ช่องโหว่ WinRAR (CVE-2025-8088) ที่เพิ่งถูกแก้ไข ถูกใช้ในปฏิบัติการฟิชชิงแบบ Zero-Day เพื่อติดตั้งมัลแวร์ RomCom

ช่องโหว่ Directory Traversal นี้ ได้รับการแก้ไขไปแล้วใน WinRAR เวอร์ชัน 7.13 ซึ่งก่อนหน้านี้สามารถทำให้ให้ไฟล์ archive ที่ถูกสร้างขึ้นเป็นพิเศษ สามารถแตกไฟล์ไปยังตำแหน่งที่ผู้โจมตีกำหนดได้

จากประวัติการเปลี่ยนแปลงของ WinRAR 7.13 ระบุว่า WinRAR, RAR และ UnRAR เวอร์ชันก่อนหน้า รวมถึงซอร์สโค้ดของ Portable UnRAR และ UnRAR.dll บน Windows อาจถูกหลอกให้ใช้ Path ที่กำหนดไว้ในไฟล์ archive แทนที่จะเป็น Path ที่ผู้ใช้ระบุเองขณะทำการแตกไฟล์

อย่างไรก็ตาม เวอร์ชันของ RAR และ UnRAR บน Unix รวมถึงซอร์สโค้ดของ Portable UnRAR, ไลบรารี UnRAR และ RAR บนระบบปฏิบัติการ Android ไม่ได้รับผลกระทบจากช่องโหว่นี้

โดยอาศัยช่องโหว่นี้ ผู้โจมตีสามารถสร้างไฟล์ archive ที่เมื่อแตกไฟล์แล้ว จะวางไฟล์ executables ลงใน Path ที่ระบบจะรันโดยอัตโนมัติ เช่น โฟลเดอร์ Startup ของ Windows ได้แก่ :

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

เมื่อผู้ใช้ล็อกอินเข้าสู่ระบบในครั้งถัดไป ไฟล์ปฏิบัติการดังกล่าวจะถูกรันโดยอัตโนมัติ ซึ่งจะเปิดโอกาสให้ผู้โจมตีรันโค้ดจากระยะไกลได้

เนื่องจาก WinRAR ไม่มีฟีเจอร์อัปเดตอัตโนมัติ จึงขอแนะนำให้ผู้ใช้ทุกคนดาวน์โหลด และติดตั้งเวอร์ชันล่าสุดด้วยตนเองจากเว็บไซต์ win-rar.

Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป

การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android

Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”

“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”

เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้

การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default

ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center

การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้

ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย

และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา

 

ที่มา : bleepingcomputer.

Google ได้ยืนยันเหตุการณ์ข้อมูลรั่วไหลที่เพิ่งถูกเปิดเผยจากระบบ Salesforce CRM ของบริษัทนั้น มีข้อมูลของลูกค้าที่มีแนวโน้มจะใช้บริการ Google Ads อยู่ด้วย

ตามรายงานที่แชร์กับ BleepingComputer ทาง Google แจ้งว่า เกิดเหตุการณ์ที่ส่งผลกระทบต่อข้อมูลจำนวนจำกัดในหนึ่งในอินสแตนซ์ของ Salesforce ของบริษัท ซึ่งใช้สำหรับการสื่อสารกับลูกค้าเป้าหมายของบริการ Google Ads โดยระบุเพิ่มเติมว่า ข้อมูลที่ได้รับผลกระทบประกอบด้วยข้อมูลติดต่อทางธุรกิจพื้นฐาน และบันทึกที่เกี่ยวข้อง

Google เปิดเผยว่าข้อมูลที่รั่วไหลออกไปประกอบด้วยชื่อธุรกิจ หมายเลขโทรศัพท์ และบันทึกที่ใช้โดยทีมขายในการติดต่อกับลูกค้าอีกครั้ง โดยยืนยันว่าไม่มีข้อมูลการชำระเงินใด ๆ ถูกเปิดเผย และเหตุการณ์นี้ไม่กระทบต่อข้อมูลในบัญชี Google Ads, Merchant Center, Google Analytics หรือผลิตภัณฑ์โฆษณาอื่น ๆ ของบริษัท

