ธนาคาร Western Alliance ซึ่งตั้งอยู่ในรัฐแอริโซนา กำลังแจ้งลูกค้าจำนวนเกือบ 22,000 รายว่าข้อมูลส่วนบุคคลของพวกเขาถูกขโมยไปในเดือนตุลาคม 2024 หลังจากซอฟต์แวร์ secure file transfer ที่เป็นของ third-party ของธนาคารถูกเจาะระบบ (more…)

กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลอย่างน้อย 11 กลุ่มจาก เกาหลีเหนือ, อิหร่าน, รัสเซีย และจีน ได้ใช้ช่องโหว่ zero-day ใหม่ของ Windows ในการขโมยข้อมูลมาตั้งแต่ปี 2017

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย Peter Girnus และ Aliakbar Zahravi จาก Zero Day Initiative (ZDI) ของบริษัท Trend Micro รายงานเมื่อวันที่ 18 มีนาคม 2025 ว่า ทาง Microsoft ได้พิจารณาแล้วว่าช่องโหว่นี้ "ไม่เข้าข่ายที่ต้องได้รับการแก้ไข" ในช่วงปลายเดือนกันยายน และตัดสินใจไม่ออกอัปเดตความปลอดภัยเพื่อแก้ไขปัญหานี้

นักวิจัยระบุว่า "ได้พบตัวอย่างไฟล์ Shell Link (.lnk) กว่า 1,000 ไฟล์ ที่ใช้ช่องโหว่ ZDI-CAN-25373 แต่มีความเป็นไปได้สูงว่าจำนวนการโจมตีที่เกิดขึ้นจริงอาจมากกว่านี้" หลังจากนั้นนักวิจัยได้ส่ง Proof-of-Concept exploit ผ่านโปรแกรม Bug Bounty ของ Trend ZDI ไปยัง Microsoft แต่ทาง Microsoft ปฏิเสธที่จะออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่นี้

แม้ว่า Microsoft จะยังไม่ได้กำหนด CVE-ID ให้กับช่องโหว่นี้ แต่ Trend Micro กำลังติดตามช่องโหว่นี้ภายในองค์กรภายใต้หมายเลข ZDI-CAN-25373 โดยระบุว่า ช่องโหว่นี้ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายบนระบบ Windows ที่ได้รับผลกระทบได้

จากการตรวจสอบของนักวิจัย พบว่าช่องโหว่ ZDI-CAN-25373 ถูกใช้ในการโจมตีอย่างแพร่หลายโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มอาชญากรรมไซเบอร์ เช่น Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni และกลุ่มอื่น ๆ

แม้ว่าแคมเปญดังกล่าวจะมีเป้าหมายไปทั่วโลก แต่ส่วนใหญ่เน้นไปที่ อเมริกาเหนือ, อเมริกาใต้, ยุโรป, เอเชียตะวันออก และออสเตรเลีย และจากการวิเคราะห์การโจมตีทั้งหมดพบว่าเกือบ 70% เชื่อมโยงกับการจารกรรม และขโมยข้อมูล ขณะที่เพียง 20% มีเป้าหมายเพื่อผลประโยชน์ทางการเงิน

Trend Micro ระบุเพิ่มเติมว่า แคมเปญโจมตีเหล่านี้มีการใช้มัลแวร์ และเป็นมัลแวร์ในรูปแบบ loaders หลากหลายประเภท เช่น Ursnif, Gh0st RAT และ Trickbot

ช่องโหว่ Zero-day ของ Windows (ZDI-CAN-25373)

ช่องโหว่ใหม่ที่ถูกพบใน Windows (ภายใต้หมายเลข ZDI-CAN-25373) เกิดจากช่องโหว่ User Interface (UI) Misrepresentation of Critical Information (CWE-451) ซึ่งทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้ของ Windows ในการแสดงผลไฟล์ shortcut (.lnk) เพื่อหลบเลี่ยงการตรวจจับ และรันโค้ดบนอุปกรณ์ที่มีช่องโหว่โดยที่ผู้ใช้ไม่รู้ตัว

กลุ่มผู้โจมตีใช้ช่องโหว่ ZDI-CAN-25373 โดยซ่อน arguments คำสั่งที่เป็นอันตรายไว้ในไฟล์ shortcut (.LNK) ซึ่งใช้ช่องว่างพิเศษเพื่อซ่อนคำสั่งในโครงสร้าง COMMAND_LINE_ARGUMENTS

นักวิจัยระบุว่าช่องว่างพิเศษที่ใช้ในไฟล์ .lnk สามารถอยู่ในรูปแบบของ hex codes สำหรับ Space (\x20), Horizontal Tab (\x09), Linefeed (\x0A), Vertical Tab (\x0B), Form Feed (\x0C), และ Carriage Return (\x0D) ซึ่งสามารถใช้เป็นการเติมช่องว่างได้

หากผู้ใช้ Windows ตรวจสอบไฟล์ .lnk ดังกล่าว arguments คำสั่งที่เป็นอันตรายจะไม่แสดงในอินเทอร์เฟซของ Windows เนื่องจากช่องว่างที่เพิ่มเข้าไป ดังนั้น arguments คำสั่งที่เพิ่มโดยผู้โจมตีจะยังคงซ่อนอยู่จากการมองเห็นของผู้ใช้

Trend Micro ได้ออกคำเตือนในวันที่ 18 มีนาคม 2025 โดยระบุว่า จำเป็นต้องมีการโต้ตอบของผู้ใช้ในการโจมตีโดยใช้ช่องโหว่นี้ โดยเป้าหมายจะต้องเข้าไปเยี่ยมชมหน้าเว็บที่เป็นอันตราย หรือเปิดไฟล์ที่เป็นอันตราย

ข้อมูลที่สร้างขึ้นในไฟล์ .LNK อาจทำให้เนื้อหาอันตรายในไฟล์ไม่สามารถมองเห็นได้จากผู้ใช้ที่ตรวจสอบไฟล์ผ่านอินเทอร์เฟซของ Windows และผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันโค้ดด้วยสิทธิ์ของของผู้ใช้งานปัจจุบันได้

ช่องโหว่นี้มีความคล้ายกับอีกช่องโหว่ที่มีหมายเลข CVE-2024-43461 ซึ่งทำให้ผู้โจมตีสามารถใช้ 26 encoded braille whitespace characters (%E2%A0%80) เพื่อซ่อนไฟล์ HTA ที่สามารถดาวน์โหลดมัลแวร์ที่เป็นอันตรายในรูปแบบ PDF ได้ โดยช่องโหว่ CVE-2024-43461 ถูกพบโดย Peter Girnus นักวิจัยด้านภัยคุกคามอาวุโสจาก Trend Micro's Zero Day และได้รับการแก้ไขโดย Microsoft ในการอัปเดต Patch Tuesday ประจำเดือนกันยายน 2024

กลุ่มผู้โจมตี Void Banshee APT ได้ใช้ประโยชน์จาก CVE-2024-43461 ในการโจมตีแบบ Zero-day เพื่อติดตั้งมัลแวร์ขโมยข้อมูล ในแคมเปญโจมตีองค์กรต่าง ๆ ในอเมริกาเหนือ, ยุโรป และเอเชียตะวันออกเฉียงใต้

เมื่อวันที่ 18 มีนาคม 2025 ที่ผ่านมา โฆษกของ Microsoft ระบุว่า บริษัทกำลังพิจารณาที่จะแก้ไขช่องโหว่นี้ในอนาคต

Microsoft ระบุว่า ขอขอบคุณ ZDI ที่ได้ส่งรายงานนี้ภายใต้ coordinated vulnerability disclosure และ Microsoft Defender มีการตรวจจับเพื่อค้นหา และบล็อกพฤติกรรมภัยคุกคามนี้อยู่แล้ว และ Smart App Control จะช่วยเพิ่มการป้องกันโดยการบล็อกไฟล์อันตรายจากอินเทอร์เน็ต ในฐานะที่เป็นแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย ขอแนะนำให้ลูกค้าใช้ความระมัดระวังเมื่อดาวน์โหลดไฟล์จากแหล่งที่ไม่รู้จักตามคำเตือนด้านความปลอดภัย ซึ่งได้รับการออกแบบมาเพื่อระบุ และเตือนผู้ใช้เกี่ยวกับไฟล์ที่อาจเป็นอันตราย แม้ว่าประสบการณ์ของ UI ที่อธิบายไว้ในรายงานนี้ จะไม่เข้าข่ายที่ต้องได้รับการแก้ไขในทันทีตามแนวทางการจัดประเภทความรุนแรงของบริษัท แต่ Microsoft จะพิจารณาในการแก้ไขช่องโหว่นี้ในการอัปเดตฟีเจอร์ในอนาคต

ที่มา : bleepingcomputer

 

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเมื่อวันอังคารที่ผ่านมา (11 มีนาคม 2025) เพื่อแก้ไขช่องโหว่ Zero-day ที่บริษัทระบุว่ากำลังถูกใช้ในการโจมตี (more…)

นักวิจัยจาก Rapid7 ค้นพบช่องโหว่ SQL injection ที่มีระดับความรุนแรงสูง (CVE-2025-1094) ในเครื่องมือ psql ของ PostgreSQL โดยพบช่องโหว่นี้ระหว่างการตรวจสอบการโจมตีด้วยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของช่องโหว่ CVE-2024-12356 (more…)

Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ซึ่งบริษัทระบุว่ากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย และมีความซับซ้อนสูง (more…)

"XE Group ซึ่งเป็นกลุ่มอาชญากรไซเบอร์ที่ทำงานมานานเกินสิบปี ใช้ช่องโหว่ Zero-Day (CVE-2025-25181, CVE-2024-57968) อย่างลับ ๆ ใน VeraCore ซอฟต์แวร์ยอดนิยมสำหรับการจัดการคลังสินค้า และการจัดส่งคำสั่งซื้อ" (more…)

พบช่องโหว่ใน 7-Zip ที่สามารถทำให้ผู้ไม่หวังดี bypass การป้องกันแบบ Mark of the Web (MotW) ของ Windows โดยผู้ไม่หวังดีจากรัสเซียใช้ในการโจมตีแบบ zero-day มาตั้งแต่เดือนกันยายน 2024

นักวิจัยจาก Trend Micro ระบุว่า ช่องโหว่นี้ถูกใช้ในแคมเปญมัลแวร์ SmokeLoader ที่มุ่งเป้าไปยังหน่วยงานของรัฐบาลยูเครน และองค์กรเอกชนในประเทศ

Mark of the Web เป็นฟีเจอร์ความปลอดภัยของ Windows ที่ออกแบบมาเพื่อแจ้งเตือนผู้ใช้งานว่าไฟล์ที่กำลังเรียกใช้งานมาจากแหล่งที่ไม่น่าเชื่อถือ โดยจะแสดงกล่องข้อความให้ยืนยันเพิ่มเติม การ Bypass การป้องกัน MoTW ทำให้ไฟล์อันตรายสามารถทำงานบนเครื่องของเหยื่อได้โดยไม่มีการแจ้งเตือน

เมื่อดาวน์โหลดเอกสาร หรือไฟล์ executables จากเว็บ หรือได้รับเป็นไฟล์แนบทางอีเมล Windows จะเพิ่ม 'Zone.

การอัปเดตความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ 2025 ได้แก้ไขช่องโหว่ 48 รายการ รวมถึงช่องโหว่ Zero-day ใน Kernel ที่กำลังถูกใช้ในการโจมตี

(more…)

Apple ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-Day รายการแรกของปี 2025 ซึ่งถูกระบุว่ากำลังถูกใช้ในการโจมตีอย่างต่อเนื่องโดยกำหนดเป้าหมายไปที่ผู้ใช้ iPhone (more…)

นักวิจัยในงาน Pwn2Own Automotive ปีนี้ สามารถแฮ็กเครื่องชาร์จรถยนต์ไฟฟ้า (EV) รุ่น Wall Connector ของ Tesla ได้สำเร็จ (more…)