คลังเก็บป้ายกำกับ: WEB_SECURITY

Oracle ออกแพตช์ 254 ช่องโหว่ประจำเดือนเมษายน แนะผู้ใช้ควรอัปเดต

Oracle แพตช์ช่องโหว่กว่า 254 รายการซึ่ง 153 รายการ กระทบกับฝั่งผลิตภัณฑ์ที่สำคัญต่อธุรกิจ เช่น E-Business Suite, Fusion Middleware, Financial Service Application, Java SE, MySQL, People Soft, Retail Application และ Suns System Product Suite โดยกว่าครึ่งหนึ่งเป็น Bug ที่สามารถใช้งานได้แบบ Remote

รายละเอียดของแพตช์โดยภาพรวมมีดังนี้

  • ช่องโหว่ 42 รายการ ด้านความมั่นคงปลอดภัยระดับรุนแรง 9.8(ร้ายแรง) กระทบกับผลิตภัณฑ์ Fusion Middleware, Financial Service, PeopleSoft, EBS และแอปพลิเคชัน Retail
  • Fusion Middleware มีแพตช์ 39 รายการซึ่งมี 30 ช่องโหว่สามารถถูกใช้จากระยะไกลได้ดูรายละเอียดเพิ่มเติมที่นี่
  • Financial Service Applications มีช่องโหว่ 36 รายการที่ถูกแพตช์และคาดกว่าครึ่งหนึ่งอาจจะถูกใช้จากระยะไกลได้โดยไม่ต้องพิสูจน์ตัวตน
  • MySQL มีแพตช์ 33 รายการและมีช่องโหว่ที่สามารถใช้ได้จากระยะไกล 2 รายการ
  • แอปพลิเคชัน Retail มีช่องโหว่ 31 รายการและ 27 รายการสามารถถูกใช้จากระยะไกลได้
  • Java SE มีช่องโหว่ 14 รายการและ 12 รายการสามารถถูกใช้งานจากระยะไกลได้โดยไม่ต้องพิสูจน์ตัวตน
  • Sun System Product Suite มีช่องโหว่ 14 รายการ
  • แอปพลิเคชันอื่นๆ มีดังนี้ Hospitality (13 รายการ), Virtualization (13 รายการ), E-Business Suite(12 รายการ), PeopleSoft (12 รายการ), Enterprise Manager Business Product Suite (10 รายการ), Communication Application (9 รายการ), Supply Chain Product Suite (5 รายการ), Construction และ Engineering Suite (4 รายการ), JD Edwards (3 รายการ), Siebel CRM (2 รายการ), Database Server Support Tools (1 รายการ) และสุดท้าย Utilities Application (1 รายการ)

ช่องโหว่ที่น่าสนใจหมายเลข CVE-2018-7489 ระดับรุนแรง 9.8/10 ส่งผลกระทบกับ Financial Application ประกอบด้วย Risk Measurement and Management, Hedge Management and IFRS Valuation และ Analytical Application Infrastructure โดยส่งผลให้ผู้โจมตีที่ไม่ต้องพิสูจน์ตัวตนและเข้าถึงเครือข่ายได้สามารถเข้าควบคุมส่วนประกอบสำคัญ นอกจากนี้ยังมีช่องโหว่ระดับความรุนแรง 9.8 อีก 2 ตัวคือ CVE-2018-2628 และ CVE-2017-5645 ที่ส่งผลกระทับกับ ส่วนประกอบของเซิร์ฟเวอร์ WebLogic และ JD Edwards ตามลำดับ

ที่มา : https://www.securityweek.com/oracle-patches-254-flaws-april-2018-update 

from:https://www.techtalkthai.com/oracle-patched-on-april-2018-about-254-vulnerabilities/

