คลังเก็บป้ายกำกับ: VULNERABILITY_AND_RISK_MANAGEMENT

เชิญร่วมงาน Cybersecurity Forum – Thailand 2020 โดย Palo Alto Networks

Palo Alto Networks ร่วมกับ Google และ Tufin พร้อมด้วยบริษัท IT ชั้นนำในประเทศไทย ขอเรียนเชิญทุกท่านเข้าร่วม Cybersecurity Forum – Thailand 2020 พบกับ Webinar Series ทั้ง 3 วัน ที่จะช่วยไขข้อข้องใจและตอบคำถามด้าน Cybersecurity และให้คุณเข้าใจทุกมิติของการสร้างระบบความมั่นคงปลอดภัยที่มีประสิทธิภาพในการเตรียบรับมือ New Normal ของการทำ Cybersecurity พร้อม Use Case จากผู้เชี่ยวชาญ เพื่อตอบโจทย์ในยุคของ Digital Transformation และปัจจุบันหลายองค์กรต้องเผชิญกับความกดดันในการ Transformation ของ Digital และ Network ซึ่งอาจส่งผลกระทบต่อระบบความปลอดภัยของระบบองค์กร

13 Aug 2020: ร่วมฟัง Webinar ที่จะนำเสนอ Use Case และ Best Practice ในแนวคิดสำคัญของการทำ Cybersecurity ยุคใหม่ อย่าง SASE และ Zero Trust พบผู้บริหารจาก Bangkok Bank ที่จะมาร่วมแชร์ Use Case ในการทำ Zero Trust ประยุกต์ใช้ในองค์กร

 

20 Aug 2020: ร่วมฟัง Webinar เพื่อช่วยให้คุณค้นพบคำตอบจาก Use case ต่างๆ ในการเตรียมตัวย้ายระบบสู่ Cloud หรือดูแลระบบ Cloud ให้มั่นคงปลอดภัย พิเศษสุด พบผู้เชี่ยวชาญจาก Google บริษัท Opsta คุณจิรายุส นิ่มแสง ผู้สอบผ่าน 𝗖𝗲𝗿𝘁𝗶𝗳𝗶𝗲𝗱 𝗞𝘂𝗯𝗲𝗿𝗻𝗲𝘁𝗲𝘀 𝗔𝗱𝗺𝗶𝗻𝗶𝘀𝘁𝗿𝗮𝘁𝗼𝗿 (𝗖𝗞𝗔) คนแรกในประเทศไทย ที่จะมาแชร์เรื่องความสำคัญของ DevSecOps ในองค์กร ว่าคืออะไร มีประโยชน์ยังไง และสิ่งที่ควรคำนึงถึงในการเริ่มทำ DevSecOps ในองค์กร

 

3 Sept 2020: ร่วมฟัง Webinar ค้นหาคำตอบที่จะช่วยสร้าง Security Operations ที่ปลอดภัย พบผู้บริหารจาก AIS ที่จะมาร่วมแชร์ Use Case ในการจัดการระบบความปลอดภัยให้ศูนย์ CSOC เพื่อเพิ่มความมั่นใจให้ลูกค้าที่ใช้บริการ

from:https://www.techtalkthai.com/cybersecurity-forum-thailand-2020-by-palo-alto-networks/

มีแพตช์แล้วไม่อุด! แฮ็กเกอร์แจก Credential พร้อมไอพีของเซิร์ฟเวอร์ VPN กว่า 900 แห่ง

กลุ่มแฮ็กเกอร์ได้แจกฟรีลิสต์รายการของ Credential พร้อมข้อมูลอื่นๆ ที่ได้มาจากเซิร์ฟเวอร์ VPN ของ Pulse Secure กว่า 900 ตัวที่ยังไม่แพตช์ช่องโหว่จากปีก่อน

Credit: Andrey Popov/ShutterStock

รายละเอียดของข้อมูลที่ถูกปล่อยออกมามีดังนี้

  • IP ของเซิร์ฟเวอร์
  • Firmware Version
  • SSH Keys
  • ลิสต์ของ Local User และ Password Hash
  • รายละเอียดของบัญชีระดับแอดมิน
  • การล็อกอินล่าสุด (Username และรหัสผ่านในรูปแบบ Cleartext)
  • VPN Session Cookie

