มีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ Code-injection ระดับ Critical จำนวน 2 รายการ บนแพลตฟอร์ม Endpoint Manager Mobile (EPMM) ซึ่งพบว่ากำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง
ช่องโหว่ความปลอดภัยดังกล่าว มีหมายเลข CVE-2026-1281 และ CVE-2026-1340 ทำให้ผู้โจมตีสามารถสั่งเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ทันที โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน
(more…)
Microsoft ได้ออกมาชี้แจงถึงรายงานล่าสุดเกี่ยวกับปัญหาการบูตไม่สำเร็จของ Windows 11 หลังจากติดตั้งอัปเดตเดือนมกราคม 2026 โดยระบุว่าสาเหตุเชื่อมโยงกับความพยายามในการติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ที่ไม่สำเร็จก่อนหน้านี้ ซึ่งทำให้ระบบอยู่ในสถานะที่ไม่สมบูรณ์
ปัญหาการบูตไม่สำเร็จนี้ เริ่มมีรายงานเข้ามาเมื่อช่วงต้นเดือนมกราคม 2026 หลังจากที่ผู้ใช้ได้ติดตั้งอัปเดต Patch Tuesday ประจำเดือนมกราคม 2026 รหัส KB5074109 บน Windows 11 เวอร์ชัน 25H2 และ 24H2
โดยหลังจากติดตั้งอัปเดตดังกล่าว ระบบที่ได้รับผลกระทบจะไม่สามารถเริ่มทำงานได้ และจะแสดงหน้าจอสีฟ้า (BSOD) พร้อม error code "UNMOUNTABLE_BOOT_VOLUME"
จากการอัปเดตข้อมูลล่าสุดที่พบโดย Susan Bradley จาก AskWoody นั้น Microsoft ระบุว่า ผลการตรวจสอบพบว่าอุปกรณ์ที่ได้รับผลกระทบเกิดจาก errors ในการบูตครั้งนี้มาจากกรณีที่เครื่องไม่สามารถติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ได้มาก่อนหน้านี้
เมื่อการติดตั้งอัปเดตที่ไม่สำเร็จดังกล่าวถูก Rolled back กลับไป Windows จะถูกทิ้งไว้ในสถานะที่ไม่เสถียร หรือที่เรียกว่า "Improper state"
ข้อความแจ้งเตือนฉบับปรับปรุงระบุว่า "การตรวจสอบล่าสุดระบุว่า ปัญหานี้สามารถเกิดขึ้นได้กับอุปกรณ์ที่ติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ไม่สำเร็จ และตกอยู่ในสถานะที่ไม่สมบูรณ์หลังจากทำ Rolled back การอัปเดต"
"ความพยายามในการติดตั้งอัปเดต Windows ขณะที่ระบบยังอยู่ในสถานะที่ไม่สมบูรณ์นี้ อาจส่งผลให้อุปกรณ์ไม่สามารถบูตได้ ขณะนี้บริษัทกำลังเร่งดำเนินการแก้ไขปัญหาบางส่วน เพื่อป้องกันไม่ให้อุปกรณ์เครื่องอื่น ๆ ประสบปัญหาบูตไม่ได้ หากมีการพยายามติดตั้งอัปเดตในขณะที่ระบบยังไม่สมบูรณ์"
“อย่างไรก็ตาม วิธีแก้ปัญหาเพียงบางส่วนนี้จะไม่สามารถป้องกันไม่ให้อุปกรณ์เข้าสู่สถานะที่ไม่สมบูรณ์ตั้งแต่แรก และจะไม่สามารถซ่อมแซมอุปกรณ์ที่ไม่สามารถบูตได้อยู่แล้ว"
บริษัทระบุว่ากำลังตรวจสอบสาเหตุที่อุปกรณ์บางเครื่องไม่สามารถติดตั้งการอัปเดต Windows หรือเข้าสู่สถานะที่ไม่สมบูรณ์หลังจากทำ Rolled back
Microsoft ระบุว่าขณะนี้ปัญหาจำกัดเฉพาะ physical devices เท่านั้น ยังไม่มีรายงานว่า virtual machines ได้รับผลกระทบ
ที่มา : bleepingcomputer.
