คลังเก็บป้ายกำกับ: SECURITY

เทรนด์ไมโครได้รับเลือกเป็นผู้นำด้าน Enterprise Email Security จาก Forrester

อีเมล์นั้นนับเป็นเทคโนโลยีที่มีพัฒนาการมายาวนาน แต่อันตรายที่จ้องเล่นงานทางอีเมล์ก็พัฒนาขึ้น มีความซับซ้อนมากขึ้นอย่างไม่หยุดยั้ง อย่างการโจมตีด้วยแรนซั่มแวร์ที่อาศัยช่องทางอีเมล์เป็นสัดส่วนมากถึง 97% จึงเป็นสาเหตุที่มีผู้จำหน่ายผลิตภัณฑ์และโซลูชั่นความปลอดภัยสำหรับอีเมล์เป็นจำนวนมากในตลาด

ดังนั้น การคัดเลือกโซลูชั่นความปลอดภัยสำหรับอีเมล์ที่ดีที่สุดสำหรับองค์กรตัวเองนั้นดูเป็นภารกิจที่ยากพอสมควร ซึ่งทางบริษัทวิจัยอิสระที่มีชื่อเสียงอย่าง Forrester Research ก็ได้ออกรายงานชื่อ “The Forrester Wave™: Enterprise Email Security, Q2 2019” เมื่อวันที่ 16 พฤษภาคมที่ผ่านมา

โดยระบุการใช้เกณฑ์ประเมิน 32 รายการเพื่อวัดผู้ให้บริการความปลอดภัยอีเมล์ต่างๆ จนได้ผู้จำหน่ายรายสำคัญ 12 เจ้า พร้อมวิจัย วิเคราะห์ และให้คะแนนตามความสามารถในการสนับสนุนเจ้าหน้าที่ฝ่ายความปลอดภัยและดูแลความเสี่ยง เพื่อให้ง่ายต่อการเลือกเจ้าที่เหมาะสมกับตัวเองมากที่สุด

ซึ่งเทรนด์ไมโครก็ได้รับเลือกให้ดำรงตำแหน่งผู้นำในรายงานของ Forrester นี้ด้วย ยิ่งไปกว่านั้นยังได้รับคะแนนสูงสุดในหมวดยุทธศาสตร์ในบรรดาแบรนด์อื่นรวม 12 แบรนด์ อีกทั้งยังได้คะแนนสูงสุดในเกณฑ์ “ความเป็นผู้นำด้านเทคโนโลยี” ภายใต้หมวดยุทธศาสตร์ผลิตภัณฑ์อีกด้วย

ที่มา : Trendmicro

from:https://www.enterpriseitpro.net/forrester-names-trend-micro-leader-in-email-security/

โฆษณา

Tor Browser พร้อมให้บริการบน Android แล้ว

Tor Project ไปประกาศปล่อย Tor Browser เวอร์ชันสเถียรให้ผู้สนใจดาวน์โหลดกันได้บน Google Play แล้ว

credit : Zdnet

สำหรับ Tor Browser คือ Browser ที่ต่อยอดมาจาก Firefox แต่มีวิธีการ implement ที่มุ่งปกป้องความเป็นส่วนตัวของผู้ใช้งานไม่ให้ถูกสอดแนมจาก Censorship ต่างๆ ที่บน Android จะเริ่มต้นเวอร์ชันที่ 8.5 ซึ่งเป็นเวอร์ชันสเถียรพร้อมใช้งานแล้วหลังจากเปิดตัวเวอร์ชันทดสอบมากว่า 8 เดือน อย่างไรก็ตามยังฟังก์ชันไม่เท่ากับ Tor Browser บน Desktop บ้างซึ่งทีมงานกำลังพยายามอัปเดตอย่างต่อเนื่อง

โดยสำหรับผู้ใช้ iOS ที่สนใจทีมงานเผยว่ายังไม่มีแผนให้บริการนี้ออกมาเพราะติดเรื่อง Policy ต่างๆ จาก Apple ที่ค่อนข้างยุ่งยากแต่แนะนำให้ไปใช้ Onion Browser ที่ถูกพัฒนาโดย Mike Tigas และ The Guardian Project แทนได้