ทั้งนี้ผู้เชี่ยวชาญวิเคราะห์แล้วพบว่า Pulse Secure ที่ตั้งเป็น VPN Server มีสิ่งที่ร่วมกันคือใช้ Firmware ที่ยังไม่ได้แพตช์ช่องโหว่ CVE-2019-11510 โดยเชื่อว่าแฮ็กเกอร์น่าจะไล่สแกนช่วง IPv4 เพื่อหาเซิร์ฟเวอร์ที่เปิดอยู่และใช้ช่องโหว่นี้ระหว่างวันที่ 24 มิถุนายนถึง 8 กรกฏาคม จนกระทั่งสามารถเข้าไปยังระบบและเก็บข้อมูลที่ต้องการออกมา 

อันที่จริงแล้ว Bad Packet ได้เคยออกมาเตือนกันครั้งแรกตั้งแต่สิงหาคมปีก่อนแล้วถึงเรื่องช่องโหว่นี้ โดยพบว่า 677 จาก 913 ไอพีในครั้งนี้ ก็คือเครื่องเดิมๆ ที่ Bad Packet เคยพบแล้วเมื่อปีก่อน นั่นหมายความว่าตลอดระยะเวลา 1 ปีนั้น ไม่ได้มีการแพตช์ช่องโหว่เลย ทั้งนี้เมื่อแฮ็กเกอร์ได้แจกฟรีข้อมูลออกไปแล้ว เตรียมตั้งตารอการมาเยือนของแรนซัมแวร์กันได้ต่อไปและแม้จะอัปเดตกันหลังจากนี้ก็ต้องไล่เปลี่ยนรหัสผ่านที่ถูกแฉออกไปแล้วด้วยครับ

ที่มา :  https://www.zdnet.com/article/hacker-leaks-passwords-for-900-enterprise-vpn-servers/

from:https://www.techtalkthai.com/hacker-give-free-list-of-credential-with-unpatch-pulse-secure-vpn-server-ip/

พบช่องโหว่บนปลั๊กอิน Newsletter บน WordPress แนะผู้ใช้เร่งอัปเดต

Wordfence ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยถึงช่องโหว่บนปลั๊กอิน Newsletter 2 รายการ โดยคาดว่าส่งผลกระทบต่อเว็บไซต์กว่า 300,000 แห่ง

credit : https://wordpress.org/plugins/newsletter/

Newsletter เป็นปลั๊กอินบน WordPress ที่มียอดการใช้งานในเว็บไซต์กว่า 3 แสนแห่งในปัจจุบัน ซึ่งประเด็นคือเมื่อเดือนก่อนทีม Wordfence ได้พบช่องโหว่ XSS และ PHP Injection ที่สามารถนำไปสู่การลอบสร้างบัญชีแอดมินหรือ inject backdoor ในไซต์ที่ใช้งานปลั๊กอินนี้ อย่างไรก็ดีปัจจุบันทางทีมงานได้แจ้งแก่ผู้พัฒนาจนออกแพตช์มาแล้วในเวอร์ชัน 6.8.3 เมื่อกลางเดือนก่อน ประเด็นคือถึงทุกวันนี้ยังมีจำนวนผู้ดาวน์โหลดไปแค่ครึ่งเดียว นั่นแปลว่ายังมีผู้ใช้งานกว่าครึ่งมีรูรั่วอยู่นั่นเอง 

ที่มา :  https://www.bleepingcomputer.com/news/security/newsletter-plugin-bugs-let-hackers-inject-backdoors-on-300k-sites/

from:https://www.techtalkthai.com/wordpress-newsletter-plugin-was-patched-in-version-6-8-3/

Google เผยช่องโหว่ Zero-day ที่ถูกใช้โจมตีในปี 2020

ผ่านไปครึ่งปีนักวิจัยด้านความมั่นคงปลอดภัยของ Google ได้ทำลิสต์ติดตามช่องโหว่ Zero-day ที่ถูกคนร้ายใช้งานแล้วในปีนี้

ช่องโหว่ที่น่าสนใจแบ่งตามผลิตภัณฑ์ได้ดังนี้

1.) Firefox

  • CVE-2019-17026 – ช่องโหว่ที่ยังติดอาวุธให้แก่คนร้ายเพื่อใช้งานร่วมกับช่องโหว่อื่นเพื่อทำการโจมตี โดยเพิ่งจะถูกแพตช์ไปเมื่อต้นมกราคมนี้เอง 
  • CVE-2020-6819 และ CVE-2020-6820 – ช่องโหว่ร้ายแรงซึ่งเกิดจากปัญหา Use-after-free (ติดตามเพิ่มเติมได้ที่นี่) โดย Firefox ถูกแพตช์ไปแล้วในเวอร์ชัน 74.0.1

