ช่องโหว่ Zero-day ‘RoguePlanet’ ของ Microsoft Defender ทำให้ได้สิทธิ์ระดับ SYSTEM บนระบบ

นักวิจัยด้านความปลอดภัยได้ปล่อยโค้ด exploit สำหรับช่องโหว่ zero-day ตัวใหม่บน Microsoft Defender ในชื่อ "RoguePlanet" เพียงไม่กี่ชั่วโมงหลังจาก Microsoft เพิ่งออกอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026

นักวิจัยที่ใช้นามแฝงว่า Nightmare Eclipse ระบุว่า ช่องโหว่ใหม่นี้ส่งผลกระทบต่ออุปกรณ์ Windows 10 และ Windows 11 ที่อัปเดตแพตช์ล่าสุดแล้ว โดยช่วยให้ผู้โจมตีสามารถเปิด command prompt ที่มีสิทธิ์ระดับ SYSTEM ผ่านช่องโหว่ประเภท race condition บน Microsoft Defender ได้

นักวิจัยได้แชร์โค้ด POC เมื่อบ่ายวันอังคารที่ผ่านมาใน self-hosted Git repository หลังจากระบุว่าคลังเก็บซอร์สโค้ด (Repository) บน GitHub และ GitLab ที่เคยโฮสต์ของพวกเขาได้ถูก Microsoft ลบออกไปก่อนหน้านี้

Nightmare Eclipse เขียนไว้ใน repository ว่า "การโจมตีนี้เป็นแบบ race condition ดังนั้นผลลัพธ์จึงมีทั้งสำเร็จ และล้มเหลว แต่สามารถทำให้ประสบความสำเร็จได้ถึง 100% บนคอมพิวเตอร์บางเครื่อง ในขณะที่บางเครื่องก็รันได้ค่อนข้างลำบาก"

มีรายงานว่าช่องโหว่นี้ได้รับการทดสอบกับ Windows 11 เวอร์ชัน Official และ Canary รวมถึงระบบ Windows 10 ที่ติดตั้ง security updates รอบเดือนมิถุนายน 2026 แล้ว

เมื่อการโจมตีสำเร็จ command prompt จะถูกเปิดขึ้นมาพร้อมสิทธิ์ระดับ SYSTEM

บริษัท ThreatLocker เปิดเผยกับ BleepingComputer ว่า พวกเขาสามารถทดสอบ และทำซ้ำ exploit นี้ได้สำเร็จ และยืนยันว่าโค้ดโจมตีนี้ทำงานได้จริงบนระบบ Windows 11 ที่อัปเดตแพตช์ KB5094126 เรียบร้อยแล้ว พร้อมทั้งแชร์วิดีโอสาธิตการทำงาน

Danny Jenkins CEO ของ ThreatLocker ให้ข้อมูลกับ BleepingComputer ว่า "การวิเคราะห์เบื้องต้นของเรายืนยันว่า การโจมตี RoguePlanet นั้นใช้งานได้จริง และทำงานตามที่อธิบายไว้ องค์กรที่ใช้ระบบ application allowlisting สามารถป้องกันไม่ให้โค้ดโจมตีนี้ทำงานได้ ซึ่งถือเป็นเลเยอร์การป้องกันที่มีประสิทธิภาพต่อการโจมตีนี้"

ข้อมูลจาก Nightmare Eclipse ระบุว่า เดิมที RoguePlanet ถูกพัฒนาขึ้นมาในฐานะช่องโหว่ประเภท RCE ที่ใช้ประโยชน์จากการที่ Microsoft Defender จัดการกับไฟล์ที่โฮสต์อยู่บน remote SMB shares

นักวิจัยอธิบายในบล็อกโพสต์ว่า "ในการพัฒนาช่วงแรก ได้รับการยืนยันแล้วว่าช่องโหว่นี้คือ RCE มันต้องการให้ผู้โจมตีล่อให้เหยื่อเปิดไฟล์ .vhd ใน remote SMB server ซึ่งหากโจมตีสำเร็จจะส่งผลให้ Defender เขียนทับไฟล์ของตัวเอง และผลลัพธ์สุดท้ายก็คือ RCE อย่างชัดเจน"

