พบแคมเปญการสแกนช่องโหว่ ซึ่งมุ่งเป้าไปที่ Citrix NetScaler โดย Residential Proxy หลายหมื่นเครื่องเพื่อค้นหา Login Panel (more…)

บริษัทผู้พัฒนา Notepad++ ระบุในแถลงการณ์อย่างเป็นทางการในวันนี้ว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน น่าจะเป็นผู้ที่อยู่เบื้องหลังการ hijacking การอัปเดต Notepad++ เมื่อปีที่แล้ว ซึ่งกินเวลานานกว่า 6 เดือน

ผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยในกระบวนการตรวจสอบความถูกต้องของระบบอัปเดตของ Notepad++ ในการดักจับ และเปลี่ยนเส้นทาง update requests ของผู้ใช้บางส่วนไปยังเซิร์ฟเวอร์ที่เป็นอันตราย จากนั้นจึงส่งไฟล์ manifest การอัปเดตที่ถูกดัดแปลงกลับไป

ผู้ให้บริการโฮสติ้งซึ่งดูแลระบบอัปเดตออกแถลงการณ์ว่า จากการตรวจสอบ logs พบหลักฐานว่าผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ที่ใช้สำหรับแอปพลิเคชันอัปเดตของ Notepad++ ได้

ผู้เชี่ยวชาญด้านความปลอดภัยภายนอกที่ร่วมการสืบสวนพบว่า การโจมตีเริ่มต้นมาตั้งแต่เดือนมิถุนายน 2025 โดยผู้พัฒนาอธิบายเพิ่มเติมว่า เหตุการณ์ดังกล่าวมีขอบเขตค่อนข้างแคบ และมีการเปลี่ยนเส้นทางไปยังโครงสร้างพื้นฐานของผู้โจมตีเฉพาะผู้ใช้บางกลุ่มเท่านั้น

แถลงการณ์ของ Notepad++ ระบุว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีนี้ มีแนวโน้มเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งสอดคล้องกับพฤติกรรมการเลือกเป้าหมายอย่างเฉพาะเจาะจงที่ตรวจพบตลอดช่วงปฏิบัติการ ผู้โจมตีมุ่งเป้าไปที่โดเมนของ Notepad++ โดยใช้ประโยชน์จากช่องโหว่ในกระบวนการตรวจสอบความถูกต้องของการอัปเดตที่ไม่รัดกุมเพียงพอใน Notepad++ เวอร์ชันก่อนหน้า ตามการประเมินของนักวิจัยด้านความมั่นคงปลอดภัยอิสระหลายฝ่าย

ในเดือนธันวาคม Notepad++ ได้ออกเวอร์ชัน 8.8.9 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดต WinGUp หลังจากนักวิจัยหลายรายรายงานว่า ตัวอัปเดตอาจได้รับแพ็กเกจอันตรายแทนแพ็กเกจที่ถูกต้องตามปกติ

Kevin Beaumont นักวิจัยด้านความปลอดภัย เคยออกมาเตือนว่า เขาทราบว่ามีอย่างน้อยสามองค์กรที่ได้รับผลกระทบจากเหตุการณ์เข้าควบคุมกระบวนการอัปเดตลักษณะนี้ ซึ่งต่อมาพบการ reconnaissance ภายในเครือข่ายโดยตรง

Notepad++ เป็นโปรแกรมแก้ไขข้อความ และซอร์สโค้ดแบบโอเพนซอร์สที่ใช้งานได้ฟรี และได้รับความนิยมอย่างสูงในระบบปฏิบัติการ Windows โดยมีผู้ใช้หลายสิบล้านคนทั่วโลก

ผู้พัฒนาได้ชี้แจงว่า การโจมตีดังกล่าวเกิดขึ้นในเดือนมิถุนายน 2025 เมื่อผู้ให้บริการโฮสติ้งที่ดูแลซอฟต์แวร์ถูกโจมตี ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลแบบกำหนดเป้าหมายได้