2.) Internet Explorer

ช่องโหว่นี้ถูกใช้งานในเคมเปญเดียวกันกับ CVE-2019-17026 บน Firefox โดยเชื่อว่าแฮ็กเกอร์ระดับชาติจากเกาหลีที่ชื่อ DarkHotel เป็นผู้อยู่เบื้องหลัง เพื่อสอดแนมเป้าหมายในจีนและญี่ปุ่น โดยเหยื่อจะถูก Redirect ไปยังเว็บไซต์อันตรายที่จะติด Gh0st RAT ต่อไป

3.) Chrome

CVE-2020-6418 ถูกแพตช์แก้ไขในเวอร์ชัน 80.0.3987.122 โดยเนื้อหาวิธีการโจมตีซึ่งถูกพบโดย Google เอง ไม่เคยถูกเปิดเผยออกมา

4.) Trend Micro 

เหตุการณ์ Mitsubishi Electric ถูกแฮ็กในปี 2019 เชื่อว่าเกิดขึ้นจากช่องโหว่หมายเลข CVE-2020-8467 และ CVE-2020-8468 บนผลิตภัณฑ์ OfficeScan ของ Trend Micro ซึ่งเพิ่งถูกแพตช์ย้อนหลังตามมาในปีนี้

5.) Sophos XG Firewall

ช่องโหว่ Zero-day หมายเลข CVE-2020-12271 นี้ถูกใช้โจมตีแล้วแต่เคราะห์ดีที่ทีมงานเบื้องหลังตอบโต้ได้เร็ว ติดตามเพิ่มเติมได้ที่นี่ 

6.) Microsoft

คงจะขาดไปไม่ได้สำหรับบริษัทซอฟต์แวร์ยักษ์ใหญ่ที่ครองแชมป์เรื่องช่องโหว่อยู่เสมอมา โดยช่องโหว่ Zero-day ที่น่าจับตาจาก Google มีอยู่ 3 รายการดังนี้

  • CVE-2020-0938 และ CVE-2020-1020 – Windows Adobe Type Manager Library ซึ่ง Microsoft กล่าวว่าสำหรับระบบที่ไม่ใช่ Windows 10 คนร้ายอาจสามารถใช้ช่องโหว่เพื่อลอบรันโค้ดจากทางไกลได้ (RCE) แต่สำหรับ Windows 10 คนร้ายที่โจมตีสำเร็จจะสามารถเข้าไป Execute โค้ดใน AppContainer Sandbox ด้วยสิทธิ์จำกัด 
  • CVE-2020-1027 – เป็นช่องโหว่ยกระดับสิทธิ์ที่เกิดขึ้นใน Windows Kernel

อย่างไรก็ดีทั้ง 3 ถูกแพตช์รอบเดียวกันในกลางเดือนเมษายนที่ผ่านมา ด้วยเหตุนี้จึงไม่สมควรขาดการอัปเดตครับ

ที่มา :  https://www.zdnet.com/article/google-eleven-zero-days-detected-in-the-wild-in-the-first-half-of-2020/

from:https://www.techtalkthai.com/google-tracks-zero-day-vulnerabilities-exploits-in-2020/

DataOne ผนึกกำลัง T-Net ให้บริการด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ พร้อมรับมือ PDPA

บริษัท ดาต้าวัน เอเชีย (ประเทศไทย) จำกัด ได้ลงนามบันทึกข้อตกลงการ ร่วมมือกับ บริษัท ที-เน็ต จำกัด เมื่อวันที่ 20 กรกฎาคม ที่ผ่านมา เพื่อสร้างพันมิตรทางธุรกิจในการให้บริการที่ปรึกษาด้านความปลอดภัยทางสารสนเทศตามมาตรฐานสากลเพื่อขับเคลื่อนธุรกิจให้เกิดความมั่นคงและปลอดภัยต่อภัยคุกคามให้แก่องค์กรแก่กลุ่มลูกค้าเป้าหมายกลุ่มภาครัฐและเอกชน โดยเฉพาะหน่วยงานที่มีความสำคัญและจำเป็นต่อโครงสร้างพื้นฐานของประเทศให้สอดคล้องตามกฎหมาย พ.ร.บ. ความมั่นคงปลอดภัยไซเบอร์ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล

บริษัท ที-เน็ต จำกัด ก่อตั้งโดยสำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สวทช.) ภายใต้กระทรวงวิทยาศาสตร์และเทคโนโลยี ตามนโยบายการแปรรูปหน่วยงานวิจัยเป็นบริษัท โดยมุ่งเน้นพัฒนากระบวนการและให้บริการให้คำปรึกษาด้านการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์แก่หน่วยงานภาครัฐและเอกชน ตลอดระยะเวลา 10 ปีที่ผ่านมา ที-เน็ตพัฒนาบริการให้คำปรึกษาด้านระบบรักษาความปลอดภัยอย่างครบวงจร ตั้งแต่การให้บริการ Security Audit การแสกนซอร์สโค้ด การตรวจสอบด้านความมั่นคงปลอดภัยของอุปกรณ์ที่เกี่ยวข้องทั้งหมด การประเมินหาช่องโหว่ การบริการเจาะระบบ การจัดทำแผนนโยบายการรักษาความมั่นคงปลอดภัย ไปจนถึงการเป็นที่ปรึกษาทางด้าน IT Security แบบครบวงจรโดยผู้เชี่ยวชาญทรงคุณวุฒิ

นอกจากนี้ ที-เน็ตยังได้รับรางวัลอีกมากมายที่ยืนยันความสำเร็จที่ผ่านมา ทั้งได้รางวัล SME ดีเด่นจากสำนักงานส่งเสริมวิสาหกิจขนาดกลางและขนาดย่อม และผ่านการรับรองตามเกณฑ์มาตรฐานธรรมาภิบาลธุรกิจ (Good Governance) จากกรมพัฒนาธุรกิจการค้ากระทรวงพาณิชย์และสภาหอการค้าไทย

DataOne ซึ่งเป็นผู้ให้บริการด้านไอซีทีแบบครบวงจรที่ให้กลุ่มธุรกิจที่หลากหลาย เช่น การธนาคาร การประกันภัย โรงพยาบาล การโทรคมนาคม หน่วยงานภาครัฐและภาคเอกชน ดาต้าวันยังได้รับมาตรฐานการให้บริการ IT Outsourcing ด้วยมาตรฐานความปลอดภัยสูงและตรงตามมาตรฐานบริหารสากล เช่น ISO 20000-1 IT Service Management Systems และ ISO 27001 Information Security Management System และเป็นตัวแทนจำหน่ายของผลิตภัณฑ์ชั้นนำทางด้านเครือข่ายและความมั่นคงปลอดภัยชั้นสูง เช่น Firewall SSL VPN เทคโนโลยีการยืนยันตัวตน และเทคโนโลยีการเข้ารหัสข้อมูล

เป้าหมายของ DataOne เพื่อส่งเสริมให้องค์กรต่างๆ สามารถดำเนินธุรกิจ โดยสอดคล้องตามกฎหมาย พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และได้รับบริการด้านความมั่นคงไซเบอร์ที่ครบวงจร เพื่อประโยชน์ด้านความมั่นคงปลอดภัยสูงสุดขององค์กรผู้ใช้บริการ

from:https://www.techtalkthai.com/dataon-partnership-with-t-net-provides-security-solutions-for-pdpa/

Cisco ออกแพตช์ร้ายแรงให้ DCNM และ SD-WAN แนะผู้ใช้เร่งอัปเดต

มีแพตช์อัปเดตใหม่จากทาง Cisco ให้ผลิตภัณฑ์ DCNM และ SD-WAN ซึ่งมีระดับร้ายแรง จึงแนะนำให้ผู้ใช้งานติดตามอัปเดตครับ