Advertisements

Microsoft นำเทคโนโลยี Anti-Phishing ให้ใช้งานผ่าน Chrome Extension

Microsoft ได้ออก Chrome Extension ที่ชื่อ ‘Windows Defender Browser Protection’ ซึ่งภายในมีเทคโนโลยีเพื่อป้องกันการล่อลวงผู้ใช้งานเข้าเพจอันตรายด้วยการแสดงผลหน้าเพจเป็นสีแดงเมื่อกำลังเข้าสู่ลิ้งก์ที่ไม่น่าวางใจ

credit : Bleepingcomputer

การแจ้งเตือนที่เกิดขึ้นลักษณะคล้ายกับ Safe Browsing API ที่เป็นของ Chrome แต่ Microsoft ได้นำเสนอ API ของตนที่ชื่อ ‘SmartScreen API’ ตามรูปด้านล่าง โดยอาศัยฐานข้อมูลลิ้งก์อันตรายของตนเอง ถือเป็นโชคดีของผู้ใช้งาน Chrome ที่ได้ผลประโยชน์เต็มๆ ที่จะได้ใช้ API ทั้งสองตัว เพราะมีผลการทดสอบจาก NSS Labs ว่า API จาก Microsoft นั้นสามารถตรวจจับลิ้งก์อันตรายได้ถึง 99% ในขณะที่ของ Chrome ทำได้เพียง 87% เท่านั้น

credit : Bleepingcomputer

แม้ว่าย้อนไปในปี 2015 การปล่อย Edge ที่ยังไม่สมบูรณ์นั้นถือเป็นความผิดพลาดแต่ต่อมามันก็ค่อยๆ กลายเป็นผลิตภัณฑ์ที่มีความแข็งแกร่งในด้านความมั่นคงปลอดภัยยิ่งเมื่อผสานกับ Windows 10 การเจาะผ่านเว็บเข้ามานั้นไม่ง่ายเลยทีเดียว ผู้สนใจสามารถติดตั้ง Extension ตัวนี้ได้ที่นี่ หรือดูรายละเอียดในเว็บของ Microsoft 

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-ports-anti-phishing-technology-to-google-chrome-extension/

from:https://www.techtalkthai.com/microsoft-releases-windows-defender-browser-protection-on-chrome-extension/

3 ฟีเจอร์ด้านความมั่นคงปลอดภัยบน Chrome 66 เวอร์ชัน Stable

Google ได้บรรจุ Chrome 66 ให้เป็นสถานะ Stable เรียบร้อยแล้วและมีเลขเวอร์ชันคือ Chrome 66.0.3359.117 ซึ่งมีการแก้ไขฟีเจอร์และ API ให้เพิ่มมากขึ้น แต่ที่น่าสนใจคือส่วนของฟีเจอร์ด้านความมั่นคงปลอดภัยที่ปรับปรุงหรือที่เพิ่มมาใหม่

ไม่เชื่อถือ Cert จาก Symantec อีกต่อไป

Chrome ได้เริ่มแสดง Certificate Error สำหรับ Cert จาก Symantec มาตั้งแต่วันที่ 1 มิถุนายนปี 2016 แล้ว ซึ่งเป็นส่วนหนึ่งในแผนการยกเลิกการเชื่อถือใน Cert นี้โดยคาดว่าน่าจะสมบูรณ์ใน Chrome 70 ที่จะออกมาในเดือนตุลาคมปีนี้ อย่างไรก็ตามบอกก่อนเลยว่าสำหรับคนที่อัปเดต Chrome เวอร์ชันปัจจุบันนี้จะไม่สามารถใช้งานเว็บไซต์ที่มี Cert ของ Symantec ได้อาจจะต้องใช้ Browser อื่นแทน

เปิดฟีเจอร์ Strict Site Isolation เป็น Default

Strict Site Isolation เป็นฟีเจอร์ที่ช่วยให้แบ่งแต่ละเว็บเพจให้ทำงานในโปรเซสของตนเอง ซึ่งที่ผ่านมามันได้เป็นส่วนของโซลูชันเพื่อบรรเทาปัญหาช่องโหว่ Spectre บน Chrome อีกด้วย อันที่จริงแล้วมันมีมาตั้งแต่ในเวอร์ชัน 63 แล้วแต่ไม่ได้เปิดเป็น Default และในเวอร์ชัน 66 จะปรับเป็นค่าพื้นฐาน อย่างไรก็ตามมันเพิ่งเริ่มเปิดกับผู้ใช้งานจำนวนหนึ่งเพื่อทดสอบเท่านั้น ผู้สนใจสามารถใช้เปิดใช้งานได้โดยใช้คำสั่ง  ‘chrome://flags/#enable-site-per-process’ ใน Address bar