นักวิจัยระบุว่า อีกสถานการณ์หนึ่งของการโจมตีอาจนำไปสู่ RCE ได้ง่าย ๆ เพียงแค่ล่อให้เหยื่อเปิด SMB share หากมีการเปิดใช้งานการตั้งค่า symlink evaluation ไว้

อย่างไรก็ตาม นักวิจัยอ้างว่า Microsoft ได้แอบทำการเสริมความแข็งแกร่งให้กับ Defender ในช่วงกลางเดือนพฤษภาคม โดยการแพตช์ API "mpengine!SysIO*" ซึ่งบล็อกการโจมตีแบบ junction attacks ไว้

นักวิจัยระบุว่า "การเขียนโค้ด RoguePlanet ใหม่เพื่อให้ใช้งานได้อีกครั้งนั้นต้องใช้ความพยายามอย่างมาก และไม่สามารถทำสถานการณ์การโจมตีรูปแบบอื่นให้เสร็จสมบูรณ์ได้ ในตอนนี้จึงยังไม่ชัดเจนว่า RoguePlanet จะถูกจำกัดอยู่แค่ LPE (Local Privilege Escalation) หรือจะมีวิธีบางอย่างในการเปลี่ยนมันให้เป็น RCE"

การปล่อยโค้ดโจมตีครั้งนี้เป็นส่วนหนึ่งของข้อพิพาทที่กำลังดำเนินอยู่ระหว่าง Nightmare Eclipse และ Microsoft เกี่ยวกับแนวทางการเปิดเผยช่องโหว่ และโครงการ bug bounty ของบริษัท

ในช่วงหลายเดือนที่ผ่านมา นักวิจัยรายนี้ได้เปิดเผยช่องโหว่ zero-days ของ Windows ออกสู่สาธารณะหลายตัว ซึ่งรวมถึงช่องโหว่ BlueHammer, RedSun, GreenPlasma และ YellowKey โดย zero-days บางตัวมีเป้าหมายที่ Microsoft Defender ในขณะที่ตัวอื่น ๆ มุ่งเป้าไปที่ BitLocker และส่วนประกอบของ Windows

Microsoft ได้แก้ไขช่องโหว่ GreenPlasma และ YellowKey ในวันนี้ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนมิถุนายน 2026

ก่อนหน้านี้ Microsoft เคยตอบโต้การเปิดเผยข้อมูลดังกล่าวด้วยการแจ้งเตือนว่าจะร่วมมือกับหน่วยงานบังคับใช้กฎหมายเมื่อมีผู้ทำ "กิจกรรมที่เป็นอันตรายซึ่งก่อให้เกิดความเสียหายจริงต่อลูกค้า" ซึ่งทำให้หลายคนในชุมชน Cyber Security มองว่า Microsoft กำลังข่มขู่นักวิจัย

Nightmare Eclipse อ้างว่า Microsoft มุ่งเป้า และลบ repository ก่อนหน้านี้ที่โฮสต์บน GitHub และ GitLab ซ้ำ ๆ ส่งผลให้ต้องสร้างแพลตฟอร์มโค้ดที่โฮสต์เองขึ้นมาที่ projectnightcrawler[.]dev

อัปเดต 10-06-2026 :

