Microsoft ประกาศจะลบ PowerShell 2.0 ออกจาก Windows ตั้งแต่เดือนสิงหาคมนี้เป็นต้นไป หลังจากประกาศเลิกใช้งานมาแล้วกว่า 8 ปี แต่ยังคงเปิดให้ใช้งานเป็นฟีเจอร์เสริมมาจนถึงปัจจุบัน
Command Processor ที่มีอายุ 14 ปีนี้ ถูกนำมาใช้ครั้งแรกพร้อมกับ Windows 7 และได้ถูกลบออกไปแล้วสำหรับกลุ่มผู้ใช้งาน Windows Insiders ตั้งแต่เดือนกรกฎาคม 2025 ที่ผ่านมา พร้อมกับการเปิดตัว Windows 11 Insider Preview Build 27891 ใน Canary Channel
(more…)
Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป
การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android
Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”
“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”
เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้
การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default
ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center
การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้
ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย
และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา
ที่มา : bleepingcomputer.
ภัยคุกคามแรนซัมแวร์รูปแบบใหม่จากกลุ่มอาชญากรไซเบอร์ใต้ดิน ซึ่งมุ่งเป้าโจมตีทั้งแพลตฟอร์ม Android และ Windows ด้วยความสามารถที่ขยายออกไปไกลกว่าการเข้ารหัสไฟล์แบบเดิม (more…)
Microsoft แจ้งเตือนลูกค้าในวันนี้ (28 กรกฎาคม 2025) ว่าการสนับสนุน Windows 11 เวอร์ชัน 22H2 จะสิ้นสุดลงในวันที่ 14 ตุลาคม 2025 (more…)
โทรจันที่มุ่งเป้าโจมตีระบบธนาคารบน Windows ที่รู้จักกันในชื่อ Coyote กลายเป็นมัลแวร์ตัวแรกที่ถูกพบว่าใช้ช่องโหว่ของระบบ accessibility framework ของ Windows ที่ชื่อว่า UI Automation (UIA) เพื่อขโมยข้อมูลสำคัญ
นักวิจัยด้านความปลอดภัยของ Akamai Tomer Peled ระบุในการวิเคราะห์ว่า “Coyote เวอร์ชันใหม่นี้มุ่งเป้าโจมตีผู้ใช้งานในประเทศบราซิล และใช้ UIA เพื่อดึงข้อมูลบัญชีผู้ใช้งานที่เชื่อมโยงกับที่อยู่เว็บไซต์ และการแลกเปลี่ยนเงินคริปโตฯ ของสถาบันการเงินจำนวน 75 แห่ง”
Coyote ถูกพบครั้งแรกโดย Kaspersky ในปี 2024 ซึ่งเป็นที่รู้จักในการโจมตีผู้ใช้งานในบราซิล โดยมาพร้อมกับความสามารถในการบันทึกการกดแป้นพิมพ์ ถ่ายภาพหน้าจอ และแสดง overlay บนหน้าล็อกอินของสถาบันทางการเงินต่าง ๆ
UIA ซึ่งเป็นส่วนหนึ่งของ Microsoft .NET Framework เป็นคุณสมบัติที่ Microsoft นำเสนอเพื่อให้โปรแกรมอ่านหน้าจอ และผลิตภัณฑ์เทคโนโลยีช่วยเหลืออื่น ๆ สามารถเข้าถึง user interface (UI) ได้ผ่านโปรแกรมบนเดสก์ท็อปได้ด้วยการเขียนโปรแกรม
