คลังเก็บป้ายกำกับ: THREATS_UPDATE

local.jpg

พบบั๊กบน iPhone ทำเครื่องแครชง่ายๆ เพียงส่งไอคอน Emoji

ไม่กี่วันที่ผ่านมา หลายสำนักข่าวและหลาย Blog ได้นำเสนอถึงการค้นพบบั๊กบนระบบปฏิบัติการ Apple iOS ซึ่งช่วยให้ผู้ใช้สามารถแกล้งคนอื่นได้ด้วยการส่งข้อความไอคอน Emoji ไปทาง iMessage ส่งผลให้อุปกรณ์​ iPhone หรือ iPad ของผู้รับเกิดการแครชและรีสตาร์ทตัวเองใหม่

EverythingApplePro ได้เปิดเผยวิธีการแครช iPhone ผ่านทางวิดีโอบน YouTube ซึ่งแสดงให้เห็นว่าสามารถหยุดการทำงานของ iPhone ที่รันระบบปฏิบัติการ iOS 10 ได้ โดยการส่งข้อความบางอย่างไปยังอุปกรณ์ผู้รับ เช่น Emoji รูปธงขาว ตามด้วยเลข “0” และ Emoji รูปสายรุ้ง

เมื่อผู้รับได้รับข้อความดังกล่าว iPhone จะพยายามรวมข้อความทั้งหมดให้กลายเป็นธงสีรุ้ง แต่เกิดความผิดพลาดขึ้น ส่งผลให้แอพพลิเคชัน iMessage เกิดการแครช และ iPhone รีบูตตัวเองในที่สุด ต่อให้ผู้รับไม่ได้เปิดแอพพลิเคชันขึ้นมาอ่านข้อความก็ตาม

อีกวิธีการหนึ่งที่แสดงในวิดีโอ คือ ใช้ข้อความแบบเดิม แต่บันทึกเป็นไฟล์ Contact แล้วส่งไฟล์ดังกล่าวผ่านทาง iMessage ไปยังผู้รับโดยใช้ฟีเจอร์การแชร์ข้อมูลของ iCloud ผลลัพธ์ที่ได้เหมือนกับวิธีแรก คือ อุปกรณ์ Apple iOS ของผู้รับเกิดอาการแครช ถึงแม้ว่าจะไม่ได้เปิดไฟล์ขึ้นมาดูก็ตาม

ทั้ง 2 วิธีการที่กล่าวไปเป็นบั๊กที่ค้นพบบน Apple iOS หลายเวอร์ชัน ซึ่งการส่งข้อความ Emoji ส่งผลกระทบต่ออุปกรณ์ที่ใช้ Apple iOS เวอร์ชัน 10.1 หรือต่ำกว่า ในขณะที่การส่งไฟล์ Contact ส่งผลกระทบกับ Apple iOS เวอร์ชัน 10 ทั้งหมด รวมไปถึงเวอร์ชันล่าสุดอย่าง 10.2 ด้วย

วิธีการแก้ไขบั๊กเหล่านี้มีเพียงอย่างเดียวคือรอให้ Apple ออกแพทช์มาเพื่อแก้ไขปัญหาดังกล่าว

ที่มา: http://thehackernews.com/2017/01/crash-iphone-emoji.html

from:https://www.techtalkthai.com/apple-ios-crashed-by-sending-emoji/

local.jpg

พบแล้ว !! ผู้อยู่เบื้องหลัง Mirai Botnet กลับเป็นผู้ให้บริการ DDoS Protection

Brian Krebs เจ้าของ KrebsOnSecurity.com และนักสืบอาชญากรรมไซเบอร์ชื่อดัง ออกมาเปิดเผยถึงผู้ที่อยู่เบื้องหลังการพัฒนา Mirai มัลแวร์ตัวร้ายที่พุ่งเป้าเปลี่ยนอุปกรณ์ IoT ให้กลายเป็น DDoS Botnet สำหรับถล่มเป้าหมาย ที่น่าตกใจคือ บุคคลนั้นกลับเป็นผู้ให้บริการโซลูชันสำหรับรับมือการโจมตีแบบ DDoS ซะเอง

