WhatsApp เปิดตัวการสำรองข้อมูลแบบ passkey-encrypted สำหรับอุปกรณ์ iOS และ Android ซึ่งช่วยให้ผู้ใช้งานสามารถเข้ารหัสประวัติการแชทของตนโดยใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอ

Passkeys เป็นวิธีการยืนยันตัวตนแบบไม่ต้องใช้รหัส ช่วยให้ผู้ใช้งาน sign in เข้าใช้โดยใช้ข้อมูลไบโอเมตริก (เช่น การจดจำใบหน้า หรือลายนิ้วมือ), PIN หรือรูปแบบความปลอดภัย แทนรหัสผ่านแบบเดิม โดยช่วยให้สามารถล็อกอินเข้าสู่เว็บไซต์ บริการออนไลน์ หรือแอปต่าง ๆ ได้โดยไม่จำเป็นต้องจำรหัสผ่านที่ซับซ้อน หรือใช้โปรแกรมจัดการรหัสผ่าน

เมื่อสร้าง Passkeys อุปกรณ์ของผู้ใช้งานจะสร้าง cryptographic key pair ที่ไม่ซ้ำกัน ซึ่งประกอบด้วย private key ที่จัดเก็บไว้ในอุปกรณ์ และ public key ที่ส่งไปยังเว็บไซต์ หรือแอปฯ ด้วยเหตุนี้ Passkeys จึงให้ความปลอดภัยที่สูงกว่าการยืนยันตัวตนแบบทั่วไปอย่างมาก เนื่องจากไม่สามารถถูกขโมยจากเหตุการณ์ข้อมูลรั่วไหลได้ เพราะ private key จะไม่หลุดออกจากอุปกรณ์ของผู้ใช้งานเลย

WhatsApp ระบุว่า "Passkeys จะช่วยให้ผู้ใช้งานใช้ลายนิ้วมือ, สแกนใบหน้า หรือรหัสล็อกหน้าจอเพื่อ encrypt การสำรองข้อมูลแชทแทนที่จะต้องจดจำรหัสผ่าน หรือ 64-digit encryption key ที่ยุ่งยาก"

"ตอนนี้ เพียงแค่แตะ หรือสแกนหน้า ความปลอดภัยแบบเดียวกับที่ปกป้องแชทส่วนตัว และการโทรของผู้ใช้งานบน WhatsApp ก็จะถูกนำไปใช้กับการสำรองข้อมูลแชท เพื่อให้ข้อมูลเหล่านั้นปลอดภัย เข้าถึงได้ และเป็นส่วนตัวอยู่เสมอ"

ในการเริ่มต้น ให้เปิดใช้งานฟีเจอร์ความปลอดภัยนี้โดยไปที่ การตั้งค่า WhatsApp จากนั้นเลือก Chats > Chat backup  > End-to-end encrypted backup

Meta ได้เริ่มทยอยเปิดตัวฟีเจอร์นี้ทั่วโลก โดยคาดว่าจะทยอยเปิดตัวให้ผู้ใช้ทุกคนได้ใช้งานในอีกไม่กี่สัปดาห์ และเดือนข้างหน้า

WhatsApp ได้เปิดตัวการสำรองข้อมูล end-to-end encrypted (E2EE) บน iOS และ Android เมื่อ 4 ปีก่อนในเดือนตุลาคม 2021 ซึ่งช่วยให้ผู้ใช้ iOS สามารถจัดเก็บข้อมูลสำรองไว้บน iCloud และผู้ใช้ Android สามารถจัดเก็บไว้บน Google Drive ได้

เมื่อเปิดใช้งานแล้ว การสำรองข้อมูลแชท E2EE จะช่วยให้ผู้ใช้ WhatsApp สามารถกู้คืนข้อความบนอุปกรณ์ใดก็ได้ หากมีรหัสผ่าน หรือ Passkeys ที่ใช้ในการ encrypt ข้อมูล

เมื่อหนึ่งปีที่แล้ว WhatsApp ยังได้เริ่ม encrypt ฐานข้อมูลผู้ติดต่อเพื่อการซิงโครไนซ์ที่รักษาความเป็นส่วนตัว เมื่อสัปดาห์ที่แล้ว ก็ได้เพิ่มเครื่องมือใหม่เพื่อช่วยผู้ใช้ป้องกันตนเองจากการหลอกลวงที่อาจเกิดขึ้น