หลังจากเผยแพร่เรื่องนี้ Microsoft แจ้งกับ BleepingComputer ว่า พวกเขาทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบอยู่ โดยโฆษกของไมโครซอฟต์ให้ข้อมูลกับ BleepingComputer ว่า “Microsoft รับทราบถึงช่องโหว่ที่ถูกรายงาน และกำลังตรวจสอบความถูกต้อง และความเป็นไปได้ที่จะเกิดผลกระทบจากข้อกล่าวอ้างเหล่านี้อย่างจริงจัง บริษัทมุ่งมั่นที่จะตรวจสอบปัญหาด้านความปลอดภัย และอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบเพื่อปกป้องลูกค้าโดยเร็วที่สุด” “ที่สำคัญ เราสนับสนุนการเปิดเผยช่องโหว่แบบประสานงาน ซึ่งเป็นมาตรฐานอุตสาหกรรมที่ปกป้องลูกค้า และสนับสนุนชุมชนนักวิจัยโดยการรับรองว่าผลการค้นพบของพวกเขาได้รับการตรวจสอบ และแก้ไขอย่างละเอียดก่อนที่จะถูกเผยแพร่ออกสู่สาธารณะ”

 

ที่มา : bleepingcomputer.

Microsoft Defender สามารถ isolate endpoints ที่ถูกแฮ็กออกโดยอัตโนมัติได้แล้ว

Microsoft กำลังทดสอบความสามารถใหม่ของ Defender for Endpoint ที่จะทำการ isolate อุปกรณ์ที่ถูกโจมตีออกโดยอัตโนมัติ เพื่อขัดขวางความพยายามของผู้โจมตีในการขยายผลการโจมตีไปยังส่วนอื่น ๆ ภายในเครือข่าย (more…)

Microsoft แจ้งเตือนช่องโหว่ Zero-day ใหม่บน Defender ที่กำลังถูกนำมาใช้ในการโจมตี

 

เมื่อวันพุธที่ผ่านมา Microsoft ได้เริ่มปล่อย Security Patch เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 2 รายการบน Defender ซึ่งพบว่ากำลังถูกนำไปใช้ในการโจมตีจริงแบบ Zero-day แล้ว

ช่องโหว่แรก มีหมายเลข CVE-2026-41091 เป็นช่องโหว่ประเภท Privilege Escalation ซึ่งส่งผลกระทบต่อ Microsoft Malware Protection Engine เวอร์ชัน 1.1.26030.3008 และเวอร์ชันก่อนหน้า โดยเป็นกลไกหลักที่ทำหน้าที่สแกน ตรวจจับ และกำจัดภัยคุกคามให้กับซอฟต์แวร์ Antivirus และ Antispyware ของ Microsoft

(more…)

PoC ของช่องโหว่ Zero-day ใหม่บน Microsoft Defender ที่ชื่อ “RedSun” อาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับ SYSTEM

นักวิจัยที่ชื่อว่า "Chaotic Eclipse" ได้เผยแพร่ Proof-of-Concept (PoC) สำหรับใช้ในการโจมตีช่องโหว่ zero-day ตัวที่สองของ Microsoft Defender ซึ่งมีชื่อเรียกว่า "RedSun" ในช่วงสองสัปดาห์ที่ผ่านมา เพื่อเป็นการประท้วงแนวทางการทำงานของบริษัทที่มีต่อนักวิจัยด้านความปลอดภัยทางไซเบอร์ (more…)

พอร์ทัล Microsoft Defender ล่ม กระทบการแจ้งเตือนระบบ Threat Hunting

Microsoft กำลังเร่งแก้ไขเหตุขัดข้องที่เกิดขึ้นต่อเนื่องมานานกว่า 10 ชั่วโมง ซึ่งทำให้ผู้ใช้บางรายไม่สามารถเข้าถึงฟีเจอร์บางส่วนบนพอร์ทัล Defender XDR ได้

จากประกาศแจ้งเตือนใน admin center service (รหัส DZ1191468) การล่มครั้งนี้อาจส่งผลต่อการใช้งาน หรือการเข้าถึงความสามารถต่าง ๆ ภายในพอร์ทัล Defender

Microsoft ระบุว่า สาเหตุเกิดจากปริมาณทราฟฟิกที่พุ่งสูงผิดปกติ ส่งผลให้ components ที่ทำหน้าที่รองรับการทำงานของพอร์ทัลใช้ทรัพยากรหน่วยประมวลผลกลาง (CPU) สูงเกินไป จนทำให้บริการล่ม

