Microsoft ได้ปล่อยสคริปต์ PowerShell เพื่อช่วยให้ผู้ใช้งาน Windows และผู้ดูแลระบบอัปเดต bootable media ให้ใช้ certificate ใหม่ชื่อ "Windows UEFI CA 2023" ก่อนที่มาตรการป้องกัน BlackLotus UEFI bootkit จะมีผลบังคับใช้ภายในปลายปีนี้ (more…)

กลุ่มผู้ไม่หวังดีจากเกาหลีเหนือใช้เทคนิคที่เรียกว่า RID hijacking ซึ่งหลอกให้ Windows มองว่าบัญชีที่มีสิทธิ์ระดับต่ำเป็นบัญชีที่มีสิทธิ์ผู้ดูแลระบบ

ผู้ไม่หวังดีใช้ไฟล์ที่เป็นอันตรายที่สร้างขึ้นเอง และเครื่องมือโอเพ่นซอร์สในการโจมตีแบบ RID hijacking ซึ่งทั้งสองเครื่องมือสามารถใช้ทำการโจมตีได้ แต่นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ AhnLab ระบุว่ามีความแตกต่างกันในบางจุด (more…)

Hacker ที่คาดว่าเป็นชาวรัสเซีย ถูกพบว่ากำลังใช้ช่องโหว่บน Windows ที่เพิ่งได้รับการแก้ไขในการโจมตีที่มุ่งเป้าไปที่หน่วยงานของยูเครน (more…)

แพ็กเกจ Python ที่เป็นอันตรายชื่อ "Fabrice" ซึ่งได้ถูกเผยแพร่บน PyPI มาตั้งแต่ปี 2021 ได้ใช้เทคนิค typosquatting โดยเลียนแบบชื่อของไลบรารี SSH automation ยอดนิยมอย่าง Fabric โดยมันสามารถขโมยข้อมูล AWS credentials อย่างลับ ๆ ผ่านการดาวน์โหลดมากกว่า 37,000 ครั้ง (more…)

Splunk ได้ออกคำแนะนำล่าสุดที่มีรายละเอียดถึงช่องโหว่หลายรายการที่ถูกค้นพบในซอฟต์แวร์ Splunk Enterprise คำแนะนำนี้แบ่งช่องโหว่เป็นสามระดับตามคะแนน CVSS โดยรวมแล้วมีช่องโหว่สองรายการที่จัดอยู่ในระดับความรุนแรงสูง ซึ่งมีคะแนนความเสี่ยงที่ถือว่า Critical ส่วนความรุนแรงระดับปานกลางมีช่องโหว่แปดรายการ และมีช่องโหว่หนึ่งรายการที่จัดอยู่ในระดับความรุนแรงต่ำ (more…)

Adobe ปล่อยอัปเดตใหม่สำหรับผลิตภัณฑ์หลายตัว ได้แก่ Adobe FrameMaker, Adobe Substance 3D Printer, Adobe Commerce และ Magento Open Source, Adobe Dimension, Adobe Animate, Adobe Lightroom, Adobe InCopy, Adobe InDesign, และ (more…)

Microsoft Defender มีการตรวจจับ และแจ้งผู้ใช้ที่มีการสมัครใช้งาน Microsoft 365 Personal หรือ Family แบบอัตโนมัติเมื่อผู้ใช้เชื่อมต่อกับเครือข่าย Wi-Fi ที่ไม่ปลอดภัย

คุณสมบัติการปกป้องความเป็นส่วนตัวของ Microsoft Defender (เรียกอีกอย่างว่า Defender VPN) ช่วยปกป้องความเป็นส่วนตัว และความปลอดภัยของผู้ใช้เมื่อเชื่อมต่อกับ Wi-Fi สาธารณะ หรือเครือข่ายที่ไม่น่าเชื่อถือ ซึ่งข้อมูล และตัวตนของผู้ใช้อาจถูกเปิดเผย หรือถูกขโมยได้

เพื่อการดำเนินการดังกล่าว โปรแกรมจะเข้ารหัส และกำหนดเส้นทางการรับส่งข้อมูลทางอินเทอร์เน็ตของผู้ใช้ผ่านเซิร์ฟเวอร์ของ Microsoft และซ่อน IP address ของผู้ใช้ โดยใช้ VPN (Virtual Private Network)

Microsoft ประกาศเมื่อวันที่ 30 กันยายน 2024 ว่า Defender VPN ได้รับการอัปเกรดให้แจ้งเตือนผู้ใช้โดยอัตโนมัติว่ามีความเสี่ยงต่อการถูกโจมตี และตอนนี้สามารถกำหนดค่าให้เปิดใช้งานแบบอัตโนมัติเพื่อให้เกิดความปลอดภัยมากขึ้น

