คลังเก็บป้ายกำกับ: THREATS_UPDATE

พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

Credit: JaysonPhotography/ShutterStock.com

แอปพลิเคชันที่ได้รับสิทธิ์ในการเข้าถึงรูปภาพ ส่วนมากมักจะถูกจำกัดเฉพาะรูปที่โพสต์บนไทม์ไลน์ของเจ้าของบัญชี Facebook อย่างไรก็ตาม ระหว่างช่วง 2 สัปดาห์ของวันที่ 13 – 25 กันยายนที่ผ่านมา มีความผิดพลาดเกิดขึ้นบนโค้ดส่วน Photo API ที่ทำการอัปเดตใหม่ ซึ่งทำให้สิทธิ์ในการเข้าถึงรูปภาพดังกล่าวถูกขยายออกไปยังส่วนอื่นๆ เช่น Marketplace หรือ Facebook Stories รวมไปถึงรูปภาพที่เจ้าของไม่ได้เผยแพร่ออกไป (รูปภาพดังกล่าวนี้เกิดจากการที่ผู้ใช้ทำการอัปโหลดรูปขึ้น Facebook แต่ยังไม่ได้โพสต์ออกไป อาจจะเป็นเพราะเกิดเปลี่ยนใจ หรือไปทำกิจกรรมอย่างอื่นก่อน Facebook จะทำการเก็บรูปไว้ชั่วคราว เผื่อผู้ใช้กลับมาโพสต์ต่อให้จบ) ส่วนรูปภาพที่แชร์ผ่าน Facebook Messenger นั้นไม่ได้รับผลกระทบแต่อย่างใด

Facebook ได้ทำการตรวจสอบเบื้องต้น พบว่าปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้ราว 6,800,000 คน และมีแอปพลิเคชัน 1,500 รายการจากนักพัฒนา 876 รายที่สามารถเข้าถึงรูปภาพอื่นๆ ของผู้ใช้ได้โดยไม่ต้องรับความยินยอมก่อน อย่างไรก็ตาม ต้องเข้าใจตรงกันว่าแอปพลิเคชันเหล่านี้ อย่างน้อยก็ได้รับอนุมัติในการเข้าถึง Photoi API ของ Facebook และมีสิทธิ์ในการเข้าถึงรูปภาพบนไทม์ไลน์ของผู้ใช้อยู่ก่อนแล้ว

เนื่องจากขณะเกิดเหตุนั้น Facebook ไม่สามารถระบุได้ชัดเจนว่า แอปพลิเคชันใดที่เรียกใช้ API ที่มีปัญหาบ้าง ทางบริษัทฯ จึงตัดสินใจแจ้งเตือนไปยังผู้ใช้ทั้งหมดที่มีการใช้ 1 ใน 1,500 แอปพลิเคชันเหล่านั้น ในขณะที่แจ้งไปยังนักพัฒนาเจ้าของแอปพลิเคชันให้ตรวจสอบรูปภาพที่มี และจัดการลบรูปที่ไม่สมควรได้รับอนุญาตให้เข้าถึงทิ้งไป

จนถึงตอนนี้ Facebook แก้ไขบั๊กบน Photo API เป็นที่เรียบร้อยแล้ว สำหรับผู้ใช้ที่ได้รับผลกระทบ จะมี Notification แจ้งเตือนบน Facebook ซึ่งจะลิงค์ไปยังหน้า Help Center เพื่อให้ตรวจสอบถึงผลกระทบที่ตนเองได้รับ และแอปพลิเคชันที่อาจจะมีสิทธิ์เข้าถึงรูปภาพเกินกว่าขอบเขตที่กำหนดไว้

ที่มา: https://www.bleepingcomputer.com/news/security/facebook-photo-api-bug-exposed-pics-of-up-to-68-million-users/

from:https://www.techtalkthai.com/facebook-api-bug-exposed-photos-from-6-8-million-users/

Advertisements

สหรัฐฯ เตือนประชาชนอยู่ในความสงบ หลังพบอีเมลสแปมขู่วางระเบิดทั่วสหรัฐฯ

ตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องของสหรัฐฯ ออกมาแจ้งเตือนให้ประชาชนอยู่ในความสงบ หลังพบแคมเปญอีเมลสแปมขู่วางระเบิดแพร่กระจายในหลายเมือง ไม่ว่าจะเป็นนิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก และวอชิงตัน หากไม่ยอมจ่ายค่าไถ่ $20,000 (ประมาณ 650,000 บาท) ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่วทั้งสหรัฐฯ