ก่อนหน้านี้ที่ซอร์สโค้ดของมัลแวร์ Mirai ถูกเผยแพร่ออกสู่สาธารณะ ผู้ที่นำซอร์สโค้ดมัลแวร์ดังกล่าวมาแจกจ่ายใช้นามปากกาว่า “Anna-Senpai” ซึ่ง Krebs ได้พยายามสืบเสาะจนพบว่า แท้ที่จริงแล้ว Anna-Senpai เชื่อมโยงกับแฮ็คเกอร์ชาว New Jersey ชื่อว่า “Para Jha” ซึ่งเป็นทั้งผู้ที่พัฒนาและแพร่กระจายมัลแวร์ Mirai ก่อให้เกิดการโจมตีไปทั่วโลกเมื่อช่วงปลายปี 2016 ที่ผ่านมา รวมไปถึง Blog ของ Krebs เอง ที่สำคัญคือ Jha ยังเป็นเจ้าของบริษัทผู้ให้บริการ DDoS Mitigation นาม ProTraf Solutions อีกด้วย

Krebs ระบุว่า สาเหตุของการพัฒนามัลแวร์ Mirai มาจากการที่ Jha และผองเพื่อนของเขา ต้องการสร้าง Botnet สำหรับใช้โจมตีเซิร์ฟเวอร์ที่ให้บริการ Minecraft แล้วล่อให้ลูกค้าที่ไม่พอใจมาใช้บริการ DDoS Mitigation ของตน เนื่องจากก่อนหน้านี้ในปี 2014 การโจมตีเซิร์ฟเวอร์ Minecraft สามารถสร้างรายได้ให้กับแฮ็คเกอร์ได้มากถึง $50,000 หรือประมาณ 1.8 ล้านบาท

นอกจากนี้ Krebs ยังได้กล่าวถึงเหตุการณ์ที่ Jha ติดต่อกับ ISP รายใหญ่เพื่อขอปิด C&C Server ของ IoT คู่แข่ง และวิธีการสร้างโค้ดไม่พึงประสงค์สำหรับจัดการ Botnet ฝ่ายตรงข้ามอย่าง Qbot ถ้า ISP ไม่สนใจคำร้องขอของ Jha เขาจะทำการโจมตีแบบ DDoS ไปที่ ISP รายนั้นเพื่อขัดขวางการทำงาน

ที่มา: https://www.theregister.co.uk/2017/01/20/krebs_mirai_authors/

from:https://www.techtalkthai.com/mirai-author-found/

local.jpg

Hadoop เริ่มตกเป็นเหยื่อของการโจมตีเรียกค่าไถ่ ผู้ใช้งานควรติดตั้งอย่างปลอดภัย

นักวิจัยด้านความปลอดภัยจากหลากหลายแห่งเริ่มตรวจพบสัญญาณเตือนว่า Apache Hadoop นั้นกำลังจะตกเป็นเหยื่อของการโจมตีเรียกค่าไถ่ในลักษณะที่คล้ายคลึงกับ Ransomware และเตือนให้เหล่าองค์กรต่างๆ ทำการตั้งค่า Apache Hadoop อย่างปลอดภัย

หลังจากที่ก่อนหน้านี้มีข่าวคราวของ MongoDB และ Elasticsearch ที่ถูกติดตั้งใช้งานอย่างไม่ปลอดภัยตกเป็นเหยื่อของการโจมตีเพื่อลบข้อมูลทิ้งทั้งหมดและเรียกค่าไถ่เพื่อนำข้อมูลเหล่านั้นกลับคืนมา เหล่านักวิจัยด้านความปลอดภัยก็เริ่มตรวจพบพฤติกรรมการ Scan หา Apache Hadoop บน Public Internet กันมากขึ้นเรื่อยๆ แล้วในตอนนี้

Fidelis Cybersecurity นั้นเริ่มตรวจพบการโจมตีลักษณะนี้และมีผู้ตกเป็นเหยื่อบ้างแล้วในบริการ Platform-as-a-Service ของผู้ให้บริการ Cloud ที่ไม่ได้ทำการตั้งค่าอย่างปลอดภัย และใช้การติดตั้งและตั้งค่าแบบ Default นั่นเอง

