GitHub ได้เปิดให้บริการ passkeys ในปัจจุบัน เพื่อป้องกันการโจมตีแบบฟิชชิ่ง และอนุญาตให้ผู้ใช้งานทุกคนสามารถเข้าสู่ระบบได้โดยไม่ต้องใช้รหัสผ่าน

Passkeys จะเชื่อมต่อกับอุปกรณ์เฉพาะ เช่น คอมพิวเตอร์ แท็บเล็ต หรือสมาร์ทโฟน และมีหน้าที่ในการลดความเสี่ยงจากการโจมตีแบบฟิชชิ่ง และป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

โดย Passkeys จะช่วยให้สามารถเข้าถึงแอพพลิเคชัน และบริการออนไลน์ผ่านวิธีการระบุตัวตน เช่น PIN หรือการตรวจสอบความถูกต้องแบบ biometric ซึ่งรวมถึงลายนิ้วมือ และการจดจำใบหน้า

นอกจากนี้ Passkeys ยังปรับปรุงความปลอดภัยให้กับผู้ใช้งาน โดยไม่จำเป็นต้องจำ และจัดการรหัสผ่านที่แตกต่างกันสำหรับแต่ละเว็บไซต์ และแอพพลิเคชัน

GitHub เริ่ม support การใช้งาน Passkeys ในเดือนกรกฎาคม 2023 โดยเป็นส่วนหนึ่งของ public beta passwordless authentication push

(more…)

พบช่องโหว่ใหม่ใน GitHub อาจทำให้ repositories หลายพันรายการเสี่ยงต่อการถูกโจมตีด้วยวิธีการ Repojacking

จากรายงานของ Elad Rapoport นักวิจัยด้านความปลอดภัยของ Checkmarx ที่แชร์กับ The Hacker News ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จาก race condition ในการดำเนินการสร้าง repository และเปลี่ยนชื่อผู้ใช้ของ GitHub
(more…)

เมื่อ 1 กันยายน 2023 ที่ผ่านมา Microsoft ประกาศว่าจะยกเลิก WordPad ด้วยการอัปเดต Windows ในอนาคต เนื่องจากไม่อยู่ในแผนการพัฒนาอีกต่อไป อย่างไรก็ตามบริษัทก็ยังไม่ได้ระบุระยะเวลาที่แน่นอนในการยกเลิก

WordPad เป็นแอปพลิเคชันแก้ไขข้อความพื้นฐานที่ให้ผู้ใช้งานสามารถสร้าง และแก้ไขเอกสารด้วยการจัดรูปแบบข้อความ รูปภาพ และลิงก์ไปยังไฟล์อื่น ๆ ได้ ซึ่งถูกติดตั้งโดยอัตโนมัติบน Windows ตั้งแต่ปี 1995 นับตั้งแต่มีการเปิดตัว Windows95 ทำให้ผู้ใช้งานมีโปรแกรมประมวลผลคำพื้นฐาน และโปรแกรมแก้ไขเอกสารที่ถูกรวมอยู่ในระบบปฏิบัติการ

โดย Microsoft เปิดเผยว่า WordPad จะไม่ได้รับการอัปเดตอีกต่อไป และจะถูกลบออกใน Windows รุ่นต่อ ๆ ไป และจะแนะนำให้ผู้ใช้งานใช้ Microsoft Word แทน สำหรับเอกสารข้อความแบบ Rich Text อย่างไฟล์ .doc และ .rtf และใช้ Notepad สำหรับเอกสารข้อความธรรมดาอย่างไฟล์ .txt สำหรับผู้ที่ไม่ต้องการเปิดไฟล์แบบ Rich Text

อย่างไรก็ตาม เรื่องดังกล่าวไม่ได้น่าแปลกใจ เนื่องจากโปรแกรมนี้ได้กลายเป็นฟีเจอร์เสริมของ Windows นับตั้งแต่ Windows 10 Insider Build 19551 ที่เปิดตัวในเดือนกุมภาพันธ์ 2020 และถึงแม้ว่าจะถูกติดตั้งตามค่าเริ่มต้นบน Windows แต่ก็สามารถถอนการติดตั้งออกได้โดยในเมนู Optional features ใน control panel

แม้จะไม่ได้มีการอธิบายจาก Microsoft ถึงสาเหตุของการเลิกใช้งาน WordPad แต่นักวิจัยเคยพบว่ามัลแวร์ Qbot เริ่มแพร่กระจายในคอมพิวเตอร์ และหลบเลี่ยงการตรวจจับด้วยวิธีการ DLL hijacking ใน WordPad บน Windows 10

โปรแกรม Paint จะถูกย้ายไปที่ Microsoft Store และ Cortana ก็กำลังจะถูกปิดตัวลง

เมื่อ 5 ปีที่แล้ว Microsoft ได้ประกาศว่าจะยกเลิกโปรแกรม Paint และจะถูกลบออกพร้อมกับการเปิดตัว Windows 10 Fall Creator's Update ในเดือนกรกฎาคม 2560 แต่หลังจากที่โปรแกรม Paint ได้รับการตอบรับอย่างล้นหลาม Microsoft ตัดสินใจไม่ยกเลิก และเปิดให้ใช้งานผ่าน Microsoft Store แทน

WordPad ก็เช่นกัน หากมีคนร้องขอเข้ามามากพอ Microsoft อาจจะย้าย WordPad ไปที่ App Store เพื่อเป็นทางเลือกการใช้งานในรูปแบบ Microsoft Office
และซอฟต์แวร์ที่มีความใกล้เคียงกันแต่มีฟีเจอร์น้อยกว่า

นอกจากนี้ บริษัทกำลังจะปิดตัว Cortana อย่างเป็นทางการในการ Windows 11 Canary preview builds ที่เปิดตัวในต้นเดือนสิงหาคม 2023 ซึ่งแอปดังกล่าวอยู่ในฐานะผู้ช่วยดิจิทัลของ Windows ที่เต็มไปด้วย Windows Copilot ที่ขับเคลื่อนด้วย AI ซึ่งเปิดตัวในระหว่างการประชุมใหญ่ Microsoft Build ในปีนี้

ที่มา: bleepingcomputer

Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม Hacker ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.

Microsoft และทีม CERT ของยูเครน แจ้งเตือนการพบกลุ่ม Hacker ในชื่อ Turla ซึ่งได้รับการสนับสนุนโดยรัฐบาลรัสเซีย ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมการป้องกันประเทศ โดยมุ่งเป้าโจมตีไปที่ Exchange server ด้วย malware backdoor ตัวใหม่ ในชื่อ 'DeliveryCheck' เพื่อเปลี่ยนให้เป็นเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์

Turla หรือที่รู้จักในชื่อ Secret Blizzard, KRYPTON และ UAC-0003 เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มีความเกี่ยวข้องกับ Federal Security Service (FSB) ของรัสเซีย ซึ่งมีความเกี่ยวข้องกับการโจมตีเพื่อต่อต้านชาติตะวันตกในช่วงหลายปีที่ผ่านมา รวมถึง Snake cyber-espionage malware botnet ที่เพิ่งถูกขัดขวางในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ชื่อว่า Operation MEDUSA (more…)

Microsoft ระบุว่ายังไม่ทราบว่าแฮ็กเกอร์ชาวจีนอาศัยช่องโหว่อะไรในการขโมย Microsoft account (MSA) consumer signing key ที่ไม่ได้ใช้งาน เพื่อใช้ในการเข้าถึงบัญชี Exchange Online และ Azure AD ใน 24 องค์กร รวมถึงหน่วยงานของรัฐบาลก่อนหน้านี้Microsoft ได้ยอมรับในคำแนะนำใหม่ที่เผยแพร่ในวันนี้ว่า การสืบสวนวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง signing key ดังกล่าวกำลังอยู่ในระหว่างการดำเนินการเหตุการณ์นี้ถูกรายงานโดยเจ้าหน้าที่ของรัฐบาลสหรัฐฯ ภายหลังจากการพบการเข้าถึงที่ไม่ได้รับอนุญาตเข้าถึงบริการอีเมล Exchange Online ของหลายหน่วยงานของรัฐบาล

Microsoft เริ่มต้นสืบสวนการโจมตีในวันที่ 16 มิถุนายน และพบว่ากลุ่มผู้โจมตีชาวจีนที่ชื่อ Storm-0558 สามารถเข้าถึงบัญชีอีเมลของหน่วยงานราว 25 องค์กร (โดยรายงานว่ารวมถึงกรมรัฐธรรมนูญ และพาณิชย์ของสหรัฐฯ)ผู้โจมตีใช้ signing key เข้าสู่ระบบ Azure AD ขององค์กรที่ถูกโจมตีเพื่อปลอมโทเค็นในการตรวจสอบข้อมูล (auth tokens) ใหม่โดยการใช้ช่องโหว่ของ GetAccessTokenForResource API เพื่อให้สามารถเข้าถึงอีเมลองค์กรของเป้าหมายได้Storm-0558 สามารถใช้สคริปต์ PowerShell และ Python เพื่อสร้างโทเค็นใหม่ผ่านการเรียกใช้ REST API ต่อกับบริการ OWA Exchange Store เพื่อขโมยอีเมล และไฟล์แนบ อย่างไรก็ตาม Microsoft ยังไม่ได้ยืนยันว่าพวกเขาใช้วิธีการนี้ในการโจมตีในการขโมยข้อมูล Exchange Online ในเดือนที่ผ่านมา

Microsoft ระบุเพิ่มเติมในวันนี้ว่า "ข้อมูลตามการวิเคราะห์ และการสืบสวนชี้ว่า การโจมตีถูกจำกัดไว้ที่แค่การเข้าถึงอีเมล และการนำข้อมูลออกจากผู้ใช้ที่เป็นเป้าหมายเท่านั้น"ทางบริษัทได้บล็อกการใช้ private signing key ที่ถูกขโมยสำหรับผู้ใช้งานที่ได้รับผลกระทบทั้งหมดในวันที่ 3 กรกฎาคม และ token replay infrastructure ของผู้โจมตีได้ถูกปิดใช้งานลงในวันถัดไป

MSA signing keys ได้ถูกยกเลิกเพื่อบล็อกการปลอมโทเค็น Azure AD
ในวันที่ 27 มิถุนายน Microsoft ยังได้ทำการยกเลิก MSA signing keys ทั้งหมดเพื่อบล็อกการพยายามสร้างโทเค็นการเข้าถึงใหม่ และย้ายโทเค็นที่สร้างขึ้นใหม่ไปยัง key store ที่ใช้สำหรับระบบองค์กร

Microsoft ระบุว่า "ไม่พบพฤติกรรมที่เกี่ยวข้องกับ signing keys จากผู้โจมตีอีก ตั้งแต่ Microsoft ได้ยกเลิก MSA signing keys ที่ผู้โจมตีได้รับมา"อย่างไรก็ตาม แม้ว่า Microsoft จะไม่พบพฤติกรรมที่เกี่ยวข้องกับคีย์ของ Storm-0558 หลังจากยกเลิก MSA signing keys ที่ใช้งานอยู่ และแก้ไขช่องโหว่ของ API ที่เปิดให้ใช้งาน แต่คำแนะนำในวันนี้ระบุว่าผู้โจมตีกำลังเปลี่ยนไปใช้เทคนิคอื่นในการโจมตีในวันอังคารที่ผ่านมา Microsoft พึ่งระบุว่ากลุ่มผู้โจมตี RomCom ที่เกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ของรัสเซียใช้ช่องโหว่ zero-day ใน Office ที่ยังไม่ได้รับการแก้ไขในการโจมตีแบบฟิชชิ่งต่อองค์กรที่เข้าร่วมการประชุมสุดยอดของกลุ่มนาโต้ ในเมืองวิลนีอุสในประเทศลิทัวเนียโดยปฏิบัติการของกลุ่ม RomCom ได้ใช้เอกสารที่เป็นอันตรายโดยปลอมตัวเป็นองค์กร Ukrainian World Congress เพื่อที่จะติดตั้ง payloads ของมัลแวร์ เช่น MagicSpell loader และ RomCom backdoor

ที่มา : bleepingcomputer

Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนกรกฎาคม 2023 โดยแก้ไขช่องโหว่กว่า 132 รายการ ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 37 รายการ รวมถึงยังเป็นช่องโหว่ zero-days 6 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

ทีมข่าวกรองภัยคุกคามของ Microsoft รายงานว่าเหตุการณ์การโจมตีโดยใช้ช่องโหว่ MOVEit Transfer Zero Day (CVE-2023-34362) ไปยัง Lace Tempest มีความเกี่ยวข้องกับกลุ่ม Clop ransomware

BleepingComputer ได้รับรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าวจากกลุ่ม Hacker เพื่อขโมย (more…)

Microsoft ออกแพตซ์อัปเดตสำหรับเดือนพฤษภาคม 2023 เพื่อแก้ไขช่องโหว่ 38 รายการ รวมถึงช่องโหว่ Zero-day ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี โดยจากช่องโหว่ทั้งหมด 38 รายการ มี 6 รายการที่ได้รับการจัดอยู่ในระดับ Critical อีก 32 รายการที่อยู่ในระดับอื่น ๆ ซึ่งมีช่องโหว่ 8 รายการที่มีแนวโน้มว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เดือนพฤษภาคมนี้ Microsoft ได้แก้ไขช่องโหว่เหล่านี้บนเบราว์เซอร์ Chromium-based Edge หลังจากที่พึ่งมีการออกอัปเดต Patch Tuesday ในเดือนเมษายนที่ผ่านมา

ช่องโหว่ที่น่าสนใจในรอบนี้ คือ CVE-2023-29336 (คะแนน CVSS: 7.8) เป็นช่องโหว่ที่สามารถทำการเพิ่มสิทธิ์ใน Win32k แต่ยังไม่มีข้อมูลที่แน่ชัดว่ามีขอบเขตของการโจมตีกว้างแค่ไหน

Microsoft ให้เครดิตกับนักวิจัย Avast Jan VojtŞshek, Milánek และ Luigino Camastra เป็นผู้รายงานรายงานช่องโหว่นี้ ซึ่งผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จจะได้รับสิทธิ์ SYSTEM บนระบบ โดยสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา หรือ CISA ได้เพิ่มช่องโหว่ดังกล่าวเข้าสู่ Known Exploited Vulnerabilities (KEV) เพื่อแจ้งเตือนให้องค์กรต่าง ๆ ภายใต้การกำกับดูแล ให้รีบทำการอัปเดตทันที

นอกจากนี้ยังมีช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ซึ่งหนึ่งในนั้นคือช่องโหว่ remote code execution ที่ส่งผลกระทบต่อ Windows OLE (CVE-2023-29325, คะแนน CVSS: 8.1) ซึ่งอาจถูกโจมตีโดยการส่งอีเมลอันตรายที่ถูกสร้างขึ้นเป็นพิเศษไปยังเหยื่อ อีกหนึ่งช่องโหว่คือ CVE-2023-24932 (คะแนน CVSS:6.7) ซึ่งเป็นการ bypass ฟีเจอร์ Secure Boot security ของ BlackLotus UEFI เพื่อใช้ประโยชน์จาก CVE-2022-21894 (หรือที่เรียกว่า baton drop) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในระดับ UEFI (unified extensible firmware interface) เมื่อเปิดใช้งาน Secure Boot

ผู้โจมตีนิยมใช้วิธีนี้เป็นกลไกในการหลีกเลี่ยงการตรวจจับ การจะโจมตีได้สำเร็จผู้โจมตีต้องสามารถเข้าถึงอุปกรณ์เป้าหมาย หรือได้สิทธิ์ local admin ให้ได้ก่อน

Microsoft ระบุว่ากําลังใช้มาตรการด้านความปลอดภัยแบบค่อยเป็นค่อยไปเพื่อปิดกั้นการโจมตี เพื่อลดผลกระทบกับการใช้งาน และคาดว่ามาตรการดังกล่าวจะดําเนินต่อไปจนถึงไตรมาสแรกของปี 2024 ซึ่งบริษัทรักษาความปลอดภัยด้านเฟิร์มแวร์อย่าง Binary ระบุไว้เมื่อต้นเดือนมีนาคมนี้ว่า โซลูชัน Secure Boot ที่ใช้ UEFI มีความซับซ้อนมาก และไม่สามารถกำหนดค่าได้อย่างถูกต้อง กล่าวคืออาจจะยังพบการโจมตีกับ bootloader อยู่

ผู้ให้บริการรายอื่น ๆ

นอกจาก Microsoft แล้ว ยังมีผู้ให้บริการรายอื่น ๆ ได้ทำการอัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขช่องโหว่ ได้แก่

Adobe
AMD
Android
Apache Projects
Apple
Aruba Networks
Cisco
Citrix
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Intel
Juniper Networks
Lenovo
Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR, and Thunderbird
NETGEAR
NVIDIA
Palo Alto Networks
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
Synology
Veritas
VMware
Zoho
Zyxel

 

ที่มา : thehackernews