ITC@re News



Microsoft เปิดตัวฟีเจอร์ใหม่ใน Microsoft Teams

Microsoft เปิดตัวฟีเจอร์ใหม่ใน Microsoft Teams เพื่อเป็นการเพิ่มประสิทธิภาพการใช้งานในช่วงวิกฤต COVID-19 อ่านต่อได้ที่ https://www.beartai.com/news/itnews/452833

นโยบายป้องกันโควิด-19

ณ สถานการณ์โควิด-19 บริษัท มีนโยบายให้พนักงานที่ปฏิบัติงานภายนอกบริษัทฯ สวมหน้ากากอนามัยตลอดเวลา และพ่นสเปรย์ฆ่าเชื้อขณะปฏิบัติงาน รวมถึงตรวจวัดไข้ก่อนออกปฏิบัติงานทุกครั้ง

แจ้งเตือนเร่งด่วน ใครตกรถยังไม่ได้อัปเดตแพตช์ช่องโหว่ BlueKeep (CVE-2019-0708) รีบทำตั้งแต่ตอนนี้ก่อนจะสาย‼️

ช่วงเมื่อวานที่ผ่านมา แฮกเกอร์ชาวจีนได้มีการเผยแพร่สไลด์ซึ่งอธิบายช่องโหว่ BlueKeep (CVE-2019-0708) ซึ่งพุ่งเป้าโจมตีซอฟต์แวร์ส่วนที่อิมพลีเมนต์โปรโตคอล Remote Desktop ซึ่งสามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายได้กับทุกระบบที่เปิด RDP และมีช่องโหว่แม้ว่าช่องโหว่นี้จะปรากฎขึ้นมาในสื่อซักระยะนึงแล้ว แต่โค้ด PoC หรือโค้ดที่พิสูจน์ว่าช่องโหว่นี้มีอยู่จริงโดยส่วนใหญ่นั้นไม่ได้มีการพุ่งเป้าไปที่การรันคำสั่งอันตรายโดยตรง เพื่อป้องกันการเอาไปใช้ในทางที่ผิด ในขณะเดียวกันแฮกเกอร์ระดับเทพที่นำโค้ด PoC มาพัฒนาเป็นโค้ดสำหรับโจมตี (exploit) ต่อก็เลือกที่จะไม่เผยแพร่โค้ดเพื่อความปลอดภัยของชาวโลกอย่างไรก็ตามแฮกเกอร์ชาวจีนคนนี่้ได้มีการเขียนอธิบายในสไลด์ (เป็นภาษาจีน) ถึงวิธีการในการพัฒนาโค้ดสำหรับโจมตี (exploit) ให้รันโค้ดที่เป็นอันตรายได้ ซึ่งหมายความว่าถ้าใครทำตามจนสำเร็จ ก็จะสามารถครอบครองและสร้าง The Next WannaCry ได้ทันที!!อ้างอิงจากMalwareTechBlog(https://bit.ly/2nhFpwl) วิธีการที่ถูกใช้ในการพัฒนาโค้ดโจมตีนี้อาจทำให้ exploit ไม่ stable และจากบทเรียนของเรา ความไม่ stable ของ exploit จะทำให้ exploit เหลือทิ้งหลักฐานไว้ทำการวิเคราะห์หาที่มาการโจมตีได้ด้วยเช่นกัน

พบช่องโหว่ร้ายแรงใน ProFTPD อาจถูกสั่งรันโค้ดอันตรายหรือขโมยไฟล์จากเซิร์ฟเวอร์ได้ ควรรีบอัปเดต (CVE-2015-3306)