ที่มา : bleepingcomputer

พบกลุ่ม Qilin Ransomware ได้ใช้ Linux encryptors ใน Windows โดยใช้ Windows Subsystem for Linux (WSL) เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัยแบบเดิม

(more…)

ศูนย์ความมั่นคงทางไซเบอร์ของแคนาดา (CCCS) ได้ออกคำเตือนเมื่อวันที่ 29 ตุลาคม เกี่ยวกับการแทรกซึมระบบโครงสร้างพื้นฐานที่สำคัญของประเทศหลายครั้งโดยกลุ่ม Hacktivists การกระทำดังกล่าวทำให้กลุ่ม Hacktivists สามารถ modify industrial controls ซึ่งอาจนำไปสู่สถานการณ์ที่เป็นอันตรายได้

(more…)

ปลั๊กอิน Anti-Malware Security และ Brute-Force Firewall ของ WordPress ที่มีผู้ติดตั้งกว่า 100,000 เว็บไซต์ มีช่องโหว่ที่ทำให้สมาชิก (subscribers) สามารถอ่านไฟล์ใดบนเซิร์ฟเวอร์ได้ตามต้องการ ซึ่งอาจทำให้ข้อมูลส่วนตัวรั่วไหลได้

(more…)

X ออกประกาศเตือนให้ผู้ใช้ทำการลงทะเบียน security keys หรือ passkeys สำหรับ two-factor authentication (2FA) ใหม่อีกครั้งก่อนวันที่ 10 พฤศจิกายน มิเช่นนั้นผู้ใช้อาจถูกล็อกไม่ให้เข้าถึงบัญชีของตนจนกว่าจะดำเนินการลงทะเบียนใหม่

ในบนแพลตฟอร์ม X บริษัทระบุว่า การเปลี่ยนแปลงนี้จะมีผลเฉพาะกับผู้ใช้ที่ใช้ หรือ hardware-based security keys เช่น YubiKey เท่านั้น

ทั้งสองวิธีการยืนยันตัวตนนี้ จะมีการป้องกันที่แข็งแกร่งต่อการโจมตีแบบฟิชชิง โดยใช้ cryptographic keys ที่ถูกจัดเก็บไว้อย่างปลอดภัยภายในอุปกรณ์ หรือระบบปฏิบัติการในการตรวจสอบตัวตนของผู้ใช้ แทนที่จะพึ่งพาข้อมูล credentials แบบเดิมซึ่งเสี่ยงต่อการถูกขโมยจากมัลแวร์ หรือการโจมตีแบบฟิชชิง

บัญชีทางการด้านความปลอดภัย (Safety) ของ X โพสต์เมื่อสัปดาห์ที่แล้วว่า ภายในวันที่ 10 พฤศจิกายนนี้ บัญชีผู้ใช้ทั้งหมดที่ใช้ security keys เป็นวิธีการยืนยันตัวตนแบบ two-factor authentication (2FA) จะต้องทำการลงทะเบียน keys ของตนใหม่ เพื่อให้สามารถเข้าถึง X ได้ตามปกติ

ผู้ใช้มีทางเลือกลงทะเบียน security keys ใหม่ได้สองวิธีคือ ลงทะเบียน security keys ที่มีอยู่แล้วซ้ำ หรือเพิ่ม security keys ใหม่ อย่างไรก็ตาม หากเลือกเพิ่ม security keys ใหม่ keys เก่าทั้งหมดจะไม่สามารถใช้งานได้อีกต่อไปจนกว่าจะลงทะเบียนซ้ำ

หลังวันที่ 10 พฤศจิกายน บัญชีที่ไม่ได้ลงทะเบียน security keys ใหม่จะถูกล็อก การเข้าถึงบัญชีจะกลับมาเป็นปกติเมื่อผู้ใช้ลงทะเบียน security keys ใหม่ ใช้วิธี 2FA แบบอื่น หรือปิดใช้งาน 2FA ทั้งนี้ X ยังคงแนะนำให้เปิดใช้งาน 2FA เพื่อความปลอดภัยสูงสุดของบัญชี

ทั้งนี้ X ชี้แจงว่าการเปลี่ยนแปลงดังกล่าวไม่ได้เกิดจากเหตุการณ์ด้านความปลอดภัย แต่เป็นผลจากการย้ายระบบจากโดเมน twitter.

