสนประเด็นด้าน Availability มากนัก แต่ต้องเน้นที่ Confidentiality ตรงข้ามกับข้อมูลสารสนเทศบนเว็บไซต์ที่จะเน้น Availability เป็นหลัก

กระบวนการด้านความมั่นคงปลอดภัยต้องเป็นแบบ “Top Down”

หลายคนมักเข้าใจว่าในยุคปัจจุบัน กระบวนการด้านความมั่นคงปลอดภัยเป็นแบบ Bottom Up คือ ฝ่าย IT เป็นคนบอกฝ่ายบริหารว่าให้ทำอะไร ดำเนินการอย่างไร เนื่องจากฝ่าย IT มักเป็นคนยุคใหม่ที่เข้าใจเทคโนโลยีและมีความรู้ด้านความมั่นคงปลอดภัย อย่างไรก็ตาม อาจเรียกได้ว่าเป็นความเข้าใจที่ผิด เนื่องจากฝ่าย IT สามารถให้คำแนะนำและแนะแนวทางแก่ฝ่ายบริหารได้ แต่ฝ่ายบริหารเป็นผู้มีอำนาจตัดสินใจ (หรือพูดง่ายๆ คือมีเงิน) และมีอำนาจสั่งการ ถ้าฝ่ายบริการไม่เห็นด้วยก็ไม่สามารถดำเนินการใดๆ ได้ รวมไปถึงถ้าต้องการให้ทุกคนในองค์กรมีส่วนร่วมด้านความมั่นคงปลอดภัย ฝ่ายบริหารต้องเป็นผู้กำหนดนโยบาย มิเช่นนั้นจะไม่มีใครยอมทำตาม ดังนั้นแล้ว การทำให้กระบวนการด้านความมั่นคงปลอดภัยสัมฤทธิ์ผลจำเป็นต้องดำเนินการแบบ Top Down โดยมีฝ่าย IT คอยให้คำปรึกษาและให้ความรู้แก่บุคลากรในองค์กร ที่สำคัญคือต้องผลักดันให้ผู้บริหารระดับสูงต้องตระหนักถึงการมีระบบรักษาความมั่นคงปลอดภัย

“ยกตัวอย่างเช่น การกำหนดนโยบายว่าทุกคนต้องลงโปรแกรม Antivirus และอัปเดตแพทช์ล่าสุดเสมอ ถ้าฝ่าย IT เป็นคนไปบอกพนักงานก็คงไม่มีใครยอมทำตาม แต่ถ้าให้ฝ่ายบริหารหรือ HR ไปบอก ต่อให้พนักงานไม่มีความรู้ด้านเทคนิค เขาก็ต้องยอมทำตามเพราะเป็นคำสั่งจากเบื้องบน” — ดร. ชาลี กล่าว

มาตรการควบคุมด้านความมั่นคงปลอดภัย

จุดประสงค์หลักของมาตรการควบคุมคือ การบล็อก Unauthorized Access ในขณะที่ยังต้องให้คนทั่วไปสามารถเข้าถึงข้อมูลเมื่อต้องการได้ตามปกติ ซึ่งสามารถแบ่งมาตรการควบคุมได้ออกเป็น 3 ประเภท คือ

  • เชิงบริหาร เช่น การอบรม การสร้างความตระหนัก และการบริหารจัดการนโยบาย
  • เชิงเทคนิค สำหรับฝ่าย IT เช่น การติดตั้งระบบรักษาความมั่นคงปลอดภัย
  • เชิงกายภาพ สำหรับปกป้องสถานที่และอุปกรณ์เชิงกายภาพ เช่น การจ้างยาม การติดอุปกรณ์ดับไฟ

สิ่งสำคัญของมาตรการควบคุมคือ “ต้องดำเนินการสอดคล้องกับธุรกิจ” ไม่ใช่ออกแบบมาเพื่อให้ธุรกิจดำเนินการยากได้ขึ้น หรือเป็นอุปสรรคต่อการทำงาน