นอกจากนี้ทาง Fidelis ก็ยังตรวจเจอการโจมตีที่ไม่ได้เรียกค่าไถ่ แต่ลบข้อมูลทั้งหมดทิ้ง พร้อมตั้งชื่อ Folder ใหม่ว่า /NODATA4U_SECUREYOURSHIT เพื่อให้เจ้าของระบบทำการตั้งค่าให้ปลอดภัยนั่นเอง (แต่ข้อมูลหายหมดแล้ว)

ทางด้านรายงาน Internet Storm Center จาก SANS เองก็สนับสนุนประเด็นนี้เช่นกัน โดยในรายงานมีการตรวจพบการ Scan Port 50070 ซึ่งเป็น Default Port ของ Hadoop namenode เพื่อใช้ในการค้นหา Hadoop Distributed File System ที่อยู่บน Public Internet นั่นเอง

ส่วน 360 Netlab ของทาง Qihoo ก็ตรวจพบการ Scan ในลักษณะเดียวกันเช่นกันจาก IP Address เพียง 2 เบอร์ในประเทศจีน แต่ก็ยังสรุปไม่ได้ชัดเจนว่าการโจมตีนี้เกิดจากฝีมือ Hacker ชาวจีนหรือไม่จากหลักฐานเพียงแค่ IP Address เท่านั้น

ดังนั้นใครที่ใช้งาน Hadoop ก็ไปตั้งค่ากันให้ปลอดภัยด้วยนะครับ

 

ที่มา: http://www.theregister.co.uk/2017/01/19/insecure_hadoop_installs_under_attack/

from:https://www.techtalkthai.com/hadoop-now-becomes-target-of-ransom-attacks/

local.jpg

Oracle ออกประจำไตรมาสแรกปี 2017 อุดช่องโหว่รวม 270 รายการ

Oracle ผู้ให้บริการโซลูชันฐานข้อมูลและแอพพลิเคชันเชิงธุรกิจบนระบบ Cloud ชื่อดัง ออก Critical Patch Update ประจำไตรมาสแรกของปี 2017 อุดช่องโหว่บนผลิตภัณฑ์ทั้งหมดรวม 270 รายการ ซึ่งมากกว่า 100 รายการเป็นช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถทำอันตรายระบบจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนได้

สรุปรายการช่องโหว่ที่น่าสนใจ

  • ช่องโหว่บน Oracle Java SE มีทั้งหมด 17 รายการ 16 รายการเป็นช่องโหว่ที่อาจถูกโจมตีจากระยะไกลโดยที่แฮ็คเกอร์ไม่จำเป็นต้องพิสูจน์ตัวตน
  • ช่องโหว่บน MySQL มี 27 รายการ 5 รายการเป็นช่องโหว่ที่อาจถูกเจาะจากระยะไกลได้ ในขณะที่ Oracle Database มีช่องโหว่รวม 2 รายการ
  • Sun Solaris และ Virtual Box มีช่องโหว่อย่างละ 4 รายการ และ 1 รายการนั้นเป็นช่องโหว่บน Kernel ของ Solaris และช่องโหว่บน GUI ที่ใช้โปรโตคอล HTTP ของ Virutal Box ซึ่งช่วยให้แฮ็คเกอร์โจมตีจากระยะไกลได้
  • ช่องโหว่ส่วนใหญ่ที่ค้นพบปรากฏบน Oracle Application, Fusion Middleware, Financial Applications และ Retail Applications ซึ่งช่องโหว่เหล่านี้สามารถโจมตีได้ผ่านโปรโตคอล HTTP โดยที่แฮ็คเกอร์ไม่ต้องพิสูจน์ตัวตนแต่อย่างใด

แนะนำผู้ใช้ผลิตภัณฑ์ของ Oracle วางแผนอัปเดตแพทช์เพื่ออุดช่องโหว่โดยเร็ว

ที่มา: https://blog.qualys.com/laws-of-vulnerabilities/2017/01/17/oracle-january-2017-cpu-fixes-270-vulnerabilities

from:https://www.techtalkthai.com/oracle-cpu-jan-2017/

local.jpg

Locky Ransomware เริ่มเงียบเหงา อัตราการแพร่กระจายลดลงถึง 81%

Check Point และ Avast 2 บริษัทด้านความมั่นคงปลอดภัยชื่อดัง ออกรายงานเกี่ยวกับมัลแวร์ ล่าสุดพบว่า Locky Ransomware มีอัตราการแพร่กระจายผ่าน Spam ลดลงถึง 81% คาดสาเหตุมาจากการที่ Necurs Botnet ที่ใช้แพร่มัลแวร์หยุดให้บริการเนื่องจากแฮ็คเกอร์ฉลองปีใหม่