ช่องโหว่ระดับ Critical ใน ChatGPT Atlas Browser ที่ OpenAI เพิ่งเปิดตัวใหม่ ทำให้ผู้โจมตีสามารถ inject คำสั่งที่เป็นอันตรายเข้าไปในหน่วยความจำของ ChatGPT และรันโค้ดจากระยะไกลบนระบบของผู้ใช้ได้

ช่องโหว่นี้ถูกค้นพบโดย LayerX โดยใช้ประโยชน์จากการโจมตีแบบ Cross-Site Request Forgery (CSRF) เพื่อเข้ายึดเซสชันที่ผ่านการ authentication ซึ่งอาจทำให้อุปกรณ์ติดมัลแวร์ หรือให้สิทธิ์การเข้าถึงโดยไม่ได้รับอนุญาต การค้นพบนี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มสูงขึ้นใน Agentic AI browsers ซึ่ง integrated LLMs เข้าไปด้วยนั้น ยิ่งขยายผลการโจมตีทางเว็บไซต์แบบดั้งเดิมให้รุนแรงขึ้น

ช่องโหว่ถูกรายงานไปยัง OpenAI ภายใต้โปรโตคอลการเปิดเผยข้อมูลอย่างรับผิดชอบ โดยช่องโหว่นี้จะส่งผลกระทบต่อผู้ใช้ ChatGPT ในทุกเบราว์เซอร์ แต่ก่อให้เกิดอันตรายร้ายแรงกว่าสำหรับผู้ที่ใช้ Atlas เนื่องจากระบบ always-on authentication และการป้องกันฟิชชิงที่แย่กว่า

การทดสอบของ LayerX แสดงให้เห็นว่า Atlas สามารถบล็อกความพยายามทำฟิชชิงได้เพียง 5.8% เท่านั้น เมื่อเทียบกับ Chrome และ Edge ที่บล็อกได้ 47-53% ซึ่งทำให้ผู้ใช้มีความเสี่ยงเพิ่มขึ้นถึง 90% แม้ว่า OpenAI จะยังไม่ได้เปิดเผยรายละเอียดแพตช์ต่อสาธารณะ แต่ผู้เชี่ยวชาญเรียกร้องให้มีมาตรการลดผลกระทบทันที เช่น การปรับปรุงการตรวจสอบ Token

วิธีการใช้ช่องโหว่ CSRF โจมตี ChatGPT Memory

การโจมตีเริ่มต้นขึ้นเมื่อผู้ใช้ล็อกอินเข้าสู่ ChatGPT ซึ่งมีการจัดเก็บคุกกี้ หรือ Token สำหรับการ authentication ไว้ในเบราว์เซอร์ ผู้โจมตีจะหลอกเหยื่อไปยังหน้าเว็บที่เป็นอันตรายผ่านลิงก์ฟิชชิง ซึ่งจะส่ง CSRF request โดยใช้ประโยชน์จากจากเซสชันที่ใช้อยู่

Request ที่ถูกปลอมแปลงนี้จะ injects คำสั่งที่ซ่อนอยู่เข้าไปในฟีเจอร์ “Memory” ของ ChatGPT ซึ่งออกแบบมาเพื่อรักษาการตั้งค่า และ context ในแต่ละเซสชัน โดยไม่จำเป็นต้องสั่งการซ้ำอย่างชัดเจน

ไม่เหมือนกับผลกระทบของ CSRF แบบทั่วไป เช่น unauthorized transactions โดยมุ่งเป้าไปที่ระบบ AI ด้วยการโจมตีไปยัง “หน่วยความจำถาวร” ของ LLM

เมื่อคำสั่งอันตรายถูก injects ลงไปแล้ว มันจะถูกสั่งให้ทำงานระหว่างการป้อนคำสั่งตามปกติ ทำให้ ChatGPT สร้างผลลัพธ์ที่เป็นอันตราย เช่น การเรียกใช้โค้ดจากเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ การโจมตีนี้จะยังคงดำเนินต่อไปในอุปกรณ์ หรือเบราว์เซอร์ใดก็ตามที่ผูกอยู่กับบัญชี ทำให้การตรวจจับ และการแก้ไขมีความซับซ้อนมากขึ้น

Diagram นี้แสดงให้เห็นถึงขั้นตอนการโจมตี ตั้งแต่การขโมยข้อมูล credential ไปจนถึงการแทรกคำสั่งเข้าสู่หน่วยความจำ และการสั่งรันโค้ดจากระยะไกล

