Microsoft ระบุว่า SMB signing (หรือถูกเรียกอีกอย่างว่า security signatures) จะเป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดใน Windows 11 เพื่อป้องกันการโจมตีแบบ NTLM relay attack โดยจะเริ่มตั้งแต่ Windows build (รุ่น Enterprise) ที่ประกาศออกมาในวันนี้เป็นต้นไป โดยจะมีการปรับปรุงให้กับผู้ทดสอบภายในช่องทาง Canary Channel ก่อนเปิดให้ใช้งานทั่วไป

ในการโจมตีดังกล่าว ผู้ไม่หวังดีจะบังคับให้อุปกรณ์เครือข่าย (รวมถึง domain controllers) ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ที่เป็นอันตรายซึ่งอยู่ในการควบคุมของผู้โจมตี เพื่อปลอมเป็นอุปกรณ์เหล่านั้น และเพิ่มสิทธิ์เพื่อให้สามารถเข้าควบคุมโดเมนบน Windows ได้อย่างสมบูรณ์

Microsoft ระบุว่า "การเปลี่ยนแปลงในครั้งนี้ จะเปลี่ยนแปลงวิธีการเก่าของ Windows 10 และ 11 ที่จำเป็นจะต้องมีการ SMB signing เป็นค่าเริ่มต้น เฉพาะเมื่อเชื่อมต่อกับการแชร์แบบ SYSVOL และ NETLOGON และขณะที่ Active Directory domain controllers จำเป็นต้องมีการ SMB signing เมื่อมีการเชื่อมต่อกับไคลเอ็นต์"

SMB signing ช่วยป้องกันคำขอสำหรับการตรวจสอบสิทธิ์ที่เป็นอันตราย โดยการยืนยันตัวตนของผู้ส่ง และผู้รับผ่าน signatures และ hashes ที่อยู่ที่ส่วนท้ายของแต่ละข้อความ

เซิร์ฟเวอร์ SMB และ Remote shares ที่ปิดการใช้งาน SMB signing จะแสดงข้อความ errors ในการเชื่อมต่อด้วยข้อความต่าง ๆ เช่น "The cryptographic signature is invalid", "STATUS_INVALID_SIGNATURE", "0xc000a000", หรือ "-1073700864"

กลไกความปลอดภัยนี้มีมาตั้งแต่ Windows 98 และ 2000 และได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงประสิทธิภาพ และการป้องกัน

การปรับปรุงความปลอดภัยอาจส่งผลกระทบต่อประสิทธิภาพการทำงาน

ในขณะที่การป้องกันการโจมตีแบบ NTLM relay attack เป็นเป้าหมายที่สำคัญสำหรับทีม security แต่ผู้ดูแลระบบ Windows อาจมีความเห็นที่แตกต่าง เนื่องจากวิธีการนี้อาจส่งผลให้ความเร็วในการใช้งานผ่าน SMB ช้าลง

Microsoft เตือนว่า "SMB signing อาจลดประสิทธิภาพของ SMB copy ลง ซึ่งสามารถแก้ปัญหานี้ได้ด้วยการเพิ่มจำนวนของ physical CPU cores หรือ virtual CPUs รวมถึงการใช้ CPU รุ่นใหม่ที่มีประสิทธิภาพ และความเร็วสูงขึ้น"

อย่างไรก็ตาม ผู้ดูแลระบบสามารถปิดใช้งาน SMB signing ในการเชื่อมต่อระหว่างเซิร์ฟเวอร์ และไคลเอ็นต์ได้ โดยการเรียกใช้คำสั่งต่อไปนี้จาก Windows PowerShell terminal ด้วยสิทธิ์ของผู้ดูแลระบบ:

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

แม้ว่าจะไม่จำเป็นที่จะต้องรีสตาร์ทระบบหลังจากใช้คำสั่งเหล่านี้ แต่การเชื่อมต่อ SMB ที่เปิดอยู่นั้นจะยังคงใช้ SMB signing ไปเรื่อย ๆ จนกว่าจะมีการปิดการเชื่อมต่อนั้น

Ned Pyle ผู้จัดการโปรแกรมหลักของ Microsoft ระบุว่า "การเปลี่ยนแปลงค่าเริ่มต้นสำหรับ SMB signing นี้จะนำมาใช้กับรุ่น Pro, Education และรุ่นอื่น ๆ ของ Windows ภายในไม่กี่เดือนข้างหน้า รวมถึง Windows Server ด้วย ขึ้นอยู่กับผลการทดสอบภายใน จากนั้นจึงจะเริ่มนำมาใช้กับรุ่นอื่น ๆ ต่อไป"