Microsoft ยืนยันเหตุขัดข้องในช่วงเช้าวันที่ 2 ธันวาคม 2025 เมื่อเวลา 06:10 UTC และจัดให้เป็น "incident" ซึ่งเป็นประเภทที่แสดงถึงปัญหาที่รุนแรง และส่งผลกระทบต่อผู้ใช้งานโดยตรง

ต่อมา Microsoft ได้ดำเนินการแก้ไขปัญหา และเพิ่มขีดความสามารถในการประมวลผล ส่งผลให้ตามข้อมูล telemetry ณ เวลา 08:00 UTC การให้บริการเริ่มกลับมาใช้งานได้สำหรับลูกค้าบางส่วนที่เคยได้รับผลกระทบ

ปัจจุบัน Microsoft กำลังตรวจสอบไฟล์ HTTP Archive (HAR) ที่ลูกค้าซึ่งได้รับผลกระทบส่งมาให้ โดยอธิบายว่าปัญหาไม่ได้เกิดขึ้นเพียงแค่เข้าใช้พอร์ทัลไม่ได้ แต่ยังรวมถึงฟังก์ชันต่าง ๆ ที่แสดงผลไม่ครบ เช่น การแจ้งเตือน advanced threat-hunting ที่หายไป หรืออุปกรณ์บางส่วนไม่แสดงผล

นอกจากนี้ Microsoft ยังระบุอีกว่า “มีหลายองค์กรยืนยันแล้วว่าปัญหาได้รับการแก้ไขสำหรับพวกเขาเรียบร้อยแล้ว” พร้อมเสริมว่าข้อมูล telemetry ล่าสุดว่า การใช้ทรัพยากร CPU ยังคงอยู่ในระดับปกติ และปลอดภัย

“เราอยู่ระหว่างประสานงานกับองค์กรส่วนน้อยที่ยังประสบปัญหา เพื่อรวบรวมข้อมูลจากฝั่งไคลเอนต์เพิ่มเติม รวมถึงไฟล์ HTTP Archive (HAR) มาช่วยในการตรวจสอบต้นตอของเหตุขัดข้องครั้งนี้”

 

ที่มา : bleepingcomputer.

เครื่องมือ ‘Defendnot’ ตัวใหม่ หลอก Windows ให้ปิดการทำงานของ Microsoft Defender ได้

เครื่องมือใหม่ที่ชื่อว่า 'Defendnot' สามารถปิดการทำงานของ Microsoft Defender บนอุปกรณ์ Windows ได้ โดยการลงทะเบียนโปรแกรม Antivirus ปลอม แม้ว่าจะไม่มี Antivirus จริงติดตั้งอยู่ก็ตาม

เทคนิคนี้ใช้ประโยชน์จาก API ของ Windows Security Center (WSC) ที่ไม่ได้มีการเปิดเผยทางเอกสาร โดยปกติแล้ว Antivirus จะใช้เพื่อแจ้งให้ Windows ทราบว่ามีการติดตั้งแล้ว และกำลังจัดการการป้องกันแบบ Real-time สำหรับอุปกรณ์นั้น

เมื่อมีการลงทะเบียนโปรแกรม Antivirus ปลอมแล้ว ระบบของ Windows จะปิดการทำงานของ Microsoft Defender โดยอัตโนมัติ เพื่อหลีกเลี่ยงความขัดแย้งจากการที่มีแอปพลิเคชันรักษาความปลอดภัยหลายตัวบนอุปกรณ์เดียวกัน

เครื่องมือ Defendnot ที่ถูกสร้างโดยนักวิจัยที่ชื่อว่า es3n1n ใช้ช่องโหว่ของ API ดังกล่าว โดยทำการลงทะเบียนผลิตภัณฑ์ Antivirus ปลอมที่ผ่านการตรวจสอบความถูกต้องของ Windows ได้ทั้งหมด

