คลังเก็บป้ายกำกับ: VULNERABILITY

แฮ็กเกอร์โจมตี RDP บนวินโดวส์มากขึ้นถึงเท่าตัว รวมมากกว่าแสนครั้งต่อวัน

นับตั้งแต่มีการกักตัวอยู่ที่บ้าน ทำให้มีสัดส่วนพนักงานที่ทำงานจากระยะไกลผ่านอุปกรณ์พกพามีจำนวนเพิ่มขึ้นมาก ซึ่งต้องเข้าถึงคอมพิวเตอร์ภายในองค์กรที่เต็มไปด้วยข้อมูลความลับผ่านโปรโตคอล Remote Desktop Protocol (RDP) บนวินโดวส์

ซึ่ง RDP นี้เป็นโปรโตคอลที่ไมโครซอฟท์พัฒนาขึ้นมาให้ใช้เฉพาะแพลตฟอร์มของตัวเอง ที่ช่วยให้ผู้ใช้เข้าถึงหน้เดสก์ท็อปของคอมพิวเตอร์เครื่องอื่นได้ผ่านการเชื่อมต่อบนเครือข่าย อย่างไรก็ตามจากรายงานวิเคราะห์ของ ESET พบการเพิ่มสูงขึ้นมากของเครื่องไคลเอนต์ที่ตกเป็นเป้าโจมตีแบบ Brute-Force ผ่าน RDP ซึ่งถือว่ามีความเสี่ยงร้ายแรงมากโดยเฉพาะในบางองค์กรที่เพิกเฉยต่อการตั้งค่าด้านความปลอดภัย และการที่พนักงานใช้รหัสผ่านที่เดาง่ายโดยไม่มีระบบความปลอดภัยอื่นเพิ่มเติมมาปกป้อง

จากสถานการณ์ปัจจุบันที่คนส่วนใหญ่หันมาทำงานจากระยะไกลแล้ว ยิ่งทำให้ปริมาณการใช้งาน RDP และการสื่อสารผ่านแพลตฟอร์มวิดีโอสูงมาก จนทำให้ทาง Shodan รายงานจำนวนอุปกรณ์ที่เปิดช่องโหว่ RDP บนอินเทอร์เน็ตที่เพิ่มมากขึ้นอย่างรวดเร็วในช่วงเดือนที่ผ่านมา

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/rdp-attack-doubled/

เครื่องพิมพ์กว่า 80,000 เครื่องกำลังปล่อยข้อมูลพอร์ต IPP เปิดโล่ง

หลายปีมาแล้วที่นักวิจัยด้านความปลอดภัยได้เตือนให้ระวังการปล่อยอุปกรณ์เชื่อมต่อออนไลน์แบบเปิดโล่งโดยไม่ได้รับการปกป้องจากไฟร์วอลล์ ซึ่งถือเป็นการดึงดูดให้โดนโจมตีได้เป็นอย่างดี แฮ็กเกอร์จะสามารถเจาะระบบผ่านช่องโหว่ที่เปิดไว้ได้

จนกระทั่งสามารถเข้าควบคุมอุปกรณ์ หรือแม้แต่เชื่อมต่อกับพอร์ตที่เปิดทิ้งไว้ในกรณีที่ไม่มีการยืนยันตัวตนเป็นด่านป้องกัน อุปกรณ์ที่โดนแฮ็กลักษณะนี้มักถูกทำให้เป็นบอทเน็ตผ่านมัลแวร์ หรือกลายเป็นฐานกำลัง เป็นประตูหลังในการเจาะเครือข่ายบริษัทที่ใหญ่กว่า ซึ่งเป็นเทคนิคที่แฮ็กเกอร์ชาวรัสเซียนิยมใช้

