Microsoft ออกแพตซ์อัปเดตความปลอดภัย extended (KB5071546) สำหรับ Windows 10 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 57 รายการ ซึ่งรวมถึงช่องโหว่ Zero-day จำนวน 3 รายการ (more…)

CISA ระบุว่า ขณะนี้ผู้ไม่หวังดีกำลังใช้การโจมตีจากช่องโหว่ยกระดับสิทธิ์ (privilege escalation) ความรุนแรงสูงของ Windows SMB ซึ่งช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบที่ยังไม่ได้ทำการอัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2025-33073 ซึ่งส่งผลกระทบต่อ Windows Server และ Windows 10 ทุกเวอร์ชัน รวมถึงระบบ Windows 11 จนถึงเวอร์ชัน 24H2

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวไปแล้วในรอบการอัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมเปิดเผยว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจาก improper access control ที่ไม่เหมาะสม ทำให้ผู้โจมตีที่ได้รับ authorized แล้ว สามารถยกระดับสิทธิ์ของตนเองผ่านทางเครือข่ายได้

Microsoft ระบุว่า "ผู้โจมตีสามารถโน้มน้าวให้เหยื่อเชื่อมต่อไปยังเซิร์ฟเวอร์แอปพลิเคชันที่เป็นอันตราย (เช่น เซิร์ฟเวอร์ SMB) ที่ผู้โจมตีควบคุมอยู่ เมื่อทำการเชื่อมต่อ เซิร์ฟเวอร์ที่เป็นอันตรายดังกล่าวก็จะสามารถโจมตีตัวโปรโตคอลได้"

"เพื่อใช้การโจมตีจากช่องโหว่ดังกล่าว ผู้โจมตีสามารถรันสคริปต์อันตรายที่สร้างขึ้นมาเป็นพิเศษ เพื่อบังคับให้เครื่องของเหยื่อเชื่อมต่อกลับมายังระบบของผู้โจมตีโดยใช้ SMB และการยืนยันตัวตน ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ได้"

ในขณะนั้น คำแนะนำด้านความปลอดภัยระบุว่า ข้อมูลเกี่ยวกับช่องโหว่ดังกล่าวได้ถูกเผยแพร่ต่อสาธารณะแล้วก่อนที่การอัปเดตความปลอดภัยจะถูกปล่อยออกมา อย่างไรก็ตาม Microsoft ยังไม่ได้ออกมายอมรับต่อสาธารณะถึงคำกล่าวอ้างของ CISA ที่ว่าช่องโหว่ CVE-2025-33073 กำลังถูกใช้ในการโจมตีจริงอยู่ในขณะนี้

Microsoft ได้ให้เครดิตการค้นพบช่องโหว่ดังกล่าวแก่นักวิจัยด้านความปลอดภัยหลายคน ได้แก่ Keisuke Hirata จาก CrowdStrike, Wilfried Bécard จาก Synacktiv, Stefan Walter จาก SySS GmbH, James Forshaw จาก Google Project Zero และ RedTeam Pentesting GmbH

CISA ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี CVE-2025-33073 ที่กำลังเกิดขึ้น แต่ได้เพิ่มช่องโหว่ดังกล่าวเข้าไปใน Known Exploited Vulnerabilities Catalog โดยให้เวลาหน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) เป็นเวลาสามสัปดาห์ในการอัปเกรดระบบรักษาความปลอดภัยของตนภายในวันที่ 10 พฤศจิกายน ตามที่ข้อกำหนดโดยคำสั่ง Binding Operational Directive (BOD) 22-01

แม้ว่าคำสั่ง BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลางเท่านั้น แต่หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ (CISA) ยังคงสนับสนุนให้ทุกองค์กร รวมถึงองค์กรในภาคเอกชน ตรวจสอบให้แน่ใจว่าได้ทำการแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีจริงนี้โดยเร็วที่สุด

CISA แจ้งเตือนเมื่อวันที่ 20 ตุลาคม โดยระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องโหว่การโจมตีที่พบบ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อองค์กรของรัฐบาลกลาง"

 

ที่มา : bleepingcomputer.