ที่มา :  https://www.zdnet.com/article/first-official-version-of-tor-browser-for-android-released-on-the-play-store/ และ  https://www.bleepingcomputer.com/news/security/tor-browser-85-for-android-released-on-the-google-play-store/

from:https://www.techtalkthai.com/tor-browser-8-5-for-android-was-released/

นักวิจัยสาธิต PoC 3 ช่องโหว่ Zero-day ของ Windows บน GitHub

คงต้องกล่าวว่านักวิจัยคนเดิม (SandboxEscaper) เพิ่มเติมคืออีก 3 ช่องโหว่ Zero-day และ 1 ช่องโหว่ที่ Microsoft เพิ่งแพตช์ไปไม่นานนี้ โดยเป็นคนเดียวกับคนที่ค้นพบช่องโหว่ Zero-day บน Task Scheduler ที่เราเพิ่งนำเสนอไปเมื่อวานนี้ซึ่งนักวิจัยได้เผยแพร่การ PoC ช่องโหว่ไว้ที่ GitHub ของตนเช่นเคย  

เครดิต : Bleepingcomputer

IE11 Zero-day

เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถ inject โค้ดอันตรายเข้าไปใน IE ได้แต่จากการวิเคราะห์ของผู้เชี่ยวชาญไม่สามารถใช้จากภายนอกเข้ามาได้ โดยสิ่งที่นักวิจัยสาธิตคือมีการ inject DLL เข้าไปในโปรเซสของ IE 11 ที่นำไปสู่การปิด Internet Protect Mode และทำให้รัน JavaScript ภายใต้ระดับความมั่นคงปลอดภัยต่ำลง (ชมภาพประกอบได้ด้านบน) ผู้สนใจสามารถติดตามเพิ่มเติมได้จาก GitHub ของนักวิจัย

CVE-2019-0841 BYPASS (Zero-day)

ประเด็นคือช่องโหว่นี้ถูกค้นพบก่อนหน้านี้และมีการแพตช์แล้วเพียงแต่ว่า SandboxEscaper เจอวิธีใหม่ที่ยังคงเข้าไปใช้งานช่องโหว่นี้ได้อยู่ โดย CVE-2019-0841 เป็นช่องโหว่ Local Privilege Escalation ที่ทำให้ผู้โจมตีในสิทธิ์ระดับต่ำสามารถ Hijack ไฟล์ที่เป็นของ NT AUTHORITY\SYSTEM ได้โดยการ Overwrite Permission ไฟล์เป้าหมายซึ่งนำไปสู่ Permission ระดับ Full Control ได้ซึ่ง Microsoft กล่าวว่าเป็น Bug ในการจัดการ Hardlink ได้ไม่ดีพอของ Windows AppX Deployment Service (AppXSVC) สามารถชมวีดีโอสาธิตได้จากด้านล่าง

Zero-day InstallerBypass

เป็นช่องโหว่ Local Privilege Escalation ที่ทำให้ส่ง Binary เข้าไปยังโฟลเดอร์ของ Windows และสามารถรันด้วยสิทธิ์ระดับสูง โดยนักวิจัยได้อธิบายว่ามีระยะเวลาสั้นๆ ช่วงหนึ่ง (Race Condition) เมื่อทำการ Repair การติดตั้ง Windows app ซึ่งโปรเซสสามารถถูก Hijack เพื่อเขียนไฟล์ไปยังพื้นที่หวงห้ามของ Windows OS อย่างไรก็ตามช่องโหว่นี้น่าจะมีประโยชน์กับมัลแวร์อย่างมากในการเข้าควบคุมเครื่อง

ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้จาก GitHub หรือ ชมวีดีโอสาธิตด้านล่าง