SolarWinds ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass และ remote command execution ระดับ Critical ในซอฟต์แวร์ Web Help Desk IT help desk
ช่องโหว่ authentication bypass ดังกล่าวมีหมายเลข CVE-2025-40552 และ CVE-2025-40554 โดยช่องโหว่ที่ SolarWinds ได้แก้ไขในครั้งนี้ ได้รับการรายงานโดย Piotr Bazydlo จาก watchTowr และสามารถถูกโจมตีโดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ด้วยวิธีการโจมตีที่มีความซับซ้อน
Bazydlo ยังพบ และรายงานช่องโหว่ระดับ Critical ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2025-40553 ซึ่งเกิดจาก Data Deserialization ที่ไม่เหมาะสม ซึ่งสามารถทำให้ Hacker ที่ไม่มีสิทธิ์สามารถเรียกใช้คำสั่งบนโฮสต์ที่มีช่องโหว่ได้
ช่องโหว่ RCE อีกรายการหมายเลข CVE-2025-40551 ที่สามารถทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ถูกรายงานโดย Jimi Sebree นักวิจัยด้านความปลอดภัยของ Horizon3.ai
รวมถึงทาง SolarWinds ยังได้แก้ไขช่องโหว่การเข้าถึงข้อมูล hardcoded credentials ที่มีระดับความรุนแรงสูง (CVE-2025-40537) ที่ทำให้ Hacker ที่มีสิทธิ์ต่ำสามารถเข้าถึง administrative functions ได้โดยไม่ได้รับอนุญาต ซึ่งถูกรายงานโดย Sebree
SolarWinds ได้ให้คำแนะนำโดยละเอียดสำหรับการอัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk 2026.1 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้แล้ว และได้แนะนำให้ผู้ดูแลระบบอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด เนื่องจาก Hacker มักใช้ช่องโหว่ด้านความปลอดภัยของ Web Help Desk ในการโจมตี
ตัวอย่างเช่น ในเดือนกันยายน 2025 ทาง SolarWinds ได้แก้ไขช่องโหว่ Patch Bypass ครั้งที่สอง (CVE-2025-26399) สำหรับช่องโหว่ RCE ของ WHD ซึ่ง CISA ได้ระบุว่าถูกใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว โดยเพิ่มช่องโหว่นี้ลงในรายการของช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในสามสัปดาห์
ในขณะนั้น SolarWinds ระบุว่าช่องโหว่นี้เป็น "ช่องโหว่ Patch Bypass ของ CVE-2024-28988 ซึ่งเป็นช่องโหว่ Patch Bypass ของ CVE-2024-28986 อีกที"
นอกจากนี้ CISA ยังได้ระบุช่องโหว่สำคัญเกี่ยวกับข้อมูล credentials ที่ถูกกำหนดไว้ในโค้ดของ Web Help Desk ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนตุลาคม 2024 และขอให้หน่วยงานของรัฐบาลทำการแก้ไขอุปกรณ์ของตนอีกครั้ง
**
Web Help Desk (WHD) ถูกใช้งานอย่างแพร่หลายโดยบริษัทขนาดใหญ่ องค์กรด้านการดูแลสุขภาพ สถาบันการศึกษา และหน่วยงานของรัฐบาลสำหรับการจัดการฝ่ายช่วยเหลือ SolarWinds กล่าวว่าผลิตภัณฑ์การจัดการไอทีของบริษัทมีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก
ที่มา : bleepingcomputer.
