Microsoft ออกวิธีการการแก้ไขชั่วคราวสำหรับ Windows Server 2022 VMs ที่เกิดปัญหา

Microsoft ออกมายืนยันว่ารับทราบปัญหาการเกิดหน้าจอฟ้าของ Windows Server 2022 virtual machine (VM) และการบูตที่ไม่สำเร็จบน VMware ESXi hosts

โดยผู้ดูระบบ Windows ได้รายงานว่าพบปัญหาการบูตที่ไม่สำเร็จบน VMware ESXi hosts หลังจากติดตั้งแพตซ์อัปเดต KB5031364 ในเดือนตุลาคม 2023 (more…)

Microsoft ยกเลิก SMB1 firewall rules ใน Windows 11 build ตัวใหม่

Microsoft ประกาศว่าใน Windows 11 จะไม่เพิ่ม SMB1 Windows Defender Firewall rules อีกต่อไปเมื่อมีการสร้าง SMB shares ใหม่โดยเริ่มจาก Canary Channel Insider Preview Build 25992 ในปัจจุบัน

ซึ่งตั้งแต่ Windows XP SP2 การสร้าง SMB shares จะถูกตั้ง firewall rules โดยอัตโนมัติภายใน group "File and Printer Sharing" สำหรับ specified firewall profiles

โดย Windows 11 จะกำหนดค่า group "File and Printer Sharing (Restrictive)" โดยยกเว้นพอร์ต NetBIOS ขาเข้า 137-139 (SMB1 artifacts) การเปลี่ยนแปลงนี้จะบังคับใช้ตั้งแต่ระดับเริ่มต้นของ network security รวมถึงนำ SMB firewall rules เข้ามาใช้กับ role behavior ใน "File Server" ของ Windows Server ทั้งนี้ ผู้ดูแลระบบยังคงสามารถกำหนดค่า group "File and Printer Sharing" ได้หากจำเป็น รวมทั้งแก้ไข firewall group ใหม่ได้อีกด้วย

Microsoft ได้วางแผนการอัปเดตในอนาคตสำหรับ rule นี้เพื่อลบ Port ICMP ขาเข้า, LLMNR และ Spooler Service ขาเข้ารวมถึงจำกัดเฉพาะ Port ที่จำเป็นในการสร้าง SMB shares

โดยขณะนี้ SMB client ยังได้รับอนุญาตให้เชื่อมต่อกับ SMB server ผ่าน TCP, QUIC หรือ RDMA over custom network ports ที่แตกต่างจากค่า hardcoded default ซึ่งก่อนหน้านี้ SMB จะมาพร้อมกับการรองรับ TCP/445, QUIC/443 และ RDMA iWARP/5445 เท่านั้น

การทำให้ Windows มีความปลอดภัยมากยิ่งขึ้น

การปรับปรุงเหล่านี้เป็นส่วนหนึ่งของความพยายามในการเสริมสร้างความปลอดภัยของ Windows และ Windows Server ดังที่ได้ออกการอัปเดตอื่น ๆ ในช่วงไม่กี่เดือนที่ผ่านมา โดยหลังจากการเปิดตัว Windows 11 Insider Preview Build 25982 ใน Canary Channel ผู้ดูแลระบบสามารถบังคับใช้การเข้ารหัส SMB client สำหรับการเชื่อมต่อขาออกทั้งหมดได้แล้ว ด้วยการกำหนดให้เซิร์ฟเวอร์ปลายทางทั้งหมดที่รองรับ SMB 3.x และการเข้ารหัสทำให้ผู้ดูแลระบบ สามารถรับรองได้ว่าการเชื่อมต่อทั้งหมดมีความปลอดภัย ซึ่งจะช่วยลดความเสี่ยงของการดักฟัง และการโจมตีแบบ interception attacks