ช่องโหว่ที่น่าสนใจมีดังนี้

  • CVE-2020-3382 – เป็นช่องโหว่ระดับร้ายแรงใน DCNM ซึ่งเกิดขึ้นเพราะมีการแชร์ Static Encryption Key ในตัวติดตั้งที่แตกต่างกัน ทำให้คนร้ายสามารถใช้ Static Key ไปสร้างเป็น Session Token ผ่าน REST API ในสิทธิระดับผู้ดูแลได้ หรือกล่าวคือทำให้ Bypass การพิสูจน์ตัวตนและเข้าไปปฏิบัติการในสิทธิ์ระดับผู้ดูแล โดยผลกระทบคือ DCNM Appliance ที่ติดตั้งด้วย .OVA หรือ .ISO ใน release 11.0, 11.1, 11.2 และ 11.3 ต้องติดตามอัปเดตทั้งสิ้น
  • CVE-2020-3376 – เป็นช่องโหว่บน DCNM ซึ่งมีระดับความรุนแรงสูง ซึ่งทำให้คนร้ายที่ผ่านการพิสูจน์ตัวตนแล้วสามารถ inject คำสั่งจากทางไกลในสิทธิของผู้ใช้ที่ล็อกอินอยู่ ผ่านทาง REST API
  • CVE-2020-3374 – ช่องโหว่ร้ายแรงบนผลิตภัณฑ์ SD-WAN เกิดขึ้นบน Web UI ที่ใช้ในการบริการจัดการ เพราะระบบตรวจสอบการให้สิทธิ์ไม่ดีพอ จึงทำให้คนร้ายสามารถประดิษฐ์ HTTP Request เข้ามาโจมตีได้ ซึ่งนำไปสู่การเข้าถึงข้อมูลสำคัญและการแก้ไขค่าคอนฟิคได้
  • CVE-2020-3375 – ช่องโหว่ร้ายแรงที่ทำให้คนร้ายสามารถทำ Buffer Overflow ในอุปกรณ์ได้ เพื่อเข้าถึงข้อมูลสำคัญหรือเปลี่ยนแปลงระบบ ทั้งนี้สืบเนื่องจากระบบมีการตรวจสอบ Input ได้ไม่ดีพอ โดยผลิตภัณฑ์ที่เกี่ยวข้องคือ IOS XE SD-WAN Software, SD-WAN vBond Orchestrator Software, SD-WAN vEdge Cloud Routers, SD-WAN vEdge Routers, SD-WAN vManage Software และ SD-WAN vSmart Controller Software

ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่นี่ 

ที่มา :  https://www.networkworld.com/article/3569153/cisco-urges-patching-flaws-in-data-center-sd-wan-gear.html และ  https://www.securityweek.com/cisco-patches-serious-vulnerabilities-data-center-network-manager

from:https://www.techtalkthai.com/cisco-patches-critical-vulnerabilities-for-dcnm-sdwan-in-july-2020/

พบช่องโหว่ ‘BootHole’ ในการใช้งาน GRUB2 คาดกระทบ Linux เกือบทุกเวอร์ชัน

นักวิจัยจาก Eclypsium ผู้เชี่ยวชาญด้าน Cybersecurity ได้เปิดเผยช่องโหว่ที่เกิดขึ้นในส่วนประกอบของ GRUB2 ซึ่งเป็น Boot Loader ที่นิยมใช้กันใน Linux  

GRand Unified Bootloader version 2 (GRUB2) เป็น Boot Loader ที่นิยมใช้กันในระบบปฏิบัติการ Linux ซึ่งยังรองรับกับ Windows, macOS ไปจนถึง BSD ได้ด้วย (ศึกษาเพิ่มเติมได้ที่นี่

ประเด็นก็คือนักวิจัยได้มีการค้นพบช่องโหว่ที่ชื่อ BootHole หรือ CVE-2020-10713 ที่ช่วยให้ผู้โจมตีสามารถใช้เพื่อเปลี่ยนแปลงส่วนประกอบของ GRUB2 ให้สามารถไป Execute Code อันตรายในระหว่างขั้นตอน Boot Loading ได้ โดยเจาะลึกกว่านั้นคือผู้โจมตีสามารถเข้าไปแก้ไขไฟล์คอนฟิคตัวหนึ่งที่ชื่อ grub.cfg เพื่อทำ Buffer Overflow ได้ ตามรูปประกอบด้านบน

นอกจากเรื่อง Boot Loader ในระบบ Linux ที่ได้รับผลกระทบแล้ว BootHole ยังส่งผลกระทบกับเซิร์ฟเวอร์ที่ใช้งาน Secure Boot ด้วย เพราะแม้จะมีการ Signed ตัว Firmware เอาไว้ แต่บางอุปกรณ์หรือการตั้งค่าในแต่ละระบบปฏิบัติการไม่ได้ตรวจสอบไฟล์ grub.cfg หมายความว่าผู้โจมตีก็ยังใช้ช่องโหว่นี้ได้อยู่ดี