 

Microsoft ได้ออกแพตช์แก้ไขปัญหาที่ทำให้เกิดข้อความแจ้งเตือน CertificateServicesClient (CertEnroll) errors หลังจากติดตั้งอัปเดต Windows 11 24H2 เวอร์ชัน preview ประจำเดือนกรกฎาคม 2025 และการอัปเดตอื่น ๆ ที่ตามมา (more…)

Microsoft เปิดเผยว่า Windows 10 จะได้รับการขยายการอัปเดตความปลอดภัยเพิ่มเติม (ESU) ออกไปอีกหนึ่งปี โดยผู้ใช้สามารถเลือกจ่ายค่าธรรมเนียม 30 ดอลลาร์ หรือเลือก sync การตั้งค่าพีซีของตนขึ้นคลาวด์แทนก็ได้

การพัฒนาครั้งนี้เกิดขึ้นก่อนเส้นตายวันที่ 14 ตุลาคม 2025 ซึ่ง Microsoft วางแผนจะยุติการสนับสนุน และหยุดอัปเดตความปลอดภัยสำหรับอุปกรณ์ที่ใช้ Windows 10 โดยระบบปฏิบัติการนี้เปิดตัวมาตั้งแต่เดือนกรกฎาคม 2015 (more…)

Microsoft รายงานว่าการอัปเดตแพตซ์ความปลอดภัยของ Windows 10 ที่ถูกปล่อยในช่วง "Patch Tuesday" ประจำเดือนนี้อาจล้มเหลวในการติดตั้ง พร้อมกับเกิดข้อผิดพลาด 0x8007000d แม้ว่าตอนแรกจะแสดงผลความคืบหน้าในการติดตั้ง (more…)

แฮ็กเกอร์กำลังแพร่กระจายไฟล์ Windows 10 ที่แอบซ่อน hijackers cryptocurrency ใน EFI (Extensible Firmware Interface) เพื่อหลีกเลี่ยงการตรวจจับ

EFI partition เป็น system partition ขนาดเล็กที่มี bootloader และไฟล์ที่เกี่ยวข้อง ซึ่งเรียกทำงานก่อนที่จะเริ่มระบบปฏิบัติการ โดยจำเป็นสำหรับระบบ UEFI-powered systems แทนที่ BIOS ที่เลิกใช้แล้วในปัจจุบัน

การโจมตีโดยใช้ EFI partition ที่ดัดแปลงเพื่อเปิดใช้งานมัลแวร์จากภายนอกของระบบปฏิบัติการ และเครื่องมือป้องกัน เช่น ในกรณีของ BlackLotus ที่ใช้ไฟล์ ISO ของ Windows 10 แบบละเมิดลิขสิทธิ์ ซึ่งถูกพบโดยนักวิจัยจาก Dr. Web ซึ่งใช้ EFI เป็นพื้นที่จัดเก็บสำหรับส่วนประกอบของมัลแวร์ clipper เนื่องจากอุปกรณ์ป้องกันมัลแวร์โดยทั่วไปมักไม่ตรวจสอบ EFI partition มัลแวร์จึงสามารถหลีกเลี่ยงการตรวจจับได้

Windows 10 builds ซ่อนแอปที่เป็นอันตรายไว้ในไดเร็กทอรีระบบต่อไปนี้ :

\Windows\Installer\iscsicli.

มัลแวร์ QBot เริ่มใช้ช่องโหว่ DLL hijacking ในโปรแกรม WordPad บนวินโดวส์ 10 เพื่อทำให้คอมพิวเตอร์ติดมัลแวร์ เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย

DLL คือไฟล์ไลบรารีที่มีฟังก์ชันที่สามารถถูกใช้โดยโปรแกรมมากกว่าหนึ่งโปรแกรมในเวลาเดียวกัน โดยเมื่อมีการเปิดแอปพลิเคชัน แอปพลิเคชันจะพยายามโหลด DLL ที่จำเป็นต้องเรียกใช้งาน ซึ่งวินโดวส์จะจัดลำดับความสำคัญของ DLL ให้กับไฟล์ DLL ที่อยู่ในโฟลเดอร์เดียวกันกับไฟล์ของแอปพลิเคชัน โดยจะโหลดก่อนเป็นอันดับแรก

DLL hijacking คือวิธีการที่ผู้โจมตีสร้าง DLL ที่เป็นอันตรายซึ่งมีชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง และวางไว้ในเส้นทางการค้นหาไฟล์ DLL ของวินโดวส์ก่อน ซึ่งมักจะเป็นโฟลเดอร์เดียวกับไฟล์ของแอปพลิเคชัน ทำให้เมื่อเรียกใช้ไฟล์ของแอปพลิเคชันนั้น มันจะโหลด DLL ของมัลแวร์แทนไฟล์ที่ถูกต้อง และดำเนินการคำสั่งที่เป็นอันตราย

QBot หรือที่รู้จักกันในชื่อ Qakbot เป็นมัลแวร์ชื่อดังบนวินโดวส์ ซึ่งเดิมทีเป็นโทรจันที่ถูกใช้สำหรับขโมยข้อมูลธนาคาร แต่ต่อมาถูกพัฒนาจนกลายมาเป็นมัลแวร์เริ่มต้นของกลุ่มแรนซัมแวร์ต่าง ๆ ได้แก่ Black Basta, Egregor และ Prolock ซึ่งร่วมมือกันในการใช้มัลแวร์เพื่อเข้าถึงเครือข่ายขององค์กรเพื่อทำการเรียกค่าไถ่