ความสามารถของ UIA ที่อาจถูกนำมาใช้ในทางที่ผิด เช่น การขโมยข้อมูล เคยถูกสาธิตให้เห็นแล้วในรูปแบบ PoC โดย Akamai เมื่อเดือนธันวาคม 2024 โดยบริษัทโครงสร้างพื้นฐานเว็บรายนี้ระบุว่า UIA อาจถูกใช้เพื่อขโมยข้อมูลบัญชีผู้ใช้ หรือรันโค้ดก็ได้
ในบางแง่มุม วิธีการโจมตีล่าสุดของ Coyote มีลักษณะคล้ายกับ banking trojans บน Android หลายตัวที่ถูกตรวจพบ ซึ่งมักนำ accessibility services ของระบบปฏิบัติการมาใช้เป็นอาวุธเพื่อดึงข้อมูลที่มีความสำคัญ
จากการวิเคราะห์ของ Akamai พบว่ามัลแวร์นี้เรียกใช้ Windows API ที่ชื่อว่า GetForegroundWindow() เพื่อดึงชื่อหน้าต่างที่กำลังเปิดอยู่ แล้วนำไปเปรียบเทียบกับรายการเว็บไซต์ของธนาคาร และเว็บแลกเปลี่ยนคริปโตฯ ที่ฝังมาในโค้ด
Peled อธิบายว่า “หากไม่มีรายการใดตรงกัน Coyote จะใช้ UIA เพื่อวิเคราะห์องค์ประกอบย่อยของ UI ในหน้าต่างนั้น เพื่อพยายามตรวจจับแท็บเบราว์เซอร์ หรือ address bar” “จากนั้นเนื้อหาขององค์ประกอบ UI เหล่านี้จะถูกนำมาเปรียบเทียบกับรายการเว็บไซต์เดิมอีกครั้ง”
สถาบันการเงินมากถึง 75 แห่งตกเป็นเป้าหมายของมัลแวร์เวอร์ชันล่าสุดนี้ ซึ่งเพิ่มขึ้นจาก 73 แห่งที่ Fortinet FortiGuard Labs บันทึกเมื่อต้นเดือนมกราคมที่ผ่านมา
Akamai ระบุเพิ่มเติมว่า “หากไม่มี UIA การวิเคราะห์องค์ประกอบย่อยของแอปพลิเคชันอื่นทำได้ยากมาก”
“เพื่อให้สามารถอ่านเนื้อหาขององค์ประกอบย่อยภายในแอปพลิเคชันอื่นได้อย่างมีประสิทธิภาพ นักพัฒนาจำเป็นต้องมีความเข้าใจอย่างดีว่าแอปพลิเคชันเป้าหมายนั้นมีโครงสร้างอย่างไร”
“Coyote สามารถทำการตรวจสอบได้โดยไม่ขึ้นกับว่ามัลแวร์อยู่ในโหมดออนไลน์ หรือออฟไลน์ ซึ่งเพิ่มโอกาสในการระบุธนาคาร หรือเว็บไซต์แลกเปลี่ยนคริปโตของเหยื่อได้สำเร็จ และขโมยข้อมูลบัญชีผู้ใช้”
ที่มา : thehackernews
มัลแวร์ตระกูลใหม่ที่มีชื่อว่า LameHug กำลังใช้ large language model (LLM) เพื่อสร้างชุดคำสั่งสำหรับเรียกใช้บนระบบ Windows ที่ถูกโจมตีได้สำเร็จ
(more…)
Microsoft ออกแพตซ์อัปเดตฉุกเฉินเพื่อแก้ไข bug ที่ทำให้ Virtual machine (VM) ของ Azure ไม่สามารถเปิดใช้งานได้ เมื่อ Trusted Launch setting ถูกปิดใช้งาน และฟีเจอร์ Virtualization-Based Security (VBS) ถูกเปิดใช้งาน
Bug ดังกล่าวส่งผลกระทบต่อ Windows Server 2025 และ Windows 11 เวอร์ชัน 24H2 โดยเกิดขึ้นหลังจากการอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนกรกฎาคม
Microsoft ระบุว่า "การอัปเดตนี้จะแก้ไขปัญหาที่ทำให้ Virtual machines (VMs) ในบางเครื่องที่ไม่สามารถเริ่มทำงานได้ เมื่อมีการเปิดใช้งาน Virtualization-Based Security (VBS)"
"ปัญหาดังกล่าวส่งผลกระทบต่อ VM ที่ใช้เวอร์ชัน 8.0 (a non-default version) เมื่อ Host มีการเปิดให้ใช้งาน VBS บน Azure โดยปัญหานี้จะเกิดขึ้นกับ VM ประเภท General Enterprise (GE) แบบ standard (non–Trusted Launch) ที่ทำงานอยู่บน VM SKU รุ่นเก่า"