ProFTPD เป็นโปรแกรมสำหรับให้บริการ FTP ที่ได้รับความนิยมสูง จากข้อมูลมีเซิร์ฟเวอร์ที่ใช้งานโปรแกรมนี้รวมแล้วกว่า 1 ล้านเครื่องทั่วโลก เมื่อวันที่ 17 กรกฎาคม 2562 ผู้พัฒนา ProFTPD ได้แจ้งเตือนช่องโหว่ร้ายแรงในโปรแกรม ProFTPD เวอร์ชัน 1.3.5b หรือต่ำกว่า ซึ่งเป็นช่องโหว่ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายในเซิร์ฟเวอร์ได้จากระยะไกลรวมถึงสามารถขโมยข้อมูลจากเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีรหัส CVE-2015-3306ช่องโหว่นี้ถูกรายงานโดยนักวิจัยชื่อ Tobias Mädel สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในการจัดการสิทธิ์ในโมดูล mod_copy ส่งผลให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถส่งคำสั่งและคัดลอกไฟล์ใดๆ ที่อยู่บนเซิร์ฟเวอร์ได้ เนื่องจาก mod_copy นั้นถูกติดตั้งและเปิดใช้งานมาเป็นค่าเริ่มต้นใน Linux distribution ส่วนใหญ่ (เช่น Debian) ทำให้เซิร์ฟเวอร์จำนวนมากอาจอยู่ในความเสี่ยง ทั้งนี้เนื่องจากทางผู้พัฒนา ProFTPD ได้ออกเวอร์ชัน 1.3.6 มาเพื่อแก้ไขช่องโหว่นี้แล้ว ผู้ดูแลระบบควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็ว อย่างไรก็ตาม หากยังไม่สามารถติดตั้งอัปเดตได้ควรพิจารณาปิดการใช้งาน mod_copy ก่อนเป็นการชั่วคราวเพื่อลดความเสี่ยงและผลกระทบ

Microsoft แจ้งเตือนเกี่ยวกับ Malware ตัวใหม่นาม Astaroth

**ระวัง !! Microsoft แจ้งเตือนเกี่ยวกับ Malware ตัวใหม่นาม Astaroth**Andrea Lelli ทีมรักษาความปลอดภัยของ Microsoft พบ Astaroth ซึ่งเป็น Fileless Malware โดยพบการใช้งานมาจาก tools Windows Management Instrumentation Command-Line (WMIC) สำหรับ Fileless Malware นับว่าเป็นมัลแวร์ระดับ Advanced ที่ถูกออกแบบมาเพื่อหลบหลีกระบบตรวจจับความปลอดภัยแบบเดิมๆโดยอาศัยการส่ง Payload เข้าไปรันบนหน่วยความจำโดยตรง แล้วเริ่มทำงานจากในนั้นแทนโดยไม่มีคัดลอกไฟล์หรือสร้างโฟลเดอร์ใดๆ ลงบนฮาร์ดดิสก์ส่งผลให้การทำ Digital Forensics เพื่อค้นหาร่องรอยของมัลแวร์เป็นเรื่องยาก เพราะข้อมูลในหน่วยความจำจะหายไปเมื่อมีการรีสตาร์ทเครื่องมัลแวร์ Astaroth มีความสามารถในการขโมยข้อมูลที่ละเอียดอ่อน เช่น user credentials จากเป้าหมาย โดยใช้ key logger module , operating system calls interception และ clipboard monitoring Astaroth ใช้เทคนิคที่เรียกกว่า living-off-the-land binaries (LOLbins) เป็นการใช้เครื่องมือที่ได้รับการยืนยันว่าปลอดภัยที่มีอยู่ในระบบเพื่อปลอมตัว regular activity หลีกเลี่ยงการตรวจจับ ซึ่งเทคนิคนี้ได้รับความนิยมในช่วง 3 ปีที่ผ่านมาแคมเปญการแพร่กระจายมัลแวร์เริ่มขึ้นจากการส่ง spear-phishing email โดยมีลิงก์ที่เป็นอันตรายแนบมาด้วยหลังจากเป้าหมายคลิกเปิดไฟล์ลิงก์ที่แนบมา มันจะทำให้เครื่องมือ WMIC ด้วยพารามิเตอร์ “/Format” ซึ่งช่วยในการดาวน์โหลดและทำงานของ Javascript ในส่วนของการดาวน์โหลด paylaod จะใช้เครื่องมือ Bitsadmin ตัว ...

แนะนำด้านความปลอดภัยจากทาง Optimized

ประกาศด้วยคำแนะนำด้านความปลอดภัยจากทาง Optimized สำหรับลูกค้าที่ใช้ Firewall Palo Alto เวอร์ชั่นเก่าให้ทำการ Update Firmware เพื่อุตช่องโหว่ เกี่ยวกับการ Rrmort(RCE)ซึ่งซ่องโหว่นี้จะช่วยให้ผู้ไม่หวังดีหรือผู้ที่ไม่ได้รับการรับรองความถูกต้องสามารถสั่ง Run Scripts ซึ่งมีระดับความรุนแรงที่สูงซึ่งรายละเอียดอยู่ในลิงค์ที่แนบไว้เลยค่ะลิงค์ : https://bit.ly/2Y6g75l