ThaiCERT

ThaiCERT is the Computer Security Incident Response Team (CSIRT) for Thailand and provides an official point of contact for dealing with computer security incidents in Thai Internet community.

Founded in 2000 by National Electronics and Computer Technology Center (NECTEC) under Ministry of Science and Technology, ThaiCERT has been the first and only non-profit CSIRT in Thailand. In February 2011, by the resolution of Thai cabinet ThaiCERT operations were transferred to a new administrative team in a new public organization named Electronic Transactions Development Agency (ETDA) under the supervision of Ministry of Information and Communication Technology. ThaiCERT collaborates with Thai government sector, organizations, universities, ISPs and other relevant entities to handle computer security incidents in Thailand. Additionally, as a full and active member of Forum of Incident Response and Security Teams (FIRST) and Asia Pacific Computer Emergency Response Team (APCERT), ThaiCERT coordinates with both globally and regionally trusted CSIRTs in responding to computer security incidents.

เปิดเหมือนปกติ

11/11/2020

Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2563 แก้ไขช่องโหว่ที่ถูกใช้โจมตีแล้ว คว

Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2563 แก้ไขช่องโหว่ที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 11 พฤศจิกายน 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 112 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด และช่องโหว่สำคัญ (Important) จำนวน 93 จุด ในแพตช์รอบนี้มีการแก้ไขช่องโหว่จำนวน 1 จุดที่มีรายงานว่าถูกใช้โจมตีแล้ว

ช่องโหว่ที่มีรายงานการโจมตีแล้วคือช่องโหว่รหัส CVE-2020-17087 ซึ่งเป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ใน Windows Kernel Cryptography Driver (cng.sys) ระดับความรุนแรง CVSS 7.8 ผลกระทบจากช่องโหว่เปิดโอกาสให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทั้งนี้ถึงแม้ในรายงานจะระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีแบบเจาะจงเป้าหมาย แต่ยังไม่มีการเปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ดังกล่าว

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตี

https://www.thaicert.or.th/newsbite/2020-11-11-01.html#2020-11-11-01

เมื่อวันที่ 11 พฤศจิกายน 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้ง.....

10/11/2020

แจ้งเตือน พบช่องโหว่ร้ายแรงในปลั๊กอิน Ultimate Member ของ WordPress อาจถูกแฮกเว็บไซต์ได้ ควรรีบอัปเดต

แจ้งเตือน พบช่องโหว่ร้ายแรงในปลั๊กอิน Ultimate Member ของ WordPress อาจถูกแฮกเว็บไซต์ได้ ควรรีบอัปเดต

เมื่อวันที่ 9 พฤศจิกายน 2563 ทีม Wordfence ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับ WordPress ได้รายงานช่องโหว่ระดับวิกฤต (Critical) จำนวน 3 จุดในปลั๊กอิน Ultimate Member ซึ่งเป็นปลั๊กอินที่ใช้สำหรับบริหารจัดการสิทธิของสมาชิกในเว็บไซต์ โดยมียอดติดตั้งและใช้งานในเว็บไซต์กว่า 100,000 แห่ง

จากรายงาน ทั้ง 3 ช่องโหว่เป็นประเภท Privilege Escalation ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อได้สิทธิของผู้ดูแลระบบ WordPress หากโจมตีสำเร็จจะสามารถแก้ไขหน้าเว็บไซต์หรืออัปโหลดไฟล์อันตรายขึ้นมาบนเว็บไซต์ได้ ตัวช่องโหว่มีระดับความรุนแรง CVSS ที่ 9.9 และ 10 คะแนน มีผลกระทบกับปลั๊กอิน Ultimate Member เวอร์ชัน 2.1.11 หรือเวอร์ชันที่ต่ำกว่า

ทางผู้พัฒนาปลั๊กอิน Ultimate Member ได้ออกอัปเดตเวอร์ชัน 2.1.12 เพื่อแก้ไขช่องโหว่แล้ว เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรรีบอัปเดตปลั๊กอินให้เป็นเวอร์ชันปัจจุบันโดยด่วน

https://www.thaicert.or.th/newsbite/2020-11-10-01.html

เมื่อวันที่ 9 พฤศจิกายน 2563 ทีม Wordfence ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับ WordPress ได้รายงานช่องโหว่ระดับวิกฤต (...

ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been PwnedWongnai เป็นบริการค้นหาร้...

05/11/2020

ข้อมูลผู้ใช้ Wongnai รั่วไหลเกือบ 4 ล้านบัญชี พร้อมรหัสผ่านเป็น MD5 เช็คได้จาก Have I Been Pwned?