การเข้าสู่ระบบ ChatGPT แบบเริ่มต้นของ Atlas ทำให้ข้อมูล credentials พร้อมใช้งานอยู่เสมอ ซึ่งช่วยให้การโจมตีแบบ CSRF ทำได้ง่ายขึ้น โดยไม่จำเป็นต้องทำฟิชชิงเพื่อขโมย Token เพิ่มเติม

LayerX ได้ประเมิน Atlas เทียบกับการโจมตีจริง 103 ครั้ง พบว่าประสบความสำเร็จ 94.2% ซึ่งแย่กว่าคู่แข่งอย่าง Comet ของ Perplexity อย่างมาก ที่สามารถสกัดกั้นการโจมตีได้ถึง 93% ในการทดสอบก่อนหน้านี้ สาเหตุนี้เกิดจากการขาดการป้องกันในตัว ทำให้เบราว์เซอร์กลายเป็นช่องทางหลักสำหรับภัยคุกคามเฉพาะด้าน AI เช่น prompt injection

งานวิจัยในวงกว้างก็สะท้อนข้อกังวลเหล่านี้เช่นกัน การวิเคราะห์เบราว์เซอร์ AI ของ Brave ซึ่งรวมถึง Atlas ได้เปิดเผยถึงการโจมตีแบบ indirect prompt injection ที่แทรกคำสั่งไว้ในหน้าเว็บเพจ หรือภาพหน้าจอ ซึ่งนำไปสู่การขโมยข้อมูล หรือการดำเนินการที่ไม่ได้รับอนุญาต

ฟีเจอร์ที่ทำงานแบบ Agentic ของ OpenAI ซึ่งช่วยให้สามารถทำงานได้อย่างอิสระ ทำให้ความเสี่ยงรุนแรงขึ้น ด้วยการมอบอำนาจการตัดสินใจให้แก่ AI เหนือข้อมูล และระบบของผู้ใช้

Proof-of-Concept : ‘Vibe Coding’ ที่เป็นอันตราย

ในสถานการณ์จำลองการโจมตี ผู้โจมตีมุ่งเป้าไปที่ “vibe coding” ซึ่งเป็นรูปแบบที่นักพัฒนาใช้งาน AI ในโปรเจกต์ แทนที่การเขียนโค้ดแบบ rigid syntax

คำสั่งที่ถูกแทรกเข้าไปในหน่วยความจำนี้จะเปลี่ยนแปลงผลลัพธ์อย่างแนบเนียน โดยแทรก backdoors หรือโค้ดสำหรับขโมยข้อมูลไว้ในสคริปต์ที่ถูกสร้างขึ้น เช่น การดึงมัลแวร์จากเซิร์ฟเวอร์อย่าง “server.

LastPass กำลังแจ้งเตือนลูกค้าว่าขณะนี้มีแคมเปญฟิชชิงที่ส่งอีเมลหลอกลวง โดยภายในอีเมลมีคำขอเข้าถึง password vaults ภายใต้ข้ออ้างว่าเป็นขั้นตอนในกระบวนการสืบทอดบัญชี

กิจกรรมดังกล่าวเริ่มต้นขึ้นราวกลางเดือนตุลาคม โดยพบว่าโดเมน และโครงสร้างพื้นฐานที่ใช้มีความเชื่อมโยงกับกลุ่มผู้โจมตีซึ่งมีแรงจูงใจทางด้านการเงินที่รู้จักกันในชื่อ CryptoChameleon (UNC5356)

กลุ่ม CryptoChameleon ใช้ชุดเครื่องมือฟิชชิงที่พัฒนาเฉพาะเพื่อขโมยสินทรัพย์ดิจิทัล โดยมุ่งเป้าไปที่กระเป๋าเงินคริปโตหลายแพลตฟอร์ม เช่น Binance, Coinbase, Kraken และ Gemini ผ่านหน้าเข้าสู่ระบบปลอมของบริการชื่อดังอย่าง Okta, Gmail, iCloud และ Outlook

ผู้ใช้ LastPass เคยถูกกลุ่มเดียวกันนี้โจมตีมาแล้วในเดือนเมษายน ปี 2024 แต่ดูเหมือนว่าแคมเปญล่าสุดจะมีความซับซ้อน และครอบคลุมมากกว่าเดิม โดยคราวนี้ยังขยายเป้าหมายไปถึง passkey อีกด้วย

