มีแคมเปญการโจมตีแบบเงียบ ๆ ที่แฝงมากับ extension จำนวน 19 รายการบน VSCode Marketplace ซึ่งเริ่มเคลื่อนไหวมาตั้งแต่เดือนกุมภาพันธ์ โดยมีเป้าหมายโจมตีนักพัฒนาซอฟต์แวร์ด้วยมัลแวร์ที่ซ่อนอยู่ในโฟลเดอร์ dependency

(more…)

มีแพตช์ที่ไม่เป็นทางการแจกฟรีสำหรับรับมือกับช่องโหว่ Zero-day ตัวใหม่ใน Windows ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถทำให้ Remote Access Connection Manager (RasMan) service หยุดทำงานได้

(more…)

Patch Tuesday ประจำเดือนธันวาคม 2025 ของ Microsoft มีการแก้ไขช่องโหว่จำนวน 57 รายการ โดยในจำนวนนี้รวมถึงช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงแล้ว 1 รายการ และที่ถูกเปิดเผยต่อสาธารณะแล้วอีก 2 รายการ

(more…)

Notepad++ เวอร์ชัน 8.8.9 ถูกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดตที่ชื่อ WinGUp หลังจากที่มีนักวิจัย และผู้ใช้งานรายงานเหตุการณ์ที่ตัวอัปเดตทำการดาวน์โหลดไฟล์ Executable ที่เป็นอันตรายมา แทนที่จะเป็นแพ็กเกจอัปเดตที่ถูกต้อง

(more…)

การโจมตีรูปแบบใหม่ที่แตกแขนงมาจาก ClickFix ซึ่งถูกเรียกว่า 'ConsentFix' ได้อาศัยช่องโหว่ของแอป Azure CLI OAuth เพื่อเข้าควบคุมบัญชี Microsoft โดยที่คนร้ายไม่จำเป็นต้องใช้รหัสผ่าน หรือการยืนยันตัวตนผ่านระบบ MFA ได้

(more…)

DoorDash เปิดเผยถึงการละเมิดข้อมูลที่ส่งผลกระทบต่อแพลตฟอร์ม food delivery ในเดือนตุลาคมที่ผ่านมา

ตั้งแต่ช่วงเย็นของวันที่ 13 พฤศจิกายนที่ผ่านมา DoorDash ที่ให้บริการลูกค้าหลายล้านคนในสหรัฐอเมริกา, แคนาดา, ออสเตรเลีย และนิวซีแลนด์ ได้เริ่มส่งอีเมลแจ้งเตือนผู้ที่ได้รับผลกระทบจากเหตุการณ์ด้านความปลอดภัยที่เพิ่งค้นพบใหม่นี้

(more…)

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ระดับ critical และฟีเจอร์ antivirus ที่มีมาในตัวของ Triofox ซึ่งเป็นแพลตฟอร์มสำหรับแชร์ไฟล์ และการเข้าถึงจากระยะไกลของ Gladinet เพื่อให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ด้วยสิทธิ์ระดับ SYSTEM

(more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานแห่งสหรัฐฯ (CISA) ได้ออกมาเตือนหน่วยงานภาครัฐให้ทำการอัปเดตแพตช์ช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งส่งผลกระทบต่อ Firewall WatchGuard Firebox

(more…)

ImunifyAV ซึ่งเป็นโปรแกรมสแกนมัลแวร์สำหรับเซิร์ฟเวอร์ Linux ที่มีเว็บไซต์มากกว่า 10 ล้านแห่งใช้งานอยู่ ถูกพบว่ามีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่อาจถูกใช้เพื่อโจมตีระบบ hosting ได้

(more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบในการยกระดับความปลอดภัยให้กับ Microsoft Exchange Server บนเครือข่ายของตนเพื่อป้องกันการโจมตี

แนวทางปฏิบัติที่แนะนำ ได้แก่ การยกระดับความปลอดภัยของการ authentication และการเข้าถึงของผู้ใช้, การลด surfaces การโจมตีของแอปพลิเคชัน และการสร้างความแข็งแกร่งของ network encryption

หน่วยงานทั้งสองยังแนะนำให้ผู้ดูแลระบบยุติการใช้งาน Exchange servers แบบ on-premises หรือแบบ hybrid ที่ end-of-life หลังจากเปลี่ยนไปใช้ Microsoft 365 แล้ว เนื่องจากการคง Exchange servers ตัวสุดท้ายไว้ในระบบโดยที่ไม่ได้อัปเดต อาจทำให้องค์กรตกเป็นเป้าของการโจมตี และเพิ่มความเสี่ยงต่อการละเมิดความปลอดภัยอย่างมีนัยสำคัญ

นอกจากนี้ แม้ว่าจะไม่ได้กล่าวถึงในคำแนะนำของ CISA และ NSA แต่การเฝ้าระวังกิจกรรมที่เป็นอันตราย หรือน่าสงสัย และการวางแผนรับมือเหตุการณ์ที่อาจเกิดขึ้น และการกู้คืนข้อมูล ก็มีความสำคัญอย่างยิ่งเช่นกัน ในการลดความเสี่ยงที่เกี่ยวข้องกับ Exchange servers ภายในองค์กร