รวมถึงผู้ดูแลระบบยังสามารถกำหนดค่าระบบ Windows 11 เพื่อบล็อกการส่งข้อมูล NTLM ผ่าน SMB ได้โดยอัตโนมัติในการเชื่อมต่อขาออก เพื่อป้องกันการโจมตีแบบ pass-the-hash, NTLM relay และ password-cracking attacks โดยเริ่มที่ Windows 11 Insider Preview Build 25951 อีกทั้งยังมีการให้ทำ SMB signing (security signatures) เป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดเพื่อป้องกันการโจมตีแบบ NTLM relay attacks

ในเดือนเมษายน 2023 ทาง Microsoft ได้วางแผนการปิดการใช้ SMB1 file-sharing protocol ที่เก่าแก่ และใช้งานมาหลายทศวรรษ สำหรับ Windows 11 Home Insiders รวมทั้งยังเสริมความแข็งแกร่งให้กับการป้องกันการโจมตีแบบ brute-force ในเดือนกันยายน 2022 ด้วยการเปิดตัว SMB authentication rate limiter ที่ออกแบบมาเพื่อลดผลกระทบของการโจมตี NTLM authentication ขาเข้าที่ไม่สำเร็จ

ที่มา : bleepingcomputer

ICBC ธนาคารพาณิชย์รายใหญ่ที่สุดของโลก ออกมายืนยันการถูกโจมตีด้วยแรนซัมแวร์

ICBC ธนาคารพาณิชย์ยักษ์ใหญ่จากประเทศจีน ออกประกาศยืนยันการถูกโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบทำให้ระบบหยุดชะงักในวันพุธที่ 8 พฤศจิกายน 2023

The Industrial & Commercial Bank of China (ICBC) เป็นธนาคารที่ใหญ่ที่สุดของจีน และเป็นธนาคารพาณิชย์ที่ใหญ่ที่สุดในโลกเมื่อวัดตามรายรับ โดยมีรายได้ 214.7 พันล้านดอลลาร์สหรัฐ และผลกำไร 53.5 พันล้านดอลลาร์จากรายงานในปี 2022 ตามรายงานของ Fortune ธนาคาร ICBC มีลูกค้าระดับองค์กร 10.7 ล้านราย และลูกค้ารายบุคคล 720 ล้านราย โดยมีสาขาในประเทศจำนวน 17,000 แห่ง และมีสาขาใน 41 ประเทศ รวมถึง 13 สาขาทั่วชายฝั่งตะวันออก และตะวันตกของสหรัฐอเมริกา

อัปเดต 10 พฤศจิกายน 2023

ICBC ประกาศยืนยันข้อมูลว่า ในวันที่ 8 พฤศจิกายน 2023 U.S. Eastern Time (9 พฤศจิกายน 2023 ตามเวลาปักกิ่ง) ICBC Financial Services (FS) ได้ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ระบบ FS บางระบบหยุดชะงัก ทันทีที่พบเหตุการณ์ ICBC FS ก็ตัดการเชื่อมต่อทั้งหมด และแยกระบบที่ถูกโจมตีออกเพื่อควบคุมเหตุการณ์

โดย ICBC FS ได้ดำเนินการสอบสวนอย่างละเอียด และกำลังดำเนินการกู้คืนระบบด้วยการสนับสนุนจากทีมงานผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ICBC FS ยังได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายด้วย รวมถึงได้ดำเนินการเคลียร์การซื้อขายในกระทรวงการคลังของสหรัฐฯ ที่ดำเนินการเมื่อวันพุธ (08/11/23) และ Repo financing trades เสร็จสิ้นในวันพฤหัสบดี (09/11/23)

นอกจากนี้ทาง ICBC ระบุว่าระบบธุรกิจ และอีเมลของบริษัททำงานโดยอัตโนมัติจากกลุ่ม ICBC และเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อระบบของ ICBC สาขานิวยอร์ก, สำนักงานใหญ่ของ ICBC และสถาบันในเครืออื่น ๆ ทั้งใน และต่างประเทศ

การโจมตีได้รับการยืนยันแหล่งข่าว

ก่อนที่ทาง ICBC จะออกมาประกาศยืนยันว่าได้ถูกโจมตีด้วยแรนซัมแวร์นั้น ทาง BleepingComputer ได้รับข้อมูลยืนยันจากแหล่งข่าวหลายแห่งว่า ICBC ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

โดยผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ระบุว่าพบ ICBC Citrix server ที่มีช่องโหว่ครั้งล่าสุดเมื่อวันจันทร์ที่ผ่านมา (06/11/23) และยังไม่ได้มีการอัปเดตเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องที่มีชื่อว่า 'Citrix Bleed' ซึ่งช่องโหว่ดังกล่าวทำให้สามารถหลีกเลี่ยงการ authentication ทุกรูปแบบได้อย่างสมบูรณ์ และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ในการโจมตีอย่างต่อเนื่อง รวมทั้งสามารถใช้งาน Remote Desktop PC ได้อย่างสมบูรณ์ไปยัง Citrix server ที่มีช่องโหว่

ที่มา : bleepingcomputer

แฮ็กเกอร์ชาวรัสเซียใช้เทคนิค living-off-the-land (LOTL) เพื่อทำให้ไฟฟ้าดับ

แฮ็กเกอร์รัสเซียได้พัฒนาวิธีการที่จะทําลายระบบควบคุมอุตสาหกรรมโดยใช้เทคนิค living-off-the-land ซึ่งช่วยให้สามารถเข้าถึงขั้นตอนสุดท้ายของการโจมตีได้รวดเร็วยิ่งขึ้น และใช้ทรัพยากรน้อยลง

นักวิจัยด้านความปลอดภัยเน้นย้ำว่าการเปลี่ยนแปลงนี้เปิดประตูสู่การโจมตีที่ยากต่อการตรวจจับ และไม่จำเป็นต้องใช้มัลแวร์ที่ซับซ้อนสำหรับระบบควบคุมอุตสาหกรรม (ICS)

Native binary เพื่อส่งคำสั่ง

เมื่อปีที่แล้วกลุ่มผู้โจมตี Sandworm ได้โจมตีระบบโครงสร้างพื้นฐานสำคัญของยูเครน โดยใช้ระยะเวลาในการโจมตีไม่ถึง 4 เดือนทำให้ไฟดับเพิ่มขึ้นเป็นสองเท่าจากการใช้ขีปนาวุธโจมตีสถานที่สำคัญทั่วประเทศ

Sandworm เป็นกลุ่มแฮ็กเกอร์ที่มีบทบาทมาตั้งแต่ปี 2009 และเชื่อมโยงกับ General Staff Main Intelligence Directorate (GRU) ของรัสเซีย โดยมุ่งเป้าไปที่ระบบควบคุมอุตสาหกรรม (ICS) และมีส่วนร่วมในการจารกรรม และการโจมตีทางไซเบอร์แบบทำลายล้างในช่วงปลายปี 2022 โดยทีม Incident Respond จาก Mandiant ซึ่งเป็นบริษัทลูกของ Google ในปัจจุบัน เป็นผู้ตอบสนองต่อเหตุการณ์การโจมตีทางไซเบอร์ที่สร้างความเสียหายในยูเครน ซึ่งพวกเขาระบุว่าเป็นกลุ่ม Sandworm และได้ทำการวิเคราะห์กลยุทธ์ เทคนิค และขั้นตอนต่าง ๆ

(more…)

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff วางแผนการโจมตีเพื่อขโมยเงิน crypto ครั้งใหม่

Microsoft แจ้งเตือนกลุ่มแฮ็กเกอร์ BlueNoroff จากเกาหลีเหนือกำลังสร้างระบบในการโจมตีครั้งใหม่สำหรับแคมเปญ social engineering บน LinkedIn (more…)

โอเพนซอร์สตัวใหม่ Trap Stealer สามารถขโมยข้อมูลในเวลาเพียง 6 วินาที

โอเพนซอร์สตัวใหม่ Trap Stealer สามารถขโมยข้อมูลในเวลาเพียง 6 วินาที

Trap Stealer เป็นโปรแกรมโอเพนซอร์สที่ใช้ Python ที่ออกแบบมาเพื่อดึงข้อมูลที่สำคัญจำนวนมากจากระบบที่ถูกโจมตีภายในเวลาเพียง 6 วินาที
(more…)