จากการตรวจสอบพบว่าแคมเปญอีเมลสแปมดังกล่าวถูกส่งออกไปทั่วสหรัฐฯ กว่าหลายล้านฉบับ ถึงแม้ว่าหัวข้อและเนื้อหาจะแตกต่างกันไปบ้าง แต่หลักๆ แล้วคือการขู่วางระเบิดสถานที่ทำงานของเหยื่อ ถ้าเหยื่อไม่ยอมจ่ายประมาณ $20,000 ในรูปของ Bitcoin

ถึงแม้ว่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจะออกมาระบุว่าอีเมลสแปมเหล่านี้เป็นเรื่องหลอกลวง แต่ประชาชนชาวอเมริกันส่วนใหญ่กลับไม่คิดแบบนั้น ส่งผลให้เกิดความวุ่นวายและการอพยพหนีออกจากอาคารไปทั่ว ในขณะที่ทางตำรวจสหรัฐฯ เองก็ได้รับรายงานอีเมลขู่วางระเบิดจากหลายๆ เมืองตลอดทั้งวัน จนถึงขั้นต้องส่งทีมกู้ระเบิดเข้าไปตรวจสอบในอาคารบางแห่ง

มหาวิทยาลัย โรงเรียน สื่อสารมวลชน ศาล บริษัทเอกชน และหน่วยงานสาธารณะหลายแห่งทั่วสหรัฐฯ ไม่ว่าจะเป็น นิวยอร์ก ชิคาโก ดีทรอยต์ ซาน ฟรานซิสโก ลาสเวกัส และวอชิงตัน ต่างได้รับอีเมลขู่จนทำให้ต้องอพยพฉุกเฉิน ส่งผลให้ทั้งธุรกิจและการให้บริการต่างๆ หยุดชะงัก จนในที่สุดตำรวจและหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องก็ได้ออกประกาศผ่านทางโซเชียลมีเดียให้ประชาชนอยู่ในความสงบและไม่ต้องสนใจอีเมลขู่ดังกล่าว รวมไปถึงไม่มีความจำเป็นต้องจ่ายค่าไถ่แต่อย่างใด

จากการตรวจสอบบัญชี Bitcoin ที่ระบุในอีเมลขู่ พบว่าจนถึงตอนนี้ยังไม่มีใครจ่ายค่าไถ่ให้กับเหตุการณ์ที่เกิดขึ้นครั้งนี้

ที่มา: https://www.zdnet.com/article/extortion-emails-carrying-bomb-threats-cause-panic-across-the-us และ https://www.bleepingcomputer.com/news/security/new-bomb-threat-email-scam-campaign-demanding-20k-in-bitcoin/

from:https://www.techtalkthai.com/bomb-threat-email-scam-in-us/

US Intelligence Community ยกให้ Quantum Computing และ AI เป็นภัยต่อความมั่นคงของชาติ

US Intelligence Community หรือกลุ่มที่ประกอบด้วย 16 ตัวแทนหน่วยงานรัฐบาลสหรัฐฯ ที่ทำงานประสานงานกันเพื่อถ่ายทอดข้อมูลได้ยกให้ Quantum Computing และ AI รวมถึงเทคโนโลยีใหม่อย่างระบบ Autonomous System หรือ IoT อาจกลายเป็นภัยกำเนิดใหม่ต่อความมั่นคงของชาติหากคนร้ายนำไปใช้ในทางไม่ดี

credit : Techcruch

ภัยที่เป็นเหมือนเหรียญสองด้าน (Dual-use Technologies) นี้ทาง Intelligence Community กล่าวว่า “คนร้ายอาจเข้าถึง AI ที่ใช้ในเพื่อการค้าได้และอาจประยุกต์ไปเป็นอาวุธ” ในอีกด้านหนึ่ง “คนร้ายอาจใช้การ Quantum Communication เป็นช่องทางลับในการติดต่อหากันซึ่งทางสหรัฐฯจะไม่สามารถดักหรือถอดความได้เลย” สามารถดูการประกาศเต็มได้ตามภาพด้านบน

ที่มา : https://techcrunch.com/2018/12/13/us-intelligence-quantum-computing-artificial-intelligence-national-security-threat/

from:https://www.techtalkthai.com/us-intelligence-community-say-quantum-computing-and-ai-are-new-threats/