ProxyLife นักวิจัยด้านความปลอดภัยให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งของ QBot แคมเปญใหม่ เริ่มใช้วิธีการโจมตีแบบ DLL hijacking ในโปรแกรม WordPad บน Windows 10

แม้ว่า BleepingComputer จะยังไม่เห็นอีเมลฟิชชิ่งต้นฉบับ แต่มีข้อมูลของลิงก์ที่ใช้สำหรับดาวน์โหลดไฟล์ ซึ่งเมื่อคลิกลิงก์มันจะทำการดาวน์โหลดไฟล์ ZIP มา ซึ่งไฟล์ ZIP นี้จะประกอบด้วยไฟล์สองไฟล์คือ document.

แคมเปญการแพร่กระจายมัลแวร์ตัวใหม่ กำลังใช้วิธีการเลียนแบบเว็บไซต์เครื่องมือตัดต่อวิดีโออย่าง CapCut เพื่อหลอกติดตั้งมัลแวร์บนเครื่องเหยื่อ

CapCut เป็นโปรแกรมตัดต่อวิดีโออย่างเป็นทางการของ ByteDance สำหรับ TikTok ซึ่งมีการดาวน์โหลดไปใช้งานแล้วมากกว่า 500 ล้านครั้งบน Google Play และเว็บไซต์ของบริษัทมีผู้เข้าชมมากกว่า 30 ล้านครั้งต่อเดือน

ความนิยมของแอปพลิเคชัน รวมถึงการถูกแบนในประเทศไต้หวัน อินเดีย และอีกบางประเทศ ทำให้ผู้ใช้งานพยายามหาวิธีในการดาวน์โหลดโปรแกรม จึงทำให้เป็นช่องทางให้ผู้โจมตีใช้ประโยชน์จากเหตุการณ์นี้ โดยการสร้างเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์ที่ปลอมเป็นตัวติดตั้งของโปรแกรม CapCut

เว็บไซต์ที่เป็นอันตรายถูกพบโดย Cyble ซึ่งรายงานว่าพบสองแคมเปญที่ใช้แพร่กระจายมัลแวร์ ยังไม่มีรายละเอียดเกี่ยวกับวิธีการ แต่โดยทั่วไปแล้วผู้โจมตีมักจะใช้วิธีการโฆษณาบนหน้าการค้นหาของ Google และโซเชียลมีเดียเพื่อโปรโมต โดยเว็บไซต์ที่เป็นอันตรายมีดังนี้:

capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download[.]com

แคมเปญแรก

นักวิเคราะห์ของ Cyble ตรวจพบเว็บไซต์ CapCut ปลอมที่มีปุ่มดาวน์โหลด ซึ่งจะเป็นการดาวน์โหลด Offx Stealer ไปติดตั้งบนคอมพิวเตอร์ของผู้ใช้งาน โดยจะทำงานได้บน Windows 8, 10 และ 11 เท่านั้น

เมื่อเหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา จะได้รับข้อความแสดงข้อผิดพลาดปลอมที่อ้างว่าการเปิดใช้แอปพลิเคชันไม่สำเร็จ

มัลแวร์จะพยายามดึงรหัสผ่าน และคุกกี้จากเว็บเบราว์เซอร์ และประเภทไฟล์บางอย่าง เช่น .txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp และ .db จากโฟลเดอร์เดสก์ท็อปของผู้ใช้งาน

นอกจากนี้ยังกำหนดเป้าหมายไปยังข้อมูลที่จัดเก็บไว้ในแอปพลิเคชันรับส่งข้อความเช่น Discord และ Telegram แอปกระเป๋าเงินดิจิตอล (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda และ Zcash) และซอฟต์แวร์ remote access เช่น UltraViewer และ AnyDesk

ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบันทึกไว้ในไดเร็กทอรีที่สร้างขึ้นแบบสุ่มในโฟลเดอร์ %AppData% Zip แล้วส่งไปยังผู้โจมตีผ่านช่องทาง Telegram ส่วนตัว โดยผู้โจมตียังใช้บริการโฮสต์ไฟล์ AnonFiles เพื่อความสมบูรณ์ในขั้นตอนการขโมยข้อมูล

หลังจากไฟล์ที่ถูกขโมยถูกส่งไปยังผู้โจมตี ไดเร็กทอรีในเครื่องที่สร้างขึ้นสำหรับโฮสต์ข้อมูลชั่วคราวจะถูกลบออกเพื่อลบร่องรอยของการติดมัลแวร์

แคมเปญที่สอง

แคมเปญที่สองที่เกี่ยวข้องกับเว็บไซต์ CapCut ปลอมจะปล่อยไฟล์ชื่อ 'CapCut_Pro_Edit_Video.

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.