อย่างไรก็ดี แม้แนวทางการป้องกันจะเป็นความรู้พื้นฐานที่ควรมีสำหรับผู้ที่ทำงานด้านไอทีหรือความปลอดภัยทางไซเบอร์ แต่สุดท้ายเราก็ยังเห็นอุปกรณ์จำนวนมากที่เปิดทางโล่งบนโลกออนไลน์อย่างไม่ปลอดภัยอยู่ดี

กรณีล่าสุด ทางทีมวิจัยด้านความปลอดภัยจาก Shadowserver Foundation ซึ่งเป็นองค์กรไม่แสวงหากำไรที่ให้ความสำคัญกับการยกระดับแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ทั่วโลกนั้น ได้ออกรายงานเมื่อต้นเดือน

โดยเป็นการออกโรงเตือนบริษัทต่างๆ ที่ปล่อยเครื่องพิมพ์เปิดการเชื่อมต่อบนออนไลน์ทิ้งไว้ พร้อมข้อมูลที่ผู้เชี่ยวชาญจาก Shadowserver ได้สแกนที่อยู่ไอพีแบบ IPv4 ที่เข้าถึงได้ประมาณมากกว่า 4 พันล้านไอพีที่เป็นเครื่องพิมพ์

เพื่อหาพอร์ต IPP ที่เปิดการเชื่อมต่ออย่างไม่ปลอดภัย ทั้งนี้ IPP ย่อมาจาก “Internet Printing Protocol” เป็นโปรโตคอลที่เปิดให้ผู้ใช้จัดการเครื่องพิมพ์ที่เชื่อมต่อผ่านอินเทอร์เน็ต ทำให้ส่งงานพิมพ์ไปยังเครื่องพิมพ์ออนไลน์เหล่านี้ได้

ความแตกต่างระหว่าง IPP กับโปรโตคอลจัดการเครื่องพิมพ์แบบอื่นคือ IPP เป็นโปรโตคอลแบบปลอดภัยที่รองรับฟีเจอร์ชั้นสูงอย่างเช่น Access Control List, การยืนยันตน, และการเข้ารหัสการสื่อสาร แต่ก็ไม่ใช่ว่าจะมีการเปิดใช้ฟีเจอร์เหล่านี้อัตโนมัติถ้าผู้ใช้ไม่ใส่ใจ

ที่มา : ZDNet

from:https://www.enterpriseitpro.net/80000-printers-are-exposing-their-ipp-port-online/

ช่องโหว่บนอุปกรณ์ของ Palo Alto อาจเปิดทางให้แฮ็กเกอร์ข้ามชาติเจาะระบบได้

ทางการสหรัฐฯ ออกมาระบุว่า พบช่องโหว่ด้านความปลอดภัยร้ายแรงบนอุปกรณ์เครือข่ายของ Palo Alto Networks หลายรุ่น ที่อาจกลายเป็นช่องทางของผู้ก่อการร้ายข้ามชาติได้

โดยช่องโหว่นี้เปิดให้ผู้โจมตีจากระยะไกลก้าวข้ามระบบยืนยันตัวตนรวมทั้งรันโค้ดบนระบบที่มีช่องโหว่ อันนำไปสู่การเข้าควบคุมเครือข่ายและระบบทั้งหมดขององค์กรที่อยู่เบื้องหลังได้

ซึ่งจากประกาศด้านความปลอดภัยของ Palo Alto Networks เองนั้น ช่องโหว่นี้ที่มีรหัส CVE-2020-2021จะเกี่ยวข้องกับส่วนซอฟต์แวร์ที่ทำงานบนอุปกรณ์ของบริษัทที่ใช่ระบบ Security Assertion Markup Language (SAML) ซ่งทางหน่วยควบคุมด้านไซเบอร์ของสหรัฐฯ ได้ทวีตเมื่อวันจันทร์ที่ผ่านมา ขอให้ผู้ใช้ติดตั้งแพทช์บนอุปกรณ์เหล่านี้ทันที โดยเฉพาะถ้ามีการใช้งาน SAML อยู่ ซึ่งมักจะเป็นซอฟต์แวร์ที่ทำงานอยู่เบื้องหลังไฟร์วอลล์และแอพพลายแอนซ์ด้าน VPN หลายรุ่นของ Palo Alto Networks

