Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์

Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"

"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"

ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว

ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center

Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้

Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"

"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"

เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์

นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย

 

ที่มา : bleepingcomputer.

กลุ่มแฮ็กเกอร์มุ่งเป้าโจมตีไปยังรัฐบาลรัสเซียด้วย Trojan โดยปลอมเป็น Windows update

เมื่อช่วงเดือนกุมภาพันธ์ถึงเดือนเมษานที่ผ่านมา กลุ่มแฮ็กเกอร์ได้มุ่งเป้าโจมตีไปที่หน่วยงานรัฐบาลของรัสเซีย โดยมีทั้งอีเมลฟิชชิ่งที่ปลอมเป็นไฟล์อัปเดตด้านความปลอดภัยของ Windows รวมไปถึงวิธีอื่นๆอีกมากมาย โดยมีเป้าหมายสูงสุดของแคมเปญคือการควบคุมเครื่องเป้าหมายจากระยะไกลด้วย remote access trojan (RAT)

รายละเอียดการโจมตี

ผู้เชี่ยวชาญจาก Malwarebytes ได้อธิบายว่า การโจมตีทั้งหมดมาจากกลุ่ม advanced persistent threat (APT) โดยแบ่งเป็น 4 แคมเปญหลักๆ ดังนี้

แคมเปญแรกมาจากฟิชชิ่งอีเมล ซึ่งเกิดขึ้นในเดือนกุมภาพันธ์ ไม่กี่วันหลังจากการรุกรานยูเครนของรัสเซีย โดยทำการแนบไฟล์ RAT ที่ชื่อ “interactive_map_UA.exe” ไปในอีเมล
แคมเปญที่สอง กลุ่มแฮ็กเกอร์มีการวางแผน และเตรียมตัวมามากขึ้น โดยแนบไฟล์ tar.

Microsoft ได้อัปเดต Patch Tuesday ในเดือนกรกฎาคม โดยมีการแก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 117 รายการ รวมถึง Zero-Days 9 รายการ ซึ่งผู้ไม่หวังดีสามารถใช้โจมตี และควบคุมเครื่องเหยื่อได้

ช่องโหว่ทั้งหมด 117 รายการมี 13 รายการที่มีระดับความรุนแรงเป็น Critical อีก 103 รายการมีระดับความรุนแรงเป็น Important และ 1 รายการที่มีระดับความรุนแรงเป็น Moderate

การอัปเดตครั้งครอบคลุมผลิตภัณฑ์ต่างๆ ของ Microsoft รวมถึง Windows, Bing, Dynamics, Exchange Server, Office, Scripting Engine, Windows DNS และ Visual Studio Code
ในเดือนกรกฎาคมนี้มีการค้นพบช่องโหว่จำนวนมาก ซึ่งมากกว่าเดือนก่อนหน้านี้คือเดือนพฤษภาคม 55 รายการ และมิถุนายน 50 รายการ

ช่องโหว่ด้านความปลอดภัยที่ถูกนำไปใช้มีดังนี้

CVE-2021-34527 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler (หรืออีกชื่อที่รู้จักกัน "PrintNightmare")
CVE-2021-31979 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-33771 (CVSS score: 7.8) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Windows Kernel
CVE-2021-34448 (CVSS score: 6.8) - Scripting Engine Memory Corruption Vulnerability

ซึ่งทาง Microsoft ยังเน้นย้ำถึงการโจมตีของ CVE-2021-34448 ว่าผู้ไม่หวังดีอาจจะหลอกให้เหยื่อนั้น คลิกลิงก์ที่นำไปสู่เว็บไซต์ที่เป็นอันตรายที่ผู้ไม่หวังดีเตรียมไว้ และเว็บไซต์นั้นจะมีไฟล์ที่สร้างขึ้นเป็นพิเศษซึ่งออกแบบมาเพื่อใช้โจมตีช่องโหว่

มีช่องโหว่ Zero-Days ที่เปิดเผยต่อสาธารณะ 5 รายการ แต่ยังไม่ได้ถูกนำไปใช้ในการโจมตีจริง มีดังนี้

CVE-2021-34473 (CVSS score: 9.1) - ช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Microsoft Exchange Server
CVE-2021-34523 (CVSS score: 9.0) - ช่องโหว่ที่เกี่ยวกับการยกระดับสิทธิ์บน Microsoft Exchange Server
CVE-2021-33781 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Active Directory
CVE-2021-33779 (CVSS score: 8.1) - ช่องโหว่การ Bypass ฟีเจอร์รักษาความปลอดภัย Windows ADFS
CVE-2021-34492 (CVSS score: 8.1) - ช่องโหว่การปลอมแปลงของ Certificate Windows