ในช่วงต้นเดือนกันยายน ผู้โจมตีสูญเสียการเข้าถึงระบบชั่วคราว หลังจากมีการอัปเดตเคอร์เนลของเซิร์ฟเวอร์ และเฟิร์มแวร์ อย่างไรก็ตาม กลุ่มผู้โจมตีสามารถกลับมายึดระบบได้อีกครั้ง โดยอาศัยข้อมูล credentials ของบริการภายในที่ได้มาก่อนหน้านี้ และยังไม่ได้ถูกเปลี่ยนแปลง

สถานการณ์ดังกล่าวดำเนินต่อเนื่องไปจนถึงวันที่ 2 ธันวาคม 2025 ซึ่งเป็นเวลาที่ผู้ให้บริการตรวจพบการโจมตีในที่สุด และยุติการเข้าถึงของผู้โจมตีลง

หลังเกิดเหตุ Notepad++ ได้ย้ายผู้ใช้งานทั้งหมดไปยังผู้ให้บริการโฮสติ้งรายใหม่ที่มีความปลอดภัยรัดกุมยิ่งขึ้น พร้อมทั้งเปลี่ยนข้อมูล credentials ทุกชุดที่มีความเป็นไปได้ว่าจะรั่วไหล แก้ไขช่องโหว่ที่ถูกใช้ในการโจมตี และตรวจสอบ Logs อย่างละเอียด เพื่อยืนยันว่ากิจกรรมที่เป็นอันตรายได้ยุติลงแล้ว

เพื่อให้มั่นใจในความมั่นคงปลอดภัย ผู้ใช้งาน Notepad++ ควรปฏิบัติตามขั้นตอนดังต่อไปนี้:

เปลี่ยนข้อมูล credentials สำหรับ SSH, FTP/SFTP และ MySQL
ตรวจสอบบัญชีผู้ดูแลระบบ WordPress รีเซ็ตรหัสผ่าน และลบผู้ใช้ที่ไม่จำเป็น
อัปเดต WordPress core ปลั๊กอิน และธีม พร้อมเปิดใช้การอัปเดตอัตโนมัติหากทำได้

ตั้งแต่ Notepad++ เวอร์ชัน 8.8.9 เป็นต้นไป WinGUp จะทำการตรวจสอบ certificates และ signatures ของตัวติดตั้ง และไฟล์ XML สำหรับการอัปเดตที่ได้รับ cryptographically signed เพื่อยืนยันความถูกต้องแล้ว

นักพัฒนาได้ให้ข้อมูลเพิ่มเติมว่า มีแผนที่จะเริ่มการตรวจ certificate signature แบบบังคับใช้ในเวอร์ชัน 8.9.2 ซึ่งคาดว่าจะพร้อมใช้งานในอีกประมาณหนึ่งเดือนข้างหน้า

BleepingComputer ได้ติดต่อ Don Ho ผู้พัฒนาหลักของ Notepad++ เพื่อขอข้อมูล Indicators of Compromise (IoCs) หรือรายละเอียดอื่น ๆ ที่จะช่วยให้ผู้ใช้ตรวจสอบว่าตนได้รับผลกระทบหรือไม่

อย่างไรก็ตาม Don Ho รายงานว่า ในระหว่างการตรวจสอบ Logs ทีม Incident Response (IR) ตรวจพบร่องรอยการบุกรุก แต่ไม่พบ IoCs นอกจากนี้ เขายังกล่าวเสริมว่า ทั้งทีม IR และตัวเขาเองได้พยายามร้องขอข้อมูล IoCs โดยตรงจากผู้ให้บริการโฮสติ้งรายเดิม แต่ไม่สามารถขอรับข้อมูลดังกล่าวได้

กลุ่ม APT จากจีนที่รู้จักในชื่อ Lotus Blossom (หรือที่เรียกอีกชื่อว่า Raspberry Typhoon, Bilbug และ Spring Dragon) ถูกเปิดโปงโดยนักวิจัยจาก Rapid7 ว่าเป็นผู้อยู่เบื้องหลังการโจมตีดังกล่าว โดยได้ใช้แบ็กดอร์ที่ปรับแต่งเฉพาะ และไม่เคยมีการบันทึกมาก่อน ซึ่งนักวิจัยตั้งชื่อให้ว่า Chrysalis

