Posts by month
May 2017
Stefan Winter จาก RESTENA Foundation และ Luboš Pavlíček จากมหาวิทยาลัย Prague พบช่องโหว่การ bypass FreeRadius Authentication ที่ให้บริการเป็น TTLS และ PEAP ทั้ง 2 คนพบว่าหาก FreeRadius มีการ authentication (เข้าสู่ระบบ) ที่เป็น TTLS และ PEAP จะอนุญาตให้ไม่ต้องมีการ authentication (Bypass) หากผู้ที่เข้ามามีการจัดการกับ TLS Connection ที่ถูกนำกลับมาใช้ใหม่ โดย…
sudo เป็นคำสั่งยอดนิยมใน Linux ในการใช้งานเพื่อใช้สิทธิ์ root ในการรันคำสั่งชั่วคราว ซึ่งมีมากับ Linux มาแต่ไหนแต่ไร ล่าสุดมี Qualys ได้พบช่องโหว่ใน sudo ทำให้สามารถเพิ่มสิทธิ์ในการทำงานของ user ผ่านคำสั่งดังก่ลาวได้ Qualys บริษัท Security ชื่อดังพบช่องโหว่ใน sudo command ซึ่งได้ CVE เป็น CVE-2017-1000367 พบว่า function get_process_ttyname() ซึ่งเป็น function การตรวจสอบ tty…
Shadow Broker ซึ่งเป็นกลุ่มที่เคยแฮ็คกลุ่มแฮ็คเกอร์ของ NSA แล้วนำเครื่องมือโจมตีระบบต่างๆมาปล่อยเมื่อ 2-3 เดือนก่อนจนนำไปสู่การเกิด WannaCry Ransomware ล่าสุดได้มีกลุ่มนี้ได้มีการเคลื่อนไหวเพิ่มเติมนั่นคือการให้บริการเปิดเผยช่องโหว่ 0day (ช่องโหว่ที่ยังไม่มี patch) ให้กับบุคคลทั่วไปในราคา 21,000$/เดือน หลังจากช่วง WannaCry Outbreak วันที่ 15/05/2017 ที่ผ่านมา ทาง Shadow Broker ก็บอกว่าจะออกมาเปิดเผยช่องโผล่เพิ่มในเดือนมิถุนายน 2017 แต่สุดท้ายกลับกลายเป็นการพยายามจะหาเงินกับ 0day ที่กลุ่มตนเองมีอีกครั้งด้วยการให้บริการเป็นแบบปล่อยช่องโหว่ 0day…
Ran Bar-Zik ซึ่งเป็น Web Developer ที่ AOL พบ bug ใน Google Chrome ทำให้ Hacker ปิดสถานะการอัดเสียงและ VDO ผ่านเว็บบราวเซอร์ และได้ report ไปยัง Google แล้ว บัคดังกล่าวยังคงต้องอาศัยให้ User กดยินยอมการอัดเสียงและ VDO ผ่าน Browser แต่สามารถปิดการแสดงสถานะการทำงานได้อยู่เท่านั้น ซึ่งโดยปกติเมื่อมีการอัดเสียงหรือ VDO ใดๆ…
Checkpoint ได้ทำการสำรวจ Google Play Store พบ Android Application ที่มีการแฝงโฆษณาจาก Server ของผู้ผลิตเพื่อให้ผู้ใช้งานกด link โฆษณาโดยไม่รู้ตัว Checkpoint พบ Android Application ทั้งหมด 41 ตัวที่ถูกผลิตโดยบริษัทพัฒนา Application ของเกาหลีที่ชื่อว่า Kiniwini (ชื่อที่ใช้ใน Google Play Store คือ ENISTUDIO Corp) โดยใน…
Crysis Ransomware ถือเป็น Ransomware อีกตัวที่โดนกันมากในปี 2016 เนื่องด้วยการแพร่กระจายทำหลายทางไม่ว่าจะเป็นการแนบไปกับ email หรือการโจมตีไปยัง Remote Desktop ที่สามารถเข้าถึงได้จากภายนอกก็ตาม Key ที่ใช้เข้ารหัสถูก upload ขึ้น pastebin(เว็บไซด์สำหรับการแปะ code หรือข้อความใดๆตามที่ต้องการ) โดยไม่ทราบว่าใครเป็นผู้กระทำ เมื่อ security researcher ของทาง ESET ไปพบเข้าก็ได้นำ key เหล่านั้นมาทำการทดสอบถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Crysis Ransomware…
หากใครเคยคุ้นชินเรื่อง IDS/IPS (Intrusion Detection System/Intrusion Prevention System) ซึ่งเป็นระบบในการตรวจจับการโจมตี รวมถึงการใช้งานที่ผิดปกติต่างๆ สิ่งที่เครื่องมือเหล่านี้ใช้เพื่อตรวจจับเป็นด่านแรกคือ Signature นั่นเอง โดย IDS/IPS ที่เป็น Open Source ที่ได้รับความนิยมคือ Snort ซึ่งเราสามารถเขียน Signature ขึ้นมาเพื่อป้องกันหรือดักจับพฤติกรรมใดๆได้เอง แต่ Signature ดังกล่าวเป็นอะไรที่ซับซ้อนและเน้นเรื่อง traffic Rule เป็นหลัก จึงได้มีการคิด Rule ที่ซับซ้อนน้อยลงและใช้สำหรับการค้นหาไฟล์ที่มีลักษณะเป็น…
การกระทำเชิง Incident Response ในส่วน Investigation นั้นเป็นการหา event ใดๆที่มันผิดปกติขึ้นในระบบของเรา เราสามารถใช้ command และเครื่องมือต่างๆมากมายที่จะสืบค้นหาข้อมูลในเครื่องที่ “คาดว่า” จะเกิด incident ซึ่งนั่นคือสิ่งที่เราจะพูดกันในโพสต์นี้ Event คือสิ่งที่เกิดขึ้นกับระบบใดๆ ไม่ว่าจะเป็นทางใดๆก็แล้วแต่ ปกติหรือไม่ปกติ ก็ถือเป็น event ทั้งนั้น ส่วน Incident เป็นเหตุการณ์ที่ทำให้ระบบนั้นเสียหาย ไม่เพียงแค่เป็นการกระทำที่ถูก hack เท่านั้น อะไรก็แล้วแต่ที่ทำให้เกิดผลกระทบกับธุรกิจก็ถือว่าเป็น Incident ทั้งสิ้น…
สามารถดูได้จาก Link ด้านล่างได้เลยครับ
อย่างที่รายงานกันไปแล้วว่า ทาง Samba เจอช่องโหว่ร้ายแรงที่ทำให้สามารถถูกยึดเครื่องได้ หาก Attacker สามารถเข้าไปเขียนไฟล์ใน path นั้นๆได้ ทีนี้การป้องกันที่ดีที่สุดคือการ patch SAMBA ไปเป็น version Samba 4.6.4, 4.5.10 และ 4.4.14 แต่ประเด็นคือยังมี Repository หรือก็คือแหล่ง software ของ OS ต่างๆ ไม่ว่าจะเป็น Debian, Ubuntu และอื่นๆ…
Recent Comments