Microsoft กำลังทดสอบการรองรับ Third-party Passkeys บน Windows 11

ปัจจุบัน Microsoft กำลังทดสอบการอัปเดต API ของ WebAuthn ที่จะเพิ่มการรองรับการใช้งานของ third-party passkey สำหรับการยืนยันตัวตนแบบไม่ใช้รหัสผ่านบน Windows 11

โดย Passkeys จะใช้การยืนยันตัวตนแบบ biometric เช่น ลายนิ้วมือ และการจดจำใบหน้า เพื่อเป็นทางเลือกที่ปลอดภัย และสะดวกสบายกว่าการใช้รหัสผ่านแบบดั้งเดิม ซึ่งช่วยลดความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ

Microsoft ได้ร่วมมือกับผู้ให้บริการข้อมูล credential เช่น 1Password, Bitwarden และอื่น ๆ มาตั้งแต่ต้นเดือนตุลาคม ซึ่งเป็นช่วงเวลาที่บริษัทได้ประกาศเป็นครั้งแรกว่าจะสร้างโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys ใน Windows

ตามที่บริษัทได้เปิดเผยในวันนี้ ผู้ใช้งานจะสามารถเลือกใช้ผู้ให้บริการ third-party passkey ได้เพิ่มเติม นอกเหนือจากผู้ให้บริการ passkey ที่มีอยู่ของ Windows เพื่อสำหรับการยืนยันตัวตนผ่าน Windows Hello โดยใช้ passkey เดียวกันที่สร้างไว้ในอุปกรณ์มือถือ

ทีม Windows Insider ระบุว่า "เรากำลังปล่อยการอัปเดตสำหรับ WebAuthn APIs เพื่อรองรับโมเดลการยืนยันตัวตนแบบปลั๊กอินสำหรับ passkeys"

"ในอีกไม่กี่เดือนข้างหน้า ผู้ใช้งาน Windows จะสามารถเลือกผู้ให้บริการ third-party เป็นตัวเลือกเพิ่มเติมควบคู่ไปกับผู้ให้บริการ passkey ที่มีอยู่ของ Windows ในขณะที่ผู้ใช้ยังคงรักษาประสบการณ์การใช้งานเดิมไว้ได้"

ข้อความใน WebAuthn flows จะถูกส่งต่อไปยังปลั๊กอิน และการตอบกลับจะถูกส่งกลับไปยังแอปพลิเคชัน WebAuthn client ซึ่งทำให้ปลั๊กอินสามารถสร้าง และยืนยันตัวตนด้วย passkeys เมื่อได้รับ request จากผู้ใช้งาน

การอัปเดตเหล่านี้กำลังเผยแพร่ให้กับผู้ใช้ Windows Insider ใน Beta Channel ได้ใช้งานในวันนี้ โดยจะต้องติดตั้ง Preview Build 22635.4515 (KB5046756) นอกจากนี้ Microsoft ยังขอให้ลูกค้าที่ใช้ฟีเจอร์ใหม่นี้แชร์ความคิดเห็นผ่านแพลตฟอร์ม Feedback Hub ภายใต้หมวดหมู่ Privacy > Passkey

Microsoft ยังได้ปล่อย source code เพื่อช่วยนักพัฒนาสร้างปลั๊กอินของตัวเองเพื่อรองรับแพลตฟอร์ม passkey ของตนเอง

บริษัทได้เข้าร่วมกับ FIDO Alliance และแพลตฟอร์มหลักอื่น ๆ เพื่อสนับสนุนให้ passkeys เป็นวิธีการลงชื่อเข้าใช้แบบ passwordless ตามมาตรฐาน โดยรองรับ Web Authentication (WebAuthn) หรือที่เรียกว่า FIDO credentials

ล่าสุดในเดือนพฤษภาคม Microsoft ได้ปล่อยการรองรับการยืนยันตัวตนด้วย passkey สำหรับบัญชี Microsoft ส่วนบุคคลหลังจากได้เพิ่มตัวจัดการ passkey ในตัว Windows Hello ด้วยการอัปเดตฟีเจอร์ Windows 11 22H2

วันนี้ Microsoft ยังเริ่มปล่อยฟีเจอร์ใหม่ที่ช่วยให้ผู้ใช้สามารถกลับมาทำงานกับไฟล์ OneDrive จากโทรศัพท์ iOS และ Android บน Windows 11 PC ที่ติดตั้ง Windows 11 Beta Preview build ล่าสุดสำหรับ Insiders