AngryPolarBearBug2

อีกหนึ่งช่องโหว่ Local Privilege Escalation แต่เกิดบน Windows Error Reporting Service โดยเกิดจาก Race Condition ของ 2 Function call เพื่อสร้าง Hardlink ที่สามารถยกระดับสิทธิ์ไปยังไฟล์ทำให้ผู้โจมตีสามารถเข้าไปแก้ไข ลบ ไฟล์ที่ตนไม่มีสิทธิ์ได้ซึ่งในวีดีโอสาธิตนักวิจัยได้โชว์ว่าหากทำได้สำเร็จผู้โจมตีจะสามารถเข้าไปแก้ไข C:\Windows\System32\drivers\pci.sys ได้

อย่างไรก็ตามช่องโหว่นี้ไม่จัดเป็น Zero-day เพราะทาง Microsoft ได้แพตช์ป้องกันแล้วในเดือนนี้ด้วยหมายเลข CVE-2019-0863 นอกจากนี้การใช้งานช่องโหว่ก็ไม่ง่ายเพราะนักวิจัยกล่าวว่าเป็นความยากของการเอาชนะ Race Condition ซึ่งขนาดในวีดีโอเองนักวิจัยก็ใช้เวลานานถึง 15 นาทีแถมยังไม่การันตีความสำเร็จในทุกครั้งและสภาพแวดล้อมอื่นๆ ด้วย ผู้สนใจสามารถชมภาพประกอบได้ตามด้านล่างหรือ GitHub

เครดิต : Bleepingcomputer

โดยการสาธิตช่องโหว่ครั้งนี้ทำให้ภายใน 10 เดือน SandboxEscaper ได้เผยช่องโหว่ Zero-day ของ Windows มาแล้วถึง 8 รายการเลยทีเดียว (ทำเหมือนหากันง่ายๆ อย่างนั้นแหละ)

ที่มา :  https://www.zdnet.com/article/researcher-publishes-windows-zero-days-for-the-third-day-in-a-row/ และ  https://www.bleepingcomputer.com/news/security/two-more-windows-10-zero-day-poc-exploits-released-brings-total-to-4/ และ  https://www.zdnet.com/article/two-more-microsoft-zero-days-uploaded-on-github/ และ  https://www.bleepingcomputer.com/news/microsoft/poc-exploits-released-for-two-more-windows-vulnerabilities/

from:https://www.techtalkthai.com/sandboxescaper-debuts-poc-3-more-zero-day-on-windows/

GitHub เพิ่มฟีเจอร์ความปลอดภัย: ปล่อยบอตส่ง pull request อัพแพตช์อัตโนมัติ, แยกพื้นที่พัฒนาแพตช์ความปลอดภัย

GitHub เปิดตัวฟีเจอร์ความปลอดภัยเพิ่มเติมงานงาน GitHub Satellite โดยมีฟีเจอร์สำคัญคือ Dependabot ที่สแกนหาไลบรารีที่เราใช้งานและส่ง pull request อัพเดตไลบรารีให้เองหากเวอร์ชั่นที่ใช้อยู่มีช่องโหว่ความปลอดภัย, และแท็บ Security เป็นพื้นที่พัฒนาแพตช์ความปลอดภัยสำหรับโครงการต่างๆ ก่อนที่จะเปิดเผยต่อสาธารณะ

นอกจากฟีเจอร์ใหม่สองรายการนี้ ยังมีฟีเจอร์ย่อย เช่น

  • เริ่มรายละเอียดการแจ้งเตือนช่องโหว่ไลบรารี จากเดิมที่เริ่มแแจ้งเตือนไลบรารีมีช่องโหว่ในปี 2017 ตอนนี้คำแจ้งเตือนจะมีข้อมูลจาก WhiteSource เพื่อให้มีรายละเอียดมากขึ้น
  • Dependency Insight: เป็นฟีเจอร์สำหรับ GitHub Enterprise วิเคราะห์ไลบรารีที่โครงการกำลังใช้งาน, ช่องโหว่ความปลอดภัย, และสัญญาอนุญาตของไลบรารีต่างๆ
  • Token Scanning: เพิ่มการแจ้งเตือนโทเค็นในซอร์สโค้ด โดยเพิ่มโทเค็น Alibaba Cloud, Mailgun, และ Twilio
  • Security Policy: เปิดให้สร้างไฟล์ SECURITY.md เพื่อวางนโยบายความปลอดภัยให้กับโครงการ สำหรับการใช้แบบองค์กรสามารถสร้างไฟล์มาตรฐานขององค์กรได้ด้วย

