Microsoft ออกแพตซ์อัปเดตประจำเดือนพฤษภาคม 2025 แก้ไขช่องโหว่ 72 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 5 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนพฤษภาคม 2025 โดยแก้ไขช่องโหว่ 72 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Days 5 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน และช่องโหว่ Zero-Days ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ 2 รายการ

โดย Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 6 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution 5 รายการ และช่องโหว่ Information Disclosure 1 รายการ

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 17 รายการ
ช่องโหว่การ Bypass คุณสมบัติด้านความปลอดภัย (Security Feature Bypass) 2 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 28 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 15 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 7 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 2 รายการ

ทั้งนี้ไม่รวมช่องโหว่ Azure, Dataverse, Mariner และ Microsoft Edge ที่ได้รับการแก้ไขในเดือนพฤษภาคม 2025

5 ช่องโหว่ Zero-Days ที่พบว่ากำลังถูกใช้ในการโจมตี

Patch Tuesday ประจำเดือนพฤษภาคม 2025 มีการแก้ไขช่องโหว่ Zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี 5 รายการ

Microsoft จัดประเภทช่องโหว่ Zero-Days ว่าเป็นช่องโหว่ที่ถูกเปิดเผยรายละเอียดออกสู่สาธารณะ หรือเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีในขณะที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

CVE-2025-30400 - Microsoft DWM Core Library Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows DWM โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32701 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32706 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ input validation ใน Windows Common Log File System Driver โดย Microsoft ระบุว่า Benoit Sevens จาก Google Threat Intelligence Group และ CrowdStrike Advanced Research Team เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32709 - Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่การยกระดับสิทธิ์ที่ทำให้ Hacker ได้รับสิทธิ์ SYSTEM ที่เกิดจากช่องโหว่ Use after free ใน Windows Ancillary Function Driver สำหรับ WinSock โดย Microsoft ระบุว่าช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัย "Anonymous (ไม่เปิดเผยชื่อ)"

CVE-2025-30397 - Scripting Engine Memory Corruption Vulnerability

Microsoft ได้แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ที่ Hacker สามารถโจมตีผ่าน Microsoft Edge หรือ Internet Explorer ที่เกิดจากช่องโหว่การเข้าถึงทรัพยากรโดยใช้ประเภทที่ไม่เข้ากัน ('type confusion') ใน Microsoft Scripting Engine

โดย Hacker จะต้องหลอกล่อให้ผู้ใช้งานที่ผ่านการยืนยันตัวตน คลิกลิงก์ที่สร้างขึ้นมาเป็นพิเศษใน Edge หรือ Internet Explorer เพื่อให้ Hacker ที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดย Microsoft ระบุว่า Microsoft Threat Intelligence Center เป็นผู้ค้นพบช่องโหว่นี้

ทั้งนี้ Microsoft ยังไม่ได้เปิดเผยรายละเอียดใด ๆ เกี่ยวกับวิธีการที่ช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตี

ช่องโหว่ Zero-Days ที่ถูกเปิดเผยออกสู่สาธารณะ

CVE-2025-26685 - Microsoft Defender for Identity Spoofing Vulnerability

Microsoft แก้ไขช่องโหว่ใน Microsoft Defender ซึ่งทำให้สามารถโจมตีได้โดยไม่ต้องผ่านการยืนยันตัวตน เพื่อปลอมแปลงบัญชีอื่นได้ ซึ่งเกิดจากการตรวจสอบสิทธิ์ที่ไม่เหมาะสมใน Microsoft Defender for Identity

ช่องโหว่ดังกล่าวทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถเข้าถึงได้ผ่านการเข้าถึง LAN โดย Microsoft ระบุว่า Joshua Murrell จาก NetSPI เป็นผู้ค้นพบช่องโหว่นี้

CVE-2025-32702 - Visual Studio Remote Code Execution Vulnerability

Microsoft แก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งทำให้ Hacker ที่ไม่ต้องผ่านการยืนยันตัวตน สามารถโจมตีผ่าน Visual Studio ได้ โดยเกิดจากการจัดการ special elements อย่างไม่เหมาะสมใน command ('command injection')

Microsoft ยังไม่ได้เปิดเผยว่าใครเป็นผู้ค้นพบช่องโหว่นี้

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤษภาคม 2025 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Apple ออกแพตซ์อัปเดตความปลอดภัยสำหรับ iOS, iPadOS และ macOS
Cisco ออกแพตซ์อัปเดตช่องโหว่ระดับ Critical ในซอฟต์แวร์ IOS XE สำหรับ Wireless LAN Controllers
Fortinet ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์จำนวนมาก รวมถึงการโจมตีช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตี FortiVoice
Google ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคม 2025 สำหรับ Android โดยแก้ไขช่องโหว่ zero-click FreeType 2 code execution ที่กำลังถูกใช้ในการโจมตี
Intel เปิดเผย CPU microcodes สำหรับช่องโหว่ชื่อ "Branch Privilege Injection" ซึ่งรั่วไหลข้อมูลจาก privileged memory
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึงช่องโหว่ RCE ระดับ Critical
SonicWall ออกแพตซ์อัปเดตแก้ไขช่องโหว่ Zero-Day ที่กำลังถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer

Broadcom แก้ไขช่องโหว่ Zero-days 3 รายการใน VMware ซึ่งกำลังถูกใช้ในการโจมตี

Broadcom แจ้งเตือนลูกค้าในวันนี้ (4 มีนาคม 2025) เกี่ยวกับช่องโหว่ Zero-days 3 รายการของ VMware ซึ่งถูกระบุว่ากำลังถูกนำมาใช้ในการโจมตี และได้รับการรายงานจาก Microsoft Threat Intelligence Center

ช่องโหว่ CVE-2025-22224, CVE-2025-22225 และ CVE-2025-22226 ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ VMware ESX รวมถึง VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation, และ Telco Cloud Platform

ผู้โจมตีที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลระบบ หรือ root สามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อหลีกเลี่ยงการควบคุมของ sandbox ของ Virtual Machine ได้

บริษัทได้อธิบายในวันนี้ว่า "เหตุการร์นี้เป็นสถานการณ์ที่ผู้โจมตีที่บุกรุก guest OS ของ Virtual Machine และได้รับสิทธิ์การเข้าถึงระดับสูง (ผู้ดูแลระบบ หรือ root) อาจทำให้สามารถเข้าควบคุม hypervisor ได้ โดยมีข้อมูลที่เชื่อได้ว่ากำลังมีการโจมตีโดยใช้ช่องโหว่นี้อยู่จริง ๆ"

Broadcom ระบุว่า CVE-2025-22224 เป็นช่องโหว่ VCMI heap overflow ที่มีความรุนแรงระดับ Critical ซึ่งสามารถทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบใน VM ที่ถูกโจมตี สามารถรันโค้ดใน VMX process ที่ทำงานบนโฮสต์ได้

CVE-2025-22225 เป็นช่องโหว่การเขียนข้อมูลโดยพลการใน ESXi ที่สามารถทำให้ VMX process สามารถเรียกการเขียนคอร์เนลโดยพลการ ซึ่งนำไปสู่การ escape จาก sandbox ได้ ในขณะที่ CVE-2025-22226 ถูกอธิบายว่าเป็นช่องโหว่ในการเปิดเผยข้อมูลของ HGFS ที่ทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถทำให้ข้อมูลรั่วไหลจาก VMX process ได้

ช่องโหว่ของ VMware มักถูกโจมตีโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับแรนซัมแวร์ และกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล เนื่องจาก VMware ถูกใช้กันอย่างแพร่หลายในปฏิบัติการรเพื่อเก็บ หรือถ่ายโอนข้อมูลที่สำคัญขององค์กร

ล่าสุด Broadcom ได้ออกคำเตือนในเดือนพฤศจิกายน 2024 ว่า ผู้โจมตีได้มีการใช้ประโยชน์จากช่องโหว่ใน VMware vCenter Server สองรายการที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2024 หนึ่งในนั้นสามารถทำให้มีการยกระดับสิทธิ์เป็น root (CVE-2024-38813) ขณะที่อีกช่องโหว่เป็นช่องโหว่ระดับ Critical ในการรันโค้ดที่เป็นอันตรายจากระยะไกล (CVE-2024-38812) ซึ่งถูกพบในระหว่างการแข่งขัน Matrix Cup hacking 2024 ของจีนในปี 2024

ในเดือนมกราคม 2024 Broadcom ยังได้เปิดเผยว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนได้ใช้ช่องโหว่ระดับ Critical ใน vCenter Server (CVE-2023-34048) เป็นช่องโหว่แบบ zero-day มาตั้งแต่ปลายปี 2021 เป็นอย่างน้อย เพื่อติดตั้ง VirtualPita และ VirtualPie backdoors บนโฮสต์ ESXi ที่มีช่องโหว่

ที่มา : bleepingcomputer

Microsoft ออกแพตซ์อัปเดตประจำเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ 55 รายการ โดยเป็นช่องโหว่ Zero-days 4 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 โดยแก้ไขช่องโหว่ 55 รายการ ซึ่งรวมถึงช่องโหว่ Zero-days 4 รายการ โดยมีช่องโหว่ Zero-days 2 รายการ ที่พบหลักฐานว่ากำลังถูกนำมาใช้ในการโจมตี
Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 มีการแก้ไขช่องโหว่ระดับ Critical จำนวน 3 รายการ ซึ่งเป็นช่องโหว่ Remote Code Execution ทั้งหมด (more…)

CISA สั่งหน่วยงานแก้ไขช่องโหว่ของ BeyondTrust ที่กำลังถูกใช้ในการโจมตี

CISA ระบุว่าช่องโหว่ command injection (CVE-2024-12686) ใน Privileged Remote Access (PRA) และ Remote Support (RS) ของ BeyondTrust กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่องอยู่ในปัจจุบัน

ตามข้อกำหนด Binding Operational Directive (BOD) 22-01 หลังจากที่ช่องโหว่ได้ถูกเพิ่มเข้าไปใน Known Exploited Vulnerabilities catalog ของ CISA หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องทำการแก้ไข รวมถึงรักษาความปลอดภัยเครือข่ายของตนจากการโจมตีที่มุ่งเป้าไปที่ช่องโหว่ดังกล่าวภายในสามสัปดาห์ หรือภายในวันที่ 3 กุมภาพันธ์ 2025

รวมถึง CISA ยังได้เพิ่มรายการช่องโหว่ command injection (CVE-2024-12356) อีกรายการที่มีความรุนแรงระดับ Critical ในผลิตภัณฑ์เดียวกันของ BeyondTrust ด้วย

BeyondTrust พบช่องโหว่ทั้ง 2 รายการ ในขณะที่กำลังสืบสวนเหตุการณ์โจมตี Remote Support SaaS instances บางส่วนในช่วงต้นเดือนธันวาคม โดย Hacker ได้ขโมย API key ออกไป ซึ่งต่อมาถูกนำไปใช้เพื่อรีเซ็ตรหัสผ่านสำหรับบัญชี local application

แม้ว่าการเปิดเผยข้อมูลของ BeyondTrust ในเดือนธันวาคม 2024 จะไม่ได้กล่าวถึงเรื่องนี้โดยตรง แต่คาดว่า Hacker น่าจะใช้ช่องโหว่ทั้ง 2 รายการเป็น Zero Days ในการโจมตีเข้าสู่ระบบของ BeyondTrust เพื่อเข้าถึงเครือข่ายของลูกค้า

ในช่วงต้นเดือนมกราคม 2025 กระทรวงการคลังเปิดเผยว่าเครือข่ายของกระทรวงถูกโจมตี โดยใช้รหัส API SaaS ของ Remote Support ที่ขโมยมาเพื่อเจาะระบบ BeyondTrust ที่หน่วยงานใช้งานอยู่

ตั้งแต่นั้นมา การโจมตีช่องโหว่ดังกล่าวก็ถูกเชื่อมโยงกับกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลจีนในชื่อ Silk Typhoon ซึ่งเป็นที่รู้จักในด้านการโจมตีเพื่อขโมยข้อมูล และกลายเป็นที่รู้จักอย่างกว้างขวางหลังจากโจมตีเซิร์ฟเวอร์ไปแล้วประมาณ 68,500 ระบบในช่วงต้นปี 2021 โดยใช้ช่องโหว่ Zero-Days ของ Microsoft Exchange Server ProxyLogon

โดยกลุ่ม Hacker ได้มุ่งเป้าไปที่สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) โดยเฉพาะ ซึ่งเป็นหน่วยงานที่ดูแลโครงการคว่ำบาตรทางการค้า และเศรษฐกิจ และคณะกรรมการการลงทุนจากต่างประเทศในสหรัฐอเมริกา (CFIUS) ซึ่งตรวจสอบการลงทุนจากต่างประเทศเพื่อตรวจสอบความเสี่ยงต่อความมั่นคงของชาติ รวมถึงยังได้โจมตีระบบของสำนักงานวิจัยการเงินของกระทรวงการคลัง แต่ผลกระทบของเหตุการณ์นี้ยังอยู่ระหว่างการประเมิน เชื่อกันว่า Silk Typhoon ได้ใช้ BeyondTrust digital key ที่ขโมยมาเพื่อเข้าถึงข้อมูลที่ไม่เป็นความลับที่เกี่ยวข้องกับการดำเนินการคว่ำบาตรที่อาจเกิดขึ้นและเอกสารอื่น ๆ

BeyondTrust ระบุว่า ได้ติดตั้งแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12686 และ CVE-2024-12356 บน cloud instances ทั้งหมดเรียบร้อยแล้ว อย่างไรก็ตามผู้ที่ใช้งานอินสแตนซ์ที่โฮสต์ด้วยตนเองจะต้องติดตั้งแพตช์อัปเดตด้วยตนเอง

อย่างไรก็ตาม คำแนะนำด้านความปลอดภัยที่ออกเมื่อธันวาคม 2024 ของ BeyondTrust ยังไม่ได้ระบุว่าช่องโหว่ด้านความปลอดภัยทั้ง 2 รายการนี้ได้ถูกนำไปใช้ในการโจมตี

ที่มา : bleepingcomputer.

Palo Alto Networks ออกแพตซ์อัปเดตช่องโหว่ Zero-Days 2 รายการที่กำลังถูกใช้ในการโจมตี

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Microsoft ออกแพตซ์อัปเดตประจำเดือนพฤศจิกายน 2024 แก้ช่องโหว่ 91 รายการ และช่องโหว่ zero-day 4 รายการ

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน 2024 โดยแก้ไขช่องโหว่ 91 รายการ รวมถึงช่องโหว่ zero-days 4 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

แฮ็กเกอร์เกาหลีเหนือใช้ช่องโหว่ zero-day ใน Chrome เพื่อติดตั้ง rootkit

แฮ็กเกอร์เกาหลีเหนือได้ใช้ช่องโหว่ Google Chrome (CVE-2024-7971) ในการติดตั้ง FudModule rootkit เพื่อให้ได้สิทธิ์ SYSTEM และโจมตีผ่าน Windows Kernel โดยช่องโหว่นี้เพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้ (more…)

Microsoft ออกแพตซ์แก้ไขช่องโหว่ 61 รายการ รวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)

MITRE ยืนยันเหตุการณ์การถูกโจมตีผ่านช่องโหว่ Ivanti zero-days

MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน แก้ไขช่องโหว่ Zero-Days 5 รายการ และช่องโหว่อื่น ๆ 58 รายการ

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2023 ซึ่งเป็นการอัปเดตสำหรับช่องโหว่ทั้งหมด 58 รายการ และเป็นช่องโหว่แบบ Zero-Day 5 รายการ

โดยเป็นการแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 14 รายการ แต่มีเพียง 1 รายการที่มีความรุนแรงระดับ Critical โดยช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งหมด 3 รายการ ได้แก่ ช่องโหว่ Azure information disclosure, ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Internet Connection Sharing (ICS) และช่องโหว่ใน Hyper-V Escape ที่ทำให้สามารถเรียกใช้งานโปรแกรมบนโฮสต์ด้วยสิทธิ์ SYSTEM (more…)