Microsoft กำลังวางแผนที่จะทำการยุติการใช้ VBScript ใน Windows รุ่นต่อไป หลังจากใช้งานมา 30 ปี โดยจะทำให้เป็น Features on Demand (FODs) จนกว่าจะถูกลบออก

VBScript (Visual Basic Script หรือ Microsoft Visual Basic Scripting Edition) เป็นภาษาการเขียนโปรแกรมที่คล้ายคลึงกับ Visual Basic หรือ Visual Basic for Applications (VBA) ซึ่งเปิดตัวมานานเกือบ 30 ปี โดยเปิดตัวในเดือนสิงหาคม 1996 และมาพร้อมกับ Internet Explorer (ซึ่งทาง Microsoft ได้ปิดการใช้งานไปแล้ว บน Windows 10 บางแพลตฟอร์มในเดือนกุมภาพันธ์ 2023) เพื่อรวมสคริปต์ที่ใช้งานอยู่เข้ากับ Windows environment และสื่อสารกับ host application ผ่าน Windows Script

(more…)

เมื่อ 1 กันยายน 2023 ที่ผ่านมา Microsoft ประกาศว่าจะยกเลิก WordPad ด้วยการอัปเดต Windows ในอนาคต เนื่องจากไม่อยู่ในแผนการพัฒนาอีกต่อไป อย่างไรก็ตามบริษัทก็ยังไม่ได้ระบุระยะเวลาที่แน่นอนในการยกเลิก

WordPad เป็นแอปพลิเคชันแก้ไขข้อความพื้นฐานที่ให้ผู้ใช้งานสามารถสร้าง และแก้ไขเอกสารด้วยการจัดรูปแบบข้อความ รูปภาพ และลิงก์ไปยังไฟล์อื่น ๆ ได้ ซึ่งถูกติดตั้งโดยอัตโนมัติบน Windows ตั้งแต่ปี 1995 นับตั้งแต่มีการเปิดตัว Windows95 ทำให้ผู้ใช้งานมีโปรแกรมประมวลผลคำพื้นฐาน และโปรแกรมแก้ไขเอกสารที่ถูกรวมอยู่ในระบบปฏิบัติการ

โดย Microsoft เปิดเผยว่า WordPad จะไม่ได้รับการอัปเดตอีกต่อไป และจะถูกลบออกใน Windows รุ่นต่อ ๆ ไป และจะแนะนำให้ผู้ใช้งานใช้ Microsoft Word แทน สำหรับเอกสารข้อความแบบ Rich Text อย่างไฟล์ .doc และ .rtf และใช้ Notepad สำหรับเอกสารข้อความธรรมดาอย่างไฟล์ .txt สำหรับผู้ที่ไม่ต้องการเปิดไฟล์แบบ Rich Text

อย่างไรก็ตาม เรื่องดังกล่าวไม่ได้น่าแปลกใจ เนื่องจากโปรแกรมนี้ได้กลายเป็นฟีเจอร์เสริมของ Windows นับตั้งแต่ Windows 10 Insider Build 19551 ที่เปิดตัวในเดือนกุมภาพันธ์ 2020 และถึงแม้ว่าจะถูกติดตั้งตามค่าเริ่มต้นบน Windows แต่ก็สามารถถอนการติดตั้งออกได้โดยในเมนู Optional features ใน control panel

แม้จะไม่ได้มีการอธิบายจาก Microsoft ถึงสาเหตุของการเลิกใช้งาน WordPad แต่นักวิจัยเคยพบว่ามัลแวร์ Qbot เริ่มแพร่กระจายในคอมพิวเตอร์ และหลบเลี่ยงการตรวจจับด้วยวิธีการ DLL hijacking ใน WordPad บน Windows 10

โปรแกรม Paint จะถูกย้ายไปที่ Microsoft Store และ Cortana ก็กำลังจะถูกปิดตัวลง

เมื่อ 5 ปีที่แล้ว Microsoft ได้ประกาศว่าจะยกเลิกโปรแกรม Paint และจะถูกลบออกพร้อมกับการเปิดตัว Windows 10 Fall Creator's Update ในเดือนกรกฎาคม 2560 แต่หลังจากที่โปรแกรม Paint ได้รับการตอบรับอย่างล้นหลาม Microsoft ตัดสินใจไม่ยกเลิก และเปิดให้ใช้งานผ่าน Microsoft Store แทน

WordPad ก็เช่นกัน หากมีคนร้องขอเข้ามามากพอ Microsoft อาจจะย้าย WordPad ไปที่ App Store เพื่อเป็นทางเลือกการใช้งานในรูปแบบ Microsoft Office
และซอฟต์แวร์ที่มีความใกล้เคียงกันแต่มีฟีเจอร์น้อยกว่า

นอกจากนี้ บริษัทกำลังจะปิดตัว Cortana อย่างเป็นทางการในการ Windows 11 Canary preview builds ที่เปิดตัวในต้นเดือนสิงหาคม 2023 ซึ่งแอปดังกล่าวอยู่ในฐานะผู้ช่วยดิจิทัลของ Windows ที่เต็มไปด้วย Windows Copilot ที่ขับเคลื่อนด้วย AI ซึ่งเปิดตัวในระหว่างการประชุมใหญ่ Microsoft Build ในปีนี้

ที่มา: bleepingcomputer

ข้อมูลที่ถูกพบล่าสุดแสดงให้เห็นว่าผู้โจมตีสามารถใช้ประโยชน์จากเทคนิคการหลบเลี่ยงการตรวจจับมัลเเวร์ และ bypass endpoint security solutions โดยการปรับเเต่ง Windows Container Isolation Framework

การค้นพบนี้ถูกนำเสนอโดย Daniel Avinoam นักวิจัยด้านความปลอดภัยของ Deep Instinct ในการประชุมด้านความปลอดภัย DEF CON ที่จัดขึ้นเมื่อต้นเดือนที่ผ่านมา

โครงสร้างของ Microsoft container (และที่เกี่ยวข้องกับ Windows Sandbox) ใช้สิ่งที่เรียกว่า dynamically generated image เพื่อแยก file system ของแต่ละ container ไปยังโฮสต์ และในเวลาเดียวกันจะหลีกเลี่ยงการทำซ้ำของ file system

โดยมันเป็นเพียง "operating system image ที่มี clean copies ของไฟล์ที่สามารถเปลี่ยนแปลงได้ แต่เป็นลิงก์ไปยังไฟล์ที่ไม่สามารถเปลี่ยนแปลงได้ซึ่งอยู่ในอิมเมจ Windows ที่มีอยู่แล้วบนโฮสต์" จึงทำให้ขนาดโดยรวมของระบบปฏิบัติการเต็มลดลง

Avinoam ระบุในรายงานที่แชร์กับ The Hacker News ว่า "ผลลัพธ์ที่ได้คือ images ที่มี 'ghost files' ซึ่งไม่ได้เก็บข้อมูลจริง แต่จะชี้ไปยัง volume ที่แตกต่างกันของระบบ" ในจุดนี้จึงทำให้เกิดความคิดว่า จะเป็นอย่างไรถ้าสามารถใช้ redirection mechanism เพื่อซ่อนรายละเอียดกับ file system operation และทำให้เครื่องมือด้านความปลอดภัยไม่สามารถตรวจจับได้

นี่คือจุดที่ไดรเวอร์ minifilter ของ Windows Container Isolation FS (wcifs.

มัลแวร์ SmokeLoader กําลังถูกใช้เพื่อส่งมัลแวร์แบบใหม่เป็นมัลแวร์สแกน Wi-Fi ที่เรียกว่า Whiffy Recon บนเครื่อง Windows ที่ถูกโจมตี

Secureworks Counter Threat Unit (CTU) ระบุในแถลงการณ์ที่แชร์กับ The Hacker News ว่ามัลแวร์ตัวใหม่นี้จะมีการดําเนินการเพียงครั้งเดียวเท่านั้น โดยในทุก ๆ 60 วินาที มันจะวิเคราะห์ตำแหน่งของระบบที่ติดมัลแวร์โดยสแกนจุดเชื่อมต่อ Wi-Fi ในบริเวณใกล้เคียงเป็น data point โดยที่ใช้ geolocation API ของ Google เพื่อระบุตําแหน่งของระบบที่ติดมัลแวร์ จากนั้นตําแหน่งที่ส่งกลับโดย Google Geolocation API จะถูกส่งกลับไปยังผู้โจมตี

SmokeLoader เป็นมัลแวร์ที่มีจุดประสงค์เพียงอย่างเดียวคือการ drop เพย์โหลดเพิ่มเติมไปยังโฮสต์ที่ถูกโจมตี โดยตั้งแต่ปี 2014 เป็นต้นมา มัลแวร์ดังกล่าวได้ถูกเสนอขายให้กับกลุ่มผู้โจมตีในรัสเซีย โดยทั่วไปจะมีการเผยแพร่ผ่านรูปแบบอีเมลฟิชชิ่ง

Whiffy Recon ทํางานโดยการตรวจสอบ service WLAN AutoConfig (WLANSVC) บนระบบที่ติดมัลแวร์ และจะหยุดการทำงานทันทีถ้าไม่พบว่ามี service ดังกล่าวอยู่ ซึ่งเป็นที่น่าสังเกตว่ามัลแวร์จะไม่สนใจว่ายังทํางานต่อได้หรือไม่

โดยวิธีที่ทำให้มัลแวร์ยังคงทำงานอยู่สามารถทำได้โดยการใช้ shortcut เพิ่มลงในโฟลเดอร์ Windows Startup

Don Smith, VP ที่ Secureworks CTU ระบุว่า สิ่งที่เกี่ยวข้องกับการค้นพบ Whiffy Recon ยังเป็นเรื่องที่น่ากังวล เนื่องจากยังไม่ทราบถึงแรงจูงใจในการกระทําของผู้โจมตีที่ชัดเจน

มัลแวร์นี้ถูก config ลงทะเบียนไว้กับ เซิร์ฟเวอร์ Remote Command and Control (C2) โดยการส่งผ่าน "botID" ที่สร้างขึ้นบน port HTTP จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ success และรหัสลับเฉพาะที่ตามมาในภายหลัง ซึ่งบันทึกอยู่ในไฟล์ชื่อ "%APPDATA%\Roaming\wlan\str-12.bin"

ขั้นตอนที่สองของการโจมตี คือ การสแกนจุดเชื่อมต่อ Wi-Fi ผ่าน Windows WLAN API ในทุก ๆ 60 วินาที ผลลัพธ์ของการสแกนจะถูกส่งต่อไปยัง Google Geolocation API เพื่อระบุตำแหน่งของระบบเป็นสามตำแหน่ง และส่งข้อมูลนั้นไปยังเซิร์ฟเวอร์ C2 ในรูปแบบของสตริง JSON ในท้ายที่สุด

โดยพฤติกรรมการโจมตีในรูปแบบนี้ยังไม่ค่อยถูกใช้ในกลุ่มผู้โจมตี เพราะยังขาดความสามารถในการสร้างรายได้ แต่เป็นเรื่องที่น่าเป็นห่วงที่อาจถูกนำมาใช้ในการโจมตีอื่นได้ในอนาคต

 

ที่มา : thehackernews

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

นักวิจัย ได้เผยแพร่ตัวสาธิตการโจมตีช่องโหว่ Proof-of-Concept (PoC) สำหรับช่องโหว่ในการเพิ่มระดับสิทธิ์เฉพาะของ Windows ที่กำลังถูกใช้ในการโจมตีอยู่ ซึ่งช่องโหว่ดังกล่าวเป็นส่วนหนึ่งของ Patch Tuesday เดือนพฤษภาคม 2023

Win32k subsystem (Win32k.sys kernel driver) เป็นระบบจัดการตัวจัดการหน้าต่าง เอาต์พุตหน้าจอ อินพุต และกราฟิกของระบบปฏิบัติการ และทำหน้าที่เป็นอินเทอร์เฟซระหว่างฮาร์ดแวร์อินพุตประเภทต่าง ๆ ทำให้เมื่อสามารถโจมตีช่องโหว่นี้ได้สำเร็จ ก็จะสามารถยกระดับสิทธิ์ หรือสั่งรันคำสั่งได้ตามที่ต้องการ (more…)

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)

Microsoft เผยแพร่คำแนะนำเพื่อช่วยให้ผู้ใช้งานสามารถตรวจจับ หรือค้นหาสัญญาณของการโจมตีจากช่องโหว่ใน Microsoft Outlook

CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ใน Outlook client for Windows ทำให้สามารถขโมย NTLM Hash โดยที่ผู้ (more…)

พบช่องโหว่การแก้ไข 'opt-in' ใน Windows ที่มีอายุกว่า 10 ปี ถูกใช้ในการโจมตี 3CX เมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา โดยช่องโหว่ดังกล่าวสามารถแก้ไขปลอมแปลง ไฟล์อันตรายให้กลายเป็นไฟล์ที่ได้รับการรับรองอย่างถูกต้อง และพบการแก้ไขเพื่อป้องกันช่องโหว่ดังกล่าวจะถูกลบออกเมื่อทำการอัปเดตเป็น Windows 11

โดยเมื่อวันที่ 29 มีนาคม 2023 ที่ผ่านมา เกิดเหตุการณ์การโจมตีในรูปแบบ supply chain attack โดยเริ่มต้นจากการโจมตีไปที่ 3CX บริษัทด้าน VoIP IPBX software หลังจากนั้นก็ทำการส่ง 3CX desktop client ที่ถูกฝังมัลแวร์ไปยังลูกค้าที่ใช้บริการ (more…)

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus ซึ่งส่งผลให้เกิดความผิดพลากในการแจ้งเตือนที่ระบุว่า Local Security Authority (LSA) Protection ปิดอยู่ ถึงแม้จะเปิดอยู่ก็ตาม

LSA Protection หรือ Local Security Authority (LSA) Protection เป็นคุณลักษณะด้านความปลอดภัยที่ปกป้องข้อมูลที่มีความสำคัญของ Windows จาก Process Local Security Authority Subsystem Service (LSASS) เช่น การป้องกันข้อมูลประจำตัวถูกขโมยออกไปด้วยการบล็อก LSA code injection และการทำ process memory dumping (more…)