ในประกาศที่แยกออกมา บริษัทได้เปิดตัว Microsoft Edge Game Assist (Preview) ซึ่งเป็นเว็บเบราว์เซอร์ในเกมที่ได้รับการปรับแต่งสำหรับการเล่นเกมบน PC ซึ่งจะแสดงอยู่บนหน้าจอเกมใน Game Bar

ที่มา : bleepingcomputer

Windows 11 บังคับเปิดใช้งาน SMB signing เพื่อป้องกันการโจมตีแบบ NTLM relay attack

Microsoft ระบุว่า SMB signing (หรือถูกเรียกอีกอย่างว่า security signatures) จะเป็นค่าเริ่มต้นสำหรับการเชื่อมต่อทั้งหมดใน Windows 11 เพื่อป้องกันการโจมตีแบบ NTLM relay attack โดยจะเริ่มตั้งแต่ Windows build (รุ่น Enterprise) ที่ประกาศออกมาในวันนี้เป็นต้นไป โดยจะมีการปรับปรุงให้กับผู้ทดสอบภายในช่องทาง Canary Channel ก่อนเปิดให้ใช้งานทั่วไป

ในการโจมตีดังกล่าว ผู้ไม่หวังดีจะบังคับให้อุปกรณ์เครือข่าย (รวมถึง domain controllers) ตรวจสอบสิทธิ์กับเซิร์ฟเวอร์ที่เป็นอันตรายซึ่งอยู่ในการควบคุมของผู้โจมตี เพื่อปลอมเป็นอุปกรณ์เหล่านั้น และเพิ่มสิทธิ์เพื่อให้สามารถเข้าควบคุมโดเมนบน Windows ได้อย่างสมบูรณ์

Microsoft ระบุว่า "การเปลี่ยนแปลงในครั้งนี้ จะเปลี่ยนแปลงวิธีการเก่าของ Windows 10 และ 11 ที่จำเป็นจะต้องมีการ SMB signing เป็นค่าเริ่มต้น เฉพาะเมื่อเชื่อมต่อกับการแชร์แบบ SYSVOL และ NETLOGON และขณะที่ Active Directory domain controllers จำเป็นต้องมีการ SMB signing เมื่อมีการเชื่อมต่อกับไคลเอ็นต์"

SMB signing ช่วยป้องกันคำขอสำหรับการตรวจสอบสิทธิ์ที่เป็นอันตราย โดยการยืนยันตัวตนของผู้ส่ง และผู้รับผ่าน signatures และ hashes ที่อยู่ที่ส่วนท้ายของแต่ละข้อความ

เซิร์ฟเวอร์ SMB และ Remote shares ที่ปิดการใช้งาน SMB signing จะแสดงข้อความ errors ในการเชื่อมต่อด้วยข้อความต่าง ๆ เช่น "The cryptographic signature is invalid", "STATUS_INVALID_SIGNATURE", "0xc000a000", หรือ "-1073700864"

กลไกความปลอดภัยนี้มีมาตั้งแต่ Windows 98 และ 2000 และได้รับการอัปเดตใน Windows 11 และ Windows Server 2022 เพื่อปรับปรุงประสิทธิภาพ และการป้องกัน

การปรับปรุงความปลอดภัยอาจส่งผลกระทบต่อประสิทธิภาพการทำงาน

ในขณะที่การป้องกันการโจมตีแบบ NTLM relay attack เป็นเป้าหมายที่สำคัญสำหรับทีม security แต่ผู้ดูแลระบบ Windows อาจมีความเห็นที่แตกต่าง เนื่องจากวิธีการนี้อาจส่งผลให้ความเร็วในการใช้งานผ่าน SMB ช้าลง

Microsoft เตือนว่า "SMB signing อาจลดประสิทธิภาพของ SMB copy ลง ซึ่งสามารถแก้ปัญหานี้ได้ด้วยการเพิ่มจำนวนของ physical CPU cores หรือ virtual CPUs รวมถึงการใช้ CPU รุ่นใหม่ที่มีประสิทธิภาพ และความเร็วสูงขึ้น"

อย่างไรก็ตาม ผู้ดูแลระบบสามารถปิดใช้งาน SMB signing ในการเชื่อมต่อระหว่างเซิร์ฟเวอร์ และไคลเอ็นต์ได้ โดยการเรียกใช้คำสั่งต่อไปนี้จาก Windows PowerShell terminal ด้วยสิทธิ์ของผู้ดูแลระบบ:

