เทคนิค Social Engineering ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่เรียกว่า ClickFix กลายเป็นหนึ่งในวิธีการที่ประสบความสำเร็จมากที่สุดในการแพร่กระจายมัลแวร์ในช่วงไม่กี่เดือนที่ผ่านมา

(more…)

กลุ่มแฮ็กเกอร์ที่ถูกเชื่อมโยงกับรัฐบาลจีน กำลังใช้ประโยชน์จากช่องโหว่ Zero-day ของ Windows ในการโจมตีนักการทูตยุโรปในฮังการี เบลเยียม และประเทศอื่น ๆ ในยุโรป

จากข้อมูลของ Arctic Wolf Labs การโจมตีเริ่มต้นด้วยอีเมล spearphishing ที่นำไปสู่การส่งไฟล์ LNK ที่เป็นอันตราย ซึ่งมีเนื้อหาเกี่ยวกับการประชุมเชิงปฏิบัติการด้านการจัดซื้อจัดจ้างด้านกลาโหมของ NATO การประชุมอำนวยความสะดวกด้านพรมแดนของคณะกรรมาธิการยุโรป และกิจกรรมทางการทูตอื่น ๆ (more…)

Microsoft ประกาศยืนยันว่า เครื่องมือ Windows 11 Media Creation Tool (MCT) กลับมาใช้งานได้ตามปกติแล้ว บน Windows 10 เวอร์ชัน 22H2 และ Windows 11 เวอร์ชัน 25H2 (more…)

มีรายงานการค้นพบแพ็คเกจอันตราย 10 รายการบน npm registry ที่เลียนแบบ software projects ที่ถูกต้อง โดยแพ็คเกจเหล่านี้จะดาวน์โหลด component สำหรับขโมยข้อมูล ที่จะรวบรวมข้อมูลสำคัญจากระบบ Windows, Linux และ macOS

แพ็คเกจเหล่านี้ถูกอัปโหลดไปยัง npm เมื่อวันที่ 4 กรกฎาคม และไม่ถูกตรวจพบเป็นเวลานาน เนื่องจากการเข้ารหัสหลายชั้น ซึ่งช่วยให้รอดพ้นจากกลไกการวิเคราะห์โค้ดแบบทั่วไป

ตามรายงานของนักวิจัยจากบริษัทความปลอดภัยทางไซเบอร์ Socket ระบุว่า แพ็คเกจทั้ง 10 นี้มียอดดาวน์โหลดเกือบ 10,000 ครั้ง และได้ขโมยข้อมูล credentials จาก system keyrings, เบราว์เซอร์ และ authentication services

แพ็คเกจเหล่านี้ยังคงดาวน์โหลดได้ แม้ว่า Socket จะรายงานไปยัง npm แล้วก็ตาม:

typescriptjs
deezcord.

CISA ระบุว่า ขณะนี้ผู้ไม่หวังดีกำลังใช้การโจมตีจากช่องโหว่ยกระดับสิทธิ์ (privilege escalation) ความรุนแรงสูงของ Windows SMB ซึ่งช่องโหว่ดังกล่าวจะช่วยให้ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ SYSTEM บนระบบที่ยังไม่ได้ทำการอัปเดตแพตช์ได้

ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2025-33073 ซึ่งส่งผลกระทบต่อ Windows Server และ Windows 10 ทุกเวอร์ชัน รวมถึงระบบ Windows 11 จนถึงเวอร์ชัน 24H2

Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวไปแล้วในรอบการอัปเดต Patch Tuesday ประจำเดือนมิถุนายน 2025 พร้อมเปิดเผยว่า ช่องโหว่ดังกล่าวมีสาเหตุมาจาก improper access control ที่ไม่เหมาะสม ทำให้ผู้โจมตีที่ได้รับ authorized แล้ว สามารถยกระดับสิทธิ์ของตนเองผ่านทางเครือข่ายได้

Microsoft ระบุว่า "ผู้โจมตีสามารถโน้มน้าวให้เหยื่อเชื่อมต่อไปยังเซิร์ฟเวอร์แอปพลิเคชันที่เป็นอันตราย (เช่น เซิร์ฟเวอร์ SMB) ที่ผู้โจมตีควบคุมอยู่ เมื่อทำการเชื่อมต่อ เซิร์ฟเวอร์ที่เป็นอันตรายดังกล่าวก็จะสามารถโจมตีตัวโปรโตคอลได้"

"เพื่อใช้การโจมตีจากช่องโหว่ดังกล่าว ผู้โจมตีสามารถรันสคริปต์อันตรายที่สร้างขึ้นมาเป็นพิเศษ เพื่อบังคับให้เครื่องของเหยื่อเชื่อมต่อกลับมายังระบบของผู้โจมตีโดยใช้ SMB และการยืนยันตัวตน ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ได้"