ฟีเจอร์ Dependabot ต้องเปิดใช้งานด้วยตัวเอง โดยเริ่มใช้งานได้แล้ว

ที่มา – GitHub Blog

No Description

Topics: 

from:https://www.blognone.com/node/109925

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย

Credit: Elastic

ฟีเจอร์ด้านความมั่นคงปลอดภัยที่เปิดฟรีมีดังนี้

  • TLS สำหรับการเข้ารหัสการติดต่อสื่อสาร
  • สร้างและบริหารจัดการผู้ใช้ด้วย File และ native realm
  • สามารถกำหนด Role-based access ในการเข้าถึง Cluster และ index ได้ซึ่งต่อยอดไปถึงการทำ Multi-tenancy สำหรับ Kibana ด้วย

โดยก่อนหน้านี้ในปีที่แล้วได้มีการเปิดเผยโค้ดของฟีเจอร์เหล่านี้ไปแล้วซึ่งเมื่อก่อนต้องเป็น Gold Subscription ให้ฟรีตั้งแต่ระดับ Basic แต่ต้องใช้ Elastic Stack 6.8.0 หรือ 7.1.0 เท่านั้น อย่างไรก็ดีฟีเจอร์ Single Sign-on และ AD/LDAP Authentication ยังคงต้องเป็นฟีเจอร์เสียเงิน ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

นอกจากนี้ยังมีการประกาศ Elastic Cloud on Kubernetes (ECK) ด้วยซึ่งเป็น Orchestrator ตัวใหม่บน Kubernetes เพื่อให้ผู้ใช้สามารถ Provision และจัดการ Elasticsearch Cluster ได้จาก Kubernetes อย่างไรก็ตามการเปิดฟรีฟีเจอร์ข้างต้นจะสนับสนุนให้เกิดความมั่นคงปลอดภัยให้ทุก Cluster ที่ถูกจัดการใน ECK ตั้งแต่เริ่มสร้างขึ้นโดยไม่ต้องรบกวนผู้ดูแลมากนัก ผู้สนใจสามารถติดตามเรื่อง ECK เพิ่มเติมได้ที่นี่

ที่มา : https://www.elastic.co/blog/security-for-elasticsearch-is-now-free

from:https://www.techtalkthai.com/elastic-open-free-some-security-for-elastic-stack/

ดาวน์โหลดฟรี! ตัวปลดล็อกแรนซั่มแวร์ JSWorm 2.0

เมื่อต้นสัปดาห์ ทาง Emsisoft ได้ปล่อยตัวปลดการเข้ารหัสของแรนซั่มแวร์ที่ชื่อ JSWorm 2.0 ออกมา เพื่อเปิดโอกาสให้เหยื่อที่โดนโจมตีสามารถปลดล็อกไฟล์กลับมาได้ฟรี ซึ่งถ้าเครื่องของคุณกำลังติดเชื้อ JSWorm 2.0 อยู่ ก็ไม่ต้องจ่ายค่าไถ่อีกต่อไป

แม้จะยังไม่ทราบแน่ชัดเกี่ยวกับวิธีการแพร่ระบาดของแรนซั่มแวร์ JSWorm 2.0 แต่ก็พบเหยื่อกระจายอยู่หลายภูมิภาคทั่วโลกไม่ว่าจะเป็นแอฟริกาใต้, อิตาลี, ฝรั่งเศส, ตุรกี, อิหร่าน, เวียดนาม, เยอรมัน, บราซิล, อาเจนติน่า, และสหรัฐอเมริกา

