Tag Archives: ความปลอดภัยไซเบอร์

พบช่องโหว่ในโปรแกรมอ่าน PDF ไฟล์ที่ถูกลงลายมือชื่อไปแล้วยังถูกแก้ไขได้ ควรติดตั้งอัปเดต

ทีมนักวิจัยจากมหาวิทยาลัย Ruhr-University Bochum ประเทศเยอรมนี ได้รายงานช่องโหว่ในโปรแกรมอ่านไฟล์ PDF ซึ่งมีผลทำให้ไฟล์เอกสารที่ถูกลงลายมือชื่อดิจิทัลไปแล้ว (Digitally signed) ยังถูกแก้ไขเนื้อหาในภายหลังได้ โดยลายมือชื่อที่ลงไปแล้วยังคงถูกต้อง ทำให้ผู้ไม่หวังดีอาจใช้ช่องทางนี้ในการปลอมแปลงเอกสารอิเล็กทรอนิกส์ได้ ช่องโหว่นี้ถูกตั้งชื่อว่า Shadow Attack มีหมายเลข CVE-2020-9592 และ CVE-2020-9596 ระดับความรุนแรง CVSS 7.8/10 หลักการลงลายมือชื่อดิจิทัลในไฟล์ PDF นั้นโดยพื้นฐานแล้วจะเป็นการใช้วิทยาการเข้ารหัสลับ (Cryptography) มาคำนวณค่าเฉพาะของเนื้อหาไฟล์ พร้อมกับแนบข้อมูลเฉพาะของผู้ลงลายมือชื่อไปกับไฟล์นั้นด้วย หมายความว่าการลงลายมือชื่อนี้จะมีผลเฉพาะกับเอกสารที่มีเนื้อหานี้เท่านั้น หากหลังจากที่ลงลายมือชื่อไปแล้วเนื้อหาของไฟล์ PDF ถูกแก้ไข ค่าเฉพาะของเนื้อหาไฟล์จะไม่ตรงกับค่าที่ระบุในกระบวนการลงลายมือชื่อ ทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวถูกแก้ไขปลอมแปลง อย่างไรก็ตาม ไฟล์ PDF นั้นรองรับการแสดงผลแบบระดับชั้น (layer) โดยเนื้อหาหรือวัตถุในเอกสารนั้นสามารถวางซ้อนทับกันได้ เช่น วางรูปภาพซ้อนทับข้อความ โดยผู้ที่เปิดไฟล์ PDF สามารถเลือกที่จะซ่อนเนื้อหาที่อยู่ชั้นบนเพื่อดูเนื้อหาที่อยู่ในชั้นล่างได้ ประเด็นสำคัญที่ก่อให้เกิดช่องโหว่ Shadow Attack คือข้อมูลการแสดงผลระดับชั้นนั้นไม่ได้ถูกนำไปใช้ในตอนคำนวณค่าเฉพาะของเนื้อหาไฟล์ ทำให้เมื่อมีการลงลายมือชื่อไปแล้วแต่มีการแก้ไขระดับชั้นของการแสดงผลเนื้อหาในภายหลัง ข้อมูลการลงลายมือชื่อนั้นจะยังถือว่าถูกต้องอยู่เพราะเนื้อหาของเอกสารไม่ได้ถูกเปลี่ยน จากช่องโหว่ดังกล่าว ผู้โจมตีสามารถสร้างเอกสาร PDF ที่มีชั้นเนื้อหาซ้อนทับกัน…

ถอดบทเรียนจากกรณีการแฮกบัญชี Twitter ช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น