อย่างไรก็ดีการใช้งานช่องโหว่นี้ก็จำเป็นต้องมีสิทธิระดับแอดมินที่สามารถเข้าไปแก้ไขไฟล์ grub.cfg ได้ และถึงแม้นว่าจะเหมือนยากแต่เอาเข้าจริงคนร้ายก็อาจใช้ช่องโหว่อื่นๆ เพื่อยกระดับสิทธิ์ก่อนได้

ปัจจุบันผู้เชี่ยวชาญได้แจ้งเตือน Vendor ไปหลายรายแล้ว ซึ่งก็มีแพตช์ทยอยออกมาจาก Microsoft, Oracle, Red Hat, Canonical, SUSE, Debian, Citrix, VMware, HP และ Vendor ด้านซอฟต์แวร์อื่นๆ ออกมา ท่านใดสนใจศึกษาเนื้อหาโดยละเอียดสามารถเข้าไปชมได้ที่เว็บของ Eclypsium 

ที่มา :  https://www.zdnet.com/article/boothole-attack-impacts-windows-and-linux-systems-using-grub2-and-secure-boot/ และ  https://www.securityweek.com/boothole-flaw-allows-installation-stealthy-malware-affects-billions-devices

from:https://www.techtalkthai.com/boothole-vulnerability-impacts-most-all-linux-boot-loader/

พบช่องโหว่บน iDRAC9 แนะผู้ใช้งานเซิร์ฟเวอร์ Dell EMC เร่งติดตามอัปเดต

ผู้เชี่ยวชาญจาก Positive Technologies ได้พบช่องโหว่ Directory Traversal บน iDRAC9 ที่ใช้กันในเซิร์ฟเวอร์ของค่าย DELL EMC จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต

iDARC ระบบควบคุมบนเซิร์ฟเวอร์ของค่าย DELL EMC ซึ่งถูกออกแบบมาเพื่อช่วยแอดมินให้ทำการบริหารจัดการเซิร์ฟเวอร์ได้ โดยมีการพบช่องโหว่หมายเลข CVE-2020-5366 เป็นช่องโหว่ Directory Traversal ที่ทำให้คนร้ายที่สามารถผ่านการพิสูจน์ตัวตนเข้ามาลอบอ่านข้อมูลได้ ทั้งนี้แม้ว่าความรุนแรงจะอยู่ที่ระดับ 7.1 แต่ผู้เชี่ยวชาญจาก Positive Technologies เชื่อว่าเป็นการเปิดทางให้คนร้ายสามารถเข้าไปเปิดปิดเครื่องหรือเปลี่ยนแปลงการตั้งค่าของระบบทำความเย็นได้เลยทีเดียว 

ปัจจุบันมีแพตช์แก้ไขแล้วใน Firmware เวอร์ชัน 4.20.20.20 ผู้สนใจสามารถติดตามข้อมูลเพิ่มเติมได้จากเว็บของ DELL EMC

ที่มา :  https://www.scmagazine.com/home/security-news/vulnerabilities/hackers-could-exploit-idrac-flaw-to-control-emc-poweredge-servers/ และ  https://www.infosecurity-magazine.com/news/dell-emc-patches-idrac/

from:https://www.techtalkthai.com/dell-emc-servers-effect-idrac9-flaws-cve-2020-5366/

นักวิจัยพบวิธีการใหม่สามารถโจมตีเอกสาร PDF ที่ทำ Digital Signed

แม้ว่าการทำ Digital Signature ให้เอกสารจะช่วยให้เรามั่นใจได้ว่าเอกสารนั้นไม่ได้ถูกเปลี่ยนแปลง แต่วันนี้ทีมนักวิจัยจาก Ruhr-University Bochum ได้ค้นพบวิธีการที่ชื่อ ‘ShadowAttack’ ซึ่งสามารถเปลี่ยนเนื้อหาใน PDF ที่ถูก Signed ได้