แสดงเตือนความพยายาม Inject Code ในโปรเซสของ Chrome

credit : BleepingComputer

Chrome มีแผนที่จะบล็อกการ Inject Code ในโปรเซสของ Chrome จากซอฟต์แวร์ Third-party เช่น Antivirus เครื่องมือการ Debug หรือเครื่องมือด้านความมั่นคงปลอดภัยอื่นๆ ให้เสร็จสิ้นภายในเวอร์ชัน 72 หรือ มกราคมปี 2019 แต่ตอนนี้ในเวอร์ชัน 66 จะแสดงเป็นการแจ้งเตือนก่อนว่ามีความพยายาม Inject Code เข้ามา

สำหรับผู้สนใจฟีเจอร์อื่นๆ ในเวอร์ชัน 66 สามารถติดตามเพิ่มเติมได้ที่ https://blog.chromium.org/2018/03/chrome-66-beta-css-typed-object-model.html ส่วนในการอัปเดตด้านความมั่นคงปลอดภัยที่ถูกแก้ไขในเวอร์ชันนี้สามารถติดตามได้ที่นี่

from:https://www.techtalkthai.com/3-security-features-in-chrome-66-stable-version/

แฮ็กเกอร์ใช้ช่องโหว่ Drupalgeddon 2 ติดตั้ง Backdoor และตัวขุดเหมืองแนะผู้ใช้รีบอัปเดต

หลังจากที่มีนักวิจัยชาวรัสเซียคนหนึ่งได้ออกโค้ด POC สำหรับช่องโหว่ Drupalgeddon 2 ออกมา ไม่นานนักกลุ่มแฮ็กเกอร์ก็เริ่มประยุกต์ใช้ข้อมูลนี้เพื่อสแกนค้นหาฌเซิร์ฟเวอร์ที่มีช่องโหว่และบางส่วนก็ประสบความสำเร็จในการติดตั้ง Backdoor และ ตัวขุดเหมืองไปเรียบร้อยแล้วด้วย ซึ่งคาดว่าการโจมตียังอยู่ในช่วงเริ่มต้นเท่านั้น

ช่องโหว่หมายเลข CVE-2018-7600 นั้นส่งผลกระทบกับ Drupal ( Content Management System เช่น บริหารจัดการเว็บเพจ บล้อก หรืออื่นๆ) เวอร์ชันก่อน 7.58, เวอร์ชัน 8.x ก่อน 8.3.9, เวอร์ชัน 8.4.x ก่อน 8.4.6 และ 8.5.x ก่อน 8.5.1 ซึ่งช่องโหว่นี่ทำให้เกิด Remote Code Execution ได้โดยไม่ต้องพิสูจน์ตัวตนบนไซต์เพียงแค่ใช้งานผ่าน URL เท่านั้น ซึ่งทางทีมงาน Drupal ได้แนะนำให้อัปเดตเป็นเวอร์ชัน 7.58 หรือ 8.5.1 ซึ่งได้รับการปิดช่องโหว่แล้ว

อย่างไรก็ตามหลังจากโค้ด POC ถูกปล่อย (GitHub) ออกมามีรายงานหลายแห่งว่าแฮ็กเกอร์เริ่มทำการทดสอบเพื่อค้นหาระบบที่มีช่องโหว่ ซึ่งแม้ว่ายังไม่มีจำนวนมากนักอ้างจากสถิติของ Imperva มีเพียง 2-3% เท่านั้นที่สามารถติดตั้ง Backdoor หรือ ตัวขุดเหมืองได้สำเร็จและ 90% ไม่ประสบผลสำเร็จในการสแกน แต่ก็เป็นที่จับตามองของนักวิจัยหลายฝ่ายว่าน่าจะเป็นเพียงขั้นทดลองหรือประยุกต์ใช้งานเท่านั้นและคาดว่ากลุ่มแฮ็กเกอร์กำลังมุ่งเป้ามาที่ช่องโหว่นี้แน่นอน