เมื่อช่วงวันที่ 15-16 กรกฏาคม 2563 บัญชีผู้ใช้ Twitter จำนวนมาก ซึ่งส่วนใหญ่เป็นบุคคลที่มีชื่อเสียง ได้ถูกผู้ไม่หวังดีเข้าถึงและนำบัญชีดังกล่าวไปโพสต์ข้อความหลอกลวงให้โอนเงินผ่าน Bitcoin จนก่อให้เกิดความเสียหายเป็นจำนวนมาก ในเวลาต่อมาทาง Twitter ได้ออกมาชี้แจ้งสาเหตุและความคืบหน้าของการสอบสวนเหตุการณ์ดังกล่าว หลังจากนั้นไม่นาน กลุ่มผู้ที่อ้างว่าอยู่เบื้องหลังการโจมตีก็ได้ออกมาเปิดเผยข้อมูลรวมถึงให้สัมภาษณ์กับสำนักข่าวเกี่ยวกับแรงจูงใจและช่องทางการโจมตี จากข้อมูลทำให้สามารถสรุปบทเรียนสำคัญจากเหตุการณ์ครั้งนี้ได้ 2 ข้อ คือช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น สำนักข่าว Motherboard และ The New York Times ได้รายงานบทสัมภาษณ์ของกลุ่มที่อ้างว่าอยู่เบื้องหลังการโจมตีที่เกิดขึ้น จากรายงานมีการเปิดเผยว่าก่อนหน้าที่จะเกิดเหตุนั้นได้มีผู้ที่อ้างว่าเป็นพนักงานของ Twitter โพสต์ในกลุ่มสนทนาแห่งหนึ่ง ระบุว่าตนเองมีสิทธิ์เข้าถึงระบบบริหารจัดการบัญชีผู้ใช้ ซึ่งระบบดังกล่าวสามารถดูข้อมูล แก้ไขการตั้งค่าความมั่นคงปลอดภัย หรือดำเนินการอื่น ๆ กับบัญชีผู้ใช้ Twitter ได้ โดยได้มีการแนบตัวอย่างหน้าจอของระบบดังกล่าวด้วย ทั้งนี้มีรายงานว่ากลุ่มผู้โจมตีได้จ่ายเงินให้กับพนักงานของ Twitter เพื่อมีส่วนร่วมก่อเหตุในครั้งนี้ด้วย จากกรณีศึกษาในครั้งนี้มีบทเรียนสำคัญ 2 ประเด็น คือช่องโหว่เกิดจากคนใน และปัญหาการให้สิทธิ์แอดมินมากเกินความจำเป็น โดยประเด็นแรกนั้นเป็นความเสี่ยงที่มีโอกาสเกิดขึ้นได้กับทุกองค์กร เพราะการโจมตีทางไซเบอร์นั้นอาจไม่ได้มาจากนอกองค์กรเพียงอย่างเดียวแต่คนในองค์กรเองก็อาจเป็นสาเหตุได้ด้วย กระบวนการตรวจสอบและป้องกันการโจมตีจากคนในจึงสำคัญไม่แพ้การป้องกันจากคนนอก ส่วนประเด็นหลังนั้นเกิดจากการที่ผู้โจมตีสามารถเข้าถึงระบบแอดมินของ Twitter แล้วสามารถดำเนินการในสิ่งที่อาจส่งผลต่อความมั่นคงปลอดภัย…

พบบริการ VPN ฟรีหลายยี่ห้อเปิดข้อมูลผู้ใช้ ประวัติการใช้งาน และรหัสผ่านออกสู่สาธารณะ

เมื่อวันที่ 15 กรกฎาคม 2563 ทีมนักวิจัยจาก vpnMentor ได้รายงานการพบเซิร์ฟเวอร์ที่เก็บข้อมูลส่วนบุคคลและประวัติการใช้งานอินเทอร์เน็ตของผู้ใช้บริการ VPN ฟรีหลายยี่ห้อ โดยเซิร์ฟเวอร์ดังกล่าวเปิดให้เข้าถึงได้แบบสาธารณะ ตัวอย่างข้อมูลที่พบบนเซิร์ฟเวอร์ดังกล่าว เช่น ชื่อผู้ใช้ อีเมล ที่อยู่ ไอพี ประวัติการใช้งานอินเทอร์เน็ต และ ข้อมูลอื่น ๆ ที่ผู้ใช้ลงทะเบียนเพื่อสมัครใช้งาน VPN นอกจากนี้ยังพบข้อมูลรหัสผ่านแบบ plain text ในเซิร์ฟเวอร์ดังกล่าวด้วย ทีมนักวิจัยได้ตรวจสอบข้อมูลเซิร์ฟเวอร์แล้วพบว่ามีความเกี่ยวข้องกับแอปพลิเคชัน VPN จำนวนหลายรายการ เช่น UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN และ Rabbit VPN ซึ่งเป็นแอปพลิเคชัน VPN ที่มีให้ดาวน์โหลดบน iOS และ Android โดยคาดว่าเป็นแอปพลิเคชันที่มาจากผู้พัฒนาเดียวกันแต่เปลี่ยนชื่อแอปพลิเคชันเพื่อให้มีหลายยี่ห้อ เนื่องจากพบความเชื่อมโยงว่าแอปพลิเคชันเหล่านั้นมีการใช้เซิร์ฟเวอร์ตัวเดียวกัน มีชื่อผู้รับการชำระเงินเหมือนกัน และบางแอปพลิเคชันมีหน้าตาเว็บไซต์ที่คล้ายคลึงกันด้วย…