เนื่องจากมีคุณสมบัติจำนวนมากที่ถูกค้นพบ นักวิจัยจึงเชื่อว่า Chrysalis เป็นเครื่องมือที่มีความซับซ้อน ซึ่งถูกออกแบบมาเพื่อทำหน้าที่อย่างถาวรในระบบของเหยื่อ

นักวิจัยได้เผยแพร่บทวิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับมัลแวร์นี้ อย่างไรก็ตาม พวกเขาระบุว่าไม่มีหลักฐานที่ชัดเจนเพียงพอที่จะยืนยันว่าการโจมตีในครั้งนี้มีการใช้ประโยชน์จากกลไกการอัปเดตที่เกี่ยวข้อง

Rapid7 ระบุว่า "พฤติกรรมเดียวที่ได้รับการยืนยันคือกระบวนการ 'notepad++.exe' ตามด้วย 'GUP.exe' ทำงานก่อนที่จะมีการรันกระบวนการที่น่าสงสัยชื่อ 'update.

พบ Hacker มุ่งเป้าไปที่ MongoDB instance ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ต ด้วยการโจมตีจาก Ransomware แบบอัตโนมัติ โดยเรียกร้องค่าไถ่จำนวนเล็กน้อยจากเจ้าของเพื่อกู้คืนข้อมูล

Hacker มุ่งเน้นไปที่เป้าหมายที่เข้าถึงได้ง่าย นั่นคือฐานข้อมูลที่ตั้งค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้เข้าถึงได้โดยไม่มีข้อจำกัด เซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ตประมาณ 1,400 เครื่องถูกโจมตี พร้อมข้อความเรียกค่าไถ่ที่เรียกร้องค่าไถ่ประมาณ 500 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin

พบว่าตั้นแต่ปี 2021 มีการโจมตีเกิดขึ้นมากมาย มีการลบฐานข้อมูลหลายพันรายการ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล โดยบางครั้ง Hacker ก็ลบฐานข้อมูลโดยไม่เรียกร้องเงิน

การทดสอบเจาะระบบจากนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Flare เปิดเผยว่าการโจมตีเหล่านี้ยังคงมีอยู่ เพียงแต่พบการโจมตีในขนาดที่เล็กลง

นักวิจัยค้นพบ MongoDB instance ที่เปิดเผยสู่สาธารณะมากกว่า 208,500 เครื่อง ซึ่งในจำนวนนั้น 100,000 เครื่อง เปิดเผยข้อมูลการดำเนินงาน และ 3,100 เครื่อง สามารถเข้าถึงได้โดยไม่ต้องมีการยืนยันตัวตน

ทั้งนี้เกือบครึ่งหนึ่ง (45.6%) ของเครื่อง MongoDB instance ที่เข้าถึงได้โดยไม่มีข้อจำกัดนั้นถูกโจมตีไปแล้ว เมื่อ Flare ทำการตรวจสอบ พบว่าฐานข้อมูลถูกลบไปหมดแล้ว และมีการทิ้งข้อความเรียกค่าไถ่ไว้ให้ชำระเงิน 0.005 BTC ภายใน 48 ชั่วโมง

รายงานของ Flare ระบุว่า Hacker เรียกร้องให้ชำระเงินเป็น Bitcoin (มักจะประมาณ 0.005 BTC ซึ่งเทียบเท่ากับ 500-600 ดอลลาร์สหรัฐในปัจจุบัน) ไปยังที่อยู่กระเป๋า Bitcoin ที่ระบุไว้ โดยสัญญาว่าจะกู้คืนข้อมูลให้ แต่ไม่มีหลักประกันว่า Hacker จะมีข้อมูล หรือจะให้รหัสถอดรหัสที่ใช้งานได้จริงหากได้รับเงิน