ซึ่งเมื่อติดเชื้อแล้ว JSWorm 2.0 จะเข้ารหัสไฟล์คอมพิวเตอร์ แล้วใส่สกุลไฟล์ใหม่ให้เป็น .JSWORM หรือ .JURASIK ตัวอย่างเช่น ถ้าไฟล์ชื่อ test.jpg ถูกเข้ารหัสแล้ว ก็จะถูกเปลี่ยนชื่อเป็น test.jpg.JSWORM สำหรับการใช้ทูลนี้ปลดล็อกไฟล์แทนการจ่ายค่าไถ่นั้น จำเป็นต้องมีข้อความเรียกค่าไถ่เก็บไว้อยู่

ข้อความดังกล่าวแสดงขึ้นตอนที่ติดเชื้อครั้งแรก ใช้ชื่อไฟล์ว่า JSWORM-DECRYPT.txtเก็บไว้ในแต่ละโฟลเดอร์ที่โดนหางเลข รวมทั้งบนเดสก์ท็อป จากนั้นดาวน์โหลดไฟล์ของทูลนี้ที่ www.emsisoft.com/decrypter/jsworm-20 เพื่อรันในฐานะแอดมินเพื่อเลือกไฟล์โน้ตเรียกค่าไถ่ของโฟลเดอร์ที่ต้องการปลดล็อกต่อไป

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/jsworm-2-0-ransomware-decryptor-gets-your-files-back-for-free/

นักวิจัยพบช่องโหว่ Zero-day ใหม่ของ Windows 10 บน Task Scheduler

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้

Credit: ShutterStock.com

นักวิจัยได้กล่าวถึงช่องโหว่ว่าเป็น Local Privilege Escalation (LPE) หรือการที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์เพื่อเข้าถึงเครื่องเหยื่อได้ในสิทธิ์ระดับสูง โดยนักวิจัยได้ใช้ไฟล์ .JOB เพื่อใช้งานช่องโหว่บนโปรเซสของ Task Scheduler ที่เข้าไปเปลี่ยนแปลง DACL (Discretionary access control list) หรือสิทธิ์การอนุญาตของไฟล์ซึ่งหลังจากทำได้สำเร็จจะสามารถยกระดับสิทธิ์สู่ผู้ดูแลได้เลยทีเดียว สามารถรับชมวีดีโอสาธิตได้จากด้านล่าง

อันที่จริงแล้วสมัย XP ตัว Task ต่างๆ จะอยู่ในไฟล์ .JOB แต่ปัจจุบันยังสามารถเพิ่มเข้าไปใน OS ใหม่ได้ อย่างไรก็ตามมีการตอบรับจากผู้เชี่ยวชาญอย่าง Will Dormann นักวิเคราะห์ของ CERT/CC แล้วว่าโค้ด PoC ที่ถูกเปิดเผยสามารถใช้ได้จริงบน Windows 10 x86 และสำเร็จ 100% โดยไม่ต้องมีการแก้ไขแพตช์ด้วย นอกจากนี้คาดว่าจะทำได้กับ WIndows 10 x64 ด้วยเพียงแค่ต้องคอมไพล์ใหม่ก่อนเล็กน้อย

สำหรับ SandboxEscaper มีผลงานเปิดเผยช่องโหว่ Zero-day มาแล้วถึง 4 รายการในปี 2018 แถมในครั้งนี้นอกจากช่องโหว่ที่เผยยังอ้างว่ามีช่องโหว่อีก 3 รายการรออยู่และพร้อมขายให้กับผู้ซื้อที่ไม่ใช่ชาวตะวันตกในราคาไม่ต่ำกว่า 60,000$ เหรียญสหรัฐฯ หรือราว 1,900,000 บาท โดยผู้สนใจสามารถติดตามโค้ด PoC ได้บน GitHub

ที่มา :  https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-bug-in-windows-10-task-scheduler/ และ  https://www.zdnet.com/article/windows-10-zero-day-exploit-code-released-online/

from:https://www.techtalkthai.com/zero-day-in-windows-10-task-scheduler-was-exposed-by-sandboxescaper/