ทางบริษัทเองก็เพิ่งออกแพทช์มาให้ติดตั้งเมื่อวันจันทร์เช่นกัน รวมทั้งกล่าวว่าลูกค้าสามารถปิดฟีเจอร์ SAML ก่อนเพื่อความปลอดภัยได้

ที่มา : CRN

from:https://www.enterpriseitpro.net/palo-alto-networks-vulnerability-could-be-exploited/

ไมโครซอฟท์เปิดตัวฟีเจอร์ใหม่ Office 365 Safe Documents ช่วยป้องกันภัยให้เอกสาร

ทางไมโครซอฟท์ได้ประกาศเปิดตัวฟีเจอร์ด้านควาใปลอดภัยที่ชื่อ Office 365 Safe Documents ซึ่งเป็นการยกระดับความสามารถในการป้องกันอันตรายของฟีเจอร์ Protected View ด้วยการตรวจสอบเอกสารที่ไม่ทราบแหล่งที่มา เพื่อสแกนหาความเสี่ยงและอันตรายที่รู้จักด้วย

ซึ่งฟีเจอร์ Safe Documents นี้เปิดตัวในเวอร์ชั่นพรีวิวเฉพาะบุคคลเมื่อเดือนกุมภาพันธ์ โดยใช้ Microsoft Defender Advanced Threat Protection (ATP) เพื่อสแกนเอกสารที่ถูกเปิดใน Protected View และบล็อกไม่ให้ผู้ใช้เข้าแก้ไขไฟล์ได้จนกว่าจะสแกนเรียบร้อย

ทั้งนี้ Protected View เป็นโหมดแบบอ่านได้อย่างเดียว (Read-Only) บนออฟฟิศสำหรับเปิดเอกสารที่ดูน่าเชื่อว่าไม่ปลอดภัย พร้อมปิดการใช้ฟีเจอร์แก้ไขส่วนใหญ่ ไม่ให้ผู้ใช้เสี่ยงที่จะได้รับอันตราย ซึ่งไมโครซอฟท์ระบุว่า แม้ Protected View จะช่วยสกัดกั้นอันตรายบนเอกสารที่มีต้นกำเนิดจากภายนอกองค์กร แต่ผู้คนก็มักรีบปิดออกมาจากฟีเจอร์แซนด์บ็อกซ์นี้โดยไม่ทันพิจารณาว่าเอกสารดังกล่าวปลอดภัยจริง

ที่มา : BleepingComputers

from:https://www.enterpriseitpro.net/office-365-now-checks-docs-for-known-threats-before-editing/

พบช่องโหว่บน VLC ที่เปิดให้แฮ็กเกอร์รันโค้ดด้วยสิทธิ์ของผู้ใช้ จากระยะไกลได้

ทาง VideoLan ได้ออก VLC เวอร์ชั่นล่าสุด 3.0.11 ที่แก้ปัญหาช่องโหว่ที่เปิดให้รันโค้ดจากระยะไกลบน VLC media player 3.0.10 และเวอร์ชั่นก่อนหน้า สำหรับช่องโหว่นี้อยู่ภายใต้รหัส CVE-2020-13428 ซึ่งผู้โจมตีจากระยะไกลสามารถทำให้ระบบเป้าหมายเกิดภาวะ Buffer Overflow ได้

โดยโจมตีส่วน H26X packetizer ของ VLC ด้วยไฟล์ที่สร้างขึ้นมาเป็นพิเศษ ผลที่ตามมาคือ ตัวโปรแกรมอาจค้าง หรือแม้แต่เปิดช่องให้รันโค้ด Arbitrary ด้วยสิทธิ์ระดับของผู้ใช้เป้าหมาย