การประกาศในวันนี้เป็นส่วนหนึ่งของการปรับปรุงความปลอดภัยของ Windows และ Windows Server ซึ่ง Microsoft ได้แสดงให้เห็นตลอดปีที่ผ่านมา

โดยในเดือนเมษายน 2022 Microsoft ได้ประกาศเกี่ยวกับการปิดใช้งาน SMB1 ใน Windows โดยจะมีการปิดใช้งานโปรโตคอลการแชร์ไฟล์ที่มีอายุมากว่า 30 ปี โดยค่าเริ่มต้นสำหรับ Windows 11 Home Insiders

ห้าเดือนต่อมา Microsoft ได้ประกาศเพิ่มการป้องกันต่อการโจมตีด้วยวิธีการ Brute-force ด้วยการเพิ่ม 'SMB authentication rate limiter' เพื่อจัดการกับความพยายามในการร authentication ผ่าน NTLM

ที่มา : bleepingcomputer 

แคมเปญการแพร่กระจายมัลแวร์ตัวใหม่ กำลังใช้วิธีการเลียนแบบเว็บไซต์เครื่องมือตัดต่อวิดีโออย่าง CapCut เพื่อหลอกติดตั้งมัลแวร์บนเครื่องเหยื่อ

CapCut เป็นโปรแกรมตัดต่อวิดีโออย่างเป็นทางการของ ByteDance สำหรับ TikTok ซึ่งมีการดาวน์โหลดไปใช้งานแล้วมากกว่า 500 ล้านครั้งบน Google Play และเว็บไซต์ของบริษัทมีผู้เข้าชมมากกว่า 30 ล้านครั้งต่อเดือน

ความนิยมของแอปพลิเคชัน รวมถึงการถูกแบนในประเทศไต้หวัน อินเดีย และอีกบางประเทศ ทำให้ผู้ใช้งานพยายามหาวิธีในการดาวน์โหลดโปรแกรม จึงทำให้เป็นช่องทางให้ผู้โจมตีใช้ประโยชน์จากเหตุการณ์นี้ โดยการสร้างเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์ที่ปลอมเป็นตัวติดตั้งของโปรแกรม CapCut

เว็บไซต์ที่เป็นอันตรายถูกพบโดย Cyble ซึ่งรายงานว่าพบสองแคมเปญที่ใช้แพร่กระจายมัลแวร์ ยังไม่มีรายละเอียดเกี่ยวกับวิธีการ แต่โดยทั่วไปแล้วผู้โจมตีมักจะใช้วิธีการโฆษณาบนหน้าการค้นหาของ Google และโซเชียลมีเดียเพื่อโปรโมต โดยเว็บไซต์ที่เป็นอันตรายมีดังนี้:

capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download[.]com

แคมเปญแรก

นักวิเคราะห์ของ Cyble ตรวจพบเว็บไซต์ CapCut ปลอมที่มีปุ่มดาวน์โหลด ซึ่งจะเป็นการดาวน์โหลด Offx Stealer ไปติดตั้งบนคอมพิวเตอร์ของผู้ใช้งาน โดยจะทำงานได้บน Windows 8, 10 และ 11 เท่านั้น

เมื่อเหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา จะได้รับข้อความแสดงข้อผิดพลาดปลอมที่อ้างว่าการเปิดใช้แอปพลิเคชันไม่สำเร็จ

มัลแวร์จะพยายามดึงรหัสผ่าน และคุกกี้จากเว็บเบราว์เซอร์ และประเภทไฟล์บางอย่าง เช่น .txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp และ .db จากโฟลเดอร์เดสก์ท็อปของผู้ใช้งาน

นอกจากนี้ยังกำหนดเป้าหมายไปยังข้อมูลที่จัดเก็บไว้ในแอปพลิเคชันรับส่งข้อความเช่น Discord และ Telegram แอปกระเป๋าเงินดิจิตอล (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda และ Zcash) และซอฟต์แวร์ remote access เช่น UltraViewer และ AnyDesk

ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบันทึกไว้ในไดเร็กทอรีที่สร้างขึ้นแบบสุ่มในโฟลเดอร์ %AppData% Zip แล้วส่งไปยังผู้โจมตีผ่านช่องทาง Telegram ส่วนตัว โดยผู้โจมตียังใช้บริการโฮสต์ไฟล์ AnonFiles เพื่อความสมบูรณ์ในขั้นตอนการขโมยข้อมูล

หลังจากไฟล์ที่ถูกขโมยถูกส่งไปยังผู้โจมตี ไดเร็กทอรีในเครื่องที่สร้างขึ้นสำหรับโฮสต์ข้อมูลชั่วคราวจะถูกลบออกเพื่อลบร่องรอยของการติดมัลแวร์

แคมเปญที่สอง

แคมเปญที่สองที่เกี่ยวข้องกับเว็บไซต์ CapCut ปลอมจะปล่อยไฟล์ชื่อ 'CapCut_Pro_Edit_Video.

ในวันที่สามของการแข่งขัน Pwn2Own นักวิจัยด้านความปลอดภัยได้รับเงินรางวัลรวมกันกว่า 185,000 ดอลลาร์ หลังจากสาธิตการโจมตีด้วยช่องโหว่ Zero-Day 5 รายการ โดยมีเป้าหมายเป็น Windows 11, Ubuntu Desktop และ VMware Workstation

มีการสาธิตช่องโหว่ Zero-Day บน Ubuntu 3 รายการ ที่สามารถโจมตีได้จริง โดย Kyle Zeng จาก ASU SEFCOM (double free bug), Mingi Cho จาก Theori (ช่องโหว่ Use-After-Free) และ Bien Pham (@bienpnn) จาก Qrious Security

สำหรับสองรายชื่อแรกที่สามารถใช้ Zero-Day ในการโจมตีได้ ได้รับเงินรางวัลคนละ 30,000 ดอลลาร์ ในขณะที่ Pham ได้รับเงินรางวัล 15,000 ดอลลาร์ เนื่องจากมี bug collision

Windows 11 ที่ได้รับการอัปเดตล่าสุด ถูกโจมตีได้อีกครั้งในการแข่งขัน โดยมี Thomas Imbert (@masthoon) จาก Synacktiv (@Synacktiv) ได้รับเงินรางวัล 30,000 ดอลลาร์สำหรับช่องโหว่ Use-After-Free (UAF) (more…)

Mozilla แก้ไขปัญหาซึ่งทำให้เว็บเบราว์เซอร์ Firefox หยุดการทำงานเมื่อคัดลอกข้อความบนอุปกรณ์ Windows 11 ที่เปิดใช้งาน Suggested Actions

โดยปัญหานี้ได้ส่งผลกระทบต่อผู้ใช้ Firefox ที่ใช้ระบบปฏิบัติการรุ่นล่าสุดของ Microsoft Windows 11 เวอร์ชัน 22H2 ซึ่งฟีเจอร์ใหม่นี้จะถูกเปิดใช้งานเป็นค่าเริ่มต้น โดยมีผู้ใช้งานรายหนึ่งระบุว่า เบราว์เซอร์จะหยุดทำงานชั่วขณะหนึ่ง (มากกว่า 20 วินาที) และไม่ตอบสนองต่อการสั่งการจากผู้ใช้งาน

โดย Mozilla ได้แก้ไขข้อผิดพลาดดังกล่าวใน Firefox 106.0.3 ซึ่งเป็นเวอร์ชันล่าสุดที่ถูกเผยแพร่เมื่อวันจันทร์ที่ผ่านมา

สำหรับผู้ที่ยังไม่สามารถอัปเดต Firefox ได้ แนะนำให้ผู้ใช้งานปิดใช้งาน Suggested Actions บน Windows 11 ไปก่อน เพื่อหลีกเลี่ยงปัญหาเว็บเบราว์เซอร์หยุดการทำงานในลักษณะดังกล่าว โดยทำตามขั้นตอนต่อไปนี้:

กดปุ่ม Windows บนแป้นพิมพ์ หรือเปิด เมนู Start แล้วพิมพ์ Clipboard ในช่องค้นหา
กดปุ่ม Enter หรือเลือก Clipboard Settings ซึ่งจะนำไปยังการตั้งค่าคลิปบอร์ดของระบบ
เลือกปิดสวิตช์ Suggested Actions

ที่มา : bleepingcomputer

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.