การสร้างความตระหนักด้านความมั่นคงปลอดภัย

ดร. ชาลี ระบุว่า Security Awareness เป็นหนึ่งในมาตรการควบคุมเชิงบริหาร (Administrative Control) ซึ่งมีจุดประสงค์เพื่อลดความเสี่ยงที่เกิดจากความผิดพลาดจากมนุษย์ ความตระหนักนั้นสร้างได้จาก “การอบรม” ซึ่งมีได้หลายแบบให้เลือก เช่น e-Learning หรืออบรมจากการปฏิบัติงานจริง อย่างไรก็ตาม ต้องดำเนินการอบรมให้เหมาะสมกับบุคลากรแต่ละประเภทด้วย เช่น ผู้บริหารให้เน้นเรื่อง Business Email Compromise, พนักงานทั่วไปเน้นที่เรื่อง Social Engineering เป็นต้น ที่สำคัญคือ ฝ่ายบริหารต้องเป็นผู้ผลักดันให้มีการอบรม รวมไปถึงมีการประเมินวัดผลหลังการอบรมด้วย

“จุดสำคัญคือการทำให้ C-Level มีความรู้และความตระหนักด้านความมั่นคงปลอดภัยในระดับหนึ่ง จึงจะสามารถวางแผนยุทธศาสตร์และจัดทำนโยบายด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ” — ดร. ชาลี เสริม

นโยบายด้านความมั่นคงปลอดภัยที่ดีต้องมาจาก CEO

นโยบายเป็นสิ่งที่แสดงถึงยุทธศาสตร์ของฝ่ายบริหาร ซึ่งต้องริเริ่มโดย CEO และอนุมัติโดย CEO ถึงจะบังคับใช้ในองค์กรได้อย่างมีประสิทธิภาพ อย่างไรก็ตาม การเซ็นอนุมัตินี้ย่อมหมายถึงความรับผิดชอบด้านความเสี่ยง ส่งผลให้ CEO บางคน โดยเฉพาะหน่วยงานรัฐในไทยไม่ยอมเซ็นชื่อกำกับ เนื่องจาก CEO กลัวที่จะต้องรับผิดชอบผลลัพธ์ที่ตามมา แล้วผลักภาระให้ทาง CIO เซ็นอนุมัติแทน และรับผิดชอบแทนตนเอง ซึ่งเป็นค่านิยมที่ผิด หน่วยงานรัฐควรเร่งแก้ไข

“สุดท้าย คงต้องบอกว่าในการวางนโยบายด้านความมั่นคงปลอดภัยนั้น ต้องคำนึงถึงธุรกิจก่อนเป็นอันดับแรก ไม่ใช่นึกจะทำให้ระบบความมั่นคงปลอดภัยแข็งแกร่งมากที่สุดจนเป็นอุปสรรคต่อธุรกิจ ทั้งมาตรการควบคุมและนโยบายจำเป็นต้องสอดคล้องกับเป้าประสงค์ขององค์กร” — ดร. ชาลี กล่าวปิดท้าย

เกี่ยวกับ PCI Security Standards Council

PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover , JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibanks, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน

PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย

ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร

from:https://www.techtalkthai.com/pci-community-meeting-2017-keynote-session-by-dr-chalee/

เชิญพบกับทายาทอสูรของ วันนาคราย “EternalRocks” ที่ร้ายกาจกว่าหลายเท่า

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์สายพันธุ์ใหม่ ที่มุ่งเจาะระบบโดยใช้ช่องโหว่เดียวกันกับตัวแม่ที่สร้างความฮือฮาเมื่อสัปดาห์ก่อนอย่าง WannaCry แต่ตัวใหม่นี้มีพิษสงร้ายกาจกว่ามาก ทั้งด้านการสร้างความเสียหาย และการต่อกรรับมือ

นักวิจัยได้ตั้งชื่อว่า EternalRocks ค้นพบครั้งแรกเมื่อวันพุธที่แล้วโดยผู้เชี่ยวชาญชาวโครเอเชีย ชื่อนี้มีที่มาจากทูลแฮ็คที่หลุดจาก NSA ที่รู้จักกันในชื่อ EternalBlue เพื่อกระจายตัวเองไปยังเครื่องอื่นๆ ผ่านวินโดวส์ เท่านั้นยังไม่พอ ยังมีการใช้เครื่องมือแฮ็กที่หลุดจาก NSA ตัวอื่นๆ ตามมาอย่างรัวๆ ไม่ว่าจะเป็น EternalChampion, EthernalRomance, และ DoublePulsar เรียกว่าร็อคกันทุกอีเทอนอลเลยทีเดียว