เครื่องมือนี้มีพื้นฐานมาจากโปรเจกต์ก่อนหน้านี้ที่ชื่อว่า no-defender ซึ่งใช้โค้ดจากโปรแกรม Antivirus ของ third-party อื่น เพื่อปลอมแปลงการลงทะเบียนกับ WSC (Windows Security Center) อย่างไรก็ตาม เครื่องมือเวอร์ชั่นก่อนหน้านั้นถูกลบออกจาก GitHub หลังจากที่ผู้พัฒนา Antivirus รายนั้น ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA (แจ้งให้ลบเนื้อหาเนื่องจากละเมิดลิขสิทธิ์)

นักพัฒนา ระบุไว้ใน blog post ว่า "หลังจากเปิดตัวไปไม่กี่สัปดาห์ โปรเจกต์นี้ก็ได้รับความสนใจอย่างมาก และได้รับดาว (stars) บน GitHub ไปประมาณ 1,500 ดวง หลังจากนั้น นักพัฒนาโปรแกรม Antivirus ที่ถูกใช้ ได้ยื่นคำร้องขอลบตามกฎหมาย DMCA และตัวเขาก็ไม่อยากจะไปยุ่งเกี่ยวกับเรื่องนั้นอีก ก็เลยลบทุกอย่างทิ้งแล้วก็จบเรื่องไป"

Defendnot หลีกเลี่ยงปัญหาลิขสิทธิ์ด้วยการสร้างฟังก์ชันการทำงานขึ้นมาใหม่ทั้งหมดผ่านไฟล์ DLL ของโปรแกรม Antivirus ปลอม

โดยปกติแล้ว WSC API จะได้รับการป้องกันผ่านระบบ Protected Process Light (PPL), digital signatures ที่ถูกต้อง และคุณสมบัติอื่น ๆ

เพื่อหลีกเลี่ยงข้อกำหนดเหล่านี้ Defendnot จะทำการแทรกไฟล์ DLL ของตนเองเข้าไปยังโปรเซสของระบบที่ชื่อว่า Taskmgr.

Microsoft Defender เตรียมแยก undiscovered endpoints ออกจากเครือข่ายเพื่อป้องกันการโจมตี

Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้

(more…)

Microsoft Defender เพิ่มวิธีการตรวจจับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

Microsoft Defender มีการตรวจจับ และแจ้งผู้ใช้ที่มีการสมัครใช้งาน Microsoft 365 Personal หรือ Family แบบอัตโนมัติเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

คุณสมบัติการปกป้องความเป็นส่วนตัวของ Microsoft Defender (เรียกอีกอย่างว่า Defender VPN) ช่วยปกป้องความเป็นส่วนตัว และความปลอดภัยของผู้ใช้เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ หรือเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งข้อมูล และตัวตนของผู้ใช้อาจถูกเปิดเผย หรือถูกขโมยได้

เพื่อการดำเนินการดังกล่าว โปรแกรมจะเข้ารหัส และกำหนดเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตของผู้ใช้ผ่านเซิร์ฟเวอร์ของ Microsoft และซ่อน IP address ของผู้ใช้ โดยใช้ VPN (Virtual Private Network)

Microsoft ประกาศเมื่อวันที่ 30 กันยายน 2024 ว่า Defender VPN ได้รับการอัปเกรดให้แจ้งเตือนผู้ใช้โดยอัตโนมัติว่ามีความเสี่ยงต่อการถูกโจมตี และตอนนี้สามารถกำหนดค่าให้เปิดใช้งานแบบอัตโนมัติเพื่อให้เกิดความปลอดภัยมากขึ้น

Microsoft ระบุว่า ได้เพิ่มการตรวจจับ Wi-Fi ที่ไม่ปลอดภัย (Wi-Fi ที่น่าสงสัย) การตรวจจับเหล่านี้สามารถทำได้โดยใช้ Defender heuristics ในการตรวจสอบลักษณะต่าง ๆ หลายประการของ Wi-Fi hotspot เพื่อระบุว่าน่าสงสัยหรือไม่