แม้ปัญหาหลักของช่องโหว่นี้ดูเป็นแค่การทำให้โปรแกรมใช้ไม่ได้ก็ตามแต่ก็ไม่สามารถมองข้ามความเสี่ยงที่ทำให้ข้อมูลผู้ใช้รั่วไหล หรือเปิดให้รันโค้ดจากระยะไกลได้เช่นกัน แม้จะมีฟีเจอร์อย่าง ASLR และ DEP คอยกรองอีกชั้นก็ตาม ทั้งนี้ การใช้ประโยชน์จากช่องโหว่ดังกล่าว ผู้ใช้ปลายทางจำเป็นต้องเปิดไฟล์อันตรายขึ้นมาก่อน

ทาง VideoLan ออกมายืนยันว่า ยังไม่เคยได้รับรายงานถึงการใช้ช่องโหว่นี้รันโค้ดของผู้โจมตีแต่อย่างใด อย่างไรก็ดี แนะนำผู้ใช้ให้อัพเดท VLC Media Player เป็นเวอร์ชั่น 3.0.11 เพื่ออุดช่องโหว่ และหลีกเลี่ยงการเปิดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/vlc-vulnerability-let-remote-hackers/

BitDefender แก้ไขบั๊ก ที่เปิดให้ผู้โจมตีรันคำสั่งจากระยะไกลได้แล้ว

ปกติโซลูชั่นด้านความปลอดภัยมักถูกออกแบบมาเพื่อปกป้ององค์กร แต่อุดมคติดังกล่าวก็พังทลายลงได้เมื่อซอฟต์แวร์เดียวกันนี้กลับกลายเป็นประตูเชื้อเชิญแฮ็กเกอร์เสียเอง

ซึ่งกรณีนี้ก็เกิดขึ้นกับโปรแกรมดังอย่าง BitDefender ด้วย ที่มีช่องโหว่ใหม่ที่เปิดให้สั่งรันโค้ดได้จากระยะไกล ภายใต้รหัส CVE-2020-8102 ซึ่งอยู่ในส่วนของบราวเซอร์ Safepay เป็นช่องโหว่ที่เกิดจากการตรวจสอบความถูกต้องของข้อมูลป้อนเข้าที่ไม่เพียงพอ กลายเป็นการเปิดทางให้เว็บเพจที่ออกแบบมาอย่างจำเพาะสามารถรันคำสั่งจากระยะไกลภายในโปรเซส Safepay Utility ได้

ปัญหานี้กระทบกับ Bitdefender Total Security 2020 เวอร์ชั่นก่อนหน้า 24.0.20.116 ช่องโหว่นี้เปิดเผยโดย Wladimir Palant ซึ่งเป็นบล็อกเกอร์ด้านระบบความปลอดภัย และเป็นผู้คิดค้นเอ็กซ์เทนชั่นชื่อดัง AdBlock Plus โดยพบระหว่างการศึกษากลไกการปกป้องผู้ใช้ของ BitDefender จากใบประกาศรับรองดิจิตอลที่ไม่ถูกต้อง ที่พบว่ากลับเปิดช่องให้แบ่งปันโทเค่นระหว่างเพจได้

ที่มา : BleepingComputers

from:https://www.enterpriseitpro.net/bitdefender-fixes-bug-allowing-attackers/

ช่องโหว่แบบ Zero-day บนเราท์เตอร์ Netgear กว่า 79 รุ่น เปิดช่องให้แฮ็กควบคุมอุปกรณ์ได้

นักวิจัยค้นพบช่องโหว่แบบ Zero-day ที่ยังไม่มีแพทช์ออกมาอุดช่องโหว่ ปรากฏบนเราท์เตอร์ของ Netgear จำนวนกว่า 79 รุ่น ที่เปิดทางให้ผู้โจมตีเข้าควบคุมอุปกรณ์ได้จากระยะไกล ด้วยการรันโค้ด Arbitrary ในฐานะผู้ใช้ระดับ “Root” จนทำให้สามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์