ที่มา : https://www.bleepingcomputer.com/news/security/drupalgeddon-2-vulnerability-used-to-infect-servers-with-backdoors-and-coinminers/ และ https://www.bleepingcomputer.com/news/security/drupal-fixes-drupalgeddon2-security-flaw-that-allows-hackers-to-take-over-sites/

from:https://www.techtalkthai.com/drupalgeddon-2-are-on-the-rise-in-hacker-groups/

นักวิจัยระบุหลายล้านแอปพลิเคชันเผยข้อมูลผู้ใช้ผ่าน SDK การโฆษณา

ในงาน RSA ที่จัดขึ้นที่ประเทศสหรัฐอเมริกานักวิจัยจาก Kaspersky Lab ได้เผยถึงงานวิจัยว่า “มีแอปพลิเคชันหลายล้าน รวมถึง SDK จาก Thrid-party เผยให้เห็นถึงข้อมูลส่วนบุคคลที่สามารถดักจับและแก้ไขเปลี่ยนแปลงได้ง่าย ซึ่งอาจนำไปสู่การติดมัลแวร์ Blackmail หรือการโจมตีในรูปแบบอื่นต่ออุปกรณ์ต่อไป

 

Credit: watcharakun/ShutterStock

นาย Roman Unuchek ได้กล่าวถึงว่าปัญหาคือข้อมูลนั้นถูกส่งผ่าน HTTP จะถูกดักจับได้ง่ายเพราะไม่มีการป้องกันและถูกแชร์อยู่ในเครือข่าย Wi-Fi หรือ ISP เดียวกัน แม้กระทั่งมัลแวร์ที่อาจฝังอยู่ในเร้าเตอร์ตามบ้านเอง โดยข้อมูลที่ไม่มีการปกป้องเหล่านี้สามารถถูกผู้ร้ายแก้ไขเปลี่ยนแปลง เช่น แก้ไขเพื่อแสดงโฆษณาอันตราย ล่อลวงให้ผู้ใช้โหลด Trojan มาติดตั้งเพื่อนำไปสู่มัลแวร์อื่นๆ ต่อไป เมื่อสืบเสาะกลับไปที่ต้นตอของปัญหาพบว่านักพัฒนาใช้ SDK ที่ผูกติดกับเครือข่ายโฆษณาที่ได้รับความนิยมเพื่อประหยัดเวลา อย่างไรก็ตาม Kaspersky พบว่า SDK เหล่านั้นมีช่องโหว่เนื่องจากไม่มีการปกป้องข้อมูลที่ถูกส่งระหว่างแอปพลิเคชันและเซิร์ฟเวอร์เพื่อการโฆษณา ซึ่งมีแอปพลิเคชันหลายล้านใช้งาน SDK โค้ดเหล่านั้นอยู่เสียด้วย

งานวิจัยที่ Unuchek ทำคือการมุ่งเป้าไปยังแอปพลิเคชันที่ใช้งาน HTTP Request ด้วย Method ของ GET และ POST ซึ่งจากการสำรวจ APK (Android Package) กว่า 4 ล้านแพ็กเกจที่เผยข้อมูลบางส่วนบนอินเทอร์เน็ต นักวิจัยกล่าวว่า “บางแอปพลิเคชันเกิดจากความผิดพลาดของนักพัฒนาเอง แต่ปัญหาข้อมูลหลุดของแอปพลิเคชันยอดนิยมส่วนใหญ่เกิดจาก SDK ของ Thrid-party” นอกจากนี้ Unuchek ได้ยกตัวอย่างว่าเขาพบ JSON ไฟล์ที่ไม่ได้เข้ารหัสซึ่งส่งมาจากเซิร์ฟเวอร์โฆษณาที่ประกอบด้วย วันเกิด ชื่อผู้ใช้งาน ตำแหน่ง GPS และข้อมูลอุปกรณ์