เช่นเดียวกับ Wi-Fi ที่ไม่ปลอดภัย ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับ Wi-Fi ที่ไม่ปลอดภัยด้วยเช่นกัน และสามารถเปิด Defender VPN เพื่อความปลอดภัยมากขึ้น

ระบบนี้สามารถช่วยป้องกันผู้ใช้จากผู้โจมตีที่มีการทำ rogue wireless access point ปลอม เพื่อหลอกล่อให้ผู้ใช้เชื่อมต่อ และผู้โจมตีจะทำการโจมตีแบบ Evil Twin หลังจากที่เหยื่อเชื่อมต่อได้แล้ว รวมถึงผู้โจมตีจะสามารถขโมยข้อมูลที่สำคัญในการโจมตีแบบ Man-in-the-Middle (MiTM) หรือใช้เทคนิคฟิชชิ่งเพื่อขโมยข้อมูลเพิ่มเติม

ปัจจุบันการแจ้งเตือน Wi-Fi ที่ไม่ปลอดภัยนั้นใช้งานได้เฉพาะใน Defender สำหรับ Android, iOS และ Windows เท่านั้น โดยที่ใน macOS นั้นจะเปิดตัวเร็ว ๆ นี้

นอกจากนี้บริษัทได้เพิ่มการ support สำหรับ Defender VPN บนระบบ Windows และ macOS และเปิดให้ใช้งานในเยอรมนี และแคนาดา โดยจะมีการเพิ่มประเทศอื่น ๆ ในอีกไม่กี่เดือนข้างหน้า

Microsoft ระบุว่า กำลังเพิ่มการปกป้องความเป็นส่วนตัวให้กับอีก 10 ประเทศในยุโรป เอเชีย และภูมิภาคละตินอเมริกาในเร็ว ๆ นี้

การปกป้องความเป็นส่วนตัวเป็นฟีเจอร์ที่รวมอยู่กับ Microsoft Defender สำหรับแต่ละบุคคล ซึ่งเปิดตัวครั้งแรกเมื่อปีที่แล้ว ในเดือนกันยายน 2023 บนอุปกรณ์ Android ในสหรัฐอเมริกา

สิ่งสำคัญที่ต้องทราบคือ Microsoft ระบุว่า Defender VPN จะส่งข้อมูลบริการที่ไม่ระบุชื่อไปยังเซิร์ฟเวอร์ของบริษัท แต่จะไม่รวบรวมข้อมูลการเรียกดู ประวัติ รายละเอียดส่วนบุคคล หรือตำแหน่งทางกายภาพของอุปกรณ์ของผู้ใช้

ข้อมูลบริการที่ไม่ระบุชื่อนี้ประกอบด้วยรายละเอียดต่าง ๆ เช่น ระยะเวลาการใช้งาน VPN, ปริมาณแบนด์วิดท์ VPN ที่ใช้ และชื่อ Wi-Fi hotspot ที่ตรวจพบว่าอาจเป็นอันตรายเพื่อวัตถุประสงค์ในการวิเคราะห์ภัยคุกคาม (บริษัทระบุว่าข้อมูลนี้จะถูกส่งไปที่เซิร์ฟเวอร์หลังจากได้รับความยินยอมจากผู้ใช้เท่านั้น)

หากไม่ใช่ผู้ใช้ Microsoft Defender ที่มีการสมัครใช้งาน Microsoft 365 Family หรือ Personal ผู้ใช้ยังสามารถปกป้องตนเองได้โดยเปิดใช้ multi-factor authentication ในบัญชี และปิดการเชื่อมต่อ Wi-Fi แบบอัตโนมัติ เพื่อให้แน่ใจว่าอุปกรณ์จะไม่เชื่อมต่อกับเครือข่ายไร้สายที่อาจเป็นอันตราย

ที่มา : BLEEPINGCOMPUTER

พบ Hacker เริ่มใช้ Havoc post-exploitation framework ในการโจมตีเป้าหมาย

นักวิจัยของ Zscaler บริษัทด้านความปลอดภัย ได้เผยแพร่รายงานการพบการเปลี่ยนแปลงเครื่องมือการโจมตีของกลุ่ม Hacker โดยพบการใช้เครื่องมือ open-source command and control (C2) framework ที่มีชื่อว่า Havoc แทนที่เครื่องมือเดิมอย่าง Cobalt Strike และ Brute Ratel