Microsoft ระบุว่า ได้เพิ่มการตรวจจับ Wi-Fi ที่ไม่ปลอดภัย (Wi-Fi ที่น่าสงสัย) การตรวจจับเหล่านี้สามารถทำได้โดยใช้ Defender heuristics ในการตรวจสอบลักษณะต่าง ๆ หลายประการของ Wi-Fi hotspot เพื่อระบุว่าน่าสงสัยหรือไม่

เช่นเดียวกับ Wi-Fi ที่ไม่ปลอดภัย ผู้ใช้จะได้รับการแจ้งเตือนเกี่ยวกับ Wi-Fi ที่ไม่ปลอดภัยด้วยเช่นกัน และสามารถเปิด Defender VPN เพื่อความปลอดภัยมากขึ้น

ระบบนี้สามารถช่วยป้องกันผู้ใช้จากผู้โจมตีที่มีการทำ rogue wireless access point ปลอม เพื่อหลอกล่อให้ผู้ใช้เชื่อมต่อ และผู้โจมตีจะทำการโจมตีแบบ Evil Twin หลังจากที่เหยื่อเชื่อมต่อได้แล้ว รวมถึงผู้โจมตีจะสามารถขโมยข้อมูลที่สำคัญในการโจมตีแบบ Man-in-the-Middle (MiTM) หรือใช้เทคนิคฟิชชิ่งเพื่อขโมยข้อมูลเพิ่มเติม

ปัจจุบันการแจ้งเตือน Wi-Fi ที่ไม่ปลอดภัยนั้นใช้งานได้เฉพาะใน Defender สำหรับ Android, iOS และ Windows เท่านั้น โดยที่ใน macOS นั้นจะเปิดตัวเร็ว ๆ นี้

นอกจากนี้บริษัทได้เพิ่มการ support สำหรับ Defender VPN บนระบบ Windows และ macOS และเปิดให้ใช้งานในเยอรมนี และแคนาดา โดยจะมีการเพิ่มประเทศอื่น ๆ ในอีกไม่กี่เดือนข้างหน้า

Microsoft ระบุว่า กำลังเพิ่มการปกป้องความเป็นส่วนตัวให้กับอีก 10 ประเทศในยุโรป เอเชีย และภูมิภาคละตินอเมริกาในเร็ว ๆ นี้

การปกป้องความเป็นส่วนตัวเป็นฟีเจอร์ที่รวมอยู่กับ Microsoft Defender สำหรับแต่ละบุคคล ซึ่งเปิดตัวครั้งแรกเมื่อปีที่แล้ว ในเดือนกันยายน 2023 บนอุปกรณ์ Android ในสหรัฐอเมริกา

สิ่งสำคัญที่ต้องทราบคือ Microsoft ระบุว่า Defender VPN จะส่งข้อมูลบริการที่ไม่ระบุชื่อไปยังเซิร์ฟเวอร์ของบริษัท แต่จะไม่รวบรวมข้อมูลการเรียกดู ประวัติ รายละเอียดส่วนบุคคล หรือตำแหน่งทางกายภาพของอุปกรณ์ของผู้ใช้

ข้อมูลบริการที่ไม่ระบุชื่อนี้ประกอบด้วยรายละเอียดต่าง ๆ เช่น ระยะเวลาการใช้งาน VPN, ปริมาณแบนด์วิดท์ VPN ที่ใช้ และชื่อ Wi-Fi hotspot ที่ตรวจพบว่าอาจเป็นอันตรายเพื่อวัตถุประสงค์ในการวิเคราะห์ภัยคุกคาม (บริษัทระบุว่าข้อมูลนี้จะถูกส่งไปที่เซิร์ฟเวอร์หลังจากได้รับความยินยอมจากผู้ใช้เท่านั้น)

หากไม่ใช่ผู้ใช้ Microsoft Defender ที่มีการสมัครใช้งาน Microsoft 365 Family หรือ Personal ผู้ใช้ยังสามารถปกป้องตนเองได้โดยเปิดใช้ multi-factor authentication ในบัญชี และปิดการเชื่อมต่อ Wi-Fi แบบอัตโนมัติ เพื่อให้แน่ใจว่าอุปกรณ์จะไม่เชื่อมต่อกับเครือข่ายไร้สายที่อาจเป็นอันตราย

ที่มา : BLEEPINGCOMPUTER

พบช่องโหว่ Windows MSHTML spoofing หมายเลข CVE-2024-43461 กำลังถูกกลุ่ม APT Void Banshee นำไปใช้ในการโจมตีแบบ Zero-Day attack (more…)

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

นักวิจัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows

CVE-2024-26169 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024

โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta

Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows

การโจมตีช่องโหว่ CVE-2024-26169

Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot

นักวิจัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้

สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.