แฮ็กเกอร์ขโมย Credentials บริการของรัฐบาลในหลายประเทศปล่อยไว้ในออนไลน์

Group-IB บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงการค้นพบ Credentials ของบริการรัฐบาลในหลายประเทศผ่านทางออนไลน์ระหว่างการตามรอยมัลแวร์ ซึ่งมีเหยื่อกว่า 4 หมื่นรายและเชื่อว่า Crendentials ดังกล่าวอาจถูกเร่ขายในตลาดใต้ดินของกลุ่มแฮ็กเกอร์

แฮ็กเกอร์ได้ใช้มัลแวร์ขโมยข้อมูลของเหยื่อหลายตัว เช่น Pony, AZORult และ Qakbot จากนั้นก็จะส่งข้อมูลที่ขโมยได้กลับไปหาเซิร์ฟเวอร์ C2 ของคนร้าย ซึ่ง Alexandr Kalinin หัวหน้าทีมตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์ของ Group-IB เชื่อว่าคนร้ายได้ทำการตัดเอาเฉพาะข้อมูลบัญชีบริการรัฐบาลของเหยื่อมาโปรโมทขายแบบออนไลน์ ปัจจุบันบริษัทได้แชร์ข้อมูลให้กับประเทศที่ได้รับผลกระทบแล้วและเหยื่อหลักๆ นั้นกว่า 52% เป็นบริการจากรัฐบาลอิตาลี ตามมาด้วย 22% เป็นของรัฐบาลจากซาอุดิอาราเบีย และ สุดท้ายรัฐบาลโปรตุเกสราว 5%

โดยการปฏิบัติการครั้งนี้คนร้ายได้สนใจเว็บของหน่วยงานรัฐบาลเป็นพิเศษ เช่น Poland (gov.pl), Romania (gov.ro), Switzerland (admin.ch), Balgaria (goverment.bg) รวมถึงตัวแทนรัฐบาลในประเทศอื่น เช่น กระทรวงกลาโหมของอิตาลี (difesa.it) หน่วยงานกองกำลังป้องกันอิสราเอล (idf.it) และ กระทรวงการต่างประเทศของอิตาลีและโรมาเนีย เป็นต้น อย่างไรก็ตามยังไม่เป็นที่แน่ชัดว่าแฮ็กเกอร์เริ่มโจมตีจากส่วนคอมพิวเตอร์ของหน่วยงานหรือเริ่มจากคอมพิวเตอร์ส่วนตัวของลูกจ้างเอง

ที่มา : https://www.zdnet.com/article/over-40000-credentials-for-government-portals-found-online/ และ https://www.bleepingcomputer.com/news/security/hackers-steal-over-40k-logins-for-gov-services-in-30-countries/

from:https://www.techtalkthai.com/hacker-collects-government-service-credentials-in-many-counties/

คนร้ายใช้ WordPress กว่า 20,000 แห่งเป็นฐานขยายวงการโจมตีเว็บไซต์อื่น

Defiant บริษัทที่ทำด้านความมั่นคงปลอดภัยบน WordPress ได้พบการโจมตีผ่านผลิตภัณฑ์ของตนที่ชื่อ Wordfence ที่ช่วยป้องกันเรื่อง Brute-force และทำ IP Blacklist ซึ่งได้มีการบล็อก Authentication Request จากเครื่องของแฮ็กเกอร์ไปกว่า 5 ล้านครั้ง เมื่อสืบทราบจึงพบว่าคนร้ายได้ใช้กลุ่ม Botnet จากเว็บไซต์ WordPress กว่า 2 หมื่นแห่งเพื่อขยายการโจมตีแบบ Brute-force ไปยังเว็บไซต์ WordPress อื่น

credit : Bleepingcomputer

แฮ็กเกอร์จะเล็ง WordPress ที่ใช้ XML-RPC หรือส่วนที่ช่วยให้ผู้ใช้สามารถโพสต์ Content ได้จากทางไกลโดยผ่านทาง WordPress หรือ APIs อื่นซึ่งมีไฟล์ที่ใช้ติดตั้งชื่อ xmlrpc.php วางอยู่ในไดเรกทอรี่ Root ของ WordPress โดย XML-RPC มีปัญหาระดับโครงสร้างคือไม่ได้มีการทำ Rate limit จำนวนครั้งของการ Request ผ่าน API เอาไว้จึงสบโอกาสให้แฮ็กเกอร์ใช้วิธีการ Brute-force และจะไม่มีใครรู้เลยหากไม่ทำการตรวจสอบ Log

