คำแนะนำล่าสุดของ Splunk สำหรับการแก้ไขช่องโหว่หลายรายการใน Splunk Enterprise

Splunk ได้ออกคำแนะนำล่าสุดที่มีรายละเอียดถึงช่องโหว่หลายรายการที่ถูกค้นพบในซอฟต์แวร์ Splunk Enterprise คำแนะนำนี้แบ่งช่องโหว่เป็นสามระดับตามคะแนน CVSS โดยรวมแล้วมีช่องโหว่สองรายการที่จัดอยู่ในระดับความรุนแรงสูง ซึ่งมีคะแนนความเสี่ยงที่ถือว่า Critical ส่วนความรุนแรงระดับปานกลางมีช่องโหว่แปดรายการ และมีช่องโหว่หนึ่งรายการที่จัดอยู่ในระดับความรุนแรงต่ำ (more…)

การอัปเดตความปลอดภัยสำหรับ Adobe FrameMaker แก้ไขช่องโหว่ระดับ Critical

Adobe ปล่อยอัปเดตใหม่สำหรับผลิตภัณฑ์หลายตัว ได้แก่ Adobe FrameMaker, Adobe Substance 3D Printer, Adobe Commerce และ Magento Open Source, Adobe Dimension, Adobe Animate, Adobe Lightroom, Adobe InCopy, Adobe InDesign, และ (more…)

Microsoft Defender เพิ่มวิธีการตรวจจับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

Microsoft Defender มีการตรวจจับ และแจ้งผู้ใช้ที่มีการสมัครใช้งาน Microsoft 365 Personal หรือ Family แบบอัตโนมัติเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

คุณสมบัติการปกป้องความเป็นส่วนตัวของ Microsoft Defender (เรียกอีกอย่างว่า Defender VPN) ช่วยปกป้องความเป็นส่วนตัว และความปลอดภัยของผู้ใช้เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ หรือเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งข้อมูล และตัวตนของผู้ใช้อาจถูกเปิดเผย หรือถูกขโมยได้

เพื่อการดำเนินการดังกล่าว โปรแกรมจะเข้ารหัส และกำหนดเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตของผู้ใช้ผ่านเซิร์ฟเวอร์ของ Microsoft และซ่อน IP address ของผู้ใช้ โดยใช้ VPN (Virtual Private Network)

Microsoft ประกาศเมื่อวันที่ 30 กันยายน 2024 ว่า Defender VPN ได้รับการอัปเกรดให้แจ้งเตือนผู้ใช้โดยอัตโนมัติว่ามีความเสี่ยงต่อการถูกโจมตี และตอนนี้สามารถกำหนดค่าให้เปิดใช้งานแบบอัตโนมัติเพื่อให้เกิดความปลอดภัยมากขึ้น

Microsoft ระบุว่า ได้เพิ่มการตรวจจับ Wi-Fi ที่ไม่ปลอดภัย (Wi-Fi ที่น่าสงสัย) การตรวจจับเหล่านี้สามารถทำได้โดยใช้ Defender heuristics ในการตรวจสอบลักษณะต่าง ๆ หลายประการของ Wi-Fi hotspot เพื่อระบุว่าน่าสงสัยหรือไม่

เช่นเดียวกับ Wi-Fi ที่ไม่ปลอดภัย ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับ Wi-Fi ที่ไม่ปลอดภัยด้วยเช่นกัน และสามารถเปิด Defender VPN เพื่อความปลอดภัยมากขึ้น

ระบบนี้สามารถช่วยป้องกันผู้ใช้จากผู้โจมตีที่มีการทำ rogue wireless access point ปลอม เพื่อหลอกล่อให้ผู้ใช้เชื่อมต่อ และผู้โจมตีจะทำการโจมตีแบบ Evil Twin หลังจากที่เหยื่อเชื่อมต่อได้แล้ว รวมถึงผู้โจมตีจะสามารถขโมยข้อมูลที่สำคัญในการโจมตีแบบ Man-in-the-Middle (MiTM) หรือใช้เทคนิคฟิชชิ่งเพื่อขโมยข้อมูลเพิ่มเติม

ปัจจุบันการแจ้งเตือน Wi-Fi ที่ไม่ปลอดภัยนั้นใช้งานได้เฉพาะใน Defender สำหรับ Android, iOS และ Windows เท่านั้น โดยที่ใน macOS นั้นจะเปิดตัวเร็ว ๆ นี้

