Microsoft Edge เพิ่มฟีเจอร์ใหม่ชื่อ scareware blocker บล็อคเว็บไซต์ที่ปลอมเป็นหน้าจอระบบคอมพิวเตอร์ขัดข้องหรือติดมัลแวร์ และหลอกล่อให้เราติดต่อซัพพอร์ตเพื่อเริ่มกระบวนการหลอก (scam)

พฤติกรรมของเว็บไซต์กลุ่ม scareware มักแสดงหน้าเว็บในโหมดเต็มจอ เพื่อให้เนียนเหมือนเป็นคำเตือนจากระบบปฏิบัติการจริงๆ และอาจดักการกดปุ่ม Esc เพื่อป้องกันไม่ให้ผู้ใช้กดออกจากโหมดเต็มจอ แถมเว็บไซต์เหล่านี้มักมีอายุเพียงไม่กี่ชั่วโมงเพื่อหลบเลี่ยงการตรวจจับ ทำให้การบล็อคจากลิสต์รายชื่อเว็บอันตรายทำได้ยาก

Wiz บริษัทวิจัยความปลอดภัยไซเบอร์รายงานถึงการสำรวจความปลอดภัยของบริษัท DeepSeek พบว่าบริษัทเปิดบริการภายในออกสู่อินเทอร์เน็ตจำนวนมาก รวมถึงฐานข้อมูล ClickHouse ด้วย ทำให้ข้อมูลรั่วไหลจำนวนมาก

เซิร์ฟเวอร์ที่เปิดไว้นี้อยู่ที่ dev.deepseek.com:9000 เป็นฐานข้อมูลสำหรับการเก็บ log ของบริการ โดยตัว log แสดงข้อมูลทั้ง API Endpoints ภายในของ DeepSeek เอง, ประวัติการสนทนา, ข้อมูลอื่นๆ ที่เกี่ยวกับแชต

ทาง Wiz เตือนว่าตอนนี้บริการ AI ต่างๆ เกิดขึ้นอย่างรวดเร็ว และบริษัทเหล่านี้อาจจะขยายบริการโดยไม่ได้มีเฟรมเวิร์ความปลอดภัยที่เพียงพอ การใช้งานจึงควรระมัดระวัง

ที่มา - Wiz

ทีมนักวิจัยด้านความปลอดภัยจาก Georgia Institute of Technology และ Ruhr University Bochum เผยแพร่การค้นพบช่องโหว่ของชิปอุปกรณ์แอปเปิล ที่ผู้โจมตีสามารถสร้างเนื้อหาโดยเฉพาะสำหรับเจาะนำข้อมูลออกมาได้

Philippe Caturegli หัวหน้าฝ่ายแฮกเกอร์ของบริษัทความปลอดภัยไซเบอร์ Seralys รายงานถึงความผิดพลาดของ MasterCard ที่คอนฟิก name server ผิด จนเปิดทางให้เขาสร้างเซิร์ฟเวอร์สวมรอยได้สำเร็จ เปิดทางให้เขาอาจจะสร้างใบรับรองปลอมและดักฟังการเชื่อมต่อเซิร์ฟเวอร์ได้อย่างสมบูรณ์

Thorsten Urbanski ผู้เชี่ยวชาญความปลอดภัยจาก ESET ให้สัมภาษณ์กับ Bleeping Computer ถึงประเด็น ปี 2025 เป็นปีแห่งการอัพเกรดพีซีเครื่องใหม่ใช้ Windows 11 ว่าการเปลี่ยนผ่านรอบนี้จะยากกว่าตอนอัพเกรดจาก Windows 7 เป็น Windows 10

เหตุผลเป็นเพราะตอนนี้ยังมีพีซีที่ใช้ Windows 10 เป็นสัดส่วนที่สูงมาก สถิติของ ESET จากพีซีในประเทศเยอรมนี บอกว่าตอนนี้พีซี Windows 10 ยังมีสัดส่วนสูงถึง 65% (สถิติทั่วโลกจาก StatCounters ใกล้เคียงกันคือ 63%) เมื่อเทียบกับตอนเปลี่ยนจาก Windows 7 เป็น Windows 10 ในปีสุดท้ายของ Windows 7 ก่อนหมดระยะซัพพอร์ต มีสัดส่วนการใช้งานประมาณ 20% เท่านั้น

iTerm2 ซอฟต์แวร์เทอร์มินัลยอดนิยมบน macOS รายงานบั๊กที่ตัวซอฟต์แวร์จะเซฟข้อมูลอินพุตและเอาท์พุตทั้งหมดลงไฟล์ /tmp/framer.txt ในเซิร์ฟเวอร์ที่ผู้ใช้ล็อกอิน SSH

บั๊กนี้กระทบเฉพาะผู้ที่ล็อกอิน SSH จาก iTerm2 โดยตรงเท่านั้น ผ่านทาง it2ssh หรือสร้าง profile แบบ SSH ตลอดเวลาเอาไว้ และเครื่องเซิร์ฟเวอร์จะต้องมี Python 3.7 ติดตั้งเอาไว้ ซึ่งน่าจะกระทบคนไม่มากนัก

ผลกระทบบั๊กนี้จะร้ายแรงในกรณีที่เครื่องเซิร์ฟเวอร์แชร์กัน จะส่งผลให้ผู้ใช้เซิร์ฟเวอร์คนอื่นๆ เห็นข้อมูลที่เราใช้งานทั้งหมด ทาง iTerm2 ถือว่าบั๊กนี้รายแรงระดับวิกฤติ และแนะนำให้อัพเกรดเป็น iTerm2 3.5.11 ขึ้นไปโดยทันที

อีกดราม่าส่งท้ายปี เมื่อ Chaos Computer Club (CCC) กลุ่มแฮ็กเกอร์สายขาวจากยุโรป พบว่า Cariad บริษัทซอฟต์แวร์ของ Volkswagen Group เผลอปล่อยข้อมูลรถยนต์ของลูกค้ากว่า 800,000 คันบนอินเทอร์เน็ต ซึ่งในจำนวนนี้มี "พิกัดตำแหน่ง" ของรถยนต์จำนวน 460,000 คันอยู่ด้วย

ข้อมูลเหล่านี้มาจากลูกค้า Volkswagen ที่เชื่อมต่อรถยนต์กับแอพ Volkswagen เพื่อควบคุมรถยนต์จากระยะไกล เช่น เช็คข้อมูลแบตเตอรี่ที่เหลือ สั่งให้อุ่นที่นั่งรอก่อนเดินทาง ฯลฯ ซึ่งเป็นสิ่งที่แบรนด์รถยนต์ยุคปัจจุบันทำกันทั่วไปอยู่แล้ว

เว็บไซต์ TechCrunch เผยแพร่จดหมายของกระทรวงการคลังสหรัฐ (Department of the Treasury) ส่งถึงประธานกรรมาธิการด้านการธนาคารของวุฒิสภาสหรัฐ รายงานว่าพบการแฮ็กระบบภายในของกระทรวง โดยกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน

ตอนนี้ยังมีรายละเอียดของการแฮ็กครั้งนี้เปิดเผยออกมาไม่เยอะนัก บอกแค่ว่าผู้ค้นพบการแฮ็กครั้งนี้คือบริษัทซอฟต์แวร์ด้านการยืนยันตัวตน BeyondTrust แล้วจึงแจ้งเตือนมายังกระทรวงในวันที่ 8 ธันวาคม 2024 แฮ็กเกอร์ได้คีย์ของ Beyond Trust ผ่านมาทางระบบสนับสนุนไอทีของกระทรวง และสามารถเข้าถึงเอกสารจำนวนหนึ่งได้

สายการบิน Japan Airlines หรือ JAL รายงานว่าปัญหาการถูกโจมตีทางไซเบอร์ที่เกิดขึ้นเมื่อวานนี้ได้รับการแก้ไขเป็นปกติแล้วภายในวันเดียวกัน โดยปัญหาเกิดขึ้นตั้งแต่เวลาประมาณ 7:25น. ตามเวลาท้องถิ่น และกลับเป็นปกติในเวลาประมาณ 13:20น. กระทบเที่ยวบินทั้งในและต่างประเทศล่าช้ามากกว่า 70 เที่ยวบิน และต้องยกเลิกเที่ยวบินในประเทศ 4 เที่ยวบิน

แหล่งข่าวด้านการสอบสวนบอกว่า JAL แจ้งกับเจ้าหน้าที่ตำรวจว่าปัญหาที่เกิดขึ้นมาจาก DDoS โดยพบการส่งข้อมูลเข้ามาจำนวนมหาศาลในระยะเวลาสั้น ๆ

สายการบินบอกว่าจากเหตุการณ์ที่เกิดขึ้น ไม่มีการเจาะเข้ามาถึงข้อมูลส่วนตัวผู้โดยสาร และระบบคอมพิวเตอร์ก็ไม่ได้รับความเสียหายจากไวรัส

สายการบิน Japan Airlines  (JAL) ประกาศเมื่อเช้านี้ว่าเกิดเหตุขัดข้องกับอุปกรณ์เน็ตเวิร์ค แต่ก็ให้ข่าวกับสำนักข่าวต่างๆ ว่าเกิดจากโจมตีไซเบอร์ ตอนนี้สายการบินได้ติดต่อกับตำรวจเพื่อแจ้งเหตุแล้ว

ตอนนี้มีเที่ยวบินในญี่ปุ่นล่าช้าแล้ว 14 เที่ยวบิน เที่ยวบินต่างประเทศก็ได้รับผลกระทบบางส่วนเช่นกัน ทางสายการบินระบุว่ากำลังกู้ระบบ แต่ก็หยุดขายตั๋วเที่ยวบินวันนี้ทั้งหมดออกไปก่อน ส่วนตั๋วที่ออกไปแล้วยังคงขึ้นบินได้

ที่มา - Kyodo News

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ออกแนวทางการรักษาความปลอดภัยบนอุปกรณ์เคลื่อนที่ โดยระบุว่าต้องยกระดับความปลอดภัยเพราะมีการโจมตีจากรัฐบาลจีน โดยแนวทางนี้สามารถใช้งานได้ทุกคน แต่แนะนำสำหรับราชการและนักการเมืองระดับสูง

คำแนะนำทั่วไป ระบุให้

Josh Aas ผู้บริหาร Let's Encrypt เปิดเผยในรายงานประจำปี 2024 บอกว่าในปีหน้าโครงการจะมีอายุครบ 10 ปี ซึ่งปีหน้าจะมีบริการใหม่ที่เป็นก้าวกระโดดสำคัญ คือใบรับรองที่มีอายุสั้นมาก โดยมีอายุเพียง 6 วันเท่านั้น เพื่อลดความเสี่ยงหากกุญแจถูกเข้าถึงได้

ปัจจุบัน Let's Encrypt มีการออกใบรับรองวันละ 5 ล้านฉบับต่อวัน โครงการประเมินว่าหากเพิ่มใบรับรองอายุสั้น 6 วันเข้ามา รวมกับระบบการออกใบรับรองอัตโนมัติที่มีอยู่ ภายในสิบปีข้างหน้าปริมาณการออกใบรับรองอาจเพิ่ม 20 เท่าเป็น 100 ล้านฉบับต่อวันเลยทีเดียว

ปัจจุบัน Let's Encrypt มีรายได้จากเงินบริจาค ซึ่งเกือบสิบปีมานี้ได้รับเงินสนับสนุนแล้วหลายล้านดอลลาร์

Seth Larson นักพัฒนาที่รับผิดชอบส่วนความปลอดภัยของโครงการ Python Software Foundation โพสต์บล็อกแสดงความกังวลต่อการรายงานปัญหาความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส โดยพบจำนวนการแจ้งปัญหาบั๊กที่คุณภาพต่ำ เป็นสแปม เนื่องจากเป็นรายงานที่ออกมาจากปัญญาประดิษฐ์ LLM เพิ่มมากขึ้น

เขาบอกว่าการตรวจสอบยืนยันปัญหาความปลอดภัยในซอฟต์แวร์โอเพนซอร์ส ต้องใช้ผู้เชี่ยวชาญและสิ่งเหล่านี้คือต้นทุนทั้งแรงงานและเวลา หากแนวโน้มการส่งรายงานปัญหาด้วย AI LLM ไม่มีคุณภาพแบบนี้มีมากขึ้น อาจกระทบต่อคนทำงานให้รู้สึกมีภาระเพิ่มแต่ไม่เกิดประโยชน์ สามารถมองเป็นภัยคุกคามอย่างหนึ่งของชุมชนโอเพนซอร์สได้

ผมเชื่อว่าผู้ใช้งานสายวินโดว์น่าจะพอคุ้นเคยกับไฟล์ประเภท Cabinet ที่มีนามสกุลไฟล์คือ .cab (ต่อไปนี้เราจะเรียกแบบย่อว่า CAB) ซึ่งโดยปกติแล้วมักจะถูกใช้ในการเก็บไฟล์และข้อมูลที่ถูกบีบอัด (compressed) เอาไว้ภายใน แต่นอกเหนือจากการใช้งานแบบปกติทั่วไปแล้ว ผู้โจมตีหรือแฮกเกอร์สามารถดัดแปลงไฟล์ CAB เพื่อใช้ในการรันมัลแวร์บนเครื่องเหยื่อด้วยการกดดับเบิ้ลคลิ๊กเพียงครั้งเดียวเท่านั้นครับ

Freysa เกมแข่งแฮกปัญญาประดิษฐ์ LLM ได้ผู้ชนะหลังเปิดแข่งขันเพียงหนึ่งสัปดาห์ หลังจากผู้เข้าแข่งยิง prompt injection จนตัวเกมตัดสินใจยอมโอนเงินได้สำเร็จ

ผู้สร้าง Freysa เปิดเผย prompt ที่ใช้สร้างแชตบอต พร้อมกับโค้ดของตัวแอปพลิเคชั่น โดยภายในเป็น GPT-4 ที่เปิดให้เรียกฟังก์ชั่นสองตัวคือ approveTransfer และ rejectTransfer แต่ system prompt กลับกำหนดชัดเจนว่าห้ามเรียก approveTransfer ไม่ว่ากรณีใดๆ

ไมโครซอฟท์เปิดเผยว่าจะออกฟีเจอร์ Quick Machine Recovery ให้แอดมินไอทีสามารถซ่อมพีซีที่เจอปัญหา Windows Update ได้จากระยะไกล แม้ว่าพีซีบูทไม่ขึ้นก็ตาม

David Weston หัวหน้าฝ่ายความปลอดภัยของไมโครซอฟท์ อธิบายผ่าน The Verge ว่า Quick Machine Recovery พัฒนาต่อจาก Windows Recovery Environment (Windows RE) โหมดการรันเพื่อกู้ระบบวินโดวส์ ให้สามารถลบไฟล์เจ้าปัญหา (แบบเดียวกับกรณี CrowdStrike) ออกได้ หากเกิดปัญหาแบบเดียวกันอีก Windows RE จะลบไฟล์นี้ออกจากทุกเครื่องให้ได้เลย

ปัญหายอดนิยมของระบบปฏิบัติการ Windows เรื่องการอัพเดตแพตช์ความปลอดภัยประจำเดือน แล้วบังคับต้องรีบูตเครื่องใหม่ เป็นสิ่งที่ผู้ใช้บ่นกันมายาวนาน

ฝั่งของ Windows Server เริ่มนำระบบ Hotpatching หรือการออกแพตช์ประเภทที่ไม่จำเป็นต้องรีบูต ช่วยลดการรีบูตเหลือไตรมาสละ 1 ครั้ง (แพตช์ยังออกทุกเดือน แต่มีแพตช์ที่ต้องรีบูตแค่ 4 เดือน คือเดือนแรกของไตรมาส ได้แก่ มกราคม เมษายน กรกฎาคม ตุลาคม)

ล่าสุดในงาน Ignite 2024 ไมโครซอฟท์ประกาศว่า Windows 11 Enterprise จะเริ่มนำระบบ Hotpatching มาใช้ด้วยเช่นกัน ลดการบูตเครื่องของฝั่งไคลเอนต์ลงได้

ที่งาน Ignite 2024 ไมโครซอฟท์เปิดตัวชิปใหม่ 2 รุ่น นอกจาก Azure Boost DPU ที่เป็นชิปประมวลผลข้อมูลวิ่งผ่านเครือข่าย ยังมีชิปความปลอดภัยชื่อ Azure Integrated HSM (HSM ย่อมาจาก Hardware Security Module)

หน้าที่ของ Azure Integrated HSM คือเอาไว้เก็บคีย์ต่างๆ ที่ใช้เข้ารหัสข้อมูล ชิปตัวนี้จะป้องกันคีย์ตอนใช้งาน (in-use) ด้วย ไม่ใช่แค่ตอนเก็บอย่างเดียว คีย์จะไม่ถูกส่งออกนอก HSM โดยฮาร์ดแวร์มีตัวช่วยเร่งความเร็วในการถอดรหัส-เข้ารหัสด้วย

Android เพิ่มฟีเจอร์ Restore Credentials ภายใต้ Credential Manager API ให้นักพัฒนาแอพสามารถคืนค่าแอพของผู้ใช้เวลาย้ายเครื่อง โดยผู้ใช้ไม่จำเป็นต้องล็อกอินใหม่อีกครั้ง

หลักการของ Restore Credentials คือแอพจะบันทึก restore key เข้าไปใน Android Credential Manager ของเครื่อง ซึ่งจะแบ็คอัพคีย์เหล่านี้ไว้บนคลาวด์ของกูเกิลให้ด้วย เมื่อผู้ใช้ย้ายเครื่องใหม่ โอนถ่ายตัวไฟล์แอพ ข้อมูล และคีย์ มายังเครื่องใหม่ แอพจะขอ restore key เพื่อล็อกอินบัญชีผู้ใช้อีกรอบ ผู้ใช้เปิดแอพมาครั้งแรกจึงไม่ต้องล็อกอินใหม่อีกเลย

กูเกิลบอกว่า restore key เป็น public key ที่เข้ากันได้กับระบบจัดการ passkey / FIDO 2 จึงผ่านมาตรฐานความปลอดภัยที่ใช้ในอุตสาหกรรมอยู่แล้ว

ไมโครซอฟท์เปิดตัว Administrator Protection ระบบขอสิทธิแอดมินแบบใหม่ของ Windows 11 ที่ช่วยให้ผู้ใช้ทั่วไปขอสิทธิแอดมินเพื่อแก้คอนฟิกระบบอย่างปลอดภัยมากขึ้น

ในแง่การใช้งาน Administrator Protection หน้าตาคล้ายระบบ User Account Control (UAC) ในปัจจุบัน แต่จะยืนยันตัวตนของผู้ใช้ผ่าน Windows Hello แทน เช่น ใช้ใบหน้า ลายนิ้วมือ หรือ PIN เฉพาะเครื่องที่ตั้งค่าไว้

ไมโครซอฟท์ประกาศแนวทาง Windows Resiliency Initiative เพื่อเพิ่มความทนทานให้วินโดวส์ไม่ให้เกิดเหตุล่มเป็นวงกว้างแบบเดียวกับเหตุการณ์ CrowdStrike เมื่อเดือนกรกฎาคมที่ผ่านมา โดยวาง 4 แนวทาง ได้แก่

เว็บไซต์ความปลอดภัย BleepingComputer รายงานว่าพบอาชญากรไซเบอร์นิยมใช้ไฟล์ SVG เพื่อทำ phishing ผ่านอีเมลมากขึ้น โดยอาศัยความสามารถของ SVG ที่สามารถฝังไฟล์ HTML อยู่ข้างในอีกทีด้วยแท็ก

ตัวอย่างการโจมตีคือแนบไฟล์ SVG มากับอีเมล ซึ่งตัวสแกนไวรัสมักไม่พบปัญหาอะไร เพราะมีแค่ข้อความกับรูปภาพ แต่เมื่อผู้ใช้เปิดไฟล์ SVG ขึ้นมาผ่านเว็บเบราว์เซอร์ จะเห็นภาพปลอมที่ทำเลียนแบบหน้าจอ Excel และช่องใส่รหัสผ่านของ Microsoft Account เพื่อเปิดไฟล์ หากผู้ใช้หลงเชื่อก็จะถูกขโมยรหัสผ่านไปทันที

อีกตัวอย่างหนึ่งที่ BleepingComputer นำมาโชว์เป็นการสร้างเอกสารปลอมของทางราชการ ขอให้ผู้ใช้กรอกข้อมูลเพิ่มเติม และมีปุ่มดาวน์โหลดไฟล์ PDF ซึ่งกดแล้วจะเป็นการดาวน์โหลดมัลแวร์แทน

เมื่อสัปดาห์ที่แล้วมีรายงานเรื่องปัญหา iPhone รีบูทเอง หากเครื่องถูกทิ้งไว้ช่วงเวลาหนึ่ง ซึ่งทำให้ iPhone กลับไปสู่สถานะ BFU (Before First Unlock) จากเดิมที่เป็น AFU (After First Unlock) ปัญหานี้กระทบกับเจ้าหน้าที่ตำรวจที่เก็บ iPhone เป็นหลักฐานในการสอบสวนเพื่อดึงข้อมูลออกมา ล่าสุดมีรายละเอียดเพิ่มเติมของการทำงานส่วนนี้

โดย Jiska Classen นักวิจัยด้านความปลอดภัยจาก Hasso Plattner Institute เผยแพร่วิดีโอทดสอบ ยืนยันว่า iPhone ที่เป็นระบบปฏิบัติการ iOS 18 ถูกตั้งค่าให้รีบูทเองหากเครื่องไม่มีการทำอะไรครบ 72 ชั่วโมง เช่นเดียวกับบริษัท Magnet Forensics ที่พัฒนาเครื่องมือสำหรับเจาะข้อมูลสมาร์ทโฟน Graykey ก็ยืนยันตัวเลข 72 ชั่วโมง

ข้อมูลนี้มาจากบันทึกของตำรวจเมืองดีทรอยต์ รัฐมิชิแกน ระบุปัญหาที่พบจาก iPhone ที่ยึดมาเป็นหลักฐานประกอบคดี บอกว่า iPhone สามารถรีบูทตัวเองได้ หากเครื่องถูกทิ้งไว้ระยะหนึ่งในสถานะที่ไม่ถูกเชื่อมต่อกับเครือข่ายโทรศัพท์

เรื่องนี้เป็นปัญหาสำหรับเจ้าหน้าที่ตำรวจ เนื่องจากเจ้าหน้าที่ต้องใช้เครื่องมือสำหรับปลดล็อก iPhone ซึ่งสามารถทำได้ง่ายหาก iPhone อยู่ในสถานะหลังถูกปลดล็อกครั้งแรก (AFU - After First Unlock) แต่พอ iPhone ถูกรีบูทจะทำให้สถานะเปลี่ยนเป็นก่อนถูกปลดล็อกครั้งแรก (BFU - Before First Unlock) ซึ่งเครื่องมือที่เจ้าหน้าที่ใช้ไม่รองรับการปลดล็อก และอาจนำหลักฐานออกมาจาก iPhone ยากขึ้น ทางตำรวจดีทรอยต์จึงทำบันทึกนี้เพื่อให้ตำรวจเมืองอื่นระมัดระวังปัญหานี้เช่นกัน

Google Cloud ประกาศแผนการบังคับใช้ multi-factor authentication (MFA) ทุกกรณี โดยจะทยอยบังคับใช้เป็นเฟสๆ จนถึงสิ้นปี 2025

• เฟส 1: พฤศจิกายน 2024 แนะนำให้ใช้ MFA ด้วยการแจ้งเตือนผ่านช่องทางต่างๆ เช่น Google Cloud Console บอกว่ามีข้อดีอย่างไร
• เฟส 2: ต้นปี 2025 บังคับใช้ MFA สำหรับผู้ใช้ที่ล็อกอินด้วยรหัสผ่าน
• เฟส 3: สิ้นปี 2025 บังคับใช้ MFA สำหรับผู้ใช้ที่ล็อกอินผ่านระบบอื่นผ่านมาทาง Google Cloud (federated authentication)

กูเกิลบอกว่าตอนนี้ผู้ใช้กูเกิล 70% ใช้งาน MFA อยู่แล้ว และแนะนำให้เปิดใช้งาน MFA ได้ทันทีในวันนี้เลยผ่านหน้าจอตั้งค่าใน Google Account ไม่ต้องรอบังคับใช้แต่อย่างใด