Defiant ได้ศึกษาในเชิงลึกจนเข้าใจโครงสร้างแนวทางของคนร้ายว่ามีการใช้ Server 4 ตัวคอยสั่งการผ่าน Proxy จากรัสเซียชื่อ Best.Proxies.ru ที่มีจำนวนกว่า 14,000 ตัวเพื่ออำพรางตัวเองเชื่อมต่อกับฝูง WordPress Botnet ที่ควบคุมอยู่ (สามารถดูรูปได้ตามด้านบน) โดย Defiant กล่าวว่า “User-Agent String จาก Request ที่พบมักใช้ในแอปพลิเคชันที่คุยกับ XML-RPC อย่างเช่น wp-iphone หรือ wp-android” และเสริมว่า “แอปพลิเคชันเหล่านั้นน่าจะมี Credentials เก็บอยู่บนเครื่องดังนั้นเราเลยเริ่มเอ่ะใจว่าทำไมถึงมีการล็อกอินผิดพลาดมากขนาดนั้นจึงตามรอยไปและพบต้นตอของการโจมตี

โดย Defiant ได้สืบเสาะไปจนรู้ถึงสคิร์ปต์ที่ใช้ในการ Brute-force ว่าจะมีการรับอินพุตน์จาก Server ควบคุมเป็น POST เข้ามาเพื่อบอกว่าจะให้โจมตีโดเมนไหนซึ่งทำให้ได้เบาะแสสาวไปถึงหนึ่งใน Server ควบคุมและพบคำสั่งต่างๆ ที่ส่งมาควบคุม รวมถึงกลุ่ม Server ส่วนหนึ่งที่เป็นเหยื่อของการปฏิบัติการครั้งนี้ ซึ่ง Defiant ได้แจ้งเรื่องกับทางผู้เกี่ยวข้องและแจ้งเตือนเว็บที่ตกเป็นเหยื่อด้วย สำหรับการป้องกันผู้ดูแลก็สามารถติดตั้งปลั้กอินที่สามารถจำกัดความพยายามล็อกอินที่มากเกินไปได้

from:https://www.techtalkthai.com/hacker-used-20000-wordpress-site-as-bot-for-brute-force/

Adobe ออกแพตช์เร่งด่วนอุต Zero-Day บน Flash Player หลังพบถูกใช้ในรัสเซีย

Qihoo 360 ทีมผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจากจีนและ Gigamon ผู้ให้บริการโซลูชันด้านเครือข่ายได้ตรวจพบการโจมตีแบบ APT ที่ใช้ช่องโหว่บน Flash Player เกิดขึ้นกับคลีนิกเสริมความงามแห่งหนึ่งในรัสเซียที่มีลูกจ้างระดับสูงของสหพันธรัฐเข้าไปใช้บริการจึงคาดว่าน่าจะเป็นประเด็นทางการเมือง โดยการโจมตีครั้งนี้ถูกเรียกว่า “Operation Poison Needles”

credit : Bleepingcomputer

ไอเดียคือหลังจากคนร้ายเลือกเหยื่อแล้วจะส่งแบบสอบถามลูกจ้างที่คนร้ายได้ปลอมขึ้นมาชื่อ ’22.docx’ ผ่านทางอีเมลไปหาเหยื่อซึ่งภายในจะมีไฟล์ rar ที่บรรจุไฟล์สำหรับใช้งานช่องโหว่ Flash อีกที โดย Word เองก็มีการแจ้งเตือนแล้วว่า “ไฟลฺ์ที่ฝังมาในเอกสารนี้อาจไม่ปลอดภัย” แต่หากเหยื่อกดดำเนินงานต่อจะทำให้เกิดการ Execute Code (ตามรูปด้านล่าง) ในไฟล์ชื่อ backup.exe ที่ทำตัวเนียนเป็นแอปพลิเคชันของ Nvidia อีกทั้งยังได้มีการใช้ Certificate ที่ถูกขโมยมาและถูกเรียกคืนไปแล้วด้วย นอกจากนี้ผู้เชี่ยวชาญเผยว่า backup.exe จะมีการทำสำเนาตัวเองไปยัง Path : %LocalAppData%\NVIDIAControlPanel\NVIDIAControlPanel.exe และยังส่งข้อมูลคอมพิวเตอร์พร้อมกับแอปพลิชันที่ติดตั้งบนเครื่องนั้นกลับไปหาคนร้ายได้ด้วย รวมถึงยังทำการดาวน์โหลดและรัน Shell Code บนเครื่องด้วย