Kyocera AVX ยืนยันการถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อลูกค้า 39,000 ราย

บริษัท Kyocera AVX Components Corporation (KAVX) ประกาศยืนยันเกี่ยวกับการละเมิดข้อมูลที่ส่งผลต่อข้อมูลส่วนบุคคลจำนวน 39,111 ราย หลังจากการถูกโจมตีด้วยแรนซัมแวร์

KAVX เป็นบริษัทชั้นนำของสหรัฐอเมริกาที่ผลิตชิ้นส่วนอิเล็กทรอนิกส์ขั้นสูง และเป็นบริษัทลูกของ Kyocera ยักษ์ใหญ่ด้าน semiconductor ของญี่ปุ่น โดยบริษัทมีพนักงานมากกว่าหมื่นคน และมีรายได้ต่อปี 1.3 พันล้านเหรียญสหรัฐฯ

ในการประกาศการละเมิดข้อมูลสำหรับบุคคลที่ได้รับผลกระทบ KAVX รายงานว่า บริษัทพบเหตุการณ์การโจมตีในวันที่ 10 ตุลาคม 2023 โดยพบว่าแฮ็กเกอร์ได้เข้าถึงระบบในระหว่างวันที่ 16 กุมภาพันธ์ ถึง 30 มีนาคม 2023

ตามประกาศระบุว่า เมื่อวันที่ 30 มีนาคม 2023 KAVX ได้ประสบเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์ที่ตั้งอยู่ใน Greenville และ Myrtle Beach รัฐเซาท์แคโรไลนาสหรัฐอเมริกา ซึ่งส่งผลให้ระบบจำนวนหนึ่งถูกเข้ารหัส และหยุดชะงักชั่วคราวในบางบริการ

KAVX ค้นพบในภายหลังว่าข้อมูลที่มีอยู่ในเซิร์ฟเวอร์ที่ได้รับผลกระทบมีข้อมูลส่วนบุคคลของบุคคลจากทั่วโลก

หลังจากการตรวจสอบภายในเพื่อระบุว่าข้อมูลใดบ้างที่ถูกละเมิด KAVX ยืนยันว่าอย่างน้อยที่สุดข้อมูลดังกล่าวประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม (SSNs) โดยเป็นไปได้ว่าอาจมีการเปิดเผยรายละเอียดเพิ่มเติมในภายหลัง แต่ส่วนที่เกี่ยวข้องในตัวอย่างประกาศได้ถูกเซ็นเซอร์เอาไว้

(more…)

Veeam แจ้งเตือนช่องโหว่ระดับ critical บน Veeam ONE Monitoring Platform

Veeam แจ้งเตือนช่องโหว่ระดับ critical บน Veeam ONE Monitoring Platform

Veeam ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ 4 รายการบน Veeam ONE IT infrastructure monitoring and analytics platform ซึ่งมี 2 รายการที่เป็นช่องโหว่ระดับ Critical (more…)

นักวิจัยพบเทคนิคการขุดคริปโตที่ไม่สามารถตรวจจับได้บน Azure Automation

นักวิจัยพบเทคนิคการขุดคริปโตที่ไม่สามารถตรวจจับได้บน Azure Automation

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้พัฒนาโปรแกรมขุดคริปโตบนคลาวด์ที่ไม่สามารถตรวจจับได้เป็นรายแรก โดยใช้บริการ Azure Automation ของ Microsoft โดยไม่ต้องเสียค่าใช้จ่ายใด ๆ (more…)

แฮ็กเกอร์ใช้ MSIX App Packages โจมตี Windows PCs ด้วยมัลแวร์ GHOSTPULSE

พบการโจมตีทางไซเบอร์ครั้งใหม่ ด้วยการใช้ MSIX Windows App Packages ในซอฟต์แวร์ยอดนิยม อย่าง Google Chrome, Microsoft Edge, Brave, Grammarly และ Cisco Webex เพื่อแพร่กระจายมัลแวร์ตัวใหม่ที่มีชื่อว่า GHOSTPULSE (more…)