“สาเหตุของปัญหาเกิดจากข้อผิดพลาดในการ initialization ของ secure kernel”
Trusted Launch คือฟีเจอร์ของ Azure ที่ใช้ Secure Boot และ virtual Trusted Platform Module (vTPM) เพื่อป้องกัน Virtual machines จากภัยคุกคามประเภท bootkit และภัยคุกคามในลักษณะ low-level อื่น ๆ
เมื่อวันอาทิตย์ที่ผ่านมา Microsoft ได้ปล่อยอัปเดต KB5064489 ซึ่งเป็นการอัปเดตนอกรอบ สำหรับ Windows 11 24H2 และ Windows Server 2025 เพื่อแก้ไขปัญหาการเริ่มต้น kernel ที่ทำให้ VM ไม่สามารถเปิดใช้งานได้
Microsoft ระบุว่า ผู้ดูแลระบบสามารถตรวจสอบได้ว่า bug นี้จะส่งผลกระทบต่อ VM ของตนหรือไม่ โดยทำตามขั้นตอนดังต่อไปนี้ :
ตรวจสอบว่า VM ของคุณถูกสร้างเป็นประเภท "Standard" หรือไม่
ตรวจสอบว่า VBS ถูกเปิดใช้งานอยู่หรือไม่ โดยเปิด System Information (msinfo32.exe) แล้วตรวจสอบ Virtualization-based Security ว่าอยู่ในสถานะ Running อยู่หรือไม่ และต้องแน่ใจว่าไม่ได้มีการติดตั้ง Hyper-V role ไว้ใน VM
หากระบบของคุณได้รับผลกระทบ Microsoft แนะนำให้ติดตั้งการอัปเดตนี้ แทนที่อัปเดต Patch Tuesday รหัส KB5062553 ที่ถูกปล่อยเมื่อวันที่ 8 กรกฎาคมที่ผ่านมา นอกจากนี้ยังแนะนำอีกว่าสามารถหลีกเลี่ยงปัญหานี้ได้โดยการใช้ฟีเจอร์ Trusted Launch security
Microsoft ยังได้อัปเดต VM images สำหรับ Windows Server 2025 เพื่อรวมการอัปเดตล่าสุดที่มีการแก้ไข bug นี้ไว้เรียบร้อยแล้ว
ที่มา : bleepingcomputer.
การโจมตีด้วยวิธี FileFix รูปแบบใหม่ ช่วยให้ Hacker สามารถรันสคริปต์ที่เป็นอันตรายได้ในขณะที่ Bypass การป้องกัน Mark of the Web (MoTW) ใน Windows ด้วยการโจมตีจากวิธีที่เบราว์เซอร์จัดการ HTML webpage ที่ถูก saved ไว้ (more…)
Microsoft ยืนยันว่าเกิดปัญหาใหม่ที่ส่งผลให้การอัปเดตความปลอดภัยของ Windows ประจำเดือนมิถุนายน 2025 ล่าช้า โดยมีสาเหตุมาจาก Timestamp ใน metadata ไม่ถูกต้อง
จากคำแนะนำล่าสุดของ Microsoft ปัญหานี้ส่งผลกระทบต่อระบบ Windows 10 และ Windows 11 โดยเฉพาะในสภาพแวดล้อมที่มีการใช้ policies เลื่อนการติดตั้งอัปเดต ซึ่งช่วยให้ผู้ดูแลระบบสามารถกำหนดเวลาการติดตั้งอัปเดตบนอุปกรณ์ที่มีการจัดการได้ (more…)
มีการตรวจพบแคมเปญการโจมตีทางไซเบอร์ที่มีความซับซ้อน ซึ่งมุ่งเป้าไปยังเว็บเซิร์ฟเวอร์ของเกาหลีใต้ โดยผู้ไม่หวังดีได้ใช้มัลแวร์ MeshAgent และ SuperShell เพื่อโจมตีระบบปฏิบัติการ Windows และ Linux
การโจมตีแบบข้ามแพลตฟอร์มครั้งนี้ แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของการโจมตี โดยผู้ไม่หวังดีจะอาศัยช่องโหว่ในการอัปโหลดไฟล์เพื่อยึดครองเซิร์ฟเวอร์ในสภาพแวดล้อมต่าง ๆ อย่างถาวร (more…)