credit : Bleepingcomputer

หมายเลขอ้างอิงช่องโหว่ครั้งนี้คือ CVE-2018-15982 และเลขอ้างอิงของ Adobe เองคือ APSB18-42 โดยช่องโหว่มีผลกระทบกับ Flash Player เวอร์ชันก่อนหน้าจนถึง 31.0.0.153 ดังนั้นผู้ใช้งานควรเข้าไปอัปเดตได้ทันที นอกจากนี้การแพตช์ครั้งข้างต้นยังได้มีการอุตช่องโหว่ DLL Hijacking ที่แฮ็กเกอร์สามารถโหลด DLL อันตรายตอนเริ่มรัน Flash Player ได้ด้วย สามารถอ่านรายงานฉบับเต็มของ Qihoo และ Gigamon 

ที่มา : https://www.bleepingcomputer.com/news/security/adobe-fixes-zero-day-flash-player-vulnerability-used-in-apt-attack-on-russia/ และ https://www.scmagazine.com/home/security-news/adobe-fixes-zero-day-flash-bug-after-attackers-target-russian-clinic-with-exploit/

from:https://www.techtalkthai.com/adobe-patches-zero-day-on-flash-player/

พบ Ransomware ในจีนโดนแล้วกว่าแสนเครื่องรับค่าไถ่ผ่าน WeChat Pay

Huorong บริษัทด้านความมั่นคงปลอดภัยในจีนได้พบมัลแวร์เรียกค่าไถ่โดยให้ชื่อว่า ‘WeChat Ransom’ สาเหตุเพราะสามารถรับเงินค่าไถ่ได้ผ่านทาง WeChat ซึ่งเป็นช่องทางที่คนจีนนิยมใช้จ่ายเงินผ่านทาง QR Code นั่นเอง โดยใช้เวลาไม่กี่วันก็สามารถหาเหยื่อได้ถึง 1 แสนครั้งและค่าไถ่ตกอยู่ราว 110 หยวนหรือประมาณ 500 บาท

credit : Bleepingcomputer

จากข้อมูลของ Tencent  มัลแวร์น่าจะกระจายผ่านแอปพลิเคชันยอดนิยมที่ออกแบบมาเพื่อจัดการบัญชี QQ (instant messenging ของ Tencent) นอกจากนี้ยังมีข้อมูลเพิ่มเติมว่าผู้เขียนมัลแวร์ยังใช้แอปพลิเคชันอีกกว่า 50 ตัวเพื่อกระจายมัลแวร์ด้วย อย่างไรก็ตามนักวิจัยได้พบว่าคนร้ายได้ใช้บริการด้าน Social Network ที่ชื่อ ‘Douban’ ส่งคำสั่งควบคุมและนักวิจัยสามารถเข้าถึงเซิร์ฟเวอร์เก็บข้อมูลของคนร้ายได้ 2 เครื่องแล้ว โดยภายในนั้นมีข้อมูลรหัสผ่านของบัญชี Taobao และ Alipay รวมกันอยู่กว่า 20,000 บัญชี ทั้งนี้ยังพบว่ามัลแวร์ได้จ้องขโมยข้อมูลล็อกอินในแอปพลิเคชันอื่นด้วย เช่น Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud, Jingdong และ QQ

หลังจากการวิเคราะห์นักวิจัยพบว่ามัลแวร์ตัวนี้ไม่ได้ซับซ้อนมากนักและกู้คืนไฟล์ได้เพราะคนร้ายได้ฝัง Key เอาไว้ในตัวมัลแวร์เองด้วย ทั้งนี้กระบวนการเข้ารหัสก็ใช้เพียงแค่ XOR ไม่ใช่ DES แบบที่อ้างไว้ในจดหมายเรียกค่าไถ่จึงอาจจะสร้างเครื่องมือถอดรหัสออกมาได้ไม่ยาก นอกจากนี้นักวิจัยพบเบาะแสบางอย่างในการวิเคราะห์มัลแวร์ที่อาจนำไปสู่การชี้ตัวคนร้ายได้ เช่น ชื่อ เบอร์โทรศัพท์ บัญชี QQ และอีเมล พร้อมส่งให้ทางตำรวจต่อไป ปัจจุบันทาง Tencent ได้แบน QR Code ของคนร้ายออกไปตั้งแต่ช่วงแรกๆ ของการแพร่มัลแวร์แล้ว รวมถึง Douban ก็ได้ลบเพจของคนร้ายที่ทำหน้าเป็นส่วน C&C แล้วเช่นกัน

from:https://www.techtalkthai.com/chinese-ransomware-ask-pay-on-wechat/