ดังนั้น ความสามารถในการแพร่กระจายของ EternalRocks นี่ทำให้ WannaCry ถึงกับต้องเรียกว่าขุ่นแม่กันเลยทีเดียว แม้ล่าสุดจะยังไม่พบส่วนของโค้ดอันตรายที่ใช้ล็อกหรือเข้ารหัสไฟล์ หรือเข้าควบคุมเครื่องเป้าหมายด้วยบอทเน็ต แต่ที่ร้ายกว่ามากคือ มัลแวร์ตัวนี้จะสร้างช่องโหว่บนคอมพิวเตอร์ที่ติดเชื้อให้เปิดรับคำสั่งจากภายนอก ที่อาจเปิดโอกาสให้สร้างความเสียหายอย่างมหาศาลได้ในอนาคต

ร้ายยิ่งกว่านั้นอีกก็คือ ไม่มีจุดอ่อนจำพวกสวิตช์สั่งปิดการทำงานแบบ WannaCry ที่นักวิจัยฟลุ๊กเจอก่อนหน้าเสียด้วย นอกจากนั้นยังมีพฤติกรรมล่อหลอกปั่นหัวระบบตรวจจับ ทั้งการดีเลย์ 24 ชั่วโมงก่อนออกฤทธิ์ หรือแม้แต่การใช้ชื่อไฟล์แบบเดียวกับ WannaCry เป็นต้น
ที่มา : http://fortune.com/2017/05/21/wannacry-successor-eternalrocks

from:https://www.enterpriseitpro.net/?p=6749

เตือนช่องโหว่บายพาส UAC บน Windows 10 ผ่านเครื่องมือ “Apps & Features”

Christian B. นักศึกษาระดับปริญญาโทจากเยอรมนี ค้นพบวิธีบายพาส Access Control (UAC) แบบใหม่บน Windows 10 ซึ่งอาศัยช่องโหว่ “Auto-elevation” บนเครื่องมือ Apps & features ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบรันโค้ดอันตรายหรือมัลแวร์ได้โดยไม่มีการแจ้งเตือนใดๆ

Auto-elevation เป็นรูปแบบหนึ่งของการยกระดับสิทธิ์อัตโนมัติซึ่ง Microsoft กำหนดให้ไฟล์ Binary ที่เชื่อถือได้ ยกตัวอย่างเช่น ไฟล์ Binary ของ Task Manager ถือว่าเป็นไฟล์แบบ Auto-elevation เนื่องจากไฟล์ดังกล่าวถูกสร้างและเซ็นชื่อโดย Microsoft รวมไปถึงถูกจัดเก็บในตำแหน่งไฟล์ที่เชื่อถือได้ คือ C:\Windows\system32 นั่นหมายความว่า ถึงแม้ Windows 10 จะมีระบบ UAC แต่การเปิดใช้ Task Manager จะไม่แสดงหน้าแจ้งเตือน UAC แต่อย่างใด

เทคนิคที่ Christian B. ค้นพบนี้ เป็นวิธีคล้ายกับที่ Matt Nelson ค้นพบเมื่อเดือนสิงหาคมปี 2016 ที่ผ่านมา แต่วิธีของ Nelson จะใช้การบายพาส UAC ผ่านทางเครื่องมือ Event Viewer (eventvwr.exe) ในขณะที่ Christian B. ใช้ fodhelper.exe ซึ่งเป็นฟังก์ชัน “Manage optional features” บนเครื่องมือ Apps & features แทน

ทั้ง eventvwr.exe และ fodhelper.exe ต่างเป็นไฟล์ Binary ที่ระบบปฏิบัติการ Windows เชื่อถือ ทำให้ Windows 10 ไม่แสดงหน้าต่างแจ้งเตือน UAC ใดๆ เมื่อไฟล์เหล่านี้ถูกรัน ส่งผลให้ Nelson และ Christian B. ใช้ช่องโหว่ตรงจุดนี้ในการบายพาส UAC บน Windows 10