credit : Zdnet

ไอเดียของ ShadowAttack คือคนร้ายจะสามารถซ้อนเลเยอร์ของเอกสารไว้ ภายในชุดเอกสารและส่งไปให้เหยื่อทำ Digital Signed ซึ่งเหยื่อจะเห็นเนื้อหาที่ถูกต้อง จากนั้นพอคนร้ายได้เอกสารกลับมาก็สามารถสับเปลี่ยนเลเยอร์ของเนื้อหาเข้ามาได้ (รูปด้านบน) นั่นหมายถึงวิธีการนี้ไม่ได้ Break เรื่องการเข้ารหัส แต่เป็นการซ่อนเนื้อหาอันตรายไว้แต่แรกผ่าน ‘Unused PDF Object’ อย่างไรก็ดีถ้าหาก PDF Application มีการกำจัดส่วน Unused Object ออกไปวิธีการนี้ก็ใช้ไม่ได้แล้ว

credit : Zdnet

โดย ShadowAttack ส่งผลกระทบต่อแอปพลิเคชัน PDF Viewer 15 จาก 28 รายการที่นักวิจัยใช้ทดลองเช่น Adobe Acrobat Pro/ Reader, Perfect PDF, Foxit Reader และอื่นๆ ตามภาพตารางด้านล่าง (นักวิจัยได้แบ่งการโจมตีเป็น 3 แบบคือ Hide, Replace และ Hide-and-Replace ภาพประกอบด้านบน ) ปัจจุบันมีการแจ้งเตือน Vendor ต่างๆ ออกไปแล้ว รวมถึงช่องโหว่ยังได้รับเลขหมายอ้างอิงแล้วคือ CVE-2020-9592 และ CVE-2020-9596 ซึ่งคาดว่าจะมีแพตช์มาให้ผู้ใช้งานอัปเดตกันเร็วๆ นี้

credit : Zdnet

ผู้สนใจสามารถติดตามงานวิจัยเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/new-shadow-attack-can-replace-content-in-digitally-signed-pdf-files/

from:https://www.techtalkthai.com/reserchers-reveal-new-attack-to-replace-digital-signed-pdf/

ผู้เชี่ยวชาญเผยโค้ดสาธิตโจมตี SharePoint ด้วยช่องโหว่ในเดือนนี้ แนะผู้ใช้เร่งอัปเดต

Steven Seeley ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยโค้ดสาธิตการโจมตี SharePoint Server โดยใช้ช่องโหว่ร้ายแรงหมายเลข CVE-2020-1147 ที่ Microsoft เพิ่งจะถูกออกแพตช์แก้ไขเมื่อสัปดาห์ก่อน ด้วยเหตุนี้เองก่อนแฮ็กเกอร์จะประยุกต์แนวทางเพื่อลงมือจริง จึงแนะนำให้ผู้ดูแลเร่งอัปเดตกันครับ

Credit: ShutterStock.com

CVE-2020-1147 เป็นช่องโหว่ระดับร้ายแรง เนื่องจากมีบั๊กในซอฟต์แวร์ที่ไม่ได้เช็ค Source Markup ในไฟล์ XML ซึ่งส่งผลให้ทำ Deserialization จนนำไปสู่การลอบรันโค้ดได้ โดยเพียงแค่ผู้โจมตีอัปโหลดไฟล์ที่ตนสร้างขึ้นให้เซิร์ฟเวอร์ประมวลผล

ทั้งนี้ช่องโหว่จะส่งผลกระทบกับ  .NET Core 2.1, .NET Framework 2.0 SP2, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, 4.7.1, 4.7.2 และ 4.8 (ขึ้นกับเวอร์ชันของ Windows ), SharePoint Enterprise Server 2013 Service Pack 1, SharePoint Enterprise Server 2016 , SharePoint Server 2010 Service Pack 2, SharePoint Server 2019, Visual Studio 2017 version 15.9, and Visual Studio 2019 versions 16.0, 16.4 และ 16.6

ปัจจุบัน Seeley ได้สาธิตและให้รายละเอียดของการโจมตีกับ SharePoint Server ไปแล้ว แต่ก็ยังเตือนว่าช่องโหว่นี้อาจถูกดัดแปลงเพื่อโจมตีแอปพลิเคชัน .net ในบริบทอื่นได้ ด้วยเหตุนี้เองผู้ดูแลจึงควรเร่งมืออัปเดตครับ 

ที่มา :  https://www.securityweek.com/poc-released-critical-vulnerability-exposing-sharepoint-servers-attacks

from:https://www.techtalkthai.com/security-expert-details-poc-code-about-cve-2020-1147-to-exploit-sharepoint/