รวมถึงพบว่ามีที่อยู่กระเป๋า Bitcoin ที่แตกต่างกันเพียงห้าแห่ง ในข้อความเรียกค่าไถ่ที่ถูกทิ้งไว้ และหนึ่งในนั้นพบได้บ่อยในประมาณ 98% ของการโจมตี ซึ่งแสดงให้เห็นว่ามี Hacker เพียงรายเดียวที่มุ่งเป้าไปที่การโจมตีเหล่านี้

Flare ยังแสดงความคิดเห็นเกี่ยวกับ MongoDB instance ที่เหลืออยู่ซึ่งดูเหมือนจะไม่ได้รับผลกระทบ แม้ว่า MongoDB instance เหล่านั้นจะเข้าถึงได้จากอินเตอร์เน็ต และมีการรักษาความปลอดภัยที่ไม่ดี โดยตั้งสมมติฐานว่าเป้าหมายอาจจ่ายค่าไถ่ให้กับ Hacker ไปแล้ว

นอกเหนือจากมาตรการการยืนยันตัวตนที่ไม่ดีแล้ว นักวิจัยยังพบว่าเกือบครึ่งหนึ่ง (95,000) ของ MongoDB instance ที่เข้าถึงได้จากอินเตอร์เน็ตทั้งหมด ใช้เวอร์ชันเก่าที่มีช่องโหว่ n-day อย่างไรก็ตาม ศักยภาพของช่องโหว่ส่วนใหญ่จำกัดอยู่เพียงการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) ไม่ใช่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Flare แนะนำว่า ผู้ดูแลระบบ MongoDB ควรหลีกเลี่ยงการเปิดเผยอินสแตนซ์ต่อสาธารณะเว้นแต่จำเป็น ใช้วิธีการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall Rules และ Kubernetes Network Policy ที่อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ และหลีกเลี่ยงการคัดลอก configurations จากคู่มือการใช้งาน

รวมถึงควรมีการอัปเดต MongoDB ให้เป็นเวอร์ชันล่าสุด และตรวจสอบการเปิดให้เข้าถึงจากอินเตอร์เน็ตอย่างต่อเนื่อง ในกรณีที่มีการเปิดให้เข้าถึงจากอินเตอร์เน็ต ข้อมูล credentials จะต้องได้รับการ rotated และตรวจสอบ Log เพื่อหาพฤติกรรมที่น่าสงสัย

ที่มา : bleepingcomputer

IPIDEA หนึ่งในเครือข่าย Residential Proxy รายใหญ่ที่สุดที่กลุ่มผู้ไม่หวังดีนิยมใช้งาน ถูกระงับการทำงานเมื่อช่วงต้นสัปดาห์ที่ผ่านมาโดย Google Threat Intelligence Group (GTIG) ภายใต้ความร่วมมือกับพันธมิตรในอุตสาหกรรม

การปฏิบัติการครั้งนี้รวมถึงการสั่งปิด Domain ที่เกี่ยวข้องกับบริการของ IPIDEA, ระบบจัดการอุปกรณ์ที่ติดมัลแวร์ และการกำหนด Traffic routing ของ Proxy นอกจากนี้ ยังมีการแบ่งปันข้อมูลเชิงลึกเกี่ยวกับชุดเครื่องมือพัฒนาซอฟต์แวร์ (SDK) ของ IPIDEA ที่ใช้ในการแพร่กระจายเครื่องมือ Proxy ดังกล่าวอีกด้วย

(more…)

พบการหมุนเวียนของสกุลเงินดิจิทัลที่ผิดกฎหมายพุ่งสูงเป็นประวัติการณ์ถึง 1.58 แสนล้านดอลลาร์ในปี 2025 ซึ่งสวนทางกับแนวโน้มที่ลดลงมาตลอด 3 ปี หลังจากที่ยอดเงินเคยลดลงจาก 8.6 หมื่นล้านดอลลาร์ในปี 2021 เหลือเพียง 6.4 หมื่นล้านดอลลาร์ในปี 2024

การเพิ่มขึ้นอย่างก้าวกระโดดถึง 145% นี้ได้รับการรายงานโดยTRM Labs บริษัทผู้เชี่ยวชาญด้านการวิเคราะห์บล็อกเชน แม้ว่าสัดส่วนการกระทำที่ผิดกฎหมายของปริมาณธุรกรรมทั้งหมดบนบล็อกเชนจะลดลงเล็กน้อยจาก 1.3% ในปี 2024 เหลือ 1.2% ในปี 2025 ก็ตาม