Christian B. ระบุว่า ระหว่างที่ fodhelper.exe กำลังรันอยู่ Windows 10 จะตรวจสอบ Registry Key 2 ค่า เพื่อดูว่ามีคำสั่งอื่นๆ ที่ต้องรันเพิ่มเติมหรือไม่ ปัญหาคือ ต่อให้เป็นผู้ใช้ที่มีสิทธิ์ทั่วไปก็สามารถแก้ไขหนึ่งใน Registry Key นี้ได้อย่างอิสระ นั่นหมายความว่า แฮ็คเกอร์สามารถแก้ไขคำสั่งและใช้ fodhelper.exe ช่วยในการรันโดยไม่ติด UAC แต่อย่างใด

HKCU:\Software\Classes\ms-settings\shell\open\command\(default)

เทคนิคนี้สามารถใช้ร่วมกับการลอบส่งมัลแวร์เข้ามายังระบบคอมพิวเตอร์ได้ โดยแฮ็คเกอร์สามารถสั่งให้มัลแวร์รันสคริปต์เพื่อแก้ไข Registry Key ดังกล่าว ตามด้วยสั่งรัน fodhelper.exe ซึ่งจะไปเรียกคำสั่งบน Registry Key ที่แฮ็คเกอร์แก้ไขรอไว้ แล้วสั่งรันโดยที่ผู้ใช้ไม่ได้รู้ตัว และจะไม่มี UAC แจ้งเตือน เนื่องจาก fodhelper.exe เป็นไฟล์ Binary ที่ Windows เชื่อถือและมีฟีเจอร์ Auto-elevation

ผู้ที่สนใจสามารถดูโค้ด PoC ได้ผ่านทาง GitHub ซึ่งโค้ดนี้ไม่มีการทิ้งไฟล์ใดๆ ไว้บนฮาร์ดดิสก์ และรันตัวเองอยู่ใน Memory เท่านั้นรวมไปถึงไม่มีการยุ่งเกี่ยวกับไฟล์ DLL แต่อย่างใด

สำหรับวิธีการป้องกันการบายพาส UAC นั้น Christian B. ระบุว่า ให้ผู้ใช้เลิกใช้งานบัญชี Admin เป็นบัญชีตั้งค่าเริ่มต้นใช้งานของตนเอง และตั้งค่าระดับ UAC เป็น “Always Notify”

ที่มา: https://www.bleepingcomputer.com/news/security/windows-10-uac-bypass-uses-apps-and-features-utility/

from:https://www.techtalkthai.com/windows-10-uac-bypass-apps-and-features/

VDO ! ดูกันจะๆ วิธีการแก้ไขเครื่องที่โดนเข้ารหัสไฟล์ ด้วยโปรแกรม Wanakiwi.exe

ผู้ใช้เฟสบุ๊กนามว่า Phitchayaphong Tantikul ได้ทำการทดลองการถอดรหัสไฟล์ที่ถูกแรนซั่มแวร์ WannaCry โจมตี โดยใช้โปรแกรมที่ชื่อว่า Wanakiwi.exe ในการรันงานผ่านทางระบบคอมมานด์พรอมพ์ ที่ท้ายสุดก็สามารถถอดรหัสไฟล์ที่โดนล็อกได้ เราไปดูวิธีการกันเลย

//////////////////////////////////

ทดลองถอดรหัส WannaCry ด้วยเครื่องมือ WanaKiwi

วิธีใช้
1. ก๊อป public key ที่มีชื่อไฟล์ 00000000.pky (จาก C:\intel\ชื่อมั่วๆ\00000000.pky) ไว้ที่เดียวกันกับตัวโปรแกรม
2. หา process id ของ tasksche.exe
3. เปิด cmd เพื่อสั่งโปรแกรมทำงาน ตามด้วย process id ที่หาได้



from:https://www.enterpriseitpro.net/?p=6747

คำว่า “ลงแพทช์ซะ” มันไม่ได้ง่ายอย่างที่พูดนะจ๊ะ โดยเฉพาะเครือข่ายในองค์กร

จากการโจมตีของแรนซั่มแวร์ WannaCry ครั้งใหญ่ ที่อาศัยช่องโหว่ที่ไมโครซอฟท์ออกแพทช์มาแล้วก่อนหน้านี้เป็นเดือน แล้วทำไมองค์กรน้อยใหญ่ทั่วโลกกลับโดนเล่นงานจนเดี้ยงไปหมด คำตอบคือ การที่องค์กรจะติดตั้งแพทช์บนอุปกรณ์ให้ทั่วถึงนั้นมันไม่ใช่เรื่องง่ายเลย โดยเฉพาะองค์กรที่ไม่มีแผนหรือโซลูชั่นเกี่ยวกับการติดตั้งแพทช์รองรับไว้ล่วงหน้า