ช่องโหว่นี้ถูกค้นพบโดยสองนักวิจัยอย่าง Adam Nicholas จาก GRIMM และ d4rkn3ss จากผู้ให้บริการอินเทอร์เน็ต VNPT โดย Nicholas พบว่าช่องโหว่นี้กระทบกับเฟิร์มแวร์เวอร์ชั่นที่ต่างกันถึง 758 แบบที่รันบนเราท์เตอร์ยี่ห้อ Netgear กว่า 79 รุ่น

ซึ่งเฟิร์มแวร์นี้ถูกปล่อยออกมาตั้งแต่ปี 2007 ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส HTTPD ที่รับการติดต่อผ่าน TCP พอร์ต 80 โดยดีฟอลต์ ปัญหานี้มาจากการตรวจสอบที่ไม่เพียงพอของข้อมูลที่ผู้ใช้ป้อนเข้ามาก่อนคัดลอกลงบัฟเฟอร์ ผู้โจมตีไม่จำเป็นต้องยืนยันตนก่อนใช้ประโยชน์จากช่องโหว่นี้

ทั้งนี้ Adam Nicholas ได้วิเคราะห์ช่องโหว่บน Netgear R7000 เวอร์ชั่น 1.0.9.88 แล้วใช้ตัว Binwalk ดูดระบบไฟล์ของ Root จากอิมเมจเฟิร์มแวร์ อย่างไรก็ตาม ช่องโหว่นี้จะมีเฉพาะในเวอร์ชั่นเก่ากว่าปัจจุบันเท่านั้น

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/unpatched-zero-day-flaw-in-79-netgear/

พบช่องโหว่ใน Cisco Webex Meetings บนวินโดวส์ที่ทำให้ข้อมูลรั่วไหลได้

ช่องโหว่ในโปรแกรม Cisco Webex Meetings Desktop เวอร์ชั่นสำหรับวินโดวส์นี้ เปิดช่องให้ผู้โจมตีที่อยู่บนเครื่องปัจจุบันที่ผ่านการยืนยันตัวแล้ว สามารถเข้าถึงข้อมูลที่เป็นความลับบนเครื่องได้

ช่องโหว่นี้อยู่ภายใต้รหัส CVE-2020-3347 โดยมีลักษณะของการใช้หน่วยความจำร่วมกันของแอพพลิเคชั่นที่ไม่ปลอดภัย จากข้อมูลของผู้ที่พบช่องโหว่นี้อย่าง Trustwave SpiderLabs Security พบว่าถ้าผู้ใช้ที่ลงทะเบียนเป็นไคลเอนต์ล็อกอินเข้าระบบแบบอัตโนมัติแล้วตัวไคลเอนต์จะมีไฟล์ที่สัมพันธ์กับหน่วยความจำบางไฟล์ที่ไม่ได้รับการป้องกันทั้งการเขียนและอ่านข้อมูล

ดังนั้น ผู้ใช้ที่ไม่หวังดีจึงสามารถเปิดและดูดข้อมูลในไฟล์ออกมาได้ถ้าพวกเขาสามารถล็อกอินเข้าเครื่องได้ หรือกล่าวอีกนัยหนึ่งคือผู้ใช้รายอื่นจะสามารถเปิดเข้ามาในเซสชั่นเดิมเพื่อเข้ามาอ่าน และบันทึกคอนเท็นต์ภายในเซสชั่นนั้นๆ ได้

ช่องโหว่นี้เปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงหน่วยความจำของระบบ โดยรันแอพพลิเคชั่นบนเครื่องคอมพิวเตอร์เดียวกัน

ที่มา : GBHackers

from:https://www.enterpriseitpro.net/cisco-webex-meetings-for-windows-let-hackers/

ช่องโหว่ใหม่ ! บนโปรโตคอลอินเทอร์เน็ตของอุปกรณ์พกพา ทำให้ผู้ใช้ 5G เสี่ยง!