รายงาน Global Threat Index ของ Check Point ฉบับล่าสุดระบุว่า อัตราการแพร่กระจายของ Locky Ransomware ลดลงถึง 81% ในเดือนธันวาคมที่ผ่านมา เมื่อเทียบกับช่วงเดือนตุลาคมที่ Locky ยังติด 1 ใน 10 อันดับมัลแวร์ยอดนิยมจากทั่วโลก เช่นเดียวกับรายงานจาก Avast ก็จะเห็นได้ว่าอัตราการเปิดอีเมล Spam ที่มี Locky Ransomware แฝงอยู่ลดปริมาณลงอย่างเห็นได้ชัดในช่วงหลังวันคริสต์มาส จากการตรวจสอบคาดว่าสาเหตุมาจาก Necurs Botnet ที่อยู่เบื้องหลังการกระจายอีเมล Spam ปิดตัวลงชั่วคราว

Necurs เป็นมัลแวร์ Bootkit ชนิดหนึ่ง ที่เมื่อติดเข้าไปยังอุปกรณ์คอมพิวเตอร์แล้ว จะเปลี่ยนคอมพิวเตอร์เป็น Necurs Botnet สำหรับใช้ส่งอีเมล Spam เพื่อแพร่กระจายมัลแวร์ ซึ่งก่อนหน้านี้ในปี 2015 Necurs Botnet ถูกใช้เพื่อแพร่กระจาย Dridex Banking Trojan แต่พอเข้าสู่ปี 2016 Dridex ได้ถูกเปลี่ยนไปเป็น Locky Ransomware เนื่องจากให้ผลตอบแทนที่ดีกว่า

MalwareTech อธิบายว่า สาเหตุที่กิจการของ Locky Ransowmare ซบเซาลงเนื่องมาจากการที่ C&C Server ของ Necurs ออฟไลน์ลงชั่วคราว ซึ่งเป็นช่วงเดียวกันกับปีที่ผ่านมา คาดว่าแฮ็คเกอร์คงหยุดพักผ่อนเพื่อฉลองวันคริสต์มาสและปีใหม่ และเป็นไปได้สูงที่ Necurs จะกลับมาแพร่กระจายมัลแวร์อีกครั้งในช่วงเร็วๆ นี้

อย่างไรก็ตาม นอกจาก Necurs Botnet แล้ว Locky Ransomware ยังแพร่กระจายตัวผ่านอีกหนึ่งช่องทาง คือ Kovter ซึ่งเป็นมัลแวร์ประเภท Click-fraud คอมพิวเตอร์ที่ติดมัลแวร์ดังกล่าวจะแอบคลิกโฆษณาเพื่อสร้างรายได้ให้แก่แฮ็คเกอร์โดยที่ผู้ใช้ไม่รู้ตัว แต่หลังจากเดือนตุลาคมที่ผ่านมา Kovter ได้เริ่มลอบส่ง Locky Ransowmare เข้าสู่คอมพิวเตอร์ด้วยเช่นกัน

ที่มา: https://www.bleepingcomputer.com/news/security/locky-ransomware-activity-goes-down-by-81-percent/

from:https://www.techtalkthai.com/locky-ransomware-81-percent-down/

local.jpg

Adobe ออกแพทช์อุดช่องโหว่บน Acrobat, Reader และ Flash Player

Adobe ออกแพทช์อัปเดตด้านความมั่นคงปลอดภัย อุดช่องโหว่รวม 42 รายการบน Adobe Acrobat, Reader และ Flash Player ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์คอมพิวเตอร์ได้