ช่องโหว่ที่สำคัญอื่นๆ ที่ Microsoft ได้แก้ไขไปนั้น ได้แก่ ช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ส่งผลต่อ Windows DNS Server (CVE-2021-34494, CVSS score 8.8) และ Windows Kernel (CVE-2021-34458) ที่ได้การจัดระดับความรุนแรง CVSS score 9.9

"ปัญหานี้ทำให้อุปกรณ์ single root input/output virtualization (SR-IOV) ที่ถูกกำหนดให้เป็น Guest อาจรบกวนการทำงานของ Peripheral Component Interface Express (PCIe) ที่ต่ออยู่กับ Guest หรือ Root อื่นๆ ได้" Microsoft ระบุไว้ในคำแนะนำสำหรับ CVE-2021-34458 เมื่อเพิ่ม Windows instances ที่ Host ของ Virtual Machines ก็มีความเสี่ยงที่จะพบกับช่องโหว่นี้

Bharat Jogi ผู้เชี่ยวชาญจาก Qualys บอกกับ The Hacker News ว่า "Patch Tuesday นี้ออกมาเพียงไม่กี่วันหลังจากที่มีการเผยแพร่การอัปเดต out-of-band Patch เพื่อแก้ไข PrintNightmare ซึ่งเป็นช่องโหว่ที่สำคัญใน Windows Print Spooler service ที่พบใน Windows ทุกรุ่น"

"แม้ว่า MSFT ได้ออก Patch เพื่อแก้ไขช่องโหว่แล้ว แต่ผู้ใช้ยังคงต้องแน่ใจว่าการกำหนดค่าที่จำเป็นได้รับการตั้งค่าอย่างถูกต้อง ระบบที่มีการกำหนดค่าผิดพลาดจะยังคงเสี่ยงต่อการถูกโจมตี แม้ว่าจะอัปเดต Patch ล่าสุดแล้วก็ตาม PrintNightmare นั้นเป็นปัญหาร้ายแรงอย่างยิ่ง ที่เน้นย้ำถึงความสำคัญของการตรวจจับ และการแก้ไข" Jogi กล่าวเสริม

ช่องโหว่ PrintNightmare ยังกระตุ้นให้หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางทำการอัปเดตความปลอดภัยล่าสุดทันที และปิด Windows Print Spooler service บนเซิร์ฟเวอร์ และบน Microsoft Active Directory Domain Controllers.

Microsoft ออกเเพตซ์แก้ไขความปลอดภัยประจำเดือนหรือที่เรียกว่า Patch Tuesday โดยในเดือนมิถุนายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่เป็นจำนวน 129 ซึ่งมี 11 รายการเป็นช่องโหว่ระดับ “Critical” และ 118 รายการเป็นช่องโหว่ระดับ “High”

Microsoft กล่าวว่าการเเก้ไขเเพตซ์ประจำเดือนมิถุนายนนี้ถือว่ามากที่สุดในประวัติศาสตร์ของ Microsoft ซึ่งข่าวดีก็คือช่องโหว่ที่ทำการเเก้ไขนั้นยังไม่พบการใช้เพื่อบุกรุกและแสวงหาประโยชน์ โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

CVE-2020-1181 การเรียกใช้โค้ดจากระยะไกลใน Microsoft SharePoint
CVE-2020-1225 , CVE-2020-1226 การเรียกใช้โค้ดจากระยะไกลใน Microsoft Excel
CVE-2020-1223 การเรียกใช้โค้ดจากระยะไกลใน Word สำหรับ Android
CVE-2020-1248 การเรียกใช้โค้ดจากระยะไกลใน Windows Graphics Device Interface (GDI)
CVE-2020-1281 การเรียกใช้โค้ดจากระยะไกลใน Windows OLE
CVE-2020-1299 การเรียกใช้โค้ดจากระยะไกลในการประมวลผล Windows .LNK files.

ไมโครซอฟต์ปล่อยแพตช์ด้านความปลอดภัยประจำเดือนเกือบ 70 รายการ

ไมโครซอฟต์ประกาศแพตช์ด้านความปลอดภัยประจำเดือนเมษายนแล้วเมื่ออาทิตย์ที่ผ่านมาโดยในรอบนี้ในครอบคลุมช่องโหว่ทั้งหมด 66 รายการ โดยมีช่องโหว่ระดับความร้ายแรงสูงกว่า 22 รายการ

แนะนำให้อัปเดตแพตช์ผ่านทาง Windows Update หรือในช่องทางอื่นๆ โดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่ดังกล่าว

ที่มา : Microsoft