Microsoft ประกาศจะลบ PowerShell 2.0 ออกจาก Windows ตั้งแต่เดือนสิงหาคมนี้เป็นต้นไป หลังจากประกาศเลิกใช้งานมาแล้วกว่า 8 ปี แต่ยังคงเปิดให้ใช้งานเป็นฟีเจอร์เสริมมาจนถึงปัจจุบัน
Command Processor ที่มีอายุ 14 ปีนี้ ถูกนำมาใช้ครั้งแรกพร้อมกับ Windows 7 และได้ถูกลบออกไปแล้วสำหรับกลุ่มผู้ใช้งาน Windows Insiders ตั้งแต่เดือนกรกฎาคม 2025 ที่ผ่านมา พร้อมกับการเปิดตัว Windows 11 Insider Preview Build 27891 ใน Canary Channel
(more…)
Microsoft ได้ออกแพตช์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญใน Windows Remote Desktop Services ซึ่งอาจทำให้ผู้โจมตีสามารถดำเนินการโจมตีแบบ Denial of Service (DoS) ผ่านการเชื่อมต่อผ่านเครือข่ายได้
ช่องโหว่นี้มีหมายเลข CVE-2025-53722 และส่งผลกระทบต่อ Windows หลายเวอร์ชัน ตั้งแต่ระบบเดิมไปจนถึง Windows Server 2025 และ Windows 11 24H2 รุ่นล่าสุด
ช่องโหว่ DoS ใน Windows RDP
ช่องโหว่นี้เกิดจากการใช้ uncontrolled resource ใน Windows Remote Desktop Services ซึ่งถูกจัดประเภทภายใต้ CWE-400 โดยระบบ Common Weakness Enumeration
นักวิจัยด้านความปลอดภัยได้ให้คะแนน CVSS 3.1 ที่ 7.5 ซึ่งอยู่ในระดับความรุนแรงสูง และอาจสร้างความเสียหายต่อการทำงานของระบบอย่างมีนัยสำคัญ
แม้ว่าช่องโหว่นี้จะไม่กระทบต่อการรักษาความลับ หรือความสมบูรณ์ของข้อมูล แต่ก็ส่งผลกระทบต่อความพร้อมใช้งานสูงมาก อาจทำให้ระบบที่ได้รับผลกระทบไม่สามารถเข้าถึงได้โดยสิ้นเชิงผ่านการโจมตี
Erik Egsgard จาก Field Effect ได้รับเครดิตในฐานะผู้ค้นพบ และรายงานช่องโหว่ดังกล่าว
การประเมินความเป็นไปได้ในการถูกโจมตีของ Microsoft ระบุว่าอยู่ในระดับ "มีโอกาสน้อย" และในขณะที่มีการเปิดเผยข้อมูลยังไม่มีการพบ public exploits หรือการโจมตีจริงที่กำลังเกิดขึ้น
การอัปเดตความปลอดภัย
Microsoft ได้ออกอัปเดตแพตซ์ความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2025-53722 ในการกำหนดค่า Windows ที่แตกต่างกัน 33 แบบ รวมถึงทั้งการติดตั้งปกติ และการติดตั้งแบบ Server Core
แพตช์สำคัญประกอบด้วย KB5063880 และ KB5063812 สำหรับ Windows Server 2022, KB5063878 และ KB5064010 สำหรับ Windows Server 2025 และ KB5063875 สำหรับ Windows 11 เวอร์ชัน 22H2 และ 23H2
ระบบเดิมก็ได้รับการแก้ไขเช่นกัน โดยแพตช์ KB5063947 และ KB5063927 ครอบคลุมระบบ Windows Server 2008 R2 ขณะที่ KB5063950 ครอบคลุมการติดตั้ง Windows Server 2012 R2
องค์กรที่ใช้งานระบบ Windows 10 ในเวอร์ชันต่าง ๆ สามารถใช้ KB5063709 สำหรับรุ่น 21H2 และ 22H2 และ KB5063871 สำหรับระบบเวอร์ชัน 1607 ได้
ผู้ดูแลระบบควรให้ความสำคัญกับการอัปเดตแพตช์ทันที โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ Remote Desktop Services ต้องมีการเชื่อมต่อจากเครือข่ายภายนอก
เนื่องจากช่องโหว่นี้มีลักษณะเป็นการโจมตีผ่านเครือข่าย และมีความซับซ้อนต่ำ ทำให้ระบบที่ยังไม่ได้อัปเดตแพตช์เป็นเป้าหมายที่น่าสนใจต่อการโจมตี เพื่อรบกวนการดำเนินธุรกิจ และความพร้อมใช้งานของระบบ
ที่มา : cybersecuritynews