ทาง Trend Micro ได้ชี้ประเด็นปัญหาต่างๆ ในการลงแพทช์เพื่ออุดช่องโหว่ให้ครอบคลุมทั่วทั้งองค์กรไว้หลายประการ ไม่ว่าจะเป็นการเลือกใช้ทูลพิเศษ หรือพวกซอฟต์แวร์โอเพ่นซอร์ท (OSS) เพื่อคอยจัดกลุ่มของระบบและอุปกรณ์บนเครือข่าย ที่มักมีค่าใช้จ่ายในการดำเนินการ รวมไปถึงการจัดทำเอกสารคู่มือการอัพเดตอุปกรณ์แต่ละกลุ่ม

นอกจากนี้ยังต้องตัดสินใจว่าควรใช้ระบบอัพเดตแพทช์อัตโนมัติ หรือจำเป็นที่แอดมินต้องเข้ามาจัดการที่เครื่องด้วยตัวเอง โดยเฉพาะแพทช์ด้านความปลอดภัยส่วนใหญ่จำเป็นต้องรีบูตระบบใหม่หลังติดตั้ง แล้วจะติดตั้งเวลาไหนเพื่อไม่ให้กระทบกับการดำเนินธุรกิจ ทั้งนี้ยังไม่รวมถึงการค้นหาไฟล์แพทช์ และทดสอบแพทช์ก่อนที่จะติดตั้งจริงเพื่อไม่ให้เกิดปัญหา เป็นต้น

ที่มา : http://blog.trendmicro.com/just-patch-isnt-easy-think/

ดูข้อมูลเพิ่มเติมของ Trend Micro ได้ที่นี่ https://www.facebook.com/trendmicrothai/

from:https://www.enterpriseitpro.net/?p=6744

ระวัง !! ดูหนังเพลินๆ อาจถูกแฮ็คคอมพิวเตอร์ผ่านไฟล์ Subtitle ที่โหลดมาได้

Check Point ผู้ให้บริหารโซลูชัน Next-generation Firewall ยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บนโปรแกรมเล่นวิดีโอ ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างไฟล์ Subtitle แบบพิเศษขึ้น เพื่อใช้ลอบรันคำสั่งบนเครื่องคอมพิวเตอร์เป้าหมายได้ตามต้องการ

ช่องโหว่นี้ค้นพบบนโปรแกรมเล่นวิดีโอชื่อดังหลายรายการที่รองรับฟีเจอร์ Subtitle ไม่ว่าจะเป็น VLC, Kodi, PopcornTime, Stremio และอื่นๆ โดยมีสาเหตุมาจากการประมวลผลไฟล์ Subtitle ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องคอมพิวเตอร์เป้าหมายได้ทันที วิดีโอด้านล่างสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว

Check Point คาดการณ์ว่า มีผู้ที่ใช้โปรแกรมเล่นวิดีโอหรือสตรีมวิดีโอออนไลน์กว่า 200 ล้านคนที่ซอฟต์แวร์ที่มีช่องโหว่ ส่งผลให้การโจมตีนี้อาจส่งผลกระทบเป็นวงกว้าง ที่แย่กว่านั้นคือ ผู้ใช้หลายคนดาวน์โหลดไฟล์ Subtitile จากคลัง Subtitle บนอินเทอร์เน็ต ที่อนุญาตให้ใครก็ตามสามารถอัปโหลดไฟล์ Subtitle เข้าไปได้ จึงเป็นไปได้สูงทีแฮ็คเกอร์อาจใช้ช่องทางนี้ในการแพร่กระจายการโจมตีออกไป

จนถึงตอนนี้ VLC และ PopcornTime ได้ออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ในขณะที่โปรแกรมอื่นๆ เช่น Kodi และ Stremio กำลังอยู่ระหว่างดำเนินการแก้ไข แนะนำให้ผู้ใช้ทุกคนรีบอักเดตแพทช์ล่าสุดโดยเร็ว

ที่มา: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

from:https://www.techtalkthai.com/computers-can-be-hacked-by-subtitle-files/