ในขณะนั้น คำแนะนำด้านความปลอดภัยระบุว่า ข้อมูลเกี่ยวกับช่องโหว่ดังกล่าวได้ถูกเผยแพร่ต่อสาธารณะแล้วก่อนที่การอัปเดตความปลอดภัยจะถูกปล่อยออกมา อย่างไรก็ตาม Microsoft ยังไม่ได้ออกมายอมรับต่อสาธารณะถึงคำกล่าวอ้างของ CISA ที่ว่าช่องโหว่ CVE-2025-33073 กำลังถูกใช้ในการโจมตีจริงอยู่ในขณะนี้

Microsoft ได้ให้เครดิตการค้นพบช่องโหว่ดังกล่าวแก่นักวิจัยด้านความปลอดภัยหลายคน ได้แก่ Keisuke Hirata จาก CrowdStrike, Wilfried Bécard จาก Synacktiv, Stefan Walter จาก SySS GmbH, James Forshaw จาก Google Project Zero และ RedTeam Pentesting GmbH

CISA ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี CVE-2025-33073 ที่กำลังเกิดขึ้น แต่ได้เพิ่มช่องโหว่ดังกล่าวเข้าไปใน Known Exploited Vulnerabilities Catalog โดยให้เวลาหน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) เป็นเวลาสามสัปดาห์ในการอัปเกรดระบบรักษาความปลอดภัยของตนภายในวันที่ 10 พฤศจิกายน ตามที่ข้อกำหนดโดยคำสั่ง Binding Operational Directive (BOD) 22-01

แม้ว่าคำสั่ง BOD 22-01 จะมุ่งเป้าไปที่หน่วยงานของรัฐบาลกลางเท่านั้น แต่หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ (CISA) ยังคงสนับสนุนให้ทุกองค์กร รวมถึงองค์กรในภาคเอกชน ตรวจสอบให้แน่ใจว่าได้ทำการแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยที่กำลังถูกใช้ในการโจมตีจริงนี้โดยเร็วที่สุด

CISA แจ้งเตือนเมื่อวันที่ 20 ตุลาคม โดยระบุว่า "ช่องโหว่ประเภทนี้เป็นช่องโหว่การโจมตีที่พบบ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมีนัยสำคัญต่อองค์กรของรัฐบาลกลาง"

 

ที่มา : bleepingcomputer.

การโจมตีแบบ Social Engineering ที่ชื่อ FileFix ในรูปแบบใหม่ ได้ใช้เทคนิค Cache Smuggling เพื่อแอบดาวน์โหลดไฟล์ ZIP ที่เป็นอันตรายลงในเครื่องคอมพิวเตอร์ของเหยื่อ พร้อมกับหลบเลี่ยงการตรวจจับของซอฟต์แวร์รักษาความปลอดภัย

(more…)

Microsoft ได้ยอมรับอย่างเป็นทางการว่ามีช่องโหว่สำคัญในอัปเดตความปลอดภัยล่าสุดของ Windows ซึ่งเป็นสาเหตุของความล้มเหลวในการติดตั้ง และซ่อมแซมแอปพลิเคชันใน Windows 10, Windows 11 และ Windows Server หลายเวอร์ชัน (more…)

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบเทคนิค Social Engineering ที่ชื่อว่า ClickFix ซึ่งได้รับความนิยมอย่างรวดเร็วในหมู่ผู้โจมตีตั้งแต่ต้นปี 2024

การโจมตีนี้มีเป้าหมายทั้งอุปกรณ์ Windows และ macOS โดยหลอกให้ผู้ใช้รันคำสั่งที่เป็นอันตรายผ่านขั้นตอนการแก้ไขปัญหาทางเทคนิคที่ดูเหมือนถูกต้องตามปกติ (more…)

Microsoft ประกาศจะลบ PowerShell 2.0 ออกจาก Windows ตั้งแต่เดือนสิงหาคมนี้เป็นต้นไป หลังจากประกาศเลิกใช้งานมาแล้วกว่า 8 ปี แต่ยังคงเปิดให้ใช้งานเป็นฟีเจอร์เสริมมาจนถึงปัจจุบัน

Command Processor ที่มีอายุ 14 ปีนี้ ถูกนำมาใช้ครั้งแรกพร้อมกับ Windows 7 และได้ถูกลบออกไปแล้วสำหรับกลุ่มผู้ใช้งาน Windows Insiders ตั้งแต่เดือนกรกฎาคม 2025 ที่ผ่านมา พร้อมกับการเปิดตัว Windows 11 Insider Preview Build 27891 ใน Canary Channel

(more…)

Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป

การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android

Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”

“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”

เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้

การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default

ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center

การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้

ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย

และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา

 

ที่มา : bleepingcomputer.