การโจมตีในครั้งนี้ดำเนินการโดยกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ ShinyHunters ซึ่งอยู่เบื้องหลังการขโมยข้อมูลจากลูกค้า Salesforce อย่างต่อเนื่อง

แม้ Google จะไม่ได้ระบุจำนวนผู้ที่ได้รับผลกระทบอย่างชัดเจน แต่กลุ่ม ShinyHunters อ้างว่าข้อมูลที่ถูกขโมยมีจำนวนประมาณ 2.55 ล้านรายการ โดยยังไม่แน่ชัดว่าข้อมูลเหล่านี้มีความซ้ำซ้อนกันหรือไม่ นอกจากนี้ ShinyHunters ยังให้ข้อมูลกับ BleepingComputer ว่า พวกเขากำลังร่วมมือกับกลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับ Scattered Spider ซึ่งเป็นผู้อยู่เบื้องหลังการเจาะระบบครั้งนี้

ShinyHunters ระบุว่า พวกเขากับ Scattered Spider คือพวกเดียวกัน โดย Scattered Spider เป็นผู้เจาะระบบเบื้องต้น ก่อนที่ ShinyHunters จะเข้ามาขโมย และลอบส่งข้อมูลออกจากระบบ Salesforce CRM คล้ายกับกรณีของ Snowflake ซึ่งล่าสุดกลุ่มได้ใช้ชื่อใหม่ว่า “Sp1d3rHunters” เพื่อสะท้อนการรวมตัวของสมาชิกจากทั้งสองกลุ่ม

ในการละเมิดข้อมูลครั้งนี้ กลุ่มผู้ไม่หวังดีได้ใช้เทคนิค Social Engineering เพื่อหลอกพนักงานของบริษัทเป้าหมายให้เปิดเผยข้อมูลบัญชีผู้ใช้ หรือติดตั้งแอปพลิเคชัน Salesforce Data Loader ที่มีมัลแวร์แฝงอยู่ ซึ่งทำให้พวกเขาสามารถเชื่อมต่อเข้ากับระบบ Salesforce ของบริษัทได้

หลังจากนั้น พวกเขาจะดาวน์โหลดฐานข้อมูลทั้งหมดจาก Salesforce และส่งอีเมลข่มขู่เรียกค่าไถ่ โดยขู่ว่าจะเปิดเผยข้อมูลหากไม่ได้รับค่าไถ่

การโจมตีต่อระบบ Salesforce เหล่านี้ ถูกเปิดเผยเป็นครั้งแรกโดยทีม Google Threat Intelligence Group (GTIG) เมื่อเดือนมิถุนายน ก่อนที่ Google เองจะตกเป็นเหยื่อในเดือนถัดมา

Databreaches.

Connex เป็นหนึ่งในสหกรณ์เครดิตยูเนี่ยนที่ใหญ่ที่สุดของรัฐคอนเนตทิคัต ได้แจ้งเตือนสมาชิกหลายหมื่นรายว่ามีผู้ไม่หวังดีที่ยังไม่สามารถระบุตัวตนได้ ขโมยข้อมูลส่วนบุคคล และข้อมูลทางการเงินของพวกเขาไป หลังจากระบบขององค์กรถูกโจมตีเมื่อช่วงต้นเดือนมิถุนายนที่ผ่านมา

(more…)

มีการเปิดเผยช่องโหว่ความปลอดภัยใหม่ในซอฟต์แวร์ compression ยอดนิยมอย่าง 7-Zip ซึ่งสร้างความกังวลอย่างมากในวงการความมั่นคงปลอดภัยไซเบอร์