Havoc เป็นเครื่องมือ open-source command and control (C2) framework ที่มีโมดูลหลากหลายซึ่งช่วยให้ Pentester และ hacker สามารถทำงานต่าง ๆ บนอุปกรณ์ที่ถูกโจมตีได้ รวมถึงการดำเนินการคำสั่ง, การจัดการ process, การดาวน์โหลดเพย์โหลดเพิ่มเติม, การจัดการ Windows token และการดำเนินการจาก shellcode โดยทั้งหมดนี้สามารถทำได้ ผ่าน web-based management console ซึ่งจะช่วยให้ hacker สามารถมองเห็นอุปกรณ์ เหตุการณ์ และ Output จากเครื่องเหยื่อได้ทั้งหมด โดยความสามารถที่น่าสนใจที่สุดของ Havoc คือการทำงาน cross-platform และหลบเลี่ยงการตรวจจับจาก Microsoft Defender บนอุปกรณ์ Windows 11 โดยใช้วิธีการต่าง ๆ เช่น sleep obfuscation, return address stack spoofing และ indirect syscalls เป็นต้น

การค้นพบ Havoc

ทีมวิจัยจาก Zscaler ThreatLabz ได้ตรวจพบว่า shellcode loader ที่ถูกทิ้งไว้บนระบบที่โดนโจมตีจะไปปิดการใช้งาน Event Tracing for Windows (ETW) และเพย์โหลดสุดท้ายของ Havoc Demon จะถูกโหลดโดยไม่มีส่วนหัวของ DOS และ NT เพื่อหลบเลี่ยงการตรวจจับ รวมไปถึง framework นี้ยังถูกปรับใช้ผ่านแพ็คเกจ npm ที่เป็นอันตราย (Aabquerys) อีกด้วย

โดย Demon.

Microsoft Defender แจ้งเตือนการอัปเดตของ Google Chrome เป็นพฤติกรรมต้องสงสัย

Microsoft Defender For Endpoint ติดแท็กการอัปเดต Google Chrome ที่ผ่าน Google Update ว่าเป็นพฤติกรรมที่ต้องสงสัย

ตามรายงานของผู้ดูแลระบบ Windows โซลูชันความปลอดภัย (เดิมเรียกว่า Microsoft Defender ATP) ได้เริ่มทำเครื่องหมายการอัปเดต Chrome ว่าน่าสงสัยตั้งแต่เย็นที่ผ่านมา ผู้ที่พบปัญหานี้รายงานว่ามีการแจ้งเตือนบน Defender for Endpoint ของ Windows ว่า "มีเหตุการณ์ที่เกี่ยวข้องกับการหลบเลี่ยงการป้องกัน"

ในคำแนะนำของ Microsoft 365 Defender ที่ออกหลังจากการพบการแจ้งเตือนเหล่านี้ Microsoft เปิดเผยว่าเป็น trigger ที่ผิดพลาด โดยถือเป็น false positive และไม่ได้เกิดจากพฤติกรรมที่เป็นอันตราย

"ผู้ดูแลระบบอาจได้รับการแจ้งเตือนที่เป็น false positive สำหรับ Google Update บน Microsoft Defender" Microsoft กล่าว

ประมาณหนึ่งชั่วโมงครึ่งต่อมาได้มีการอัพเดทคำแนะนำ โดย Microsoft กล่าวว่า จุดที่เป็น false Positive ได้รับการแก้ไขแล้ว

"เราพิจารณาแล้วว่าเป็น false positive และเราได้อัปเดตสำหรับการแจ้งเตือนนี้ เพื่อแก้ไขปัญหาที่พบเรียบร้อยแล้ว" โฆษกของ Microsoft กล่าวกับ BleepingComputer (more…)