นักวิจัยยังได้แสดงความเห็นเพิ่มเติมว่า “ในกรณีของนักพัฒนาแอปพลิเคชันอันตรายยิ่งแย่เข้าไปใหญ่เพราะนอกจากสามารถขโมยข้อมูลต่างๆ ได้แล้วยังเปิดเผยข้อมูลเหล่านั้นบนอินเทอร์เน็ตเพื่อให้คนอื่นเข้ามาเจาะระบบหรือแสวงหาผลกำไรจากข้อมูลเหล่านั้นได้” อย่างไรก็ตามได้ให้คำแนะนำว่าควรใช้งาน VPN และผู้ใช้ควรกำหนดสิทธิ์ของแอปพลิเคชันให้ดี เพราะหากแอปพลิเคชันร้องขอสิทธิ์มากเท่าไหร่ก็มีแนวโน้มที่จะส่งข้อมูลอย่างไม่มั่นคงปลอดภัยเพื่อการโฆษณามากขึ้นเท่านั้น

ที่มา : https://threatpost.com/millions-of-apps-leak-private-user-data-via-leaky-ad-sdks/131251/

from:https://www.techtalkthai.com/kaspersky-says-millions-of-application-expose-personal-data-via-third-party-sdks/

นักวิจัยช่วยกันทลายเครือข่ายเซิร์ฟเวอร์ที่ร่วมกระจายมัลแวร์

นักวิจัยจาก Abuse.ch, Brillant และ Proofpoint ได้ร่วมกันทลายเครือข่ายของเซิร์ฟเวอร์ C&C เบื้องหลังของ EITest หรือเครือข่ายของเซิร์ฟเวอร์จำนวนมากที่ถูกแทรกซึมโดยการติดตั้ง Backdoor เพื่อดูดทราฟฟิคปกติของเว็บไซต์และ Redirect ผู้ใช้ไปยังเพจอันตรายเป็นต้น (Traffic Distribution System)

Credit: Tashatuvango/ShutterStock

 

ประวัติของ EITest มีดังนี้

  • ปรากฏในตลาดของอาชญากรในปี 2011 เริ่มแรกผู้ก่อตั้งหวังใช้เพื่อผลักดันทราฟฟิคไปยัง Exploit Kit (ซอฟต์แวร์ที่รันอยู่บนเซิร์ฟเวอร์ที่ค้นหาและใช้ช่องโหว่บนเครื่องผู้ใช้งานเพื่ออัปโหลดและรันโค้ดอันตรายกับเหยื่อ) ของตนที่ชื่อ Glazunov ที่ใช้เพื่อติดตั้ง Trojan ที่ชื่อ Zaccess แต่ก็ไม่ได้เป็นผลด้านการคุกคามเท่าไหร่นัก
  • ปี 2014 ทีมงานจึงปล่อย EITest ให้กับผู้เขียนมัลแวร์รายอื่นมาเช่าใช้ต่อไป หลังจากนั้นมา EITest ก็มีส่วนแพร่กระจาย Ransomware อย่างนับไม่ถ้วน หรือ มีส่วนในการส่งผู้ใช้ไปยังไซต์ที่ทำ Social Engineering

จากการศึกษาของ Proofpoint พบว่า EITest ได้เสนอขายทราฟฟิคที่ปล้นมาได้จากไซต์ที่ถูกแฮ็กสนนราคาประมาณ $20 เหรียญต่อผู้ใช้งาน 1 พันคน โดยขั้นต่ำของการซื้อขายอยู่ที่ 5 หมื่นคน ต่อมาเมื่อต้นปี 2017 นักวิจัยจาก BrillantIT ได้เข้าไปศึกษาการทำงานภายใน EITest ทั้งหมด จากการเข้ายึดโดเมนหนึ่งชื่อ Stat-dns.com จนในที่สุดหลังจากวิเคราะห์การไหลของทราฟฟิคที่มีเหยื่อกว่า 2 ล้านคนรายวันมาจากเว็บไซต์ที่ถูกแฮ็กกว่า 52,000 แห่งและส่วนใหญ่เป็น WordPress