ข้อมูลผู้ใช้ Wongnai พร้อมรหัสผ่านแบบ MD5 รั่วไหลเกือบ 4 ล้านบัญชี เช็คได้จาก Have I Been Pwned

Wongnai เป็นบริการค้นหาร้านอาหาร ที่พัก สถานที่ท่องเที่ยว ฯลฯ ที่ได้รับความนิยมในประเทศไทย เมื่อวันที่ 30 ตุลาคม 2563 ทาง Wongnai ได้ออกแถลงการณ์แจ้งเตือนการโจมตีทางไซเบอร์ที่ส่งผลกระทบกับข้อมูลของผู้ใช้บริการ (อ้างอิง https://www.wongnai.com/pages/wongnai-security-incident) โดยมีรายงานว่าข้อมูลดังกล่าวได้ถูกนำไปประกาศขายในเว็บไซต์ใต้ดิน

เมื่อวันที่ 5 พฤศจิกายน 2563 เว็บไซต์ Have I Been Pwned? รายงานว่าได้รับข้อมูลผู้ใช้งานที่ได้รับผลกระทบจากเหตุการณ์ข้อมูลรั่วไหล จำนวนกว่า 4 ล้านรายการ จากทาง Wongnai จุดประสงค์เพื่อให้ผู้ใช้งานได้ตรวจสอบว่าตนเองได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่

Have I Been Pwned? เป็นเว็บไซต์ที่มีจุดประสงค์เพื่อรวบรวมฐานข้อมูลกลางของชุดข้อมูลที่รั่วไหลออกมาจากแหล่งต่าง ๆ เพื่อให้ผู้ที่สงสัยว่าได้รับผลกระทบหรือไม่นั้นสามารถตรวจสอบข้อมูลได้ ตัวเว็บไซต์ดำเนินการโดยนักวิจัยด้านความมั่นคงปลอดภัยชื่อ Troy Hunt (https://haveibeenpwned.com/About) ช่องทางของการได้มาซึ่งชุดข้อมูลรั่วไหลนั้นมีทั้งการซื้อข้อมูลจากตลาดมืด และการได้รับบริจาคข้อมูลโดยหน่วยงานที่ถูกโจมตี

อย่างไรก็ตาม จากแถลงการณ์ของทาง Wongnai ระบุว่ารหัสผ่านที่รั่วไหลนั้นได้รับการเข้ารหัส แต่จากข้อมูลในรายงานหลายแห่ง รวมถึงจากประกาศของ Have I Been Pwned? ระบุว่ารหัสผ่านนั้นถูกเก็บด้วยค่าแฮชแบบ MD5 ซึ่งในทางเทคนิคแล้วอาจมีความเสี่ยงที่ผู้ประสงค์ร้ายจะสามารถหารหัสผ่านที่ตรงกับฐานข้อมูลที่หลุดออกมาได้ หากผู้ใช้งาน Wongnai ใช้รหัสผ่านเดียวกันนี้กับบริการอื่น ก็มีความเสี่ยงที่อาจจะถูกเข้าถึงบัญชีของบริการอื่นได้ด้วย

ข้อแนะนำ
- ผู้ที่ใช้งาน Wongnai อาจพิจารณาตรวจสอบว่าบัญชีที่ใช้งานอยู่นั้นได้รับผลกระทบหรือไม่ โดยตรวจสอบได้จากเว็บไซต์ Have I Been Pwned? (https://haveibeenpwned.com/) ทั้งนี้ การตรวจสอบสามารถทำได้โดยใส่อีเมลที่สมัครใช้บริการ ควรพิจารณาก่อนกรอกรหัสผ่านที่ใช้งานจริง
- ผู้ที่ใช้งาน Wongnai ไม่ว่าจะได้รับผลกระทบจากเหตุการณ์ดังกล่าวหรือไม่ ควรเปลี่ยนรหัสผ่านในทันที หากใช้รหัสผ่านดังกล่าวกับบริการอื่นควรเปลี่ยนรหัสผ่านของบริการอื่นด้วย โดยควรตั้งรหัสผ่านของแต่ละบริการไม่ให้ซ้ำกัน
- ควรพิจารณาใช้โปรแกรมบริการจัดการรหัสผ่าน (password manager) เพื่อใช้จัดเก็บรหัสผ่านของแต่ละบริการแยกจากกัน และเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication) ในทุกบริการที่สามารถทำได้

https://www.thaicert.or.th/newsbite/2020-11-05-01.html#2020-11-05-01

Wongnai เป็นบริการค้นหาร้านอาหาร ที่พัก สถานที่ท่องเที่ยว ฯลฯ ที่ได้รับความนิยมในประเทศไทย เมื่อวันที่ 30 ตุลาค....