อีเมลฟิชชิงที่ส่งถึงผู้ใช้ LastPass แอบอ้างว่ามีสมาชิกในครอบครัวร้องขอการเข้าถึง LastPass vault ของผู้ใช้ โดยอัปโหลด “ใบมรณบัตร” เพื่อใช้เป็นเอกสารประกอบคำขอ

กระบวนการสืบทอดสิทธิ์ของ LastPass เป็นฟีเจอร์การเข้าถึงฉุกเฉินที่อนุญาตให้บุคคลที่เจ้าของบัญชีกำหนดสามารถขอเข้าถึง password vault ของตนได้ในกรณีที่เสียชีวิต หรือทุพพลภาพ

ปกติแล้วเมื่อมีการเปิดคำขอดังกล่าว เจ้าของบัญชีจะได้รับอีเมล และหลังจากระยะเวลารอสิ้นสุดลง ผู้ติดต่อจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ

คำขอสืบทอดปลอมดังกล่าวถูกออกแบบให้ดูน่าเชื่อถือยิ่งขึ้นด้วยการใส่ หมายเลข Agent ID เพื่อสร้างความสมจริง เพื่อให้ผู้รับรีบดำเนินการยกเลิกคำขอนั้น หากตนเอง “ยังไม่เสียชีวิต” โดยคลิกที่ลิงก์ในอีเมล

อย่างไรก็ตาม ลิงก์นั้นจะนำเหยื่อไปยังเว็บไซต์ปลอม lastpassrecovery[.]com ซึ่งมีแบบฟอร์มเข้าสู่ระบบปลอม ซึ่งหลอกให้ผู้ใช้กรอกรหัสผ่าน master password ของตนลงไป

LastPass เปิดเผยว่า ในบางกรณี ผู้โจมตีได้โทรศัพท์หาผู้เสียหายโดยแอบอ้างเป็นเจ้าหน้าที่ของบริษัท และหลอกให้เหยื่อกรอกข้อมูลเข้าสู่ระบบบนเว็บไซต์ฟิชชิงที่จัดเตรียมไว้ล่วงหน้า

บริษัทระบุเพิ่มเติมว่า หนึ่งในองค์ประกอบสำคัญของการโจมตีโดยกลุ่ม CryptoChameleon ที่มุ่งเป้าไปยังผู้ใช้ LastPass คือการใช้โดเมนฟิชชิงที่เน้นการขโมย passkey โดยเฉพาะ เช่น mypasskey[.]info และ passkeysetup[.]com ซึ่งแสดงให้เห็นถึงความพยายามในการขโมยข้อมูล passkey ของเหยื่อ

ทั้งนี้ passkey เป็นมาตรฐานการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน (passwordless authentication) ที่พัฒนาบนโปรโตคอล FIDO2 / WebAuthn โดยอาศัยระบบเข้ารหัสแบบ assymmetric แทนการใช้รหัสผ่านที่ต้องจดจำ

Password managers ยุคใหม่อย่าง LastPass, 1Password, Dashlane และ Bitwarden สามารถจัดเก็บ และซิงก์ passkey ข้ามอุปกรณ์ได้แล้ว ซึ่งทำให้กลุ่มผู้ไม่หวังดีเริ่มหันมาโจมตีพวกเขาโดยตรง

ในปี 2022 LastPass ประสบเหตุข้อมูลรั่วไหลครั้งใหญ่ เมื่อผู้โจมตีขโมยข้อมูลสำรองของ password vaults ที่เข้ารหัสไว้ เหตุการณ์นี้เชื่อมโยงกับการโจมตีแบบเจาะจงเป้าหมายในภายหลัง ส่งผลให้เกิดความสูญเสียสกุลเงินดิจิทัลราว 4.4 ล้านดอลลาร์สหรัฐ

 

ที่มา : bleepingcomputer.