พบช่องโหว่ Authentication Bypass ระดับ Critical บน FortiWeb ที่ทำให้ผู้โจมตีจากภายนอก ซึ่งไม่ต้องผ่านการยืนยันตัวตน สามารถปลอมแปลงเป็นผู้ใช้ที่มีอยู่แล้วในระบบที่ได้รับผลกระทบได้
ช่องโหว่นี้มีหมายเลข CVE-2025-52970 โดยมีคะแนน CVSS 7.7 ส่งผลกระทบต่อ FortiWeb หลายเวอร์ชัน สาเหตุมาจากการจัดการพารามิเตอร์ที่ไม่ถูกต้องในกลไก Cookie Parsing
ช่องโหว่ Out-of-Bounds ใน FortiWeb
ช่องโหว่นี้เกิดจาก out-of-bounds read ในโค้ดที่ใช้ประมวลผลคุกกี้ของ FortiWeb ซึ่งเกี่ยวข้องกับการจัดการพารามิเตอร์ที่ไม่เหมาะสม
ในระหว่าง Cookie Parsing ระบบจะใช้พารามิเตอร์ “Era” เพื่อเลือก encryption keys จาก array ในหน่วยความจำที่ใช้ร่วมกัน แต่กลับไม่มีการตรวจสอบความถูกต้องอย่างเหมาะสม
คุกกี้เซสชันของ FortiWeb ประกอบด้วย 3 ส่วน ได้แก่ Era (ตัวระบุประเภทของเซสชัน), Payload (ข้อมูลเซสชันที่ถูกเข้ารหัส รวมถึง username และ role) และ AuthHash (HMAC SHA1 signature)
โดยการจัดการค่าพารามิเตอร์ Era ให้มีค่าระหว่าง 2 ถึง 9 ผู้โจมตีสามารถบังคับให้ระบบอ่านตำแหน่งหน่วยความจำที่ไม่มีการกำหนดค่าเริ่มต้น ซึ่งอาจทำให้ใช้ encryption keys ที่เป็นค่า Null หรือศูนย์
การปรับค่านี้จะลด cryptographic security เป็นศูนย์ได้ เนื่องจากความน่าจะเป็นที่คีย์จะเป็นศูนย์ทั้งหมดจะเปลี่ยนจาก ½^n (ในสถานการณ์ปกติ) ไปเป็น 1 (guaranteed ภายใต้การโจมตีนี้)
นักวิจัย Aviv Y ได้สาธิตช่องโหว่นี้ด้วย Proof-of-Concept ที่มุ่งเป้าไปยัง /api/v2.0/system/status.
พบ Exchange servers กว่า 29,000 เครื่องที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ยังไม่ได้รับการแก้ไขช่องโหว่ในระดับความรุนแรงสูง ซึ่งทำให้ Hacker สามารถโจมตีต่อไปยัง Microsoft Cloud Environments ซึ่งอาจนำไปสู่การควบคุม domain ได้อย่างสมบูรณ์ (more…)
กระทรวงยุติธรรมสหรัฐฯ (DoJ) ได้ยึดเงินดิจิทัล และทรัพย์สินดิจิทัลจากกลุ่มแรนซัมแวร์ BlackSuit เป็นมูลค่า 1,091,453 ดอลลาร์สหรัฐ เมื่อวันที่ 9 มกราคม 2024 (more…)
ศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเนเธอร์แลนด์ (NCSC-NL) ได้ออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ระดับ Critical ที่เพิ่งถูกเปิดเผยไม่นานนี้ ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Citrix NetScaler ADC และกำลังถูกใช้เพื่อโจมตีองค์กรต่าง ๆ ในประเทศ (more…)
มีการค้นพบช่องโหว่ระดับ Critical ที่สามารถเปลี่ยน webcams ทั่วไปที่ทำงานบนระบบ Linux ให้กลายเป็นเครื่องมือในการโจมตีแบบ BadUSB ทำให้แฮ็กเกอร์จากภายนอก สามารถแทรกคำสั่งที่เป็นอันตรายผ่านคีย์บอร์ด และเข้าควบคุมระบบเป้าหมายได้โดยไม่ถูกตรวจจับ
(more…)
ในช่วงไม่กี่เดือนที่ผ่านมา นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญ Phishing รูปแบบใหม่ที่มุ่งเป้าไปยังผู้ใช้ macOS โดยแฝงตัวมาในรูปแบบกระบวนการยืนยันตัวตนด้วย CAPTCHA
(more…)
เมื่อช่วงต้นเดือนสิงหาคม 2025 ทีมรักษาความปลอดภัยทางไซเบอร์ในประเทศตุรกีได้ตรวจพบมัลแวร์ประเภท loader ตัวใหม่ที่พัฒนาด้วยภาษา Java ซึ่งมีความสามารถในการหลบเลี่ยงการตรวจจับขั้นสูง โดยมันสามารถหลุดรอดจาก Public Sandbox, Antivirus และแม้แต่แพลตฟอร์ม EDR/XDR ในระดับองค์กรได้ทั้งหมด