03/11/2020

CERT/CC เสนอแนวทางการตั้งชื่อช่องโหว่ ใช้ชื่อที่เป็นกลางและจำได้ง่าย

CERT/CC เสนอแนวทางการตั้งชื่อช่องโหว่ ใช้ชื่อที่เป็นกลางและจำได้ง่าย

ที่ผ่านมา เมื่อมีการค้นพบช่องโหว่ นอกจากจะมีการตั้งรหัส CVE (Common Vulnerabilities and Exposures) ให้กับช่องโหว่แล้ว ก็มักมีการตั้งชื่อให้กับช่องโหว่นั้นด้วย จุดประสงค์ของการตั้งชื่อช่องโหว่นั้นมีได้ทั้งเพื่อการตลาดหรือเพื่อการสื่อสารให้ง่ายต่อการจดจำ อย่างไรก็ตาม ที่ผ่านมามีหลายช่องโหว่ที่ถูกตั้งชื่อให้ดูร้ายแรงเกินความเป็นจริง หรือเป็นชื่อที่ไม่สอดคล้องกับสิ่งที่เกิดขึ้น ทาง CERT/CC ซึ่งเป็นหน่วยงานหลักของ CERT จึงได้เสนอแนวทางการตั้งชื่อช่องโหว่ที่เป็นกลางและจำได้ง่าย

ทาง CERT/CC สนับสนุนการตั้งชื่อให้กับช่องโหว่ โดยให้เหตุผลว่าการจดจำและการนำเสนอข้อมูลนั้นทำได้ง่ายกว่าการเรียกเป็นรหัส CVE ซึ่งเป็นเหตุผลเดียวกับการใช้ชื่อโดเมนแทนที่จะเป็นไอพี หรือการเรียกชื่อเมืองแทนที่จะใช้เป็นพิกัดทางภูมิศาสตร์ ทั้งนี้ ทาง CERT/CC ได้เสนอแนวทางการตั้งชื่อช่องโหว่โดยใช้คำที่ไม่ก่อให้เกิดความตื่นตระหนก รวมทั้งแนวทางการจับคู่ชื่อเรียกกับชุดของช่องโหว่ด้วย พร้อมทั้งได้เปิดบัญชี Twitter ชื่อ @vulnonym (https://twitter.com/vulnonym) เพื่อใช้เป็น bot สุ่มตั้งชื่อเรียกให้กับ CVE โดยอัตโนมัติ

ตัวอย่างชื่อเรียกของช่องโหว่ที่ถูกสุ่มตั้งขึ้นมานั้นจะเป็นการนำคำสรรพนามมาจับคู่กับคำนาม (ใกล้เคียงกับการตั้งโค้ดเนมของ Ubuntu) ตัวอย่างเช่น ช่องโหว่รหัส CVE-2020-9875 ถูกตั้งชื่อว่า Scary Seine (https://twitter.com/vulnonym/status/1319403949179441155) ทั้งนี้ แนวทางการตั้งชื่อช่องโหว่ด้วยวิธีดังกล่าวยังเป็นไอเดียทดสอบ ผู้ที่สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้จากที่มา

https://www.thaicert.or.th/newsbite/2020-11-03-02.html#2020-11-03-02

ที่ผ่านมา เมื่อมีการค้นพบช่องโหว่ นอกจากจะมีการตั้งรหัส CVE (Common Vulnerabilities and Exposures) ให้กับช่องโหว่แล้ว ก็มักมีการตั้....

03/11/2020

แจ้งเตือน พบการโจมตีช่องโหว่ใน Google Chrome กระทบทั้งเวอร์ชัน Desktop และ Android ควรรีบอัปเดต

แจ้งเตือน พบการโจมตีช่องโหว่ใน Google Chrome กระทบทั้งเวอร์ชัน Desktop และ Android ควรรีบอัปเดต

เมื่อวันที่ 2 พฤศจิกายน 2563 บริษัท Google ได้ออกอัปเดต Google Chrome เพื่อแก้ไขปัญหาด้านความมั่นคงปลอดภัย โดยทาง Google ระบุว่ามีอย่างน้อย 2 ช่องโหว่ที่ถูกใช้ในการโจมตีจริงแล้ว แต่ยังไม่ได้ระบุรายละเอียดหรือขอบเขตของการโจมตีดังกล่าว

ช่องโหว่แรกที่ถูกใช้โจมตีเป็นช่องโหว่ใน Google Chrome เวอร์ชัน desktop โดยเป็นช่องโหว่ประเภท remote code execution (RCE) ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งประมวลผลโค้ดอันตรายเพื่อควบคุมเครื่องของเหยื่อได้จากระยะไกล ช่องโหว่นี้มีหมายเลข CVE-2020-16009 มีผลกระทบกับ Google Chrome ทั้งบนระบบปฏิบัติการ Windows, Mac และ Linux

ช่องโหว่ถัดมามีผลกระทบกับ Google Chrome เวอร์ชัน Android โดยเป็นช่องโหว่ประเภท heap overflow ทำให้สามารถรันคำสั่งนอก sandbox ได้ ช่องโหว่นี้มีหมายเลข CVE-2020-16010

ทาง Google ระบุว่าจะปล่อยอัปเดต Google Chrome เวอร์ชัน 86.0.4240.183 สำหรับผู้ใช้งานบน desktop และเวอร์ชัน 86.0.4240.185 สำหรับผู้ใช้งานบน Android ในเร็ว ๆ นี้ ผู้ใช้งานควรติดตามข่าวสารและอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง

https://www.thaicert.or.th/newsbite/2020-11-03-01.html

เมื่อวันที่ 2 พฤศจิกายน 2563 บริษัท Google ได้ออกอัปเดต Google Chrome เพื่อแก้ไขปัญหาด้านความมั่นคงปลอดภัย โดยทาง Google ระบุว่....