ทวิตเตอร์โดนแฮกครั้งใหญ่ บัญชีคนดังแห่โพสต์หลอกคนโอนเงินบิตคอยน์

ทวิตเตอร์โดนโจมตีทางไซเบอร์ครั้งใหญ่ มีบัญชีผู้ใช้ของผู้มีชื่อเสียงมากมายถูกแฮกให้ทวีตข้อความหลอกลวงคนให้บริจาคเงินบิตคอยน์ ซึ่งทางทวิตเตอร์กำลังดำเนินการแก้ไข สำนักข่าว ซีเอ็นเอ็น รายงานว่า เมื่อวันพุธที่ 15 ก.ค. 2563 บัญชีผู้ใช้ทวิตเตอร์ที่ผ่านการยืนยันแล้วว่าเป็นตัวจริง (verified account) ของผู้มีชื่อเสียงมากมาย เช่น โจ ไบเดน, บิล เกตส์, อีลอน มัสก์ และบริษัท แอปเปิล ต่างตกเป็นเหยื่อการโจมตีทางไซเบอร์ และโพสต์ข้อความเชิญชวนให้ผู้ติดตามบริจาคเงินให้พวกเขาในรูปแบบบิตคอยน์ “ทุกคนขอให้ผมคืนเงินแก่สังคม ตอนนี้ถึงเวลาแล้ว” ข้อความซึ่งถูกทวีตผ่านบัญชีผู้ใช้ของบิล เกตส์ ระบุ และขอให้ผู้ติดตามบริจาคเงินให้เขาผ่านที่อยู่บิตคอยน์ที่แนบมา แล้วเขาจะคืนเงินให้ 2 เท่าภายในเวลา 30 นาที บิล เกตส์, โจ ไบเดน, อีลอน มัสก์ และ เจฟฟ์ เบซอส บัญชีทวิตเตอร์ของอดีตประธานาธิบดี บารัค โอบามา, คานเย เวสต์ แร็ปเปอร์ชื่อดัง กับคิม คาร์ดาเชียน เวสต์ ภรรยา, วอร์เรน บัฟเฟ็ตต์…

แจ้งเตือน พบช่องโหว่ในโปรแกรม Zoom อาจถูกแฮกเครื่องได้หากใช้งานบน Windows 7 หรือเก่ากว่า ยังไม่มีแพตช์

บริษัท ACROS Security ได้รายงานช่องโหว่ในโปรแกรม Zoom ที่อาจส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อจากระยะไกลได้ (RCE) โดยช่องโหว่ดังกล่าวมีผลกระทบหากใช้งานโปรแกรม Zoom บนระบบปฏิบัติการ Windows 7 หรือเก่ากว่า อย่างไรก็ตาม รายละเอียดช่องโหว่และวิธีการโจมตียังไม่ถูกเปิดเผย โดยเบื้องต้นทาง ACROS Security ระบุว่าการโจมตีช่องโหว่นี้ต้องอาศัยผู้ใช้ร่วมด้วย เช่น การเปิดไฟล์ที่มีโค้ดอันตรายฝังอยู่ ทั้งนี้ ทาง Zoom แจ้งว่าได้รับทราบถึงช่องโหว่ดังกล่าวแล้วและอยู่ระหว่างการพัฒนาแพตช์ ล่าสุดยังไม่พบรายงานการโจมตีช่องโหว่นี้ เพื่อหลีกเลี่ยงและลดผลกระทบจากช่องโหว่ ผู้ที่ยังใช้งานโปรแกรม Zoom บน Windows 7 หรือเก่ากว่าควรเปลี่ยนไปใช้งานโปรแกรมอื่นชั่วคราวระหว่างที่ยังไม่มีแพตช์ หรืออัปเกรดไปใช้งานระบบปฏิบัติการเวอร์ชันใหม่ ทั้งนี้หากยังจำเป็นต้องใช้งาน Zoom บน Windows 7 หรือเก่ากว่าควรใช้งานบนบัญชีผู้ใช้ที่ไม่ได้มีสิทธิ์ของผู้ดูแลระบบ เพื่อจำกัดความเสียหาย ——————————————————— ที่มา : ThaiCERT / 10 กรกฎาคม 2563 Link : https://www.thaicert.or.th/newsbite/2020-07-10-02.html