(more…)

พบภัยคุกคามทางไซเบอร์รูปแบบใหม่บน Android ที่ใช้วิธีการ Social Engineering ผสมผสานกับการอาศัยแพลตฟอร์ม Machine Learning ที่ดูน่าเชื่อถือ เพื่อแพร่กระจายมัลแวร์อันตรายไปยังอุปกรณ์ต่าง ๆ ของผู้ใช้งาน

การโจมตีจะเริ่มต้นขึ้นเมื่อผู้ใช้งานเห็นการแจ้งเตือนความปลอดภัยปลอม ที่อ้างว่าโทรศัพท์ของตนติดมัลแวร์ และจำเป็นต้องได้รับการป้องกัน ข้อความหลอกลวงเหล่านี้จะชักจูงให้ผู้ใช้ดาวน์โหลดแอปรักษาความปลอดภัยปลอมที่ชื่อว่า TrustBastion ซึ่งในตอนแรกดูเหมือนจะไม่เป็นอันตราย

(more…)

มีการเปิดเผยข้อมูลเกี่ยวกับช่องโหว่ Code-injection ระดับ Critical จำนวน 2 รายการ บนแพลตฟอร์ม Endpoint Manager Mobile (EPMM) ซึ่งพบว่ากำลังถูกผู้โจมตีนำไปใช้ในการโจมตีจริง

ช่องโหว่ความปลอดภัยดังกล่าว มีหมายเลข CVE-2026-1281 และ CVE-2026-1340 ทำให้ผู้โจมตีสามารถสั่งเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ทันที โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน

(more…)

Microsoft ได้ออกมาชี้แจงถึงรายงานล่าสุดเกี่ยวกับปัญหาการบูตไม่สำเร็จของ Windows 11 หลังจากติดตั้งอัปเดตเดือนมกราคม 2026 โดยระบุว่าสาเหตุเชื่อมโยงกับความพยายามในการติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ที่ไม่สำเร็จก่อนหน้านี้ ซึ่งทำให้ระบบอยู่ในสถานะที่ไม่สมบูรณ์

ปัญหาการบูตไม่สำเร็จนี้ เริ่มมีรายงานเข้ามาเมื่อช่วงต้นเดือนมกราคม 2026 หลังจากที่ผู้ใช้ได้ติดตั้งอัปเดต Patch Tuesday ประจำเดือนมกราคม 2026 รหัส KB5074109 บน Windows 11 เวอร์ชัน 25H2 และ 24H2

โดยหลังจากติดตั้งอัปเดตดังกล่าว ระบบที่ได้รับผลกระทบจะไม่สามารถเริ่มทำงานได้ และจะแสดงหน้าจอสีฟ้า (BSOD) พร้อม error code "UNMOUNTABLE_BOOT_VOLUME"

จากการอัปเดตข้อมูลล่าสุดที่พบโดย Susan Bradley จาก AskWoody นั้น Microsoft ระบุว่า ผลการตรวจสอบพบว่าอุปกรณ์ที่ได้รับผลกระทบเกิดจาก errors ในการบูตครั้งนี้มาจากกรณีที่เครื่องไม่สามารถติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ได้มาก่อนหน้านี้

เมื่อการติดตั้งอัปเดตที่ไม่สำเร็จดังกล่าวถูก Rolled back กลับไป Windows จะถูกทิ้งไว้ในสถานะที่ไม่เสถียร หรือที่เรียกว่า "Improper state"

ข้อความแจ้งเตือนฉบับปรับปรุงระบุว่า "การตรวจสอบล่าสุดระบุว่า ปัญหานี้สามารถเกิดขึ้นได้กับอุปกรณ์ที่ติดตั้งอัปเดตความปลอดภัยเดือนธันวาคม 2025 ไม่สำเร็จ และตกอยู่ในสถานะที่ไม่สมบูรณ์หลังจากทำ Rolled back การอัปเดต"