อัปเดตความปลอดภัย Windows 11 ประจำเดือนมกราคม 2026 รหัส KB5074109 ของ Microsoft ได้ก่อให้เกิดปัญหาความเสถียรของระบบหลายประการ รวมถึงอาการเครื่องค้าง และหน้าจอดำ ส่งผลให้ผู้ใช้จำนวนมากต้องถอนการติดตั้งอัปเดตดังกล่าว โดยมีรายงานระบุถึงปัญหาด้านกราฟิก และแอปพลิเคชันล้มเหลว ซึ่งส่งผลกระทบต่อทั้งกลุ่มผู้ใช้งานทั่วไป และกลุ่มองค์กร
KB5074109 อยู่ในอัปเดตบน Windows 11 เวอร์ชัน 24H2 (build 26200.7623) และ 25H2 (build 26100.7623) โดยประกอบด้วยการแก้ไขความปลอดภัยกว่า 100 รายการ รวมถึงช่องโหว่ Zero-day 3 รายการ พร้อมการปรับปรุงประสิทธิภาพอื่น ๆ ที่ไม่เกี่ยวกับความปลอดภัย เช่น การปรับปรุงการใช้พลังงานของ NPU
การอัปเดตนี้เผยแพร่ใน Patch Tuesday วันที่ 13 มกราคม 2026 โดยการอัปเดตนี้ยังรวมถึง Servicing Stack Update รหัส KB5071142 และ AI components สำหรับ Copilot+ PCs นอกจากนี้ Microsoft ได้ลดความซับซ้อนของชื่อการอัปเดตในเวอร์ชันนี้เพื่อให้เข้าใจง่ายขึ้น
ปัญหาด้านกราฟิก และการค้างของระบบ
ผู้ใช้บางส่วนรายงานว่าพบว่าระบบค้างโดยไม่มีหน้าจอ blue screens โดยเฉพาะอย่างยิ่งในแอปพลิเคชันที่ใช้กราฟิกหนัก เช่น BforArtists 5.0 ซึ่งเป็นโปรแกรมที่พัฒนาต่อยอดจาก Blender เมื่อทำการสลับโหมดการแสดงผล
ปัญหาการค้างเหล่านี้เกิดจากความบกพร่องของ DirectX และ GPU driver ที่เกิดจากการเปลี่ยนแปลง Kernel หรือ Graphics stack ในการอัปเดต
หลังการติดตั้ง ระบบ GPU ของ Nvidia และ AMD มักพบปัญหาหน้าจอดำ นอกจากนี้ File Explorer ยังไม่ตอบสนองต่อการตั้งค่า LocalizedResourceName ในไฟล์ desktop.
Fortinet ออกมายืนยันการค้นพบช่องโหว่ระดับ critical ตัวใหม่ในระบบ FortiCloud Single Sign-On (SSO) ซึ่งกำลังถูกนำไปใช้ในการโจมตีจริง โดยช่องโหว่นี้มีหมายเลข CVE-2026-24858 โดยเป็นช่องโหว่ authentication bypass และบริษัทระบุว่า ได้ลดผลกระทบจากการโจมตีแบบ zero-day ดังกล่าวแล้ว ด้วยการบล็อกการเชื่อมต่อ FortiCloud SSO จากอุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชันที่มีช่องโหว่ (more…)
Microsoft ได้ออกอัปเดตแพตช์ความปลอดภัยฉุกเฉินนอกรอบ เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงใน Microsoft Office ที่กำลังถูกนำไปใช้ในการโจมตี (more…)
การโจมตีทางไซเบอร์ที่มีเป้าหมายไปยังโครงข่ายไฟฟ้าของโปแลนด์ ในช่วงปลายเดือนธันวาคม 2025 ได้ถูกเชื่อมโยงไปยัง Sandworm กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งพยายามปล่อยมัลแวร์ Data-wiping ตัวใหม่ที่ชื่อว่า "DynoWiper" ในระหว่างการโจมตีดังกล่าว
Sandworm (หรือที่รู้จักกันในชื่อ UAC-0113, APT44 และ Seashell Blizzard) คือกลุ่มแฮ็กเกอร์ระดับชาติของรัสเซีย ที่ปฏิบัติการมาตั้งแต่ปี 2009 เชื่อกันว่ากลุ่มนี้เป็นส่วนหนึ่งของหน่วยทหาร 74455 ภายใต้สังกัดกรมข่าวกรองหลัก (GRU) ของรัสเซีย และมีชื่อเสียงจากการก่อเหตุโจมตีที่สร้างความโกลาหล และความเสียหายอย่างรุนแรง (more…)
กลุ่มแฮ็กเกอร์ ShinyHunters ออกมาอ้างความรับผิดชอบต่อการโจมตีด้วยวิธี Voice phishing ที่กำลังดำเนินอยู่อย่างต่อเนื่อง โดยมีเป้าหมายที่บัญชี Single Sign-On (SSO) ของ Okta, Microsoft และ Google
การโจมตีเหล่านี้ทำให้ผู้ไม่หวังดีสามารถโจมตีเข้าสู่แพลตฟอร์ม SaaS ขององค์กร และขโมยข้อมูลของบริษัทไปเพื่อทำการข่มขู่เรียกเงินได้
(more…)
กลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่ชื่อว่า Konni (หรือเป็นที่รู้จักในชื่อ Opal Sleet, TA406) กำลังใช้มัลแวร์ PowerShell ที่สร้างขึ้นโดย AI เพื่อมุ่งเป้าโจมตีนักพัฒนา และวิศวกรในวงการ Blockchain
เชื่อกันว่ากลุ่ม Konni มีความเชื่อมโยงกับกลุ่ม APT37 และ Kimsuky โดยกลุ่มนี้มีการเคลื่อนไหวมาตั้งแต่อย่างน้อยปี 2014 และถูกตรวจพบว่าได้มุ่งเป้าโจมตีองค์กรต่าง ๆ ในเกาหลีใต้, รัสเซีย, ยูเครน และหลาย ๆ ประเทศในยุโรป
จากการวิเคราะห์ตัวอย่างโดยนักวิจัยของ Check Point พบว่าแคมเปญล่าสุดของกลุ่มผู้ไม่หวังดีเน้นเป้าหมายไปที่ภูมิภาคเอเชียแปซิฟิก เนื่องจากมีการส่งตัวอย่างมัลแวร์ดังกล่าวเข้ามาตรวจสอบจากประเทศญี่ปุ่น, ออสเตรเลีย และอินเดีย
การโจมตีเริ่มต้นเมื่อเหยื่อได้รับลิงก์ที่ฝากไว้บน Discord ซึ่งจะส่งไฟล์ ZIP ที่ภายในประกอบด้วยไฟล์ PDF สำหรับล่อลวง และไฟล์ LNK shortcut (.LNK) ที่เป็นอันตราย
ไฟล์ LNK ดังกล่าวจะสั่งทำงานตัว PowerShell loader ที่ฝังอยู่ เพื่อแตกไฟล์เอกสาร DOCX และไฟล์ CAB archive ออกมา โดยภายในประกอบด้วย PowerShell Backdoor, ไฟล์ Batch สองไฟล์ และไฟล์ Executable สำหรับหลบเลี่ยงระบบ UAC (User Account Control)
เมื่อเปิดไฟล์ shortcut เอกสาร DOCX จะถูกเปิดขึ้นพร้อมกับการสั่งรันไฟล์ Batch หนึ่งไฟล์ที่รวมอยู่ในไฟล์ Cabinet นั้น
เอกสาร DOCX ที่ใช้หลอกลวง แสดงให้เห็นเจตนาว่าแฮ็กเกอร์ต้องการโจมตีเข้าสู่ development environments ซึ่งจะช่วยให้พวกเขาสามารถเข้าถึง Assets ที่สำคัญ ได้แก่ โครงสร้างพื้นฐาน, ข้อมูล API credentials, การเข้าถึง Wallet และท้ายที่สุดคือเหรียญ Cryptocurrency ที่ถือครองอยู่"
ไฟล์ Batch ไฟล์แรกจะสร้าง Staging Directory สำหรับตัว Backdoor และไฟล์ Batch ไฟล์ที่สอง จะสร้าง Scheduled Task ให้ทำงานทุกชั่วโมง โดยอำพรางตัวเป็น Startup Task ของ OneDrive
Task ดังกล่าวจะอ่านสคริปต์ PowerShell ที่ถูกเข้ารหัสแบบ XOR จาก Disk และทำการถอดรหัสเพื่อสั่งประมวลผลภายในหน่วยความจำ จากนั้นในขั้นตอนสุดท้าย มันจะลบตัวเองทิ้งเพื่อกำจัดร่องรอยของการติดมัลแวร์
Backdoor ที่ถูกสร้างขึ้นโดย AI
ตัว PowerShell backdoor ดัวกล่าวจะถูกอำพรางไว้อย่างซับซ้อน โดยอาศัยการเข้ารหัส String ที่อิงตามหลัก Arithmetic การสร้าง String ขึ้นใหม่ในขณะที่โปรแกรมกำลังทำงาน และการสั่งทำงาน Logic ส่วนสุดท้ายผ่านคำสั่ง ‘Invoke-Expression’
