ไมโครซอฟท์ประกาศปิดการทำงานของ VBA macro เป็นค่าดีฟอลต์ ด้วยเหตุผลด้านความปลอดภัย โดยจะมีผลกับโปรแกรมในตระกูล Office จำนวน 5 ตัวคือ Access, Excel, PowerPoint, Visio, Word

เมื่อผู้ใช้เปิดไฟล์เอกสารที่มี VBA ที่ดาวน์โหลดจากอินเทอร์เน็ต (มีสถานะเป็น Mark of the Web - MOTW) จะเห็นแถบข้อความแจ้งเตือน Security Risk ด้านบนของหน้าจอ และมีปุ่ม Learn More เพื่ออธิบายรายละเอียด

ไมโครซอฟท์ออกรายงานสถิติด้านความปลอดภัยไซเบอร์ชื่อ Cyber Signals เป็นครั้งแรก สิ่งที่น่าสนใจคือการเปิดเผยข้อมูลภายในของบริการไมโครซอฟท์เอง

Cisco ออกแพตช์อุดช่องโหว่รันโค้ดระยะไกลบนเราท์เตอร์ตระกูล RV160, RV260, RV340, และ RV345 ที่เป็นตระกูลสำหรับธุรกิจขนาดกลางและเล็ก โดยช่องโหว่มีความร้ายแรงระดับวิกฤติ คนร้ายสามารถรันโค้ดบนเราท์เตอร์ได้โดยไม่ต้องล็อกอินใดๆ ผ่านทางบริการ SSL VPN และหน้าเว็บจัดการเราท์เตอร์

รายงานของ Cisco ครอบคลุมช่องโหว่หลายชุด แต่ที่ร้ายแรงที่สุดคงเป็น CVE-2022-20699 ช่องโหว่รันโค้ดผ่าน SSL VPN เพราะธุรกิจจำนวนมากใช้เราท์เตอร์เหล่านี้เพื่อเป็น VPN gateway ดังนั้นจึงเป็นไปได้สูงว่าเราท์เตอร์เหล่านี้จะเชื่อมต่ออินเทอรร์เน็ตโดยตรง และเปิดให้เข้าถึง SSL VPN ได้ ช่องโหว่นี้กระทบเฉพาะ RV340 และ RV345 เท่านั้น

บริการ DeFi ข้ามเชน Wormhole ถูกแฮกเกอร์เจาะระบบจนสามารถถอน Ethereum และ Solana ออกไปจำนวนมาก รวมมูลค่าประมาณ 295-325 ล้านดอลลาร์ หรือประมาณหมื่นล้านบาท

ตอนนี้ทาง Wormhole ปิดระบบชั่วคราว และยืนยันว่าพบช่องโหว่และแก้ไขเรียบร้อยแล้ว แต่ยังไม่ออกมายืนยันมูลค่าความเสียหายแต่อย่างใด ขณะเดียวกันก็ส่งข้อความไปถึงแฮกเกอร์ ระบุว่ายินดีจ่ายค่ารายงานช่องโหว่เป็นเงินสิบล้านดอลลาร์

Wormhole เป็นแพลตฟอร์ม DeFi ที่มีสินทรัพย์วิ่งอยู่ในแพลตฟอร์มรวมมูลค่าประมาณพันล้านดอลลาร์

GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง ทำให้เกิดปัญหาผู้ดูแลถูกแฮ็กบัญชี แล้วเปลี่ยนแพ็กเกจที่ยัดไส้มัลแวร์อยู่บ่อยครั้ง สร้างผลกระทบเป็นวงกว้าง หนึ่งในมาตรการของ GitHub คือเพิ่มความปลอดภัยของบัญชีผู้ดูแลก่อน โดยเริ่มจากกลุ่ม Top 100 และขั้นต่อไปคือ GitHub จะบังคับ 2FA กับแพ็กเกจที่มียอดดาวน์โหลดเกิน 1 ล้านครั้งต่อสัปดาห์ หรือมีโครงการอื่นเรียกใช้งานเกิน 500 โครงการ

โครงการ Samba ระบบแชร์ไฟร์แบบ SMB (แชร์ไฟล์บนวินโดวส์) แบบโอเพนซอร์ส รายงานถึงช่องโหว่ของโมดูล vfs_fruit ว่ามีช่องโหว่ร้ายแรง หากผู้ใช้มีสิทธิ์เขียนค่า extended attribute ของไฟล์ได้ก็จะรันโค้ดในเซิร์ฟเวอร์ได้