พบช่องโหว่ร้ายแรงบนโปรโตคอลที่ใช้ในการสื่อสารปัจจุบันของผู้ให้บริการโครงข่ายโทรศัพท์ ที่เปิดช่องให้ดูดข้อมูลผู้ใช้ หรือเปลี่ยนแปลงข้อมูลการสื่อสารเพื่อสวมรอย หลอกลวง หรือทำให้เกิดการโจมตีแบบ Denial-of-Service (DoS) ได้

การค้นพบครั้งนี้เป็นส่วนหนึ่งที่ระบุไว้ในรายงานชื่อ Vulnerabilities in LTE and 5G Networks 2020 ตีพิมพ์โดยบริษัทด้านความปลอดภัยไซเบอร์ในกรุงลอนดอนอย่าง Positive Technologies ในช่วงสัปดาห์ที่ผ่านมา

รายงานฉบับนี้อธิบายผลการตรวจประเมินด้านความปลอดภัยที่ทำกันในช่วงปี 2018 – 2019 กับผู้ให้บริการโครงข่ายโทรศัพท์กว่า 28 แห่ง ทั้งในยุโรป, เอเชีย, แอฟริกา, และอเมริกาใต้ ซึ่งโปรโตคอลเจ้าปัญหานี้มีชื่อว่า GPRS Tunnelling Protocol (GTP)

เป็นมาตรฐานการสื่อสารบน Internet Protocol (IP) มีการกำหนดกฎจำนวนหนึ่งเกี่ยวกับทราฟิกข้อมูลบนเครือข่ายทั้ง 2G, 3G, และ 4G นอกจากนี้ยังเป็นพื้นฐานของเครือข่ายแกนหลักของ GPRS และเป็นรุ่นถัดมาจาก Evolved Packet Core (EPC) เดิม

ที่มา : THN

from:https://www.enterpriseitpro.net/new-mobile-internet-protocol-vulnerabilities/

SMBleed: ช่องโหว่ร้ายแรงตัวใหม่บนโปรโตคอล SMB ของวินโดวส์

เมื่อวันอังคารที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบช่องโหว่ร้ายแรงตัวใหม่บนโปรโตคอล Server Message Block (SMB) ที่เปิดทางให้ผู้โจมตีสามารถดูดข้อมูลจากหน่วยความจำ Kernel จากระยะไกลได้

ซึ่งเมื่อใช้งานร่วมกับช่องโหว่ “Wormable” พี่ถูกค้นพบก่อนหน้านี้แล้ว จะทำให้สามารถโจมตีด้วยกันรันโค้ดจากระยะไกลได้ด้วย ช่องโหว่นี้มีชื่อว่า “SMBleed” (CVE-2020-1206) ค้นพบโดยบริษัทด้านความปลอดภัยทางไซเบอร์ ZecOps

ช่องโหว่นี้อยู่ในส่วนของการแตกไฟล์ข้อมูลของ SMB ซึ่งเป็นฟังก์ชันเดียวกันกับที่เคยมีบั๊ก SMBGhost หรือ EternalDarkness (CVE-2020-0796) ที่เคยถูกค้นพบเมื่อสามเดือนที่แล้ว ทำให้วินโดวส์เสี่ยงต่อการโดนโจมตีด้วยมัลแวร์

จนทำให้มัลแวร์กระจายไปทั่วเน็ตเวิร์กได้ ช่องโหว่ใหม่ที่เพิ่งค้นพบนี้กระทบกับวินโดวส์ 10 เวอร์ชั่น 1903 และ 1909 ซึ่งล่าสุดทาง Microsoft ได้ออกแพทช์ด้านความปลอดภัยมาแล้วในฐานะส่วนหนึ่งของตัวอัพเดทแพทช์ประจำเดือนมิถุนายน

ที่มา : THN

from:https://www.enterpriseitpro.net/smbleed-a-new-critical-vulnerability/