พบช่องโหว่ Bypass FreeRadius Authentication ได้

Stefan Winter จาก RESTENA Foundation และ Luboš Pavlíček จากมหาวิทยาลัย Prague พบช่องโหว่การ bypass FreeRadius Authentication ที่ให้บริการเป็น TTLS และ PEAP ทั้ง 2 คนพบว่าหาก FreeRadius มีการ authentication (เข้าสู่ระบบ) ที่เป็น TTLS และ PEAP จะอนุญาตให้ไม่ต้องมีการ authentication (Bypass) หากผู้ที่เข้ามามีการจัดการกับ TLS Connection ที่ถูกนำกลับมาใช้ใหม่ โดย…
View Post

พบช่องโหว่ใน sudo ทำให้สามารถเขียนไฟล์ใดๆในเครื่องโดยใช้สิทธิ์ root ได้

sudo เป็นคำสั่งยอดนิยมใน Linux ในการใช้งานเพื่อใช้สิทธิ์ root ในการรันคำสั่งชั่วคราว ซึ่งมีมากับ Linux มาแต่ไหนแต่ไร ล่าสุดมี Qualys ได้พบช่องโหว่ใน sudo ทำให้สามารถเพิ่มสิทธิ์ในการทำงานของ user ผ่านคำสั่งดังก่ลาวได้ Qualys บริษัท Security ชื่อดังพบช่องโหว่ใน sudo command ซึ่งได้ CVE เป็น CVE-2017-1000367 พบว่า function get_process_ttyname() ซึ่งเป็น function การตรวจสอบ tty…
View Post

Shadow Broker ทำ service ออกมาขาย 0day เดือนละ 21,000$

Shadow Broker ซึ่งเป็นกลุ่มที่เคยแฮ็คกลุ่มแฮ็คเกอร์ของ NSA แล้วนำเครื่องมือโจมตีระบบต่างๆมาปล่อยเมื่อ 2-3 เดือนก่อนจนนำไปสู่การเกิด WannaCry Ransomware ล่าสุดได้มีกลุ่มนี้ได้มีการเคลื่อนไหวเพิ่มเติมนั่นคือการให้บริการเปิดเผยช่องโหว่ 0day (ช่องโหว่ที่ยังไม่มี patch) ให้กับบุคคลทั่วไปในราคา 21,000$/เดือน หลังจากช่วง  WannaCry Outbreak วันที่ 15/05/2017 ที่ผ่านมา ทาง Shadow Broker ก็บอกว่าจะออกมาเปิดเผยช่องโผล่เพิ่มในเดือนมิถุนายน 2017 แต่สุดท้ายกลับกลายเป็นการพยายามจะหาเงินกับ 0day ที่กลุ่มตนเองมีอีกครั้งด้วยการให้บริการเป็นแบบปล่อยช่องโหว่ 0day…
View Post

พบ Bug ใน Google Chrome ทำให้ไม่แสดงสถานะการอัด VDO และเสียง

Ran Bar-Zik ซึ่งเป็น Web Developer ที่ AOL พบ bug ใน Google Chrome ทำให้ Hacker ปิดสถานะการอัดเสียงและ VDO ผ่านเว็บบราวเซอร์ และได้ report ไปยัง Google แล้ว บัคดังกล่าวยังคงต้องอาศัยให้ User กดยินยอมการอัดเสียงและ VDO ผ่าน Browser แต่สามารถปิดการแสดงสถานะการทำงานได้อยู่เท่านั้น ซึ่งโดยปกติเมื่อมีการอัดเสียงหรือ VDO ใดๆ…
View Post

พบ Malware Ads Application ใน Google Play Store จำนวนมาก!!! ผู้ใช้ติดไปแล้ว 36.5 ล้านเครื่อง

Checkpoint ได้ทำการสำรวจ Google Play Store พบ Android Application ที่มีการแฝงโฆษณาจาก Server ของผู้ผลิตเพื่อให้ผู้ใช้งานกด link โฆษณาโดยไม่รู้ตัว Checkpoint พบ Android Application ทั้งหมด 41 ตัวที่ถูกผลิตโดยบริษัทพัฒนา Application ของเกาหลีที่ชื่อว่า Kiniwini (ชื่อที่ใช้ใน Google Play Store คือ ENISTUDIO Corp) โดยใน…
View Post