โมดูล vfs_fruit เป็นโมดูลสำหรับการเปิดโหมดแชร์ไฟล์กับระบบปฎิบัติการของแอปเปิล ค่าคอนฟิกมาตรฐานของ Samba เองไม่ได้เปิดใช้งานโมดูลนี้เอาไว้ แต่หากเปิดใช้งานไว้ ค่าคอนฟิกมาตรฐานของ vfs_fruit เองจะกำหนดไว้สองค่า คือ fruit:metadata=netatalk หรือ fruit:resource=file หากค่าคอนฟิกต่างจากนี้ก็ไม่ได้รับผลกระทบ ทางแก้ชั่วคราวมีตั้งแต่การปิดโมดูลทิ้ง หรือการแก้คอนฟิกของโมดูล แต่ผู้ใช้ macOS อาจจะมองไม่เห็นไฟล์อีก

Qubit Finance แพลตฟอร์ม DeFi ข้ามเชนที่เพิ่งถูกแฮกเงินคริปโตไปมูลค่า 80 ล้านดอลลาร์ ประกาศเพิ่มรางวัลสำหรับการคืนเงินเป็น 2 ล้านดอลลาร์ เทียบเท่ากับข้อเสนอที่ Polygon เคยจ่ายมาก่อนหน้านี้และเป็นการจ่ายสูงสุดที่เคยมีมา พร้อมกับสัญญาว่าจะไม่เอาเรื่องคดีความ

สำหรับผู้เสียหาย ทาง Qubit Finance กำลังทำรายงานสรุปยอดความเสียหายรวมให้กับผู้ใช้ พร้อมเอกสารยืนยันในกรณีที่ต้องการเอกสารนำไปแจ้งความ

ก่อนหน้านี้ทาง Qubit เคยพยายามเสนอเงินรางวัล 250,000 ดอลลาร์ และ 1 ล้านดอลลาร์มาก่อนแล้ว แต่แฮกเกอร์ก็ยังไม่ติดต่อกลับมาแต่อย่างใด

ที่มา - @QubitFin

QNAP บังคับอัพเดต QTS 5 ไปยัง NAS จำนวนมาก หลังจากมัลแวร์เรียกค่าไถ่ DeadBolt โจมตี QNAP ที่เปิดให้เข้าถึงผ่านอินเทอร์เน็ตนับพันเครื่อง โดยตัวแทนของ QNAP ไปตอบคำถามใน Reddit ระบุว่าที่ต้องทำเช่นนี้ก็เพื่อรับมือมัลแวร์ DeadBolt และทาง QNAP ก็แจ้งเตือนใน Control Panel ล่วงหน้าว่ากำลังเปิดตัวเลือกอัพเดตอัตโนมัติ

ปัญหาสำคัญคือ QTS 5 นั้นเป็นอัพเดตใหญ่ข้ามเวอร์ชั่นที่หลายคนพบปัญหาการใช้งานเนืองๆ การทำให้แพตช์ใหญ่เช่นนี้กลายเป็นแพตช์ความปลอดภัยทำให้ผู้ใช้จำนวนมากไม่พอใจ เพราะเมื่อมีปัญหาขึ้นมากลายเป็นว่าระบบใช้งานไม่ได้โดยไม่ต้องถูกมัลแวร์โจมตี หลายคนระบุว่าตัดไม่ให้ NAS เข้าถึงจากอินเทอร์เน็ตได้อยู่แล้ว โอกาสที่จะถูกโจมตีจึงต่ำ

Qubit Finance แพลตฟอร์ม Defi ข้ามเชน (Ethereum-Binance) ถูกแฮกดึงโทเค็นออกไปรวมมูลค่า 80 ล้านดอลลาร์ ตอนนี้ทาง Qubit Finance พยายามเปิดทางเจรจากับผู้แฮก โดยเสนอรางวัลรายงานช่องโหว่สูงสุด 250,000 ดอลลาร์ หรือหากแฮกเกอร์ต้องการมากกว่านี้ก็พร้อมเจรจา

แฮกเกอร์อาศัยช่องโหว่ของฟังก์ชั่น deposit ใน smart contract ที่ตรวจสอบเงื่อนไขไม่ครบถ้วน ทำให้แฮกเกอร์สามารถโอน Qubit xETH จาก Null เข้าตัวเองได้ไม่จำกัด ทาง Qubit Finance ระบุว่าฟังก์ชั่น deposit ควรถูกแทนด้วย depositETH ไปแล้ว แต่ใน smart contract ก็ยังมีฟังก์ชั่นนี้อยู่

Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

บริษัทความปลอดภัย Elliptic รายงานการค้นพบบั๊กของ OpenSea แพลตฟอร์มขาย NFT ชื่อดัง ที่เปิดให้แฮ็กเกอร์สามารถซื้องาน NFT ในราคาที่ต่ำกว่าตลาดมากๆ แล้วไปขายต่อในราคาแพงได้

กรณีตัวอย่างเกิดกับงานในคอลเลคชัน Bored Ape Yacht Club NFT หมายเลข #9991 ที่ราคาตลาดขายกันอยู่ราว 198,000 ดอลลาร์ กลับถูกผู้ใช้ชื่อ jpegdegenlove ซื้อในราคาที่ต่ำกว่ามาก (0.77 ETH หรือราว 1,800 ดอลลาร์) แล้วนำกลับไปขายต่อในราคาถูกกว่าตลาดเล็กน้อยคือ 196,000 ดอลลาร์ในเวลาหลังจากนั้นไม่นาน เท่ากับทำกำไร 194,000 ดอลลาร์ (ประมาณ 6.4 ล้านบาท)

ผู้ใช้รายนี้ยังซื้อ NFT อีก 7 ชิ้นด้วยช่องโหว่แบบเดียวกัน ทำกำไรไปอีก 31 ล้านบาท

Monetary Authority of Singapore (MAS) หรือธนาคารกลางสิงคโปร์ ประกาศเพิ่มมาตรการความปลอดภัยหลังจากสองสามเดือนที่ผ่านมา มีผู้ใช้ธนาคารออนไลน์ในสิงคโปร์ตกเป็นเหยื่อ SMS หลอกลวง (phishing) จำนวนมาก และชาวสิงคโปร์เรียกร้องให้เพิ่มมาตรการความปลอดภัยเพิ่มเติม

เหตุ SMS หลอกลวงในสิงคโปร์นั้นคนร้ายอาศัยการตั้งค่า sender ID ให้ตรงกับที่ธนาคารเคยส่งข้อความหาผู้ใช้มาก่อน โปรแกรมอ่าน SMS จึงจัดให้อยู่ในหน้าเดียวกับข้อความที่ธนาคารเคยส่งมา ผู้ใช้จึงหลงเชื่อกันเป็นจำนวนมาก

มาตรการที่ประกาศออกมาร่วมกับสมาคมธนาคารสิงคโปร์ ให้เวลาธนาคารอิมพลีเมนต์มาตรการเพิ่มเติมสองสัปดาห์ เช่น

อาจเป็นอดีตอันไกลโพ้นในโลกไอที เมื่อปี 2016-2017 มีแรนซัมแวร์ Petya ระบาดเป็นวงกว้าง หน่วยงานที่โดน Petya (หรือเวอร์ชันกลายพันธุ์คือ NotPetya) โจมตีคือโดนเข้ารหัสข้อมูล ต้องจ่ายเงินเรียกค่าไถ่ ไม่อย่างนั้นข้อมูลก็สูญหาย เข้าถึงไม่ได้ไปตลอดกาล

Crypto.com เว็บเทรดคริปโตออกแถลงการณ์รายละเอียดการโดนแฮก โดยทางเว็บไซต์ระบุว่าธุรกรรมอนุมัติโดยไม่ผ่านขั้นตอนการยืนยันตัวตนด้วย 2FA ซึ่งถือเป็นกิจกรรมที่ผิดปกติ เมื่อเกิดเหตุการณ์ดังกล่าว ทางเว็บไซต์จึงสั่งหยุดถอนเงิน 14 ชั่วโมงเพื่อตรวจสอบปัญหา

Arm เปิดตัวบอร์ดพัฒนา Arm Morello ซีพียูรุ่นพิเศษที่เพิ่มชุดคำสั่ง CHERI สำหรับการป้องกันช่องโหว่หน่วยความจำที่ระดับฮาร์ดแวร์ แม้ซอฟต์แวร์จะมีช่องโหว่แต่แฮกเกอร์ก็เข้าอ่านข้อมูลได้เพียงบางส่วนเท่านั้น ทำให้ความเสียหายต่ำกว่าทุกวันนี้มาก

ช่องโหว่หน่วยความจำเป็นช่องโหว่ใหญ่ของวงการคอมพิวเตอร์ ซอฟต์แวร์ที่ใช้หน่วยความจำผิดพลาดรูปแบบต่างๆ เช่น stack-overflow, heap-overflow, use-after-free เปิดทางให้แฮกเกอร์เข้ายึดเครื่องได้ในที่สุด แม้ที่ผ่านมาจะความพยายามป้องกันช่องโหว่เหล่านี้หลากหลายรูปแบบทั้งจากระบบปฎิบัติการเอง, ที่ระดับภาษาโปรแกรมมิ่งเช่นภาษา Rust, หรือที่ระดับฮาร์ดแวร์ของซีพียูบางส่วน