อย่างไรก็ตามหลังจากทลายเครือข่ายแล้วก็ไม่มีความพยายามของทีม EITest ที่จะนำระบบกลับมาอีกเลย แต่ก็ยังมีเครือข่ายลักษณะนี้ในตลาดอีก เช่น Fobos, Nyay และ Seamless เป็นต้น

ที่มา : https://www.bleepingcomputer.com/news/security/researchers-take-down-network-of-52-000-infected-servers-distributing-malware/

 

from:https://www.techtalkthai.com/researchers-sinkholed-eitest-network-of-distributing-malware/

พบการ Hijack DNS ของเร้าเตอร์เพื่อ Redirect ผู้ใช้ไปยังเพจที่มีมัลแวร์ Android

พบการโจมตีโดยใช้วิธี Hijack DNS บนเร้าเตอร์ที่มีช่องโหว่เพื่อ Redirect ผู้ใช้ไปยังหน้าเพจที่มีมัลแวร์ของ Android จนถึงตอนนี้นักวิจัยยังไม่ทราบว่าแฮ็กเกอร์ใช้วิธีไหนเข้าถึงเร้าเตอร์ตามบ้านเพื่อไปเปลี่ยนแปลง DNS ได้ อย่างไรก็ตามนักวิจัยได้เก็บตัวอย่างของมัลแวร์ที่ชื่อ Roaming Mantis มาศึกษาถึงวิธีการทำงานด้วยเช่นกัน

Credit: ShutterStock.com

Kaspersky Lab พบว่ามีการ Hijack ทราฟฟิคเกิดขึ้นประมาณ 150 ไอพีซึ่งมีการ Redirect ผู้ใช้งานไปยังหน้าเพจอันตรายกว่า 6 พันครั้งระหว่าง 9 กุมภาพันธ์ ถึง 9 เมษายนที่ผ่านมา โดยแฮ็กเกอร์จะ Redirect ผู้ใช้ไปยังหน้าเพจเลียนแบบของแอปพลิเคชัน Android เช่น Google Chrome และ Facebook เป็นต้น นอกจากนี้เว็บไซต์ที่ตั้งแอปพลิเคชันปลอมและตัวแอปพลิเคชันเองสามารถรองรับภาษาได้ 5 ภาษาคือ เกาหลี ญี่ปุ่น อังกฤษ ตัวอักษรจีนแบบดั้งเดิมและแบบย่อ

จากการศึกษาตัวอย่างมัลแวร์ Roaming Mantis ซึ่งเป็นแอปพลิเคชันที่มุ่งเน้นเพื่อขโมยข้อมูลโดยไม่พบโค้ดที่ทำการขโมยเงินของผู้ใช้งานออกจากบัญชี แม้ว่ามันจะเจาะจงไปยังแอปพลิเคชัน เช่น เกมยอดนิยมและธนาคาร จากผู้ใช้งานในหลายประเทศ เช่น เกาหลีใต้ อินเดีย ญี่ปุ่น บังคลาเทศ อย่างไรก็ตาม Credential ที่ถูกขโมยไปอาจถูกใช้ปฏิบัตการหลอกลวงอื่นๆ ต่อไป ที่น่าสังเกตคือวิธีการแพร่พันธุ์มัลแวร์โดยการเข้าถึงเร้าเตอร์เพื่อ Hijack DNS ถือเป็นวิธีการใหม่สำหรับการโจมตีผสมผสานกับมัลแวร์ Android ดังนั้นแนะนำว่าควรอัปเดตแพตช์เร้าเตอร์อย่างสม่ำเสมอนะครับ

from:https://www.techtalkthai.com/new-attack-via-hijack-router-dns-and-redirect-user-to-malicious-websites/