"ความพยายามในการติดตั้งอัปเดต Windows ขณะที่ระบบยังอยู่ในสถานะที่ไม่สมบูรณ์นี้ อาจส่งผลให้อุปกรณ์ไม่สามารถบูตได้ ขณะนี้บริษัทกำลังเร่งดำเนินการแก้ไขปัญหาบางส่วน เพื่อป้องกันไม่ให้อุปกรณ์เครื่องอื่น ๆ ประสบปัญหาบูตไม่ได้ หากมีการพยายามติดตั้งอัปเดตในขณะที่ระบบยังไม่สมบูรณ์"

“อย่างไรก็ตาม วิธีแก้ปัญหาเพียงบางส่วนนี้จะไม่สามารถป้องกันไม่ให้อุปกรณ์เข้าสู่สถานะที่ไม่สมบูรณ์ตั้งแต่แรก และจะไม่สามารถซ่อมแซมอุปกรณ์ที่ไม่สามารถบูตได้อยู่แล้ว"

บริษัทระบุว่ากำลังตรวจสอบสาเหตุที่อุปกรณ์บางเครื่องไม่สามารถติดตั้งการอัปเดต Windows หรือเข้าสู่สถานะที่ไม่สมบูรณ์หลังจากทำ Rolled back

Microsoft ระบุว่าขณะนี้ปัญหาจำกัดเฉพาะ physical devices เท่านั้น ยังไม่มีรายงานว่า virtual machines ได้รับผลกระทบ

 

ที่มา : bleepingcomputer.

SolarWinds ออกอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass และ remote command execution ระดับ Critical ในซอฟต์แวร์ Web Help Desk IT help desk

ช่องโหว่ authentication bypass ดังกล่าวมีหมายเลข CVE-2025-40552 และ CVE-2025-40554 โดยช่องโหว่ที่ SolarWinds ได้แก้ไขในครั้งนี้ ได้รับการรายงานโดย Piotr Bazydlo จาก watchTowr และสามารถถูกโจมตีโดยผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ด้วยวิธีการโจมตีที่มีความซับซ้อน

Bazydlo ยังพบ และรายงานช่องโหว่ระดับ Critical ในการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) หมายเลข CVE-2025-40553 ซึ่งเกิดจาก Data Deserialization ที่ไม่เหมาะสม ซึ่งสามารถทำให้ Hacker ที่ไม่มีสิทธิ์สามารถเรียกใช้คำสั่งบนโฮสต์ที่มีช่องโหว่ได้

ช่องโหว่ RCE อีกรายการหมายเลข CVE-2025-40551 ที่สามารถทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ ถูกรายงานโดย Jimi Sebree นักวิจัยด้านความปลอดภัยของ Horizon3.ai

รวมถึงทาง SolarWinds ยังได้แก้ไขช่องโหว่การเข้าถึงข้อมูล hardcoded credentials ที่มีระดับความรุนแรงสูง (CVE-2025-40537) ที่ทำให้ Hacker ที่มีสิทธิ์ต่ำสามารถเข้าถึง administrative functions ได้โดยไม่ได้รับอนุญาต ซึ่งถูกรายงานโดย Sebree

SolarWinds ได้ให้คำแนะนำโดยละเอียดสำหรับการอัปเกรดเซิร์ฟเวอร์ที่มีช่องโหว่เป็น Web Help Desk 2026.1 ซึ่งแก้ไขช่องโหว่ด้านความปลอดภัยเหล่านี้แล้ว และได้แนะนำให้ผู้ดูแลระบบอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด เนื่องจาก Hacker มักใช้ช่องโหว่ด้านความปลอดภัยของ Web Help Desk ในการโจมตี

ตัวอย่างเช่น ในเดือนกันยายน 2025 ทาง SolarWinds ได้แก้ไขช่องโหว่ Patch Bypass ครั้งที่สอง (CVE-2025-26399) สำหรับช่องโหว่ RCE ของ WHD ซึ่ง CISA ได้ระบุว่าถูกใช้ในการโจมตีมานานกว่าหนึ่งปีแล้ว โดยเพิ่มช่องโหว่นี้ลงในรายการของช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตี และสั่งให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยระบบของตนภายในสามสัปดาห์

ในขณะนั้น SolarWinds ระบุว่าช่องโหว่นี้เป็น "ช่องโหว่ Patch Bypass ของ CVE-2024-28988 ซึ่งเป็นช่องโหว่ Patch Bypass ของ CVE-2024-28986 อีกที"

นอกจากนี้ CISA ยังได้ระบุช่องโหว่สำคัญเกี่ยวกับข้อมูล credentials ที่ถูกกำหนดไว้ในโค้ดของ Web Help Desk ว่ากำลังถูกใช้ในการโจมตีอย่างแพร่หลายในเดือนตุลาคม 2024 และขอให้หน่วยงานของรัฐบาลทำการแก้ไขอุปกรณ์ของตนอีกครั้ง
**

Web Help Desk (WHD) ถูกใช้งานอย่างแพร่หลายโดยบริษัทขนาดใหญ่ องค์กรด้านการดูแลสุขภาพ สถาบันการศึกษา และหน่วยงานของรัฐบาลสำหรับการจัดการฝ่ายช่วยเหลือ SolarWinds กล่าวว่าผลิตภัณฑ์การจัดการไอทีของบริษัทมีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

 

ที่มา : bleepingcomputer.

อัปเดตความปลอดภัย Windows 11 ประจำเดือนมกราคม 2026 รหัส KB5074109 ของ Microsoft ได้ก่อให้เกิดปัญหาความเสถียรของระบบหลายประการ รวมถึงอาการเครื่องค้าง และหน้าจอดำ ส่งผลให้ผู้ใช้จำนวนมากต้องถอนการติดตั้งอัปเดตดังกล่าว โดยมีรายงานระบุถึงปัญหาด้านกราฟิก และแอปพลิเคชันล้มเหลว ซึ่งส่งผลกระทบต่อทั้งกลุ่มผู้ใช้งานทั่วไป และกลุ่มองค์กร

KB5074109 อยู่ในอัปเดตบน Windows 11 เวอร์ชัน 24H2 (build 26200.7623) และ 25H2 (build 26100.7623) โดยประกอบด้วยการแก้ไขความปลอดภัยกว่า 100 รายการ รวมถึงช่องโหว่ Zero-day 3 รายการ พร้อมการปรับปรุงประสิทธิภาพอื่น ๆ ที่ไม่เกี่ยวกับความปลอดภัย เช่น การปรับปรุงการใช้พลังงานของ NPU

การอัปเดตนี้เผยแพร่ใน Patch Tuesday วันที่ 13 มกราคม 2026 โดยการอัปเดตนี้ยังรวมถึง Servicing Stack Update รหัส KB5071142 และ AI components สำหรับ Copilot+ PCs นอกจากนี้ Microsoft ได้ลดความซับซ้อนของชื่อการอัปเดตในเวอร์ชันนี้เพื่อให้เข้าใจง่ายขึ้น

ปัญหาด้านกราฟิก และการค้างของระบบ

ผู้ใช้บางส่วนรายงานว่าพบว่าระบบค้างโดยไม่มีหน้าจอ blue screens โดยเฉพาะอย่างยิ่งในแอปพลิเคชันที่ใช้กราฟิกหนัก เช่น BforArtists 5.0 ซึ่งเป็นโปรแกรมที่พัฒนาต่อยอดจาก Blender เมื่อทำการสลับโหมดการแสดงผล

ปัญหาการค้างเหล่านี้เกิดจากความบกพร่องของ DirectX และ GPU driver ที่เกิดจากการเปลี่ยนแปลง Kernel หรือ Graphics stack ในการอัปเดต

หลังการติดตั้ง ระบบ GPU ของ Nvidia และ AMD มักพบปัญหาหน้าจอดำ นอกจากนี้ File Explorer ยังไม่ตอบสนองต่อการตั้งค่า LocalizedResourceName ในไฟล์ desktop.