เตือนภัยไวรัสเรียกค่าไถ่เป็น Bitcoin เริ่มแฝงตัวเข้ามาทาง Microsoft Excel เวอร์ชั่นเก่าแล้ว

หน่วยงาน Microsoft Security Intelligence ได้ออกมากล่าวเตือนผู้ใช้งานซอฟต์แวร์ของพวกเขาเกี่ยวกับไวรัสเรียกค่าไถ่เป็น cryptocurrency ตัวใหม่ที่ชื่อว่า Avaddon พี่สามารถแฝงตัวเข้ามาผ่านทาง macro ของโปรแกรม Microsoft Excel 4.0 เพื่อแจกจ่ายอีเมลของมิจฉาชีพ โดยอีเมลเหล่านี้จะถูกแฝงมาด้วยตัวไวรัสเรียกค่าไถ่พี่จะเริ่มทำงานเมื่อผู้ใช้งานเผลอไปกดเปิดมัน ตัวไวรัสเรียกค่าไถ่ Avaddon ดูเหมือนว่าจะถูกเปิดตัวขึ้นครั้งแรกเมื่อช่วงเดือนมิถุนายนที่ผ่านมาผ่านการ spam อีเมลที่ทำการโจมตีเหยื่อแบบไม่เฉพาะเจาะจง นอกจากนี้ยังมีรายงานอีกด้วยว่าตัวไวรัสเรียกค่าไถ่ดังกล่าวดูเหมือนว่าจะเลือกโจมตีผู้ใช้งานในประเทศอิตาลีมากกว่าที่อื่น ปลอมตัวเป็นรัฐบาลอิตาลี รายงานจาก BeepingComputer เผยว่ากลุ่มมิจฉาชีพที่อยู่เบื้องหลังไวรัสเรียกค่าไถ่ดังกล่าวกำลังใช้ affiliate marketing เพื่อให้มีการกระจายไวรัสดังกล่าวได้มากขึ้น โดยหากเครื่องคอมพิวเตอร์ของเหยื่อถูกไวรัสดังกล่าวรายงาน ก็จะทำให้ไฟล์ในเครื่องถูกล็อคและเข้ารหัสไว้ และก็จะเรียกร้องให้เหยื่อจ่ายค่าไถ่เป็นเหรียญคริปโตมูลค่าประมาณ 900 ดอลลาร์ หรือประมาณเกือบ 30,000 บาท ดังกล่าวนั้นมักจะมีการปลอมเป็นรัฐบาลอิตาลีพี่มักจะมีการส่งข้อความไปหาประชาชนเพื่อเตือนภัยระวังเกี่ยวกับวิกฤตการแพร่ระบาดของไวรัสโคโรน่า โดยทาง Microsoft ได้กล่าวในทวิตเตอร์ของพวกเขาว่า “แม้ว่ามันจะเป็นเทคนิคที่ค่อนข้างเก่า แต่ว่าตัวมาโครบน Excel 4.0 นั้นเริ่มที่จะตกเป็นเป้าของ malware มากขึ้นในช่วงไม่กี่เดือนที่ผ่านมา โดยเทคนิคดังกล่าวนั้นมักจะถูกนำไปใช้ในแคมเปญหลายๆแห่งรวมถึงตัวหนึ่งที่มีการปลอมเป็นจดหมายแจ้งเตือน COVID-19 อีกด้วย” นอกจากนี้อีเมลที่ถูกส่งมาจากทางมิจฉาชีพยังได้มีการขู่เหยื่อว่าหากเหยื่อไม่ทำการเปิดไฟล์ที่ส่งมาทางอีเมล์นั้นก็จะมีความผิดทางกฎหมาย ดังนั้นหากคุณได้รับอีเมลแปลกๆที่ไม่รู้ที่มาที่ไปและมีการแนบไฟล์มาด้วย ก็ให้สงสัยไว้ก่อนว่านั่นอาจจะเป็นไฟล์ไวรัสหรือว่ามัลแวร์ และให้ลบทิ้งไปให้เร็วที่สุด ——————————————————————- ที่มา : siamblockchain…