Credit: ShutterStock.com

ช่องโหว่บน Adobe Flash Player มี 13 รายการ ซึ่ง 12 รายการเป็นช่องโหว่ Remote Code Execution และอีกหนึ่งรายการช่วยให้แฮ็คเกอร์สามารถบายพาสข้อจำกัดด้านความมั่นคงปลอดภัยและขโมยข้อมูลสำคัญออกไปได้ แนะนำให้ผู้ใช้ Windows Mac และ Linux อัปเดต Flash Player เป็นเวอร์ชัน 24.0.0.194 สำหรับ Plug-in บนเว็บเบราเซอร์ ไม่ว่าจะเป็น Chrome, Edge, Firefox หรือ IE จะถูกอัปเดตพร้อมกับการอัปเดตเบราเซอร์เหล่านั้น

ช่องโหว่บน Adobe Acrobat และ Reader รวม 29 รายการ เช่นเดียวกับ Flash Player ช่องโหว่ประกอบด้วย Arbitrary Code Execution 28 รายการ และช่องโหว่การบายพาสระบบความมั่นคงปลอดภัยอีก 1 รายการ แนะนำให้ผู้ใช้ Acrobat Reader DC อัปเกรดซอฟต์แวร์เป็นเวอร์ชัน 15.023.20053 ในกรณีที่ใช้ “Continuous” Track หรือเวอร์ชัน 15.006.30279 ในกรณีที่เป็น “Classic” Track ส่วนผู้ใช้ Acrobat XI และ Reader XI ให้อัปเกรดเป็นเวอร์ชัน 11.0.19

ที่น่าสนใจคือ หลังจากที่ Adobe เพิ่มเทคโนโลยี Sandboxing ลงบนผลิตภัณฑ์ของตน ส่งผลให้การโจมตี Adobe ทำได้ยากขึ้น ระบบรักษาความมั่นคงปลอดภัยสูงขึ้นมากเมื่อเทียบกับหลายปีก่อน

ที่มา: http://www.networkworld.com/article/3156584/security/adobe-patches-critical-flaws-in-flash-player-reader-and-acrobat.html

from:https://www.techtalkthai.com/adobe-patch-update-jan-2017/

local.jpg

Microsoft Patch Tuesday ประจำเดือนมกราคม 2017

Microsoft ออกแพทช์อัปเดตระบบปฏิบัติการ Windows ประจำเดือนมกราคม 2017 ประกอบด้วย 4 Security Bulletins สำหรับอุดช่องโหว่รวม 4 รายการ ซึ่ง 2 Bulletins พบบน MS Office และ Adobe Flash Player มีความรุนแรงระดับ Critical และอีก 2 Bulletins พบบน Edge และ Local Security Authority Subsystem Service มีความรุนแรงระดับ Important


Credit: alexmillos/ShutterStock

Bulletins ระดับ Critical ประกอบด้วย

  • MS17-002: ช่องโหว่ Arbitrary Code Execution รหัส CVE-2017-0003 บน Microsoft Office 2016 มีสาเหตุมาจากการจัดการ Object ใน Memory ไม่ดีเพียงพอ
  • MS17-003: ช่องโหว่บน Adobe Flash Player ที่เพิ่งถูกแพทช์ไป ดูรายละเอียดได้ที่ APSB17-02

Bulletins ระดับ Important ประกอบด้วย

  • MS17-001: ช่องโหว่ Privilege Escalation รหัส CVE-2017-0002 บน Microsoft Edge สาเหตุมาจากการบังคับใช้ Cross-domain Policies โดยใช้ ‘about:blank’ ส่งผลให้แฮ็คเกอร์สามาถรเข้าถึงและสอดแทรกข้อมูลจากโดเมนหนึ่งสู่อีกโดเมนหนึ่งได้
  • MS17-004: ช่องโหว่ DoS บน Local Security Authority Subsystem Service รหัส CVE-2017-0004 ซึ่งมีสาเหตุมาจากการจัดการคำร้องขอพิสูจน์ตัวตนไม่ดีเพียงพอ ส่งผลให้ Service รีสตาร์ทตัวเองได้ ช่องโหว่นี้ส่งผลเฉพาะ Windows Vista และ Windows Server 2008 เท่านั้น

ที่มา: http://blog.talosintel.com/2017/01/mstues.html

from:https://www.techtalkthai.com/microsoft-patch-tuesday-jan-2017/