หน่วยงานทั้งสองกล่าวสรุปในรายงาน โดยมีศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลีย (ACSC) และศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งแคนาดา (Cyber Centre) เข้าร่วมด้วย โดยระบุว่า "ด้วยการจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ, การใช้การยืนยันตัวตนแบบหลายปัจจัย, การบังคับใช้การกำหนดค่าความปลอดภัยการรับส่งข้อมูลที่เข้มงวด และการนำหลักการความปลอดภัยแบบ Zero Trust (ZT) มาใช้ โดยองค์กรต่าง ๆ จะสามารถเสริมสร้างการป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างมาก"

"นอกจากนี้ เนื่องจาก Exchange Server บางเวอร์ชันเพิ่งสิ้นสุดอายุการใช้งาน (EOL) หน่วยงานฯ จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ ดำเนินมาตรการเชิงรุกเพื่อลดความเสี่ยง และป้องกันกิจกรรมที่เป็นอันตราย"

CISA, NSA และพันธมิตร ได้แชร์คำแนะนำด้านความปลอดภัยที่สำคัญกว่า 10 ข้อ สำหรับผู้ดูแลระบบเครือข่าย ซึ่งรวมถึงการอัปเดตเซิร์ฟเวอร์ให้เป็นปัจจุบันอยู่เสมอ, การย้ายระบบจาก Exchange เวอร์ชันที่ไม่รองรับ, การเปิดใช้งานบริการบรรเทาผลกระทบฉุกเฉิน, การเปิดใช้งานฟีเจอร์ป้องกันสแปม และมัลแวร์ในตัว, การจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเฉพาะจากส่วนการทำงานที่ได้รับอนุญาต และการใช้มาตรฐานความปลอดภัยพื้นฐาน สำหรับทั้งระบบ Exchange Server และ Windows

หน่วยงานต่าง ๆ ยังแนะนำให้เสริมความแข็งแกร่งของการยืนยันตัวตนด้วยการเปิดใช้งาน MFA, Modern Auth, การใช้ประโยชน์จาก OAuth 2.0, การใช้ Kerberos และ SMB แทน NTLM เพื่อรักษาความปลอดภัยกระบวนการยืนยันตัวตน และการกำหนดค่า Transport Layer Security เพื่อปกป้องความสมบูรณ์ของข้อมูล และ Extended Protection เพื่อป้องกันการโจมตีแบบ Adversary-in-the-Middle (AitM), การโจมตีแบบ relay และ forwarding

องค์กรต่าง ๆ ควรเปิดใช้งาน certificate-based signing สำหรับ Exchange Management Shell และใช้ HTTP Strict Transport Security (HSTS) เพื่อให้มั่นใจว่าการเชื่อมต่อเบราว์เซอร์มีความปลอดภัย นอกจากนี้ องค์กรควรใช้ role-based access control เพื่อจัดการสิทธิ์ของผู้ใช้ และผู้ดูแลระบบ, กำหนดค่า Download Domains เพื่อบล็อกการโจมตีแบบ Cross-Site Request Forgery (CSRF) และเฝ้าระวังความพยายามในการแก้ไข P2 FROM header เพื่อป้องกันการ spoofing sender

คำแนะนำร่วมฉบับนี้ เป็นการต่อยอดจากคำสั่งฉุกเฉิน (ED 25-02) ที่ CISA ออกเมื่อเดือนสิงหาคม 2025 ซึ่งสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) รักษาความปลอดภัยระบบของตนจากช่องโหว่ระดับความรุนแรงสูงของ Microsoft Exchange แบบ hybrid (CVE-2025-53786) ภายใน 4 วัน

ตามที่ Microsoft เตือนไว้ในขณะนั้น ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Exchange Server 2016, 2019 และ Subscription Edition โดยเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบของ Exchange Server แบบ on-premises สามารถโจมตีต่อไปยังระบบ Cloud ของ Microsoft ได้ ซึ่งอาจนำไปสู่การโจมตีโดเมนทั้งหมด

เพียงไม่กี่วันหลังจากที่ CISA สั่งการให้หน่วยงานรัฐบาลกลางอัปเดตแพตช์เซิร์ฟเวอร์ของตน Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังทางอินเทอร์เน็ต พบว่ายังมีเซิร์ฟเวอร์ Exchange กว่า 29,000 เครื่อง ที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-53786

ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มที่มีแรงจูงใจทางด้านการเงิน ได้ใช้ประโยชน์จากช่องโหว่ความปลอดภัยของ Exchange หลายรายการเพื่อเจาะระบบเซิร์ฟเวอร์ รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyShell และ ProxyLogon ตัวอย่างเช่น ในเดือนมีนาคม 2021 มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มที่ใช้ประโยชน์จากช่องโหว่ ProxyLogon ซึ่งรวมถึงกลุ่ม Silk Typhoon ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน

ที่มา : bleepingcomputer