30/10/2020

แจ้งเตือน พบการโจมตีช่องโหว่ใน Oracle WebLogic อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบอัปเดต

แจ้งเตือน พบการโจมตีช่องโหว่ใน Oracle WebLogic อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบอัปเดต

เมื่อวันที่ 29 ตุลาคม 2563 นักวิจัยจากสถาบัน SANS ได้รายงานปริมาณทราฟฟิกการโจมตีเซิร์ฟเวอร์ที่ใช้งาน Oracle WebLogic เพิ่มสูงขึ้นอย่างมีนัยสำคัญ โดยการโจมตีนี้เจาะจงช่องโหว่ CVE-2020-14882 ซึ่งเป็นช่องโหว่ระดับวิกฤต (Critical) ประเภท Remote Code Execution (RCE) ใน Oracle WebLogic เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0 ส่งผลให้ผู้ไม่หวังดีสามารถแฮกควบคุมเครื่องได้จากระยะไกล

การโจมตีช่องโหว่ CVE-2020-14882 นั้นไม่ซับซ้อน ผู้ไม่หวังดีสามารถส่งรีเควสต์ HTTP GET ไปยังเซิร์ฟเวอร์ Oracle WebLogic ได้โดยไม่ต้องยืนยันตัวตน ซึ่งหากโจมตีสำเร็จจะสามารถสั่งรันโค้ดอันตรายบนเครื่องเซิร์ฟเวอร์ได้ ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS 9.8 เต็ม 10 รายละเอียดของช่องโหว่สามารถศึกษาเพิ่มเติมได้จาก CVE Base (https://www.cvebase.com/cve/2020/14882) ตัวอย่าง log การโจมตีสามารถดูได้จาก SANS (https://isc.sans.edu/diary/26734)

ทั้งนี้ ช่องโหว่ดังกล่าว ทาง Oracle ได้ออกแพตช์แก้ไขไปตั้งแต่วันที่ 20 ตุลาคม 2563 แล้ว เพื่อป้องกันและลดความเสี่ยง ผู้ดูแลระบบควรรีบอัปเดตแพตช์โดยด่วน

https://www.thaicert.or.th/newsbite/2020-10-30-02.html

เมื่อวันที่ 29 ตุลาคม 2563 นักวิจัยจากสถาบัน SANS ได้รายงานปริมาณทราฟฟิกการโจมตีเซิร์ฟเวอร์ที่ใช้งาน Oracle WebLogic เพิ่ม...

แจ้งเตือน พบการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ควรรีบแพตช์และตรวจสอบการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยงเมื่อว...

30/10/2020

ระวังภัย โค้ดโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ถูกเผยแพร่แล้ว อาจถูกแฮกยึดเซิร์ฟเวอร์ได้ ควรรีบแพ

แจ้งเตือน พบการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ควรรีบแพตช์และตรวจสอบการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยง

เมื่อวันที่ 29 ตุลาคม 2563 บริษัท Microsoft ได้แจ้งเตือนการโจมตีช่องโหว่ Zerologon (CVE-2020-1472) ซึ่งเป็นช่องโหว่ใน Netlogon Remote Protocol ที่ใช้งานร่วมกับระบบ Active Directory ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแอบอ้างสิทธิของบัญชีในโดเมนเพื่อยึดเครื่องเซิร์ฟเวอร์ได้ แพตช์สำหรับแก้ไขช่องโหว่ดังกล่าวถูกปล่อยให้อัปเดตตั้งแต่เดือนสิงหาคม 2563 (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-09-15-01.html) โค้ดสำหรับทดสอบช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว

นอกจากรายงานการโจมตีแล้ว ทาง Microsoft ยังได้ปรับปรุงข้อแนะนำการตั้งค่าเซิร์ฟเวอร์เพื่อลดความเสี่ยงจากช่องโหว่ Zerologon ด้วย โดยสามารถแบ่งขั้นตอนการดำเนินงานออกได้เป็น 4 ช่วง ดังนี้

1. UPDATE คือการติดตั้งแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2563 หรือใหม่กว่าให้กับเครื่องที่ทำหน้าที่เป็น Domain Controller
2. FIND คือการตรวจสอบ log event ID 5829 ใน Domain Controller เพื่อค้นหาเครื่องในเครือข่ายที่ยังไม่ได้เชื่อมต่อ Netlogon แบบ secure channel
3. ADDRESS คือการตรวจสอบ log event ID 5827 และ 5828 ใน Domain Controller เพื่อค้นหาและแก้ไขปัญหาเครื่องในเครือข่ายที่ถูกปฏิเสธการล็อกอิน
4. ENABLE คือการตั้งค่า Netlogon ให้ล็อกอินแบบ secure channel หรือยอมอนุญาตให้ล็อกอินผ่านช่องทางที่มีช่องโหว่ได้

ทั้งนี้ ทาง Microsoft ได้ให้ข้อมูลเพิ่มเติมว่า จะเริ่มเปิดใช้การตั้งค่า Domain Controller ในแบบ enforcement mode ในแพตช์เดือนกุมภาพันธ์ 2564 ซึ่งอาจมีผลกระทบกับระบบที่ยังไม่รองรับ ผู้ดูแลระบบควรตรวจสอบข้อมูลและรายละเอียดการตั้งค่าเพิ่มเติมจากบทความข้อแนะนำของทาง Microsoft (https://support.microsoft.com/en-us/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc)

https://www.thaicert.or.th/newsbite/2020-10-30-01.html

ช่องโหว่ Zerologon หรือ CVE-2020-1472 เป็นช่องโหว่ในบริการ Netlogon บน Windows Server ตัวช่องโหว่ส่งผลให้ผู้ไม่หวังดีสามารถแฮกเพื่อยึด.....

29/10/2020

แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด HTML ที่มีสคริปต์ Cross-Site Scripting

แบบนี้ก็ทำได้ มีผู้จดทะเบียนชื่อบริษัทเป็นโค้ด HTML ที่มีสคริปต์ Cross-Site Scripting

เมื่อวันที่ 15 ตุลาคม 2563 ในสหราชอาณาจักรมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า "> LTD (อ้างอิง https://www.companysearchesmadesimple.com/company/uk/12956509/script-src-https-mjt-xss-ht-script-ltd/) ซึ่งข้อความดังกล่าวเป็นแท็ก HTML ที่มีโค้ดเรียกสคริปต์จากเว็บไซต์ภายนอกมาแสดงผล เป็นเทคนิคการโจมตีในลักษณะ Cross-Site Scripting (XSS) อย่างไรก็ตาม ชื่อบริษัทดังกล่าวถูกเปลี่ยนเป็น THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD ในหน้าค้นหารายชื่อบริษัทของเว็บไซต์รัฐบาล (อ้างอิง https://find-and-update.company-information.service.gov.uk/company/12956509)

เหตุการณ์นี้ไม่ใช่ครั้งแรกที่มีผู้จดทะเบียนชื่อบริษัทโดยใช้อักขระพิเศษ เมื่อเดือนธันวาคม 2559 เคยมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า ; DROP TABLE "COMPANIES";-- LTD (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-01-05-01.html) ซึ่งข้อความดังกล่าวเป็นคำสั่งโจมตีแบบ SQL injection เพื่อลบฐานข้อมูล

สาเหตุที่บริษัทดังกล่าวสามารถจดทะเบียนด้วยชื่อในลักษณะนี้ได้เนื่องจากกฎหมายของสหราชอาณาจักรอนุญาตให้มีการใช้อักขระพิเศษ เช่น ' < > / ? ในชื่อของบริษัทได้ (อ้างอิง https://www.legislation.gov.uk/uksi/2015/17/schedule/1/made) แต่อักขระพิเศษบางอย่างนั้นมีผลกระทบกับการแสดงผลของเว็บไซต์หรือการทำงานของระบบฐานข้อมูล เนื่องจากเป็นอักขระที่เกี่ยวข้องกับการเขียนสคริปต์หรือคำสั่ง ทำให้หากมีเว็บไซต์หรือแอปพลิเคชันใด ๆ ที่นำชื่อบริษัทเหล่านี้ไปจัดเก็บหรือประมวลผลโดยไม่มีกระบวนการจัดการกับอักขระพิเศษ (sanitize) ที่เหมาะสม ก็อาจส่งผลกระทบต่อการทำงานของระบบได้

https://www.thaicert.or.th/newsbite/2020-10-29-01.html#2020-10-29-01

เมื่อวันที่ 15 ตุลาคม 2563 ในสหราชอาณาจักรมีผู้จดทะเบียนบริษัทโดยใช้ชื่อว่า "> LTD (อ้างอิง https://www.companysearc...

28/10/2020

แจ้งเตือน พบการส่งอีเมลฟิชชิ่งโดยใช้ลิงก์ไปยัง Google Ads โปรดตรวจสอบก่อนคลิก

แจ้งเตือน พบการส่งอีเมลฟิชชิ่งโดยใช้ลิงก์ไปยัง Google Ads โปรดตรวจสอบก่อนคลิก

ทีมวิจัยจาก PhishLabs ได้รายงานเทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยฟีเจอร์ redirect ของ Google Ads จุดประสงค์เพื่อหลบเลี่ยงระบบคัดกรองอีเมลสแปม โดยทางทีม PhishLabs พบว่าโครงสร้าง URL ของบริการ Google Ads นั้นเป็นในลักษณะ

hxxps://www[.]googleadservices[.]com/pagead/aclk?sa=[parameters]&adurl=[URL]

ซึ่งพารามิเตอร์ adurl ที่อยู่ท้ายสุดนั้นสามารถใส่ URL เพื่อพาไปยังเว็บไซต์อื่นได้ ผู้ประสงค์ร้ายจึงสามารถใช้ช่องทางนี้ในการส่งอีเมลเพื่อหลอกให้เหยื่อหลงเชื่อคลิกลิงก์ไปยังเว็บไซต์ฟิชชิ่งได้ (ตัวอย่าง URL แบบเต็มสามารถดูได้จากที่มา)

ทาง PhishLabs ระบุว่าการโจมตีแบบฟิชชิ่งที่อาศัยฟีเจอร์ redirect ของเว็บไซต์ที่มีความน่าเชื่อถือนั้นได้รับความนิยมในกลุ่มผู้ประสงค์ร้าย เนื่องจากไม่ต้องตั้งระบบ redirect เอง และระบบคัดกรองอีเมลสแปมส่วนใหญ่จะปล่อยผ่านอีเมลที่มีลิงก์ไปยังเว็บไซต์เหล่านี้เพราะถือว่าเป็นเว็บไซต์ที่น่าเชื่อถือ

ทั้งนี้ ทาง PhishLabs ระบุว่าพบการโจมตีในลักษณะนี้มาก่อนหน้านี้แล้ว โดยนอกจาก Google Ads แล้วก็ยังมีอีกหลายเว็บไซต์ที่สามารถใช้เพื่อโจมตีในลักษณะ redirect ได้อีกเช่นกัน

เนื่องจากรูปแบบการโจมตีในลักษณะนี้สามารถเล็ดรอดผ่านระบบคัดกรองอีเมลสแปมได้ รวมถึงการตรวจสอบความน่าเชื่อถือของเว็บไซต์ด้วยการพิจารณาจากโดเมนในลิงก์ที่แนบมากับอีเมลนั้นอาจจะไม่เพียงพอ เพื่อลดความเสี่ยง ผู้ใช้ควรพิจารณาความน่าเชื่อถือของอีเมล โดยหากพบลิงก์ที่ไม่ได้พาไปยังเว็บไซต์จริงของผู้ให้บริการ หรือพบการ redirect ไปยัง URL ปลายทางที่น่าสงสัย ควรพิจารณาความถูกต้องของเว็บไซต์ดังกล่าวก่อนกรอกข้อมูลเพื่อล็อกอินหรือทำธุรกรรม

https://www.thaicert.or.th/newsbite/2020-10-28-02.html#2020-10-28-02

ทีมวิจัยจาก PhishLabs ได้รายงานเทคนิคการโจมตีแบบฟิชชิ่งโดยอาศัยฟีเจอร์ redirect ของ Google Ads จุดประสงค์เพื่อหลบเลี่ยงระบ...

28/10/2020

ถอดบทเรียนจากผลการสืบสวนกรณีการแฮก Twitter คนร้ายโทรไปหลอกว่าเป็นเจ้าหน้าที่ไอที พาเข้าเว็

ถอดบทเรียนจากผลการสืบสวนกรณีการแฮก Twitter คนร้ายโทรไปหลอกว่าเป็นเจ้าหน้าที่ไอที พาเข้าเว็บฟิชชิ่ง ไม่มีกระบวนการแจ้งเตือนภายใน

จากเหตุการณ์การแฮกบัญชีผู้ใช้ Twitter จำนวนมากเมื่อช่วงกลางเดือนกรกฎาคม 2563 เพื่อหลอกให้โอนเงินผ่าน bitcoin รวมมูลค่าความเสียหายกว่า 118,000 ดอลลาร์สหรัฐฯ นั้น ในเบื้องต้นทาง Twitter แจ้งว่าพนักงานถูกหลอกให้มอบสิทธิเข้าถึงระบบแอดมินให้กับผู้ประสงค์ร้าย จนเป็นเหตุให้บัญชีผู้ใช้ Twitter คนอื่น ๆ ถูกเข้าถึงหรือถูกสวมรอยโพสต์ข้อความโดยไม่ได้รับอนุญาตได้ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-07-20-01.html)

เมื่อวันที่ 14 ตุลาคม 2563 รัฐนิวยอร์กได้ออกรายงานผลการสืบสวนกรณีการแฮกบัญชีในครั้งนี้ ซึ่งจากรายงานมีประเด็นน่าสนใจที่สามารถถอดบทเรียนมาปรับปรุงมาตรการรักษาความมั่นคงปลอดภัยของหน่วยงานได้ สาระสำคัญจากรายงานฉบับดังกล่าวสามารถสรุปได้ดังนี้