Set-SmbClientConfiguration -RequireSecuritySignature $false
Set-SmbServerConfiguration -RequireSecuritySignature $false

แม้ว่าจะไม่จำเป็นที่จะต้องรีสตาร์ทระบบหลังจากใช้คำสั่งเหล่านี้ แต่การเชื่อมต่อ SMB ที่เปิดอยู่นั้นจะยังคงใช้ SMB signing ไปเรื่อย ๆ จนกว่าจะมีการปิดการเชื่อมต่อนั้น

Ned Pyle ผู้จัดการโปรแกรมหลักของ Microsoft ระบุว่า "การเปลี่ยนแปลงค่าเริ่มต้นสำหรับ SMB signing นี้จะนำมาใช้กับรุ่น Pro, Education และรุ่นอื่น ๆ ของ Windows ภายในไม่กี่เดือนข้างหน้า รวมถึง Windows Server ด้วย ขึ้นอยู่กับผลการทดสอบภายใน จากนั้นจึงจะเริ่มนำมาใช้กับรุ่นอื่น ๆ ต่อไป"

การประกาศในวันนี้เป็นส่วนหนึ่งของการปรับปรุงความปลอดภัยของ Windows และ Windows Server ซึ่ง Microsoft ได้แสดงให้เห็นตลอดปีที่ผ่านมา

โดยในเดือนเมษายน 2022 Microsoft ได้ประกาศเกี่ยวกับการปิดใช้งาน SMB1 ใน Windows โดยจะมีการปิดใช้งานโปรโตคอลการแชร์ไฟล์ที่มีอายุมากว่า 30 ปี โดยค่าเริ่มต้นสำหรับ Windows 11 Home Insiders

ห้าเดือนต่อมา Microsoft ได้ประกาศเพิ่มการป้องกันต่อการโจมตีด้วยวิธีการ Brute-force ด้วยการเพิ่ม 'SMB authentication rate limiter' เพื่อจัดการกับความพยายามในการร authentication ผ่าน NTLM

ที่มา : bleepingcomputer 

Hacker ปลอมเว็บไซต์ของ CapCut เพื่อขโมยข้อมูล

แคมเปญการแพร่กระจายมัลแวร์ตัวใหม่ กำลังใช้วิธีการเลียนแบบเว็บไซต์เครื่องมือตัดต่อวิดีโออย่าง CapCut เพื่อหลอกติดตั้งมัลแวร์บนเครื่องเหยื่อ

CapCut เป็นโปรแกรมตัดต่อวิดีโออย่างเป็นทางการของ ByteDance สำหรับ TikTok ซึ่งมีการดาวน์โหลดไปใช้งานแล้วมากกว่า 500 ล้านครั้งบน Google Play และเว็บไซต์ของบริษัทมีผู้เข้าชมมากกว่า 30 ล้านครั้งต่อเดือน

ความนิยมของแอปพลิเคชัน รวมถึงการถูกแบนในประเทศไต้หวัน อินเดีย และอีกบางประเทศ ทำให้ผู้ใช้งานพยายามหาวิธีในการดาวน์โหลดโปรแกรม จึงทำให้เป็นช่องทางให้ผู้โจมตีใช้ประโยชน์จากเหตุการณ์นี้ โดยการสร้างเว็บไซต์ที่ใช้แพร่กระจายมัลแวร์ที่ปลอมเป็นตัวติดตั้งของโปรแกรม CapCut

เว็บไซต์ที่เป็นอันตรายถูกพบโดย Cyble ซึ่งรายงานว่าพบสองแคมเปญที่ใช้แพร่กระจายมัลแวร์ ยังไม่มีรายละเอียดเกี่ยวกับวิธีการ แต่โดยทั่วไปแล้วผู้โจมตีมักจะใช้วิธีการโฆษณาบนหน้าการค้นหาของ Google และโซเชียลมีเดียเพื่อโปรโมต โดยเว็บไซต์ที่เป็นอันตรายมีดังนี้:

capcut-freedownload[.]com
capcutfreedownload[.]com
capcut-editor-video[.]com
capcutdownload[.]com
capcutpc-download[.]com

แคมเปญแรก

นักวิเคราะห์ของ Cyble ตรวจพบเว็บไซต์ CapCut ปลอมที่มีปุ่มดาวน์โหลด ซึ่งจะเป็นการดาวน์โหลด Offx Stealer ไปติดตั้งบนคอมพิวเตอร์ของผู้ใช้งาน โดยจะทำงานได้บน Windows 8, 10 และ 11 เท่านั้น

เมื่อเหยื่อเรียกใช้ไฟล์ที่ดาวน์โหลดมา จะได้รับข้อความแสดงข้อผิดพลาดปลอมที่อ้างว่าการเปิดใช้แอปพลิเคชันไม่สำเร็จ

มัลแวร์จะพยายามดึงรหัสผ่าน และคุกกี้จากเว็บเบราว์เซอร์ และประเภทไฟล์บางอย่าง เช่น .txt, .lua, .pdf, .png, .jpg, .jpeg, .py, .cpp และ .db จากโฟลเดอร์เดสก์ท็อปของผู้ใช้งาน

นอกจากนี้ยังกำหนดเป้าหมายไปยังข้อมูลที่จัดเก็บไว้ในแอปพลิเคชันรับส่งข้อความเช่น Discord และ Telegram แอปกระเป๋าเงินดิจิตอล (Exodus, Atomic, Ethereum, Coinomi, Bytecoin, Guarda และ Zcash) และซอฟต์แวร์ remote access เช่น UltraViewer และ AnyDesk

ข้อมูลที่ถูกขโมยทั้งหมดจะถูกบันทึกไว้ในไดเร็กทอรีที่สร้างขึ้นแบบสุ่มในโฟลเดอร์ %AppData% Zip แล้วส่งไปยังผู้โจมตีผ่านช่องทาง Telegram ส่วนตัว โดยผู้โจมตียังใช้บริการโฮสต์ไฟล์ AnonFiles เพื่อความสมบูรณ์ในขั้นตอนการขโมยข้อมูล

หลังจากไฟล์ที่ถูกขโมยถูกส่งไปยังผู้โจมตี ไดเร็กทอรีในเครื่องที่สร้างขึ้นสำหรับโฮสต์ข้อมูลชั่วคราวจะถูกลบออกเพื่อลบร่องรอยของการติดมัลแวร์

แคมเปญที่สอง

แคมเปญที่สองที่เกี่ยวข้องกับเว็บไซต์ CapCut ปลอมจะปล่อยไฟล์ชื่อ 'CapCut_Pro_Edit_Video.

Windows, Ubuntu และ VMWare Workstation ถูกแฮ็กในวันสุดท้ายของการแข่งขัน Pwn2Own

ในวันที่สามของการแข่งขัน Pwn2Own นักวิจัยด้านความปลอดภัยได้รับเงินรางวัลรวมกันกว่า 185,000 ดอลลาร์ หลังจากสาธิตการโจมตีด้วยช่องโหว่ Zero-Day 5 รายการ โดยมีเป้าหมายเป็น Windows 11, Ubuntu Desktop และ VMware Workstation

มีการสาธิตช่องโหว่ Zero-Day บน Ubuntu 3 รายการ ที่สามารถโจมตีได้จริง โดย Kyle Zeng จาก ASU SEFCOM (double free bug), Mingi Cho จาก Theori (ช่องโหว่ Use-After-Free) และ Bien Pham (@bienpnn) จาก Qrious Security

สำหรับสองรายชื่อแรกที่สามารถใช้ Zero-Day ในการโจมตีได้ ได้รับเงินรางวัลคนละ 30,000 ดอลลาร์ ในขณะที่ Pham ได้รับเงินรางวัล 15,000 ดอลลาร์ เนื่องจากมี bug collision

Windows 11 ที่ได้รับการอัปเดตล่าสุด ถูกโจมตีได้อีกครั้งในการแข่งขัน โดยมี Thomas Imbert (@masthoon) จาก Synacktiv (@Synacktiv) ได้รับเงินรางวัล 30,000 ดอลลาร์สำหรับช่องโหว่ Use-After-Free (UAF) (more…)

Mozilla Firefox แก้ไขบัคการหยุดทำงานที่เกิดจากฟีเจอร์ใหม่บน Windows 11

Mozilla แก้ไขปัญหาซึ่งทำให้เว็บเบราว์เซอร์ Firefox หยุดการทำงานเมื่อคัดลอกข้อความบนอุปกรณ์ Windows 11 ที่เปิดใช้งาน Suggested Actions

โดยปัญหานี้ได้ส่งผลกระทบต่อผู้ใช้ Firefox ที่ใช้ระบบปฏิบัติการรุ่นล่าสุดของ Microsoft Windows 11 เวอร์ชัน 22H2 ซึ่งฟีเจอร์ใหม่นี้จะถูกเปิดใช้งานเป็นค่าเริ่มต้น โดยมีผู้ใช้งานรายหนึ่งระบุว่า เบราว์เซอร์จะหยุดทำงานชั่วขณะหนึ่ง (มากกว่า 20 วินาที) และไม่ตอบสนองต่อการสั่งการจากผู้ใช้งาน

โดย Mozilla ได้แก้ไขข้อผิดพลาดดังกล่าวใน Firefox 106.0.3 ซึ่งเป็นเวอร์ชันล่าสุดที่ถูกเผยแพร่เมื่อวันจันทร์ที่ผ่านมา

สำหรับผู้ที่ยังไม่สามารถอัปเดต Firefox ได้ แนะนำให้ผู้ใช้งานปิดใช้งาน Suggested Actions บน Windows 11 ไปก่อน เพื่อหลีกเลี่ยงปัญหาเว็บเบราว์เซอร์หยุดการทำงานในลักษณะดังกล่าว โดยทำตามขั้นตอนต่อไปนี้:

กดปุ่ม Windows บนแป้นพิมพ์ หรือเปิด เมนู Start แล้วพิมพ์ Clipboard ในช่องค้นหา
กดปุ่ม Enter หรือเลือก Clipboard Settings ซึ่งจะนำไปยังการตั้งค่าคลิปบอร์ดของระบบ
เลือกปิดสวิตช์ Suggested Actions

ที่มา : bleepingcomputer

Microsoft ออกอัปเดตฉุกเฉินเพื่อแก้ปัญหา Microsoft 365 บน Arm devices

Microsoft ได้ทำการแผยแพร่อัปเดต Windows แบบ Out-of-band (OOB) เพื่อแก้ไขปัญหาเกี่ยวกับการลงชื่อเข้าใช้ Azure Active Directory และ Microsfot 365 บน Arm Devices หลังจากที่มีการอัพเดตแพตซ์ในรอบ Patch Tuesday ของเดือนมิถุนายน 2565

ในการอัปเดท OOB ครั้งนี้ ผู้ใช้งานสามารถอัปเดตโดยอัตโนมัติผ่านทาง Windows Update และยังสามารถดาวน์โหลด และติดตั้งด้วยตัวเองผ่าน Microsoft Update Catalog (KB5016139 สำหรับ Windows 10 และ KB5016138 สำหรับ Windows 11)

Microsoft ได้ระบุเกี่ยวกับปัญหาที่พบว่า ปัญหานี้มีผลเฉพาะกับอุปกรณ์ที่ใช้ Windows ARM-based และจะทำให้ผู้ใช้งานไม่สามารถลงชื่อเข้าใช้โดย Azure Active Directory (ADD) รวมถึงแอป และบริการที่ใช้ AAD เพื่อลงชื่อเข้าใช้ เช่น VPN, Microsoft Teams และ MS Outlook ก็อาจได้รับผลกระทบด้วยเช่นกัน

เวอร์ชั่น Windows ที่ได้รับผลกระทบจากปัญหานี้มีดังนี้

Windows 11 21H2

Windows 10 21H2

Windows 10 21H1

Windows 10 20H2

โดยอาจมีผลกระทบกับการใช้งานบางส่วนดังนี้

App และ Service ที่ใช้ Azure Active Directory (Azure AD) ในการลงชื่อเข้าใช้
VPN connections
Microsoft Teams desktop
OneDrive for Business
Outlook Desktop client

Microsoft ได้ระบุเพิ่มเติมเกี่ยวกับการอัปเดตว่า หากผู้ใช้งานที่ยังไม่ได้ทำการอัปเดท Patch Tuesday ของเมื่อวันที่ 14 มิถุนายน 2565 ที่ผ่านมา ให้อัปเดทจาก OOB Update นี้ได้เลย เนื่องจากเป็น OOB update แบบรวมของวันที่ 14 มิถุนายนมาให้แล้ว แต่ถ้าหากมีการอัปเดตของวันที่ 14 มิถุนายนมาแล้ว ก็จะมีการดาวน์โหลดเฉพาะแพคเกจใหม่ที่มีอยู่ในอัปเดตไปติดตั้งเท่านั้น

ในส่วนขอองค์กรที่ยังไม่สามารถอัปเดตการแก้ไขนี้ได้ในทันที สามารถใช้งานผ่านทางรูปแบบ Website ไปก่อนได้ เช่น OneDrive, Microsoft Teams และ Outlook.