เว็บเทรดคริปโต Crypto.com ออกมายอมรับว่าระบบถูกแฮ็ก ส่งผลกระทบต่อบัญชีของผู้ใช้ประมาณ 400 คน

ตอนแรก Crypto.com ประกาศว่าระบบโดนบุกรุก แต่ไม่กระทบกับบัญชีคริปโตของผู้ใช้ โดยบริษัทระงับการถอนเงินออกชั่วคราว บังคับให้ผู้ใช้ทุกคนต้องล็อกอินบัญชีใหม่ และรีเซ็ต 2FA ใหม่

อย่างไรก็ตาม เว็บไซต์ The Block รายงานว่าการแฮ็กระบบครั้งนี้มีเหรียญคริปโตถูกถอนออกไปด้วย ตัวเลขความเสียหายที่ประเมินคือ 4,830 ETH (15 ล้านดอลลาร์) และ 444 BTC (18.5 ล้านดอลลาร์) ซึ่งภายหลัง Kris Marszalek ซีอีโอของ Crypto.com ให้สัมภาษณ์กับ Bloomberg ว่ามีเหรียญถูกถอนออกไปจริง (เขาไม่ยืนยันมูลค่า) กระทบกับผู้ใช้ประมาณ 400 คน ซึ่งบริษัทชดเชยความเสียหายให้ทั้งหมด

เมื่อปีที่แล้ว เราเห็นกลุ่มทุน Symphony Technology Group (STG) เข้าซื้อบริษัทความปลอดภัย 2 แห่งคือ FireEye และ McAfee Enterprise พร้อมประกาศว่าจะควบรวมทั้งสองบริษัทเข้าด้วยกัน

Universal 2nd Factor (U2F) เป็นมาตรฐานความปลอดภัยแบบ 2 ปัจจัยที่ผลักดันโดยกูเกิลและ Yubico มาตั้งแต่ปี 2014 โดยเน้นที่การยืนยันตัวตนด้วยอุปกรณ์ USB key

ภายหลังการยืนยันตัวตนด้วย USB key แพร่หลายมากขึ้น เกิดกลุ่ม FIDO Alliance ที่มีองค์กรเข้าร่วมเป็นจำนวนมาก สุดท้ายผลักดันให้เกิดมาตรฐานใหม่ Web Authentication หรือ WebAuthn ของ W3C ที่ใช้ล็อกอินเว็บโดยไม่ต้องใช้รหัสผ่านแบบเดิม ขึ้นมาทดแทน (จะมองว่า WebAuthn คือ U2F API เวอร์ชัน 2 ก็ได้)

Federal Security Service (FSB) หน่วยงานความมั่นคงรัฐบาลกลางรัสเซียแถลงจับกุมผู้ต้องสงสัยว่าอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ที่บุกเครือข่ายบริษัททั่วโลก โดยเฉพาะการแฮกบริษัท Kaseya ผู้ผลิตซอฟต์แวร์จัดการระบบไอที ทำให้มีบริษัทที่ใช้บริการตกเป็นเหยื่ออีกนับพันราย

การจับกุมครั้งนี้ทาง FSB บุกค้นสถานที่ 25 แห่ง จับกุมผู้ต้องสงสัยได้ 14 คน พร้อมกับยึดทรัพย์สินเป็นเงินคริปโตและเงินสดมูลค่าหลายร้อยล้านบาท, รถหรู 29 คัน, คอมพิวเตอร์, และกระเป๋าเงินคริปโต

Joseph Sullivan อดีตหัวหน้าฝ่ายความปลอดภัยไซเบอร์ (Chief Security Officer) ของ Uber ถูกอัยการตั้งข้อหาเพิ่มเติมเป็นคดีฉ้อโกงอีก 3 คดี จากการปกปิดเหตุบริษัทถูกแฮกเมื่อปี 2016 โดยยื่นฟ้องซ้ำ (superseding indictment) รวมกับข้อหาเดิม 2 ข้อหา คือ การขัดขวางกระบวนการยุติธรรม และการละเลยหน้าที่