- ลำดับการโจมตีมีทั้งหมด 3 ขั้นตอน ประกอบด้วยการใช้เทคนิค social engineering เพื่อเข้าถึงระบบภายในของ Twitter จากนั้นยึดครองบัญชีผู้ใช้ที่มีมูลค่าสูงเพื่อขายสิทธิในการเข้าถึงบัญชีนั้น และสุดท้ายคือการใช้บัญชีดังกล่าวโพสต์หลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย ซึ่งเหตุการณ์ทั้งหมดนี้เกิดขึ้นภายในเวลา 24 ชั่วโมง
- ในการโจมตีด้วยเทคนิค social engineering นั้นผู้ประสงค์ร้ายใช้วิธีโทรศัพท์เข้าไปหลอกพนักงานของ Twitter โดยแอบอ้างว่าเป็นเจ้าหน้าที่ help desk ของฝ่ายไอที ติดต่อเข้ามาเนื่องจากได้รับแจ้งว่ามีผู้ใช้รายงานปัญหาในการเชื่อมต่อ VPN โดยในการสนทนานั้นผู้ประสงค์ร้ายได้หลอกให้เหยื่อเข้าไปยังเว็บไซต์ฟิชชิ่งที่ทำหลอกว่าเป็นบริการ VPN ของ Twitter จุดประสงค์เพื่อขโมยบัญชีผู้ใช้และรหัสผ่าน
- อย่างไรก็ตาม เมื่อผู้ประสงค์ร้ายนำข้อมูลดังกล่าวไปล็อกอินในเว็บไซต์จริงของ Twitter ก็พบว่าหลายบัญชีนั้นไม่สามารถล็อกอินได้เนื่องจากพนักงานคนดังกล่าวได้เปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (multi factor authentication หรือ MFA)
- มีพนักงานของ Twitter อย่างน้อย 1 คนให้ข้อมูลเพิ่มเติมว่า เมื่อพบการแจ้งเตือนการล็อกอินที่ผิดปกติและได้แจ้งไปยังฝ่ายเฝ้าระวังการทุกจริต แต่ก็ถูกเพิกเฉยเพราะเจ้าหน้าที่คิดว่าผู้ประสงค์ร้ายนั้นโกหก
- เมื่อผู้ประสงค์ร้ายสามารถเข้าถึงบัญชีของพนักงาน Twitter ได้ ก็พบว่าบัญชีดังกล่าวนั้นไม่มีสิทธิเข้าถึงระบบแอดมิน อย่างไรก็ตาม ผู้ประสงค์ร้ายก็ใช้สิทธิของบัญชีดังกล่าวในการเข้าไปดูข้อมูลในระบบ Intranet ของ Twitter จนพบข้อมูลที่บ่งบอกถึงวิธีในการเข้าระบบแอดมินได้ จากนั้นผู้ประสงค์ร้ายจึงเริ่มยึดบัญชีของพนักงานที่มีสิทธิเข้าถึงระบบดังกล่าว
- หลักจากที่ผู้ประสงค์ร้ายได้สิทธิในการเข้าถึงระบบแอดมินและสามารถยึดครองบัญชีใด ๆ ในระบบได้ ก็เริ่มยึดครองบัญชีที่มีมูลค่าสูงและนำบัญชีดังกล่าวไปขายต่อในตลาดมืด และในเวลาต่อมาได้มีการเผยแพร่ตัวอย่างภาพ screenshot ระบบแอดมินของ Twitter ออกสู่สาธารณะ
- จากนั้นผู้ประสงค์ร้ายเริ่มยึดครองบัญชีประเภท verified account ซึ่งเป็นบัญชีของผู้มีชื่อเสียงและได้รับการตรวจสอบยืนยันจากทาง Twitter ว่าเป็นบัญชีจริง โดยได้นำบัญชีดังกล่าวไปโพสต์ข้อความเพื่อหลอกให้โอนเงิน bitcoin ไปยังบัญชีของผู้ประสงค์ร้าย อ้างว่าจะได้เงินตอบแทนมูลค่าสูง เหตุการณ์นี้มีผู้ตกเป็นเหยื่อหลงเชื่อโอนเงินไปเป็นจำนวนมาก
- มีบัญชีผู้ Twitter ทั้งหมด 130 บัญชีที่ถูกเข้าถึงโดยไม่ได้รับอนุญาต และมี 45 บัญชีที่ถูกนำไปใช้โพสต์หลอกให้โอน bitcoin ในรายการเหล่านี้มีทั้งหมด 7 บัญชีที่ผู้ประสงค์ร้ายดาวน์โหลดข้อมูลทั้งหมดของบัญชี รวมถึงข้อความ direct message ออกไป ทั้งนี้ทาง Twitter ระบุว่ามีประมาณ 36 บัญชีที่ผู้ประสงค์ร้ายสามารถเข้าถึง direct message ของบัญชีดังกล่าวได้
- ถึงแม้ว่าเหตุการณ์การโจมตีจะเริ่มต้นขึ้นตั้งแต่ช่วงบ่ายของวันที่ 14 กรกฎาคม 2563 ตามเวลาในสหรัฐฯ แต่กว่าที่ทีม incident response ของทาง Twitter จะได้รับรายงานและเริ่มดำเนินการนั้นก็เป็นช่วงเช้าของวันที่ 15 กรกฎาคม โดยใช้เวลาเกือบหนึ่งชั่วโมงในการตัดผู้ประสงค์ร้ายออกจากระบบ นอกจากนี้ยังมีกระบวนการจำกัดความเสียหายอื่น ๆ เพิ่มเติมในระหว่างที่กำลังแก้ปัญหา เช่น ระงับการเข้าถึงระบบแอดมินเป็นการชั่วคราว ระงับการเปลี่ยนรหัสผ่านและการโพสต์ข้อความของบัญชีที่ถูกแฮก ยกเลิกสิทธิ์ในการเข้าถึงระบบภายในและให้พนักงานเปลี่ยนรหัสผ่านทั้งหมด เป็นต้น อย่างไรก็ตาม ในขั้นตอนของการแจ้งรายงานสถานการณ์ต่อสาธารณะนั้นทาง Twitter ไม่ได้ให้ข้อมูลที่ชัดเจนเพียงพอ จนทำให้เกิดความสับสนในการสื่อสาร

ในรายงานฉบับนี้นอกจากจะมีรายละเอียดเรื่องการสืบสวนกรณี Twitter ถูกแฮกแล้ว ยังมีเรื่องการสืบสวนร่วมกับบริษัทคริปโทเคอร์เรนซีด้วย เนื่องจากลูกค้าของบริษัทเหล่านั้นถูกหลอกให้โอนเงินออกไป รวมถึงมีบัญชี Twitter ของบริษัทคริปโทเคอร์เรนซีบางรายถูกแฮกและถูกใช้โพสต์หลอกให้โอนเงินด้วย ทั้งนี้ ผู้ให้บริการคริปโทเคอร์เรนซีบางรายได้สั่งระงับการโอนเงินไปยังบัญชีของผู้ประสงค์ร้ายในทันทีที่มีการประกาศว่าระบบของ Twitter ถูกแฮก จุดประสงค์เพื่อระงับความเสียหายและป้องกันไม่ให้มีผู้ตกเป็นเหยื่อเพิ่ม

สรุปสาเหตุและที่มาของปัญหาที่เกิดขึ้น
- Twitter ไม่มีผู้ปฏิบัติงานในตำแหน่ง Chief Information Security Officer หรือ CISO ตั้งแต่เดือนธันวาคม 2562 หรือกว่า 7 เดือนก่อนที่จะถูกแฮก ซึ่งการไม่มีผู้กำหนดทิศทางด้านความมั่นคงปลอดภัยทำให้เกิดจุดอ่อนทั้งในด้านบุคลากรและกระบวนการประสานงาน
- จากสถานการณ์ COVID-19 ทำให้ Twitter เริ่มปรับให้พนักงานทำงานจากที่บ้านได้ตั้งแต่เดือนมีนาคม 2563 โดยมีการใช้ VPN เพื่อเชื่อมต่อเข้ามายังระบบของบริษัท เนื่องจากมีพนักงานที่พบปัญหาการเชื่อมต่อ VPN จริง จึงทำให้ผู้ประสงค์ร้ายสามารถใช้ข้ออ้างนี้ในการหลอกลวงได้
- ถึงแม้จะมีหลายหน่วยงานได้จัดทำข้อแนะนำด้านความมั่นคงปลอดภัยในการทำงานจากนอกสถานที่ แต่ Twitter ก็ไม่ได้ปฏิบัติตามข้อแนะนำใด ๆ จึงทำให้ระบบมีจุดอ่อนทั้งในแง่การป้องกันเชิงเทคนิค (เช่น เปิดใช้งาน MFA) และการสร้างความตระหนักให้กับผู้ใช้งาน

สรุปบทเรียนและข้อแนะนำ
- บริษัทคริปโทเคอร์เรนซีควรบล็อคการโอนเงินไปยังบัญชีที่ถูกระบุว่าเกี่ยวข้องกับการหลอกลวงเพื่อจำกัดความเสียหาย โดยอาจเพิ่มมาตรการหน่วงเวลาในการโอนเงินไปยังบัญชีที่เพิ่มขึ้นมาใหม่ เพื่อให้ผู้ใช้มีเวลาทบทวนและตัดสินใจ รวมถึงติดตามข่าวสารว่าบัญชีนั้นเกี่ยวข้องกับการหลอกลวงหรือไม่ก่อนที่เงินจะถูกโอนออกไปจริง
- บริษัทที่ให้บริการควรมีผู้บริหารที่รับผิดชอบด้านการกำหนดนโยบายและการตัดสินใจด้านความมั่นคงปลอดภัย ควรมีกระบวนการควบคุมการเข้าถึงและเปิดใช้งานการล็อกอินอย่างมั่นคงปลอดภัย จัดอบรมสร้างความตระหนักให้กับพนักงาน รวมถึงเฝ้าระวังการโจมตีและทบทวนกระบวนการแจ้งเตือนให้รวดเร็ว

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้จากที่มา

https://www.thaicert.or.th/newsbite/2020-10-28-01.html#2020-10-28-01