โชคดีสำหรับผู้โดน Crysis Ransomware!!! ตอนนี้ถอดรหัสได้แล้ว

Crysis Ransomware ถือเป็น Ransomware อีกตัวที่โดนกันมากในปี 2016 เนื่องด้วยการแพร่กระจายทำหลายทางไม่ว่าจะเป็นการแนบไปกับ email หรือการโจมตีไปยัง Remote Desktop ที่สามารถเข้าถึงได้จากภายนอกก็ตาม Key ที่ใช้เข้ารหัสถูก upload ขึ้น pastebin​(เว็บไซด์สำหรับการแปะ code หรือข้อความใดๆตามที่ต้องการ) โดยไม่ทราบว่าใครเป็นผู้กระทำ เมื่อ security researcher ของทาง ESET ไปพบเข้าก็ได้นำ key เหล่านั้นมาทำการทดสอบถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Crysis Ransomware…
View Post

วิธีการใช้ Yara Rule

หากใครเคยคุ้นชินเรื่อง IDS/IPS (Intrusion Detection System/Intrusion Prevention System) ซึ่งเป็นระบบในการตรวจจับการโจมตี รวมถึงการใช้งานที่ผิดปกติต่างๆ สิ่งที่เครื่องมือเหล่านี้ใช้เพื่อตรวจจับเป็นด่านแรกคือ Signature นั่นเอง โดย IDS/IPS ที่เป็น Open Source ที่ได้รับความนิยมคือ Snort ซึ่งเราสามารถเขียน Signature ขึ้นมาเพื่อป้องกันหรือดักจับพฤติกรรมใดๆได้เอง แต่ Signature ดังกล่าวเป็นอะไรที่ซับซ้อนและเน้นเรื่อง traffic Rule เป็นหลัก จึงได้มีการคิด Rule ที่ซับซ้อนน้อยลงและใช้สำหรับการค้นหาไฟล์ที่มีลักษณะเป็น…
View Post

Incident Response ส่วน Log Analysis เบื้องต้น

การกระทำเชิง Incident Response ในส่วน Investigation นั้นเป็นการหา event ใดๆที่มันผิดปกติขึ้นในระบบของเรา เราสามารถใช้ command และเครื่องมือต่างๆมากมายที่จะสืบค้นหาข้อมูลในเครื่องที่ “คาดว่า” จะเกิด incident ซึ่งนั่นคือสิ่งที่เราจะพูดกันในโพสต์นี้ Event คือสิ่งที่เกิดขึ้นกับระบบใดๆ ไม่ว่าจะเป็นทางใดๆก็แล้วแต่ ปกติหรือไม่ปกติ ก็ถือเป็น event ทั้งนั้น ส่วน Incident เป็นเหตุการณ์ที่ทำให้ระบบนั้นเสียหาย ไม่เพียงแค่เป็นการกระทำที่ถูก hack เท่านั้น อะไรก็แล้วแต่ที่ทำให้เกิดผลกระทบกับธุรกิจก็ถือว่าเป็น Incident ทั้งสิ้น…
View Post

วิธีการป้องกันช่องโหว่ CVE-2017-7494 ใน SAMBA

อย่างที่รายงานกันไปแล้วว่า ทาง Samba เจอช่องโหว่ร้ายแรงที่ทำให้สามารถถูกยึดเครื่องได้ หาก Attacker สามารถเข้าไปเขียนไฟล์ใน path นั้นๆได้ ทีนี้การป้องกันที่ดีที่สุดคือการ patch SAMBA ไปเป็น version Samba 4.6.4, 4.5.10 และ 4.4.14 แต่ประเด็นคือยังมี Repository หรือก็คือแหล่ง software ของ OS ต่างๆ ไม่ว่าจะเป็น Debian, Ubuntu และอื่นๆ…
View Post