Kent Walker จากกูเกิลเขียนบล็อคเล่าถึงข้อเสนอของกูเกิลหลังเข้าร่วมประชุมความปลอดภัยของซอฟต์แวร์โอเพนซอร์สกับทำเนียบขาว (White House Open Source Software Security Summit) โดยระบุถึงสื่งที่ต้องทำเพื่อให้โลกโอเพนซอร์สปลอดภัยขึ้น 3 ด้าน ได้แก่

ไมโครซอฟท์ออกแพตช์ตามรอบปกติเดือนมกราคม รวม 97 รายการ มีช่องโหว่ระดับวิกฤติ 9 รายการ ส่วนใหญ่เป็นช่องโหว่รันโค้ดระยะไกลใน Exchange Server, Office, Codec, และ Curl

ในบรรดาช่องโหว่ทั้งหมด ไมโครซอฟท์แนะนำให้จัดลำดับการแพตช์ช่องโหว่ CVE-2022-21907 ของ HTTP Stack ขึ้นมาเป็นพิเศษ เพราะช่องโหว่นี้เปิดทางให้แฮกเกอร์รันโค้ดผ่านเน็ตเวิร์คได้โดยไม่ต้องล็อกอิน อย่างไรก็ตามคอนฟิกเริ่มต้นไม่ได้รับผลกระทบจากช่องโหว่นี้ ผู้ใช้ต้องเปิดฟีเจอร์ HTTP Trailer Support จึงกระทบ

ในบรรดาช่องโหว่ 97 รายการ มีช่องโหว่ที่ถูกเปิดเผยข้อมูลแล้ว 6 รายการ ยังไม่พบการโจมตีช่องโหว่ใดๆ

ช่วงสุดสัปดาห์ที่ผ่านมา ผู้ใช้ WraithMax บนเว็บไซต์ RaidForums ประกาศขายข้อมูลส่วนบุคคลประมาณ 39 ล้านรายการ โดยระบุว่าเป็นข้อมูลผู้ป่วยโรงพยาบาลศิริราช ล่าสุดทางโรงพยาบาลชี้แจงว่าได้ตรวจสอบร่วมกับสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) แล้วพบว่าไม่ใช่ข้อมูลของโรงพยาบาล

WraithMax ไม่ได้ให้ข้อมูลตัวอย่างไว้ แต่ให้ติดต่อขอข้อมูลตัวอย่างเป็นรายคน และไม่ได้บอกแหล่งที่มาของข้อมูล บอกเพียงว่าเพิ่งโหลดออกมาสัปดาห์ที่แล้ว

ที่มา - โรงพยาบาลศิริราช

Salesforce เตรียมบังคับผู้ใช้ทั้งหมดต้องล็อกอินแบบยืนยันตัวตนหลายชั้นหรือ MFA ภายในวันที่ 1 กุมภาพันธ์นี้ หลังจากประกาศมาตั้งแต่เดือนมีนาคมปีที่แล้ว โดยจุดน่าสนใจคือนโยบายของ Salesforce นั้นนับว่าเข้มกว่าบริการอื่นๆ ที่มักเปิด MFA เป็นทางเลือก หรือหากบังคับก็มักจะมีตัวเลือกหลากหลาย โดยเฉพาะ SMS ที่ไม่ปลอดภัยนัก

Salesforce บังคับใช้ MFA โดยระบุชัดเจนว่าการยืนยันตัวตนผ่านโทรศัพท์, SMS, และอีเมล นั้นไม่นับเป็นการยืนยันตัวตนที่น่าเชื่อถือ ต้องใช้กระบวนการยืนยันตัวตนสมัยใหม่ เช่น แอป TOTP เช่น Google Authenticator หรือ Microsoft Authenticator, กุญแจ U2F/WebAuthn, ตลอดจนการยืนยันตัวตนกับอุปกรณ์ เช่น Touch ID/Face ID/Windows Hello

Nordic Choice Hotels กลุ่มเชนโรงแรมใหญ่ในสแกนดิเนเวียที่มีโรงแรมมากกว่า 200 สาขา เจอปัญหา ransomware ถล่มระบบคอมพิวเตอร์ และยึดไฟล์ข้อมูลของพนักงานเพื่อเรียกค่าไถ่ ทำให้พนักงานต้องเปลี่ยนมาทำงานด้วยกระดาษ-กระดานกันชั่วคราว

เรื่องดูเหมือนองค์กรทั่วไปที่โดน ransomware โจมตี แต่สิ่งที่ Nordic Choice เลือกทำต่างออกไปคือเปลี่ยนพีซีวินโดวส์กว่า 2,000 เครื่องมาเป็น Chrome OS แทน (Nordic Choice มีโครงการเปลี่ยนