Microsoft เปิดตัวฟีเจอร์ BitLocker ที่ใช้การเร่งความเร็วด้วยฮาร์ดแวร์ (Hardware-accelerated) ใน Windows 11 เพื่อตอบโจทย์ความกังวลด้านประสิทธิภาพ และความปลอดภัยที่เพิ่มขึ้น โดยอาศัยความสามารถของ Chip แบบ System-on-a-chip (SoC) และ CPU เข้ามาช่วย
(more…)
พบการใช้โดเมนที่สะกดผิด ซึ่งปลอมแปลงเป็นเครื่องมือ Microsoft Activation Scripts (MAS) ถูกนำมาใช้เพื่อแพร่กระจายสคริปต์ PowerShell ที่เป็นอันตราย และอาจทำให้เหยื่อติดมัลแวร์ที่ชื่อว่า Cosmali Loader
(more…)
Patch Tuesday ประจำเดือนธันวาคม 2025 ของ Microsoft มีการแก้ไขช่องโหว่จำนวน 57 รายการ โดยในจำนวนนี้รวมถึงช่องโหว่ Zero-day ที่กำลังถูกนำไปใช้ในการโจมตีจริงแล้ว 1 รายการ และที่ถูกเปิดเผยต่อสาธารณะแล้วอีก 2 รายการ
(more…)
การโจมตีรูปแบบใหม่ที่แตกแขนงมาจาก ClickFix ซึ่งถูกเรียกว่า 'ConsentFix' ได้อาศัยช่องโหว่ของแอป Azure CLI OAuth เพื่อเข้าควบคุมบัญชี Microsoft โดยที่คนร้ายไม่จำเป็นต้องใช้รหัสผ่าน หรือการยืนยันตัวตนผ่านระบบ MFA ได้
(more…)
Microsoft ออกแพตซ์อัปเดตความปลอดภัย extended (KB5071546) สำหรับ Windows 10 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 57 รายการ ซึ่งรวมถึงช่องโหว่ Zero-day จำนวน 3 รายการ (more…)
Microsoft วางแผนที่จะเพิ่มความปลอดภัยให้กับระบบ Entra ID authentication จากการโจมตีในรูปแบบ script injection จากภายนอก โดยจะเริ่มดำเนินการในช่วงกลางถึงปลายเดือนตุลาคม 2026 (more…)
Microsoft กำลังตรวจสอบเหตุการณ์ที่ทำให้บริการ Exchange Online หยุดการทำงาน ซึ่งส่งผลให้ลูกค้าไม่สามารถเข้าถึง mailbox ของตนผ่านโปรแกรม Outlook บน desktop ได้ (more…)
การแพร่กระจายของชุดเครื่องมือฟิชชิง Tycoon 2FA ถือเป็นภัยคุกคามร้ายแรงต่อองค์กรทั่วโลก เนื่องจากชุดเครื่องมือสำเร็จรูปลักษณะนี้ถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ผู้ที่ไม่มีความเชี่ยวชาญก็สามารถใช้เพื่อ Bypass ระบบยืนยันตัวตนหลายปัจจัย (MFA) และแอปยืนยันตัวตนที่องค์กรต่าง ๆ ใช้อยู่ ซึ่งปัจจุบันพบการนำมาใช้งานอย่างแพร่หลาย
จนถึงปีนี้ มีการติดตามการโจมตีไปแล้วมากกว่า 64,000 ครั้ง โดยหลายครั้งมุ่งเป้าไปที่ Microsoft 365 และ Gmail เพราะแพลตฟอร์มเหล่านี้คือเส้นทางที่ง่าย และรวดเร็วที่สุดในการเจาะเข้าสู่องค์กร
ฟิชชิงแบบ Service พร้อมใช้ ไม่ต้องมีทักษะใด ๆ
ความสามารถของ Tycoon 2FA อยู่ที่การไม่ต้องใช้ทักษะทางเทคนิค เนื่องจากมันเป็นชุดเครื่องมือ "Phishing as a Service" ที่พร้อมใช้งาน ฟังก์ชันครบถ้วน และเป็นระบบอัตโนมัติ แม้แต่ผู้ที่ไม่มีพื้นฐานการเขียนโค้ดก็สามารถใช้งานได้ ชุดเครื่องมือนี้จะแนะนำผู้ใช้ตั้งแต่การตั้งค่า การจัดเตรียมหน้าล็อกอินปลอม ไปจนถึงการเปิดเซิร์ฟเวอร์ reverse proxy ให้พร้อมใช้งาน
ชุดเครื่องมือจะทำทุกอย่างที่ยุ่งยากแทนผู้โจมตีทั้งหมด เหลือเพียงให้ผู้โจมตีส่งลิงก์ไปยังเหยื่อ แล้วรอแค่คนใดคนหนึ่งถูกหลอกเท่านั้น
Real-Time MFA Relay และการขโมยเซสชัน
Tycoon 2FA จะดำเนินการทันทีที่เหยื่อหลงกล โดยระบบจะดักจับชื่อผู้ใช้ และรหัสผ่านแบบเรียลไทม์, จัดเก็บ session cookies, และทำหน้าที่เป็นพร็อกซีในขั้นตอนที่ MFA ถูกส่งไปยัง Microsoft หรือ Google เหยื่อจะเข้าใจว่าตนเองกำลังดำเนินการยืนยันตัวตนตามปกติ แต่ในความเป็นจริงแล้ว พวกเขากำลังยืนยันตัวตนให้กับผู้โจมตี
ส่วนที่อันตรายที่สุดคือผู้ใช้ที่ได้รับการฝึกอบรมมาอย่างดีก็ยังอาจตกเป็นเหยื่อได้ เพราะทุกอย่างดูสมจริง หน้าเว็บเป็นแบบไดนามิก และสามารถแสดงผลข้อมูล responses จากเซิร์ฟเวอร์จริงได้
ตัวอย่างเช่น หาก Microsoft ขอให้กรอกรหัส หน้าเว็บก็จะอัปเดตทันที หรือถ้า Google ส่งข้อความแจ้ง (prompt) มันก็จะปรากฏขึ้นตามที่ควรจะเป็น
ไม่มีอะไรแตกต่างให้สังเกตเห็นได้ ไม่มีร่องรอยใด ๆ และไม่มีวิธีการใดที่ MFA แบบเดิม หรือแอปยืนยันตัวตนจะสามารถป้องกันการโจมตีนี้ได้ เนื่องจาก Tycoon ถูกออกแบบมาให้เป็นผู้โจมตีแบบ Man-in-the-Middle โดยตรง
ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับ
Tycoon 2FA มาพร้อมกับชั้นของการป้องกันการตรวจจับที่เทียบเท่ากับมัลแวร์ระดับสูงหลายตัว โดยใช้เทคนิคต่าง ๆ เช่น การเข้ารหัส Base64, การบีบอัดแบบ LZ string, เทคนิค DOM vanishing, การทำให้โค้ดอ่านไม่ออกด้วย CryptoJS, ระบบกรอง Bot อัตโนมัติ, CAPTCHA และการตรวจจับเครื่องมือ Debugging
ชุดเครื่องมือนี้จะซ่อนพฤติกรรมตัวเองจากเครื่องมือ Scan และนักวิจัยทุกวิถีทาง มันจะแสดงพฤติกรรมจริงก็ต่อเมื่อเป้าหมายเป็นมนุษย์จริง ๆ เท่านั้น และเมื่อมันทำขั้นตอนการยืนยันตัวตนสำเร็จ ผู้โจมตีก็จะได้สิทธิ์เข้าถึงเซสชันเต็มรูปแบบภายใน Microsoft 365 หรือ Gmail
จากจุดเริ่มต้นนั้น ผู้โจมตีสามารถขยายผลการโจมตีไปยังระบบต่าง ๆ ได้อย่างกว้างขวาง เช่น SharePoint, OneDrive, อีเมล, Teams, ระบบ HR, ระบบการเงิน และอื่น ๆ อีกมากมาย การฟิชชิงที่ประสบความสำเร็จเพียงครั้งเดียวอาจนำไปสู่การถูกเจาะระบบทั้งหมดได้
MFA แบบดั้งเดิมอาจไม่เพียงพอแล้ว
สาเหตุที่ MFA แบบดั้งเดิมไม่เพียงพอ เพราะรหัส SMS, การแจ้งเตือนแบบกดอนุมัติ (push) และแอป TOTP ล้วนมีจุดอ่อนเดียวกัน เนื่องจากขึ้นอยู่กับพฤติกรรมของผู้ใช้ และความคาดหวังว่าผู้ใช้จะสังเกตเห็นสิ่งผิดปกติด้วยตนเอง
ระบบเหล่านี้ใช้กลไกที่ผู้โจมตีสามารถดักจับ ส่งต่อ หรือนำมาใช้ซ้ำได้ Tycoon 2FA และเครื่องมืออีกนับสิบชนิดโจมตีจากช่องโหว่นี้ตรง ๆ พวกมันเปลี่ยนผู้ใช้ให้กลายเป็นช่องทางโจมตี และแม้แต่ passkey ก็เริ่มถูกเจาะได้แล้ว เมื่อมีการซิงก์ผ่านบัญชีคลาวด์ หรือมีช่องทางกู้คืน (recovery) ที่สามารถขโมยข้อมูลแบบ social engineering ได้
ผู้โจมตีเข้าใจเรื่องนี้ดีมาก กลุ่มอาชญากรรมอย่าง Scattered Spider, Octo Tempest และ Storm 1167 ใช้ชุดเครื่องมือเหล่านี้ทุกวัน มันคือวิธีโจมตีที่เพิ่มขึ้นเร็วที่สุดในโลก เพราะใช้ง่าย ขยายผลได้มาก และไม่ต้องการทักษะใด ๆ
หลายบริษัทเร่งนำระบบยืนยันตัวตนแบบหลายปัจจัย (MFA) และแอปยืนยันตัวตนมาใช้ แต่กลับพบว่าระบบเหล่านี้อาจไม่เพียงพอเมื่อเจอกับชุดเครื่องมือฟิชชิงที่ออกแบบมาโดยเฉพาะ หากผู้โจมตีสามารถหลอกให้ผู้ใช้งานกรอกรหัส หรืออนุมัติคำขอได้ ผู้โจมตีก็จะประสบความสำเร็จ ซึ่ง Tycoon ทำสิ่งนี้ได้อย่างแม่นยำ
ขั้นต่อไป MFA ที่ฟิชชิงไม่ได้จริง ๆ
ยังมีวิธีการแก้ไขที่ชัดเจน และสามารถเริ่มใช้งานได้รวดเร็ว นั่นคือระบบยืนยันตัวตนที่ป้องกันฟิชชิงด้วยข้อมูล biometric บนฮาร์ดแวร์ FIDO2 โดยใช้การยืนยันตัวตนแบบ proximity based, domain bound และไม่สามารถถูกรีเลย์ หรือปลอมแปลงได้ ระบบที่ไม่มีรหัสให้กรอก ไม่มีการอนุมัติแจ้งเตือน ไม่มี shared secrets ที่ถูกดักจับได้ และไม่มีวิธีใดที่หลอกให้ผู้ใช้งานช่วยผู้โจมตีได้อีกต่อไป
ระบบที่ปฏิเสธเว็บไซต์ปลอมโดยอัตโนมัติ ระบบที่บังคับให้มีการยืนยันแบบไบโอเมตริกซ์บนอุปกรณ์จริง ซึ่งต้องอยู่ใกล้คอมพิวเตอร์ที่กำลังล็อกอินเท่านั้น
ทั้งหมดนี้เปลี่ยนเกมไปอย่างสิ้นเชิง เพราะมันนำผู้ใช้ออกจากกระบวนการตัดสินใจ แทนที่จะหวังให้คนรู้ทันหน้าเว็บปลอม ตัวอุปกรณ์ยืนยันตัวตนจะตรวจสอบแหล่งที่มาแบบเข้ารหัสเอง
แทนที่จะหวังว่าผู้ใช้จะปฏิเสธการแจ้งเตือนที่เป็นอันตราย อุปกรณ์ยืนยันตัวตนจะไม่มีทางได้รับแจ้งเตือนแบบนั้นตั้งแต่แรก
โมเดลของโทเคน
นี่คือโมเดลที่อยู่เบื้องหลัง Token Ring และ Token BioStick ซึ่งป้องกันฟิชชิงด้วยสถาปัตยกรรม บังคับใช้ไบโอเมตริกซ์เป็นค่าเริ่มต้น อิงตาม Proximity based และผูกกับโดเมนผ่านการเข้ารหัส
การโจมตีจะไม่สำเร็จ เพราะไม่มีโค้ดให้ขโมย ไม่มีการอนุมัติให้หลอกลวง และไม่มีขั้นตอนกู้คืนบัญชีให้มิจฉาชีพใช้โจมตีได้เลย ต่อให้ผู้ใช้พลาดคลิกลิงก์น่าสงสัย หรือแม้แต่บอกรหัสผ่านออกไป (ถ้ายังมีรหัส) หรือโดน Social Engineering ที่แอบอ้างเป็นฝ่ายไอทีโทรมาหลอก การยืนยันตัวตนก็จะไม่สำเร็จอยู่ดี เพราะระบบจะตรวจสอบว่าโดเมนไม่ตรง และไม่มีการยืนยันไบโอเมตริกซ์บนอุปกรณ์จริง
องค์กรที่ใช้อุปกรณ์เหล่านี้พบว่าพนักงานยอมรับได้ง่ายมากกับโซลูชันไร้รหัสผ่านลักษณะนี้ การยืนยันตัวตนทำได้เร็ว (เพียง 2 วินาที) ไม่ต้องจำอะไร ไม่ต้องพิมพ์อะไร ไม่ต้องกดยืนยันอะไร มอบประสบการณ์ผู้ใช้ที่ดีกว่า และสร้างมาตรการความปลอดภัยที่แข็งแกร่งยิ่งกว่าเดิมมาก
ความจริงที่ทุกองค์กรต้องยอมรับ
ทุกองค์กรต้องยอมรับว่าผู้โจมตีได้พัฒนาไปอีกขั้นแล้ว และระบบป้องกันก็ต้องพัฒนาตามให้ทัน การยืนยันตัวตนแบบหลายปัจจัย (MFA) แบบเดิม ๆ รวมถึงแอปยืนยันตัวตน (Authenticator Apps) และแม้แต่ Passkey ก็ไม่อาจป้องกันภัยคุกคามนี้ได้ ดังที่ Tycoon 2FA ได้แสดงให้เห็นว่า ระบบใดก็ตามที่ยังต้องการให้ผู้ใช้ "กรอก" หรือ "กดอนุมัติ" จะสามารถถูกเจาะระบบได้ภายในเวลาไม่กี่วินาที
ที่มา : bleepingcomputer
Microsoft กำลังเปิดตัวฟีเจอร์ใหม่ของ Teams สำหรับลูกค้า Premium ซึ่งจะบล็อกการจับภาพหน้าจอ และการบันทึกโดยอัตโนมัติระหว่างการประชุม
(more…)
Patch Tuesday ประจำเดือนพฤศจิกายน 2025 ของ Microsoft อัปเดตความปลอดภัยสำหรับช่องโหว่ 63 รายการ รวมถึงช่องโหว่ zero-day 1 รายการที่กำลังถูกใช้ในการโจมตี
Patch Tuesday ในรอบนี้ได้แก้ไขช่องโหว่ระดับ "Critical" จำนวน 4 รายการ โดยมี 2 รายการเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution), มี 1 รายการเป็นช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege) และอีก 1 รายการเป็นช่องโหว่การเปิดเผยข้อมูล (Information Disclosure) (more…)