(more…)
มีการค้นพบแพ็กเกจ NPM อันตราย 2 รายการที่ปลอมเป็นเครื่องมือสำหรับพัฒนา WhatsApp โดยมีการแฝงโค้ดลบข้อมูลที่จะลบไฟล์ทั้งหมดบนคอมพิวเตอร์ของนักพัฒนา
จากการค้นพบของนักวิจัยจากบริษัท Socket ระบุว่า แพ็กเกจเหล่านี้ปลอมตัวเป็นไลบรารี socket ของ WhatsApp และถูกดาวน์โหลดไปแล้วมากกว่า 1,100 ครั้ง นับตั้งแต่ถูกเผยแพร่เมื่อเดือนกรกฏาคมที่ผ่านมา
แม้ว่าทาง Socket จะได้ยื่นเรื่องขอให้นำแพ็คเกจออก และแจ้งเตือนไปยังผู้เผยแพร่ที่ชื่อ nayflore แล้ว แต่ปัจจุบันทั้งแพ็คเกจ และบัญชีผู้เผยแพร่ก็ยังคงอยู่ในระบบ
แพ็คเกจอันตรายทั้ง 2 รายการนี้มีชื่อว่า naya-flore และ nvlore-hsc อย่างไรก็ตาม บัญชีผู้เผยแพร่รายเดียวกันนี้ยังได้ส่งแพ็คเกจอื่น ๆ เข้ามาใน NPM อีกหลายตัว เช่น nouku-search, very-nay, naya-clone, node-smsk และ @veryflore/disc
แม้ว่าแพ็คเกจเพิ่มเติมอีก 5 รายการนี้จะยังไม่มีพฤติกรรมที่เป็นอันตรายในปัจจุบัน แต่ก็ขอแนะนำให้ใช้ความระมัดระวังอย่างยิ่ง เนื่องจากอาจมีการอัปเดตที่แฝงโค้ดอันตรายเข้ามาได้ทุกเมื่อ
แพ็คเกจทั้งหมดนี้ทำขึ้นเพื่อลอกเลียนแบบไลบรารีสำหรับนักพัฒนา WhatsApp ของจริง ซึ่งใช้ในการสร้างบอท และเครื่องมืออัตโนมัติที่ทำงานร่วมกับ WhatsApp Business API
Socket ระบุว่า ไลบรารีเหล่านี้กำลังเป็นที่ต้องการเพิ่มขึ้นอย่างมากในช่วงหลัง เนื่องจากมีธุรกิจจำนวนมากขึ้นที่หันมาใช้ Cloud API ของ WhatsApp เพื่อสื่อสารกับลูกค้า
โค้ดลบข้อมูล
ทั้งแพ็คเกจ naya-flore และ nvlore-hs มีฟังก์ชันที่ชื่อว่า 'requestPairingCode' ซึ่งปกติควรจะทำหน้าที่จัดการการ pairing ของ WhatsApp แต่กลับไปดึงไฟล์ JSON ที่ถูกเข้ารหัสแบบ Base64 มาจาก GitHub แทน
ภายในไฟล์ JSON ดังกล่าวมีรายชื่อหมายเลขโทรศัพท์ของอินโดนีเซียที่ทำหน้าที่เป็น "kill switch" เพื่อยกเว้นไม่ให้ผู้ที่ใช้หมายเลขเหล่านี้ได้รับผลกระทบจากฟังก์ชั่นอันตราย
สำหรับเหยื่อรายอื่น (ที่เป็นเป้าหมายจริง) โค้ดจะรันคำสั่ง rm -rf * ซึ่งจะไล่ลบไฟล์ทั้งหมดในไดเรกทอรีปัจจุบัน ส่งผลให้โค้ดในระบบของนักพัฒนาถูกลบหายไปอย่างสิ้นเชิง
Socket ยังค้นพบฟังก์ชันสำหรับขโมยข้อมูลที่ชื่อว่า 'generateCreeds' ที่ยังไม่ถูกเปิดใช้งาน โดยมันสามารถขโมยข้อมูลของเหยื่อได้ เช่น หมายเลขโทรศัพท์, ID อุปกรณ์, สถานะ และ hardcoded key อย่างไรก็ตาม ฟังก์ชันนี้มีอยู่ในทั้ง 2 แพ็คเกจแต่ถูกปิดการทำงานเอาไว้ด้วยการใส่คอมเมนต์
Go ecosystem ก็ถูกโจมตีด้วยเช่นกัน
ในข่าวที่เกี่ยวเนื่องกัน Socket ยังได้ค้นพบแพ็คเกจ Go ที่เป็นอันตรายอีก 11 รายการ ที่ใช้เทคนิคการซ่อนโค้ดแบบ string-array เพื่อแอบเรียกใช้ payload จากระยะไกลแบบเงียบ ๆ ในขณะที่โปรแกรมกำลังทำงานอยู่
แพ็กเกจเหล่านี้จะสร้าง shell process ขึ้นมา จากนั้นไปดาวน์โหลดสคริปต์ หรือไฟล์ executable ขั้นที่สองมาจากโดเมน .icu หรือ .tech แล้วรันในหน่วยความจำ โดยมุ่งเป้าโจมตีทั้ง Linux CI servers และ Windows workstations
แพ็คเกจส่วนใหญ่ใช้วิธี "typosquatting" ที่อาศัยความผิดพลาดในการพิมพ์ หรือความสับสนของนักพัฒนาเพื่อหลอกให้ดาวน์โหลดมาใช้งาน
รายชื่อแพ็คเกจที่เป็นอันตราย และตำแหน่งที่พบมีดังต่อไปนี้ :
github.