CVE-2025-55188 ซึ่งถูกค้นพบ และรายงานโดยนักวิจัยด้านความปลอดภัยชื่อ Landon เมื่อวันที่ 9 สิงหาคม 2025 ซึ่งอาจทำให้ผู้โจมตีสามารถเขียนไฟล์ได้ตามต้องการระหว่างกระบวนการ extraction ซึ่งอาจนำไปสู่การรันโค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้

(more…)

Google ได้แก้ไขช่องโหว่ที่ทำให้ผู้ไม่หวังดีสามารถสร้างคำเชิญใน Google Calendar ขึ้นมา เพื่อเข้าควบคุม Gemini agent ที่ทำงานอยู่บนอุปกรณ์ของเป้าหมายจากระยะไกล และอาจทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลออกไปได้

(more…)

ปฏิบัติการแรนซัมแวร์ที่ซับซ้อนสองกลุ่ม ได้กลายมาเป็นภัยคุกคามสำคัญต่อผู้ให้บริการด้านการจัดการระบบ (MSPs) และธุรกิจขนาดเล็ก โดยกลุ่ม Akira และ Lynx ได้ใช้เทคนิคการโจมตีขั้นสูงที่ผสมผสานการใช้ข้อมูล Login Credential ** ที่ถูกขโมยมา ร่วมกับการเจาะช่องโหว่ด้านความปลอดภัย

Ransomware-as-a-Service (RaaS) เหล่านี้ได้โจมตีองค์กรต่าง ๆ รวมกว่า 365 แห่ง แสดงให้เห็นถึงประสิทธิภาพในการกำหนดเป้าหมายการโจมตีไปยังผู้ให้บริการโครงสร้างพื้นฐานมูลค่าสูงที่ให้บริการลูกค้าหลายราย (more…)

Adobe ออกอัปเดตความปลอดภัยเร่งด่วนสำหรับ Adobe Experience Manager Forms บน Java Enterprise Edition (JEE) เพื่อแก้ไขช่องโหว่ Zero-Day ที่มีความรุนแรงระดับ Critical 2 รายการ ซึ่งอาจเปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดอันตรายได้ตามต้องการ และเข้าถึง file system ได้โดยไม่ได้รับอนุญาต

ช่องโหว่ทั้งสองรายการมีหมายเลข CVE-2025-54253 และ CVE-2025-54254 โดย Adobe จัดให้เป็นระดับความรุนแรงสูงสุด และขณะนี้มี proof-of-concept ถูกเผยแพร่ออกมาแล้ว (more…)

นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์ได้เปิดเผยถึงแคมเปญอันตรายครั้งใหญ่ที่มุ่งเป้าไปที่ผู้ใช้งาน TikTok Shop ทั่วโลก โดยมีวัตถุประสงค์เพื่อขโมยข้อมูลบัญชี และแพร่กระจายแอปพลิเคชันที่มีมัลแวร์ประเภทโทรจันฝังอยู่

CTM360 เปิดเผยว่า กลุ่มผู้ไม่หวังดีได้ใช้แพลตฟอร์มอีคอมเมิร์ซภายในแอป TikTok เป็นช่องทางโจมตี โดยผสมผสานเทคนิคฟิชชิ่ง และการแพร่กระจายมัลแวร์ผ่านเว็บไซต์ปลอมที่ออกแบบให้ดูเหมือน TikTok Shop อย่างแนบเนียน เพื่อหลอกให้เหยื่อเข้าใจว่ากำลังติดต่อกับแพลตฟอร์มจริงหรือ Affiliate ที่เชื่อถือได้ (more…)

กลุ่ม APT (Advanced Persistent Threat) ที่ชื่อว่า ScarCruft ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ได้เริ่มปฏิบัติการโจมตีด้วยมัลแวร์รูปแบบใหม่ที่มีความซับซ้อน โดยมุ่งเป้าไปที่ผู้ใช้งานในเกาหลีใต้ผ่านการแจ้งเตือนปลอมเกี่ยวกับการอัปเดตรหัสไปรษณีย์

(more…)