ไมโครซอฟท์ออกมาอธิบายถึงแนวทางป้องกันข้อมูลส่วนตัวของ ฟีเจอร์ Recall ใน Windows 11 ที่บันทึกหน้าจอของพีซีเป็นระยะๆ เพื่อให้ค้นหาข้อมูลย้อนหลังได้ ฟีเจอร์นี้เปิดตัวในเดือนพฤษภาคม แต่ถูกวิจารณ์เรื่องความปลอดภัย ความเป็นส่วนตัว จนสุดท้ายไมโครซอฟท์ยอมเลื่อนฟีเจอร์นี้ออกไปก่อน นำไปแก้ไขปรับปรุงและเตรียมกลับมาทดสอบกับกลุ่ม Insider ในเดือนตุลาคม

กูเกิลเผยสถิติจากการใช้ภาษา Rust ในระบบปฏิบัติการ Android มาตั้งแต่ปี 2019 เป็นเวลาราว 6 ปี ว่าช่วยลดช่องโหว่ที่เกี่ยวข้องกับหน่วยความจำลงได้มาก จากฟีเจอร์ด้านหน่วยความจำที่ระดับตัวภาษา ถือเป็นมาตรการความปลอดภัยระดับสูงที่ทรงพลังมาก

แนวทางของกูเกิลคือเขียนโค้ดใหม่ของ Android ด้วยภาษา Rust ที่เป็น memory safe language ส่วนโค้ดเก่าพยายามคงจำนวนไว้ไม่ให้เพิ่มขึ้นมาก ผลคือสัดส่วนโค้ดที่เป็น memory safe ค่อยๆ เยอะขึ้นเรื่อยๆ (ตอนนี้ประมาณ 2:1 ระหว่างโค้ดเก่า vs โค้ดใหม่) แต่ผลที่ได้คือช่องโหว่ความปลอดภัยที่เกี่ยวกับ memory safety ลดลงอย่างมาก

Adam Meyers รองประธานอาวุโสของ CrowdStrike เตรียมเข้าให้ถ้อยแถลงต่ออนุกรรมาธิการความปลอดภัยไซเบอร์ และการป้องกันโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Protection) เพื่อกล่าวคำขออภัยต่อความผิดพลาดที่เกิดขึ้น

ตอนนี้เอกสารให้ถ้อยคำอัพโหลดขึ้นเว็บอนุกรรมาธิการแล้ว โดยขึ้นต้นด้วยการขออภัยอย่างสูง แต่ก็ยืนยันถึงความจำเป็นถึงการป้องกันการโจมตีที่พัฒนาการอย่างรวดเร็ว พร้อมกับชี้แจงถึงแนวทางการพัฒนาที่มีการปรับปรุงจนน่าเชื่อได้ว่าจะไม่มีความผิดพลาดแบบเดียวกันอีก

จากที่วันนี้มีแฮ็กเกอร์ที่ใช้นามแฝง killer011 ประกาศในฟอรั่มใต้ดิน ว่าได้เจาะระบบและเข้าถึงข้อมูลลูกค้าของ True และ dtac จำนวนเกือบ 40 ล้านรายการ

Blognone ได้ตรวจสอบกับฝ่ายประชาสัมพันธ์ของบริษัททรู คอร์ปอเรชั่น จำกัด (ซึ่งปัจจุบันเป็นนิติบุคคลที่ให้บริการทั้งแบรนด์ True และ dtac) ได้ข้อมูลดังนี้

มีรายงานจากผู้ใช้งาน Mac ที่อัปเดตระบบปฏิบัติการเป็นเวอร์ชันล่าสุด macOS 15 Sequoia ที่เพิ่งออกอัปเดตทั่วไปเมื่อต้นสัปดาห์ พบปัญหาการทำงานร่วมกับซอฟต์แวร์ความปลอดภัย เช่นของ CrowdStrike, SentinelOne หรือ Microsoft ซึ่งมักมีการติดตั้งสำหรับคอมพิวเตอร์ขององค์กร

ในบางกรณีผู้ใช้งานอาจพบปัญหาไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้หลังอัปเกรดเป็น Sequoia เพราะปัญหาไฟร์วอลของ Sequoia บล็อกการทำงานของซอฟต์แวร์ความปลอดภัยเหล่านี้

กูเกิลขยายฟีเจอร์จัดการ Passkey ให้สามารถซิงก์ Passkey ข้ามอุปกรณ์ได้ด้วย

ของเดิมนั้น การใช้ Passkey ผ่าน Google Password Manager บน Android เก็บตัว Passkey ไว้บนอุปกรณ์ตัวนั้นตัวเดียว หากต้องการนำไปใช้บนอุปกรณ์อื่นต้องใช้วิธีสแกน QR ระหว่างกัน

ของใหม่คือ Passkey ของเราจะถูกซิงก์อัตโนมัติในจักรวาล Google Password Manager ข้ามแพลตฟอร์มทั้ง Windows, macOS, Linux, Android, ChromeOS โดยมีระบบรักษาความปลอดภัยคือต้องตั้งรหัส PIN 6 หลัก เพื่อไม่ให้คนอื่นเข้าถึง Passkey ของเราได้ (แม้เข้าถึงตัวฮาร์ดแวร์ได้เชิงกายภาพ)

บริษัทความปลอดภัย Doctor Web รายงานการแพร่กระจายมัลแวร์ Android.Vo1d ในกล่องทีวีแอนดรอยด์ กลุ่มที่ใช้โค้ดจาก Android Open Source Project (AOSP) จำนวนประมาณ 1.3 ล้านเครื่อง โดยกล่องเหล่านี้ไม่ได้เป็นผลิตภัณฑ์ที่ใช้แบรนด์ Android TV หรือ Google TV จากกูเกิล

กล่องทีวีแอนดรอยด์ที่พบการแพร่ของมัลแวร์ เป็นกล่องไม่มีแบรนด์ 3 รุ่น ใช้ระบบปฏิบัติการ Android 7.1, Android 10.1, Android 12.1 โดยมีเครื่องกระจายอยู่ในประเทศกำลังพัฒนาหลายประเทศ เช่น บราซิล (28% ของกล่องทั้งหมดที่พบมัลแวร์), โมร็อกโก (7.0%), ปากีสถาน (5.1%) ส่วนละแวกเอเชียตะวันออกเฉียงใต้ มีมาเลเซีย (3%) และอินโดนีเซีย (2%) กรณีของประเทศไทยมีน้อยกว่านั้น แต่ไม่มีข้อมูลตัวเลข

David Weston รองประธานฝ่ายความปลอดภัยระบบปฏิบัติการของไมโครซอฟท์ เปิดเผยรายละเอียดงานประชุม Windows Endpoint Security Ecosystem ที่เชิญบริษัทความปลอดภัยหลายรายเข้าร่วม เพื่อป้องกันปัญหากรณี CrowdStrike ไม่ให้เกิดขึ้นอีก

บริษัทความปลอดภัยที่เข้าร่วมและเปิดเผยชื่อ ได้แก่ Broadcom (เจ้าของปัจจุบันของ Symantec Enterprise), CrowdStrike, ESET, SentinelOne, Sophos, Trellix (ชื่อใหม่ของ McAfee Enterprise + FireEye), Trend Micro โดยบริษัทกลุ่มนี้เป็นสมาชิกของโครงการ Microsoft Virus Initiative (MVI) อยู่ก่อนแล้ว

ในงาน Google I/O 2024 กูเกิลเปิดตัว Play Integrity API เป็นชุด API ด้านความปลอดภัยของ Google Play ให้นักพัฒนาแอพสามารถตรวจสอบว่าผู้ใช้งาน เข้าถึงบริการของเราผ่าน "แอพที่ไม่ถูกแก้ไขดัดแปลง" (unmodified app binary) และติดตั้งผ่าน Google Play บนอุปกรณ์ Android จริงๆ ไม่ใช่อุปกรณ์ที่ถูก root หรือดัดแปลงมา

ฟีเจอร์หนึ่งของ Play Integrity API คือการตรวจสอบว่าแอพที่ใช้งานติดตั้งผ่าน Google Play หรือผ่านวิธี sideloading ซึ่งหากเป็นการ sideloading จะสามารถบล็อคการใช้งาน และขึ้นข้อความแจ้งเตือนให้ผู้ใช้ดาวน์โหลดแอพตัวเดียวกันผ่าน Google Play ได้

ทีมวิจัยความปลอดภัยจาก WatchTower รายงานถึงความผิดพลาดของผู้ให้บริการออกใบรับรองการเข้ารหัส จากการที่ผู้รับจดทะเบียนโดเมน .MOBI ย้ายเซิร์ฟเวอร์ WHOIS จากเดิม จนนำไปสู่ช่องโหว่ให้ทีมวิจัยสามารถออกใบรับรองของโดเมนใดๆ ภายใต้ TLD .MOBI ได้ทั้งหมด

WHOIS เป็นโปรโตคอลในการขอข้อมูลโดเมน, ไอพี, และหมายเลข Autonomous Systems (AS) ว่าผู้จดทะเบียนเป็นใคร หมดอายุเพื่อใด ตลอดจนต้องติดต่อใครบ้างหากมีปัญหา

SangRyol Ryu นักวิจัยจาก McAfee’s Mobile Research รายงานถึงมัลแวร์ในโทรศัพท์แอนดรอยด์ที่เรียกว่ากลุ่ม SpyAgent มุ่งเป้าชาวเกาหลีใต้ และกระจายไปถึงสหราชอาณาจักร กำลังพยายามอัพโหลดภาพขึ้นไปยังเซิร์ฟเวอร์ดพื่อ่านข้อความในภาพ

ตัวแอปนั้นไม่ต่างจากมัลแวร์ปกติที่สามารถส่งข้อมูลเครื่อง, ดูด SMS กลับเซิร์ฟเวอร์, และอ่านข้อมูลติดต่อ โดยมีพฤติกรรมพิเศษคือมันพยายามอัพโหลดภาพในเครื่องกลับเซิร์ฟเวอร์ด้วย

Ryu แฮกเข้าเซิร์ฟเวอร์ควบคุมของมัลแวร์ตัวนี้ได้สำเร็จ และพบว่าหน้าจอใช้ค้นหาค่า seed ของกระเป๋าเงินคริปโตเป็นหลัก เมื่อได้ภาพมาแล้วก็พยายามทำ OCR อ่านข้อความในภาพเพื่อดึงข้อความออกมา

รัฐบาลโจ ไบเดนออกเอกสารแนวทางการพัฒนาความปลอดภัยอินเทอร์เน็ต วางแนวทางบีบให้ผู้ให้บริการอินเทอร์เน็ต้องเปิดใช้งาน RPKI ที่เป็นกระบวนการยืนยันความถูกต้องของเส้นทางอินเทอร์เน็ต

Resource Public Key Infrastructure (RPKI) เป็นกระบวนการยืนยันว่า ISP ที่ประกาศเส้นทางไปยังเน็ตเวิร์คต่างๆ นั้นมีสิทธิ์ประกาศจริง ไม่ได้ประกาศมั่วๆ ออกมาเพื่อดึงทราฟิกของเน็ตเวิร์คอื่นให้ผ่านตัวเอง ที่ผ่านมาบริการสำคัญๆ หลายตัวถูกดึงทราฟิกจากการคอนฟิก RPKI ผิดจนใช้งานไม่ได้ทั่วโลกมาแล้วหลายครั้ง

ไมโครซอฟท์ประกาศแผนปิดการทำงานของ ActiveX ใน Office 2024 เวอร์ชันซื้อขาด ที่จะออกตัวจริงในเดือนตุลาคม 2024 จากนั้นจะตามไปปิดใน Microsoft 365 ช่วงเดือนเมษายน 2025

ActiveX เป็นเทคโนโลยีการฝังวัตถุแบบ interactive ในเอกสาร Office เริ่มใช้งานครั้งแรกในปี 1996 แต่ภายหลังถูกใช้เป็นช่องทางการโจมตีและแพร่กระจายมัลแวร์ โดยหลอกว่าเป็นเอกสาร Office แล้วหลอกให้เหยื่อคลิกเปิดเอกสาร

Thomas Roche นักวิจัยจาก NinjaLab รายงานช่องโหว่ EUCLEAK ช่องโหว่ของชิปความปลอดภัย (secure element) Infineon SLE78 ที่ใช้งานในกุญแจ YubiKey 5

ช่องโหว่อยู่ที่ กระบวนการเซ็นลายเซ็น ECDSA ที่สามารถสังเกตระยะเวลาตอบกลับเพื่อตรวจสอบถึงค่ากุญแจภายในได้ แม้ว่าจะมีมาตรการสุ่มหยุดทำงานเป็นช่วงๆ แต่ Roche ก็สามารถตรวจพบการหยุดประมวลผลอย่างจงใจได้ไม่ยาก ทำให้แฮกเกอร์ที่มีกุญแจในมือสามารถยิงขอลายเซ็นไปเรื่อยๆ นับล้านครั้ง จนกู้คืนกุญแจออกมาได้

ผลกระทบจากช่องโหว่นี้นอกจากกุญแจ YubiKey แล้ว ชิปรักษาความปลอดภัยที่ใช้ชิป SLE78 ทั้งหมดก็กระทบไปด้วย เช่น สมาร์ตการ์ดในกลุ่ม JavaCard บางรุ่น, ชิป TPM, HSM เก็บกุญแจในเซิร์ฟเวอร์ต่างๆ, หรือชิปรักษาความปลอดภัยในอุปกรณ์ IoT

LiteSpeed Cache ปลั๊กอินยอดนิยมตัวหนึ่งของ WordPress สำหรับเพิ่มความเร็วในการโหลดหน้าเว็บไซต์ ที่มีการติดตั้งมากกว่า 5 ล้านครั้ง ออกอัปเดตเวอร์ชัน 6.4.1 ระบุว่าแก้ไขช่องโหว่ระดับร้ายแรงที่ได้รับรายงาน จึงแนะนำให้ผู้ดูแลที่ลงปลั๊กอินนี้ทำการอัปเดตเวอร์ชันโดยเร็วที่สุด เพราะอาจเกิดการโจมตีช่องโหว่นี้ในวงกว้างได้

ช่องโหว่ดังกล่าวคือ CVE-2024-28000 ที่อาศัยฟีเจอร์จำลองผู้ใช้งานของ LiteSpeed Cache ที่กำหนดค่าแฮชไว้ระดับอ่อน จึงทำให้ผู้โจมตีสามารถสุ่มแฮชผ่านช่องทางนี้ และสามารถสร้างบัญชีผู้ใช้งานระดับแอดมินได้

กูเกิลมีโครงการ Bug Bounty รับรายงานการค้นพบช่องโหว่ในบริการต่าง ๆ พร้อมให้เงินรางวัล ล่าสุดกูเกิลประกาศยุติโครงการจ่ายเงินรางวัล ให้การรายงานช่องโหว่ความปลอดภัยของแอปใน Google Play ซึ่งเป็นส่วนหนึ่งของการรายงานช่องโหว่ผลิตภัณฑ์หลัก Android แล้ว (Google Play Security Reward Program - GPSRP)

GitHub เปิดบริการ Copilot Autofix การใช้ปัญญาประดิษฐ์ช่วยสแกนหาช่องโหว่ของโค้ด หลังเปิดทดสอบมาตั้งแต่เดือนมีนาคม 2024 โดยตอนแรกใช้ชื่อว่า Code scanning autofix แล้วเปลี่ยนมาใช้แบรนด์ Copilot แทน

ฟีเจอร์ Copilot Autofix เป็นส่วนหนึ่งของบริการสายความปลอดภัย GitHub Advanced Security (GHAS) โดยใช้เทคนิคหลายอย่างผสมผสานกัน ทั้งการใช้ภาษาคิวรีโค้ด CodeQL, โมเดล GPT-4o และเทคนิค heuristic ผสมกับ Copilot API สำหรับสร้างโค้ดที่แก้ไขช่องโหว่แล้ว

อัยการนิวยอร์กตกลงยอมความกับบริษัท Enzo Biochem ห้องปฎิบัติการที่ให้บริการตรวจแล็ปทางการแพทยืที่ถูกโจมตีไซเบอร์เมื่อเดือนเมษายน 2023 จนข้อมูลคนไข้รั่วไหล 2.4 ล้านราย โดยระบุว่าบริษัทหละหลวมในการรักษาความปลอดภัย โดยตกลงจ่ายค่าปรับ 4.5 ล้านดอลลาร์สหรัฐฯ

คนร้ายใช้รหัสผ่านที่แชร์กันระหว่างพนักงาน โดยรหัสผ่าน 2 ชุดใช้งานแชร์กัน 5 คน แถมไม่ได้เปลี่ยนรหัสมาแล้วนับสิบปี ตลอดจนไม่มีระบบตรวจสอบการใช้งานผิดปกติ

ข้อตกลงนี้ระบุให้ทาง Enzo ต้องวางนโยบายรหัสผ่านที่ปลอดภัยขึ้น, บังคับการล็อกอินสองขั้นตอน, เข้ารหัสส่วนบุคคล, ตลอดจนวางแผนรับมือภัยไซเบอร์ให้รับมือได้เร็วขึ้นน

ทีมนักวิจัยความปลอดภัยจากบริษัท IOActive เปิดเผยช่องโหว่ระดับร้ายแรง (Severity: High) ของซีพียู AMD ซึ่งย้อนรุ่นไปได้ถึงซีพียูรุ่นปี 2006 หรือเป็นระยะเวลาเกือบ 20 ปี (เพราะมีอยู่มานานแล้วแต่เพิ่งถูกค้นพบ)

มีเอกสารภายในของไมโครซอฟท์ เป็นอีเมลของ Kathleen Hogan ประธานเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล (Chief People Officer) ระบุว่าไมโครซอฟท์จะนำปัจจัยเรื่อง "ความปลอดภัย" เข้ามาคิดในผลประเมินประจำปีของพนักงานด้วย

Kathleen อ้างถึงนโยบายการยกระดับความปลอดภัยครั้งใหญ่ของบริษัท ที่ Satya Nadella ประกาศเมื่อเดือนพฤษภาคม 2024 ย้ำว่าพนักงานทุกคนต้องมองความปลอดภัยเป็นเรื่องเร่งด่วนอันดับหนึ่ง (security is our number-one priority) โดยไมโครซอฟท์เรียกมันว่า Security Core Priority

เซิร์ฟเวอร์ของบริษัท Mobile Guardian ผู้ให้บริการ mobile device management (MDM) เน้นลูกค้ากลุ่มโรงเรียนถูกแฮก โดยเครื่องคอมพิวเตอร์ของนักเรียนบางส่วนถูกสั่ง remote wipe จนข้อมูลหายทั้งหมดและไม่สามารถใช้อุปกรณ์ได้

แอป MDM นั้นสอดส่องการใช้งานอุปกรณ์ได้อย่างละเอียด ตัว Mobile Guardian มีความสามารถในการบันทึกการใช้งานอุปกรณ์, เปิดให้ครูเข้ามาดูหน้าจออุปกรณ์, สั่งล็อกการใช้งานเฉพาะแอปเมื่ออยู่ในห้องเรียน, จำกัดอายุเนื้อหาที่เข้าชม, ล็อกหน้าจอเครื่อง, ตลอดจนล็อกไม่ให้ใช้งานอุปกรณ์นอกพื้นที่ได้

ทางกระทรวงศึกษาธิการสิงคโปร์ออกมาระบุว่ามีโรงเรียนในสิงคโปร์ 26 แห่งใช้งาน Mobile Guardian อยู่และสั่งถอดแอปชั่วคราวออกทั้งหมดแล้ว

มัลแวร์เข้ารหัสเรียกค่าไถ่ไม่ทราบชื่อโจมตีบริษัท C-Edge Technologies ผู้ให้บริการซอฟต์แวร์ระบบชำระสำหรับธนาคารในอินเดีย จนตอนนี้ศูนย์กลางรับชำระแห่งชาติ (National Payments Corporation of India - NCPI) ตัดธนาคารทุกแห่งที่ใช้ซอฟต์แวร์ของ C-Edge ออกจากระบบแล้ว

ธนาคารส่วนใหญ่ที่เป็นลูกค้าของ C-Edge เป็นธนาคารขนาดเล็ก โดยรวมจำนวนผู้ได้รับผลกระทบจึงมีสัดส่วนไม่มากเมื่อเทียบกับผู้ใช้ทั้งหมด แหล่งข่าวระบุกับ Reuters ว่าโดยรวมคาดว่ายอดชำระได้รับผลกระทบประมาณ 0.5% และตอนนี้กำลังตรวจสอบว่ามัลแวร์ไม่ได้แพร่ไปที่อืน

C-Edge เป็นบริษัทร่วมทุนกันระหว่าง Tata Consultancy Services ผู้ให้บริการพัฒนาซอฟต์แวร์รายใหญ่ และ State Bank of India

รายการ Cloudnone ตอนล่าสุด มานั่งถกกันเรื่องกรณี CrowdStrike พร้อมบทวิเคราะห์ในทางเทคนิคว่าซอฟต์แวร์ความปลอดภัยจำพวก Endpoint Detection and Response (EDR) และ Extended Detection and Response (XDR) ทำงานอย่างไร ในท้องตลาดมีซอฟต์แวร์ EDR/XDR ตัวไหนให้เลือกบ้าง และทำไม CrowdStrike ถึงกลายเป็นเจ้าตลาดนี้ มีฐานลูกค้าจำนวนมหาศาล

หลังจากนั้นจึงเป็นการวิเคราะห์ว่าทำไมซอฟต์แวร์ EDR ถึงต้องใช้ท่ามี agent ไปรันในระดับเดียวกับเคอร์เนล จนกลายเป็นเหตุให้บั๊กใน agent ทำพีซีทั่วโลกจอฟ้านับล้านเครื่อง และแนวทางอื่นๆ ในอนาคตของซอฟต์แวร์ EDR หากไม่ต้องการให้รันในระดับเคอร์เนล

นอกจาก YouTube แล้ว ยังฟัง-ชมผ่านทาง Spotify ได้ด้วย

ไมโครซอฟท์ออกมาอธิบายรายละเอียดของปัญหาจอฟ้า BSOD จากกรณี CrowdStrike โดยอาศัยข้อมูล kernel crash dump ที่ผู้ใช้ส่งผ่าน Windows Error Reporting (WER) เข้ามาจำนวนมาก (4 ล้านครั้งในวันเกิดเหตุ) และวิเคราะห์ด้วยเครื่องมือมาตรฐานอย่าง WinDBG Kernel Debugger

ผลการวิเคราะห์ของไมโครซอฟท์ออกมาสอดคล้องกับรายงานเบื้องต้นของ CrowdStrike เอง ว่าตัวไดรเวอร์ CSagent.sys เข้าถึงข้อมูลหน่วยความจำในพื้นที่หวงห้าม (a read out-of-bounds access violation)

ไมโครซอฟท์ประกาศผ่านบล็อก Windows IT Pro Blog ว่าจากกรณี CrowdStrike สิ่งแรกที่ไมโครซอฟท์ทำคือตั้งทีมรับมือปัญหาเฉพาะหน้า (first responder) โดยใช้ทีมซัพพอร์ตกว่า 5 พันคนทำงาน 24x7 ช่วยกู้ระบบของลูกค้าทั่วโลกให้กลับมาออนไลน์

ไมโครซอฟท์ยังออกตัวช่วยกู้ระบบ (Recovery Tool) ซึ่งหลังจากออกเวอร์ชันแรกมาแล้ว ยังพัฒนาต่ออีกหลายเวอร์ชันตามความต้องการของลูกค้า (หน้ารวมข้อมูลทุกอย่างของ Recovery Tool) เช่น รองรับการบูตจาก WinPE, การบูตจาก safe mode, การบูตผ่านเครือข่าย PXE