นักวิจัยระบุว่ามัลแวร์ PowerShell ตัวนี้ แสดงให้เห็นอย่างชัดเจนว่าถูกพัฒนาขึ้นโดยมี AI เข้ามาช่วยเหลือ มากกว่าจะเป็นมัลแวร์ที่เขียนขึ้นโดย Operator ตามวิธีแบบดั้งเดิม
หลักฐานที่นำไปสู่ข้อสรุปดังกล่าว ได้แก่ การมีส่วนเอกสารกำกับที่ชัดเจน และเป็นโครงสร้างอยู่ที่ส่วนบนของสคริปต์ ซึ่งถือเป็นเรื่องที่ผิดปกติสำหรับการพัฒนามัลแวร์ รวมไปถึงการจัดวางรูปแบบโค้ดที่เป็นระเบียบแบ่งเป็นสัดส่วน และการปรากฏอยู่ของคอมเมนต์ที่เขียนว่า “# <– your permanent project UUID”
Check Point อธิบายว่า "การใช้ถ้อยคำเช่นนี้เป็นลักษณะเด่นอย่างมากของโค้ดที่สร้างขึ้นโดย LLM (Large Language Model) ซึ่งตัวโมเดลจะระบุคำแนะนำแก่ผู้ใช้อย่างชัดเจนถึงวิธีการปรับแก้ค่าที่เว้นว่างไว้ (Placeholder value)"
"คอมเมนต์ลักษณะนี้มักพบได้ทั่วไปในสคริปต์ และบทเรียนสอนเขียนโค้ดที่สร้างขึ้นโดย AI"
ก่อนที่จะเริ่มทำงาน มัลแวร์จะทำการตรวจสอบ Hardware, Software และกิจกรรมของผู้ใช้ เพื่อให้มั่นใจว่ามันไม่ได้กำลังถูกรันอยู่ในสภาพแวดล้อมสำหรับการวิเคราะห์ จากนั้นจึงจะสร้าง Host ID ที่ไม่ซ้ำกันขึ้นมา
ลำดับถัดไป ขึ้นอยู่กับระดับสิทธิ์การสั่งการ ที่ตัวมัลแวร์มีอยู่บนเครื่องที่ถูกโจมตีระบบ มัลแวร์จะเลือกดำเนินการตามเส้นทางที่แตกต่างกัน ดังที่แสดงในแผนภาพต่อไปนี้
เมื่อ Backdoor ทำงานอย่างสมบูรณ์บนอุปกรณ์ที่ติดมัลแวร์ มันจะติดต่อไปยังเซิร์ฟเวอร์ C2 เป็นระยะเพื่อส่งข้อมูล Metadata พื้นฐานของเครื่อง Host และส่ง Request ข้อมูลไปยังเซิร์ฟเวอร์ในช่วงเวลาแบบสุ่ม
หากการตอบกลับจาก C2 มีโค้ด PowerShell แนบมาด้วย มันจะแปลงโค้ดนั้นให้เป็น Script block และสั่งประมวลผลแบบ Asynchronously โดยอาศัยการทำงานอยู่เบื้องหลัง
ทาง Check Point ระบุว่า การโจมตีเหล่านี้เป็นฝีมือของกลุ่มผู้ไม่หวังดี Konni โดยอ้างอิงจากรูปแบบตัว Launcher ในอดีต ความซ้ำซ้อนของชื่อไฟล์หลอกลวง และชื่อสคริปต์ รวมถึงความคล้ายคลึงกันในโครงสร้าง Execution chain เมื่อเทียบกับการโจมตีก่อนหน้านี้
นักวิจัยได้เผยแพร่ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญล่าสุดนี้ เพื่อช่วยให้ฝ่ายป้องกันสามารถปกป้อง Assets ของตนได้
ที่มา : bleepingcomputer
พบช่องโหว่ระดับความรุนแรงสูงในปลั๊กอิน Advanced Custom Fields: Extended (ACF Extended) สำหรับ WordPress ซึ่งสามารถถูกโจมตีจากระยะไกลโดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตน โดยทำให้สามารถเข้ายึดสิทธิ์ระดับผู้ดูแลระบบได้
ACF Extended ซึ่งปัจจุบันใช้งานอยู่บนเว็บไซต์กว่า 100,000 แห่ง เป็นปลั๊กอินเฉพาะที่ช่วยขยายขีดความสามารถของปลั๊กอิน Advanced Custom Fields (ACF) ด้วยคุณสมบัติต่าง ๆ สำหรับนักพัฒนา และผู้สร้างเว็บไซต์ระดับสูง (more…)