Google ออกประกาศเมื่อวันที่ 28 ตุลาคม 2025 ที่ผ่านมา โดยระบุว่า เว็บเบราว์เซอร์ Chrome จะขอ permission จากผู้ใช้ก่อนที่จะทำการเชื่อมต่อไปยังเว็บไซต์ที่ใช้แค่ HTTP ซึ่งไม่ปลอดภัย โดยจะเริ่มบังคับใช้ตั้งแต่ Chrome เวอร์ชัน 154 ในเดือนตุลาคม 2026

นอกจากนี้ Google Chrome ยังมี "HTTPS-First Mode แบบที่ผู้ใช้ต้องเลือกเปิดเอง (opt-in) มาตั้งแต่ปี 2021 ซึ่งได้เพิ่มการตั้งค่า "Always Use Secure Connections" (ใช้การเชื่อมต่อที่ปลอดภัยเสมอ) โดยโหมดนี้จะพยายามเชื่อมต่อเว็บไซต์ผ่าน HTTPS (HyperText Transfer Protocol Secure) ก่อนเสมอ และจะแสดงคำเตือนที่สามารถกดข้ามได้ หากเว็บไซต์นั้นไม่รองรับ HTTPS

อย่างไรก็ตาม ตอนนี้ Google จะเปิดใช้งานตัวเลือกนี้เป็นค่า default เพื่อให้แน่ใจว่าผู้ใช้เข้าชมเว็บไซต์ผ่าน HTTPS เท่านั้น และได้รับการปกป้องอยู่เสมอจากการโจมตีแบบ "Man-in-the-Middle" (MITM) ที่พยายามดักจับข้อมูล หรือเปลี่ยนแปลงข้อมูลที่แลกเปลี่ยนกับเซิร์ฟเวอร์ผ่านโปรโตคอล HTTP ที่ไม่ได้เข้ารหัส

ทีมรักษาความปลอดภัยของ Chrome ระบุว่า "อีกหนึ่งปีนับจากนี้ เมื่อ Chrome 154 เปิดตัวในเดือนตุลาคม 2026 Chrome จะเปลี่ยนการตั้งค่า default ของ Chrome เพื่อเปิดใช้งาน 'Always Use Secure Connections' ซึ่งหมายความว่า Chrome จะขอ permission จากผู้ใช้ก่อนที่จะเข้าถึงเว็บไซต์ใด ๆ ที่ไม่มี HTTPS ก่อนเสมอ"

"เมื่อลิงก์ต่าง ๆ ที่ไม่ได้ใช้ HTTPS ผู้โจมตีจะสามารถ hijack และบังคับให้ผู้ใช้ Chrome โหลดทรัพยากรใด ๆ ก็ได้ที่ผู้โจมตีควบคุมอยู่ ซึ่งทำให้ผู้ใช้ตกอยู่ในความเสี่ยงต่อมัลแวร์, การโจมตีระบบที่เป็นเป้าหมาย หรือการโจมตีแบบ social engineering"

ตามที่ Google ได้อธิบายเพิ่มเติม ไม่ว่าการตั้งค่า "Always Use Secure Connections" จะถูกปรับใช้ในรูปแบบใดก็ตาม Chrome จะไม่เตือนผู้ใช้ซ้ำ ๆ เกี่ยวกับเว็บไซต์นั้น ตราบใดที่ผู้ใช้ยังคงเข้าชมเว็บไซต์ที่ไม่ปลอดภัยดังกล่าว "เป็นประจำ" ซึ่งหมายความว่าแทนที่จะเตือนผู้ใช้ (เช่น เตือน 1 ครั้ง ต่อการเข้าชม 50 ครั้ง) แต่ Chrome จะเตือนผู้ใช้เฉพาะเมื่อพวกเขาเปิดเว็บไซต์ใหม่ (หรือเว็บไซต์ที่เข้าชมไม่บ่อย) ที่ไม่ใช้ HTTPS เท่านั้น

นอกจากนี้ ผู้ใช้ยังสามารถเลือกได้ว่าจะให้เปิดการแจ้งเตือนการเชื่อมต่อที่ไม่ปลอดภัยเฉพาะกับ Public เว็บไซต์เท่านั้น หรือให้แจ้งเตือนทั้ง Public เว็บไซต์ และ Private เว็บไซต์ (รวมถึง Intranets ภายในองค์กร)

สิ่งสำคัญคือต้องทราบว่า แม้ Private เว็บไซต์จะยังคงมีความเสี่ยง แต่โดยทั่วไปถือว่าอันตรายน้อยกว่า Public เว็บไซต์ เนื่องจากผู้โจมตีมีโอกาสในการใช้การโจมตีจากเว็บเหล่านี้น้อยกว่า และการใช้ HTTP ในการโจมตีนั้น สามารถทำได้ในบริบทที่จำกัดมากกว่า เช่น local network อย่าง Wi-Fi ที่บ้าน หรือระบบภายในเครือข่ายขององค์กร

อย่างไรก็ตาม แม้ว่าจะเปิดการแจ้งเตือนทั้งสองประเภท (ทั้ง Public และ Private เว็บ) ผู้ใช้ก็จะไม่ถูกรบกวนด้วยการแจ้งเตือนมากเกินไป เนื่องจากในปัจจุบันราว 95-99% ของเว็บไซต์ทั้งหมดได้เปลี่ยนมาใช้ HTTPS แล้ว ซึ่งเพิ่มขึ้นอย่างมากจากอัตราการใช้งานในปี 2015 ที่อยู่ประมาณ 30-45%

ก่อนที่จะเปิดใช้งานฟีเจอร์นี้เป็นค่า default สำหรับผู้ใช้ทุกคน Chrome จะเปิดใช้งาน "Always Use Secure Connections" สำหรับ Public เว็บไซต์ ให้กับผู้ใช้กว่า 1 พันล้านคนที่ใช้การป้องกันแบบ "Enhanced Safe Browsing" ก่อน ในเดือนเมษายน 2026 เมื่อ Chrome เวอร์ชัน 147 เปิดตัว

Google ระบุเพิ่มเติมว่า "แม้จะคาดหวังว่าการเปลี่ยนแปลงครั้งนี้ให้เป็นไปอย่างราบรื่นสำหรับผู้ใช้ส่วนใหญ่ แต่ผู้ใช้จะยังคงสามารถปิดการแจ้งเตือนเหล่านี้ได้ โดยการปิดการตั้งค่า 'Always Use Secure Connections'"

"หากคุณเป็นนักพัฒนาเว็บไซต์ หรือผู้เชี่ยวชาญด้านไอที และคุณมีผู้ใช้ที่อาจได้รับผลกระทบจากฟีเจอร์นี้ ขอแนะนำให้เปิดใช้งานการตั้งค่า 'Always Use Secure Connections' ตั้งแต่วันนี้ เพื่อช่วยระบุเว็บไซต์ที่อาจจะต้องดำเนินการเพื่อ migrate ไปใช้ HTTPS"

ในเดือนตุลาคม 2023 Google Chrome ได้เพิ่มฟีเจอร์ HTTPS-Upgrades ซึ่งจะอัปเกรดลิงก์ HTTP ภายในหน้าเว็บไปเป็นการเชื่อมต่อที่ปลอดภัยโดยอัตโนมัติสำหรับผู้ใช้ทุกคน ในขณะเดียวกันก็จะสามารถย้อนกลับไปใช้ HTTP ได้อย่างรวดเร็วหากจำเป็น

เมื่อต้นเดือนที่ผ่านมา Google ยังได้อัปเดตเว็บเบราว์เซอร์อีกครั้ง เพื่อให้เพิกถอนสิทธิ์การแจ้งเตือนโดยอัตโนมัติ สำหรับเว็บไซต์ที่ไม่มีการเข้าชมเมื่อเร็ว ๆ นี้ เพื่อลดภาระการแจ้งเตือนที่มากเกินไป

ที่มา : bleepingcomputer

สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้สั่งให้หน่วยงานรัฐบาลสหรัฐฯ เร่งแก้ไขช่องโหว่ Windows Server Update Services (WSUS) ความรุนแรงระดับ Crtical หลังจาก Microsoft เพิ่มช่องโหว่ดังกล่าวเข้าไปในรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี

CVE-2025-59287 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Crtical) เป็นช่องโหว่ Remote Code Execution (RCE) ซึ่งหากสามารถโจมตีช่องโหว่ได้สำเร็จ จะส่งผลกระทบต่อ Windows servers ที่เปิดใช้งาน WSUS Server role (เป็นฟีเจอร์ที่ไม่ได้เปิดใช้งานเป็นค่าเริ่มต้น) ซึ่งทำหน้าที่เป็นแหล่งอัปเดตสำหรับเซิร์ฟเวอร์อื่น ๆ ภายในองค์กร

Hacker สามารถใช้ช่องโหว่นี้โจมตีได้จากระยะไกล ในรูปแบบการโจมตีที่ไม่ซับซ้อน ซึ่งไม่จำเป็นต้องมีการโต้ตอบ หรือสิทธิ์พิเศษจากผู้ใช้งาน โดยหากโจมตีได้สำเร็จ ผู้โจมตีจะได้รับสิทธิ์ SYSTEM และเรียกใช้คำสั่งที่เป็นอันตรายได้