นอกจากนี้บริษัทได้เพิ่มการ support สำหรับ Defender VPN บนระบบ Windows และ macOS และเปิดให้ใช้งานในเยอรมนี และแคนาดา โดยจะมีการเพิ่มประเทศอื่น ๆ ในอีกไม่กี่เดือนข้างหน้า

Microsoft ระบุว่า กำลังเพิ่มการปกป้องความเป็นส่วนตัวให้กับอีก 10 ประเทศในยุโรป เอเชีย และภูมิภาคละตินอเมริกาในเร็ว ๆ นี้

การปกป้องความเป็นส่วนตัวเป็นฟีเจอร์ที่รวมอยู่กับ Microsoft Defender สำหรับแต่ละบุคคล ซึ่งเปิดตัวครั้งแรกเมื่อปีที่แล้ว ในเดือนกันยายน 2023 บนอุปกรณ์ Android ในสหรัฐอเมริกา

สิ่งสำคัญที่ต้องทราบคือ Microsoft ระบุว่า Defender VPN จะส่งข้อมูลบริการที่ไม่ระบุชื่อไปยังเซิร์ฟเวอร์ของบริษัท แต่จะไม่รวบรวมข้อมูลการเรียกดู ประวัติ รายละเอียดส่วนบุคคล หรือตำแหน่งทางกายภาพของอุปกรณ์ของผู้ใช้

ข้อมูลบริการที่ไม่ระบุชื่อนี้ประกอบด้วยรายละเอียดต่าง ๆ เช่น ระยะเวลาการใช้งาน VPN, ปริมาณแบนด์วิดท์ VPN ที่ใช้ และชื่อ Wi-Fi hotspot ที่ตรวจพบว่าอาจเป็นอันตรายเพื่อวัตถุประสงค์ในการวิเคราะห์ภัยคุกคาม (บริษัทระบุว่าข้อมูลนี้จะถูกส่งไปที่เซิร์ฟเวอร์หลังจากได้รับความยินยอมจากผู้ใช้เท่านั้น)

หากไม่ใช่ผู้ใช้ Microsoft Defender ที่มีการสมัครใช้งาน Microsoft 365 Family หรือ Personal ผู้ใช้ยังสามารถปกป้องตนเองได้โดยเปิดใช้ multi-factor authentication ในบัญชี และปิดการเชื่อมต่อ Wi-Fi แบบอัตโนมัติ เพื่อให้แน่ใจว่าอุปกรณ์จะไม่เชื่อมต่อกับเครือข่ายไร้สายที่อาจเป็นอันตราย

ที่มา : BLEEPINGCOMPUTER

พบช่องโหว่ “spaces” ในอักษรเบรลล์ของ Windows กำลังถูกนำมาใช้ในการโจมตีแบบ Zero-Day attack

พบช่องโหว่ Windows MSHTML spoofing หมายเลข CVE-2024-43461 กำลังถูกกลุ่ม APT Void Banshee นำไปใช้ในการโจมตีแบบ Zero-Day attack (more…)

การโจมตีรูปแบบใหม่โดยใช้ MSC files และช่องโหว่ Windows XSS เพื่อเข้าถึงเครือข่ายของเป้าหมาย

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

กลุ่ม Black Basta ransomware กำลังโจมตีช่องโหว่ Zero-Day บน Windows

นักวิจัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows

CVE-2024-26169 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024

โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta

Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows

การโจมตีช่องโหว่ CVE-2024-26169

Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot

นักวิจัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้

สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.

พบกลุ่ม Ransomware มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows ผ่าน PuTTy และ WinSCP ปลอม

Rapid7 ออกรายงานการค้นพบแคมเปญการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณาบน Google หลอกให้เหยื่อดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing

WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client

โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

Windows updates ประจำเดือนกุมภาพันธ์ 2024 ไม่สามารถติดตั้งได้จาก error 0x800F0922

 

Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)

DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้

DLL Search Order Hijacking รูปแบบใหม่ Bypass การป้องกันบน Windows 10 และ 11 ได้

นักวิจัยด้านความปลอดภัยเปิดเผยรายละเอียดเกี่ยวกับเทคนิคการโจมตีในลักษณะ DLL Search Order Hijacking รูปแบบใหม่ ซึ่งผู้โจมตีใช้เพื่อ bypass มาตรการด้านความปลอดภัย และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่ใช้ Microsoft Windows 10 และ Windows 11

(more…)