หลังจากที่ HawkTrace Security บริษัทรักษาความปลอดภัยไซเบอร์ ได้เผยแพร่ชุดสาธิตการโจมตี Proof-of-Concept(PoC) ทาง Microsoft ก็ได้ออกแพตซ์อัปเดตความปลอดภัยแบบ out-of-band security updates เพื่อแก้ไขช่องโหว่ CVE-2025-59287 บน Windows Server ทุกเวอร์ชันที่ได้รับผลกระทบ และแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ฉุกเฉินได้ในทันที ควรปิดใช้งาน WSUS Server บนระบบที่มีช่องโหว่ เพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

ช่องโหว่ CVE-2025-59287 ถูกใช้ในการโจมตีแล้ว

ในวันที่มีการเผยแพร่การอัปเดตความปลอดภัยของช่องโหว่ CVE-2025-59287 บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน Huntress ได้พบหลักฐานการโจมตีช่องโหว่ที่มุ่งเป้าไปที่ WSUS instances ซึ่งใช้งานพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่ถูกเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

รวมถึง Eye Security บริษัทรักษาความปลอดภัยไซเบอร์สัญชาติเนเธอร์แลนด์ ก็ได้พบการสแกน และโจมตีระบบ หลังจากการเปิดเผยช่องโหว่ โดยระบบของลูกค้าอย่างน้อยหนึ่งรายถูกโจมตีโดยใช้ช่องโหว่ที่แตกต่างจากช่องโหว่ที่ Hawktrace ได้เผยแพร่

หลังจากนั้น Shadowserver ได้ติดตาม WSUS instances กว่า 2,800 รายการที่เปิดพอร์ตเริ่มต้น (8530/TCP และ 8531/TCP) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต แม้ว่าจะไม่ได้ระบุว่ามี WSUS instances จำนวนเท่าไรที่ได้รับการอัปเดตแพตแล้ว

หน่วยงานรัฐบาลกลางสั่งให้แก้ไขช่องโหว่โดยด่วน

CISA ยังได้เพิ่มช่องโหว่อีกรายการ ซึ่งส่งผลกระทบต่อ Adobe Commerce stores (เดิมคือ Magento) ซึ่งถูกระบุว่าถูกใช้ในการโจมตีในช่วงที่ผ่านมาเช่นกัน

โดย CISA ได้เพิ่มช่องโหว่ทั้งสองรายการลงใน Known Exploited Vulnerabilities catalog ซึ่งแสดงรายการช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีอยู่จริง

ตามคำสั่งปฏิบัติการ (BOD) 22-01 เดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางสหรัฐฯ (FCEB) จะต้องแก้ไขระบบของตนภายในสามสัปดาห์ภายในวันที่ 14 พฤศจิกายน 2025 เพื่อป้องกันการโจมตีช่องโหว่ที่อาจเกิดขึ้น

แม้ว่าข้อกำหนดนี้จะบังคับใช้เฉพาะกับหน่วยงานรัฐบาลสหรัฐฯ เท่านั้น แต่ขอแนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องทุกคนจัดลำดับความสำคัญในการแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้โดยเร็วที่สุด

CISA แนะนำให้ผู้ดูแลระบบ และผู้มีส่วนเกี่ยวข้องระบุเซิร์ฟเวอร์ที่มีช่องโหว่ทั้งหมด และใช้การอัปเดตความปลอดภัยแบบ out-of-band security updates สำหรับ CVE-2025-59287 หลังจากติดตั้งแล้ว ให้รีบูต WSUS servers เพื่อดำเนินการแก้ไขช่องโหว่ และรักษาความปลอดภัย Windows servers ที่เหลือให้เสร็จสิ้น

ที่มา : bleepingcomputer

QNAP แจ้งเตือนลูกค้าให้อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ ASP.NET Core ที่มีความรุนแรงระดับ Critical ซึ่งส่งผลกระทบต่อ NetBak PC Agent ซึ่งเป็น Windows utility สำหรับสำรองข้อมูลไปยังอุปกรณ์จัดเก็บข้อมูลแบบ Network-attached storage (NAS) ของ QNAP

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-55315 โดยเป็นช่องโหว่ security bypass ใน Kestrel ASP.NET Core web server โดยเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับต่ำ สามารถขโมยข้อมูล Credentials ของผู้ใช้รายอื่น หรือ bypass ระบบ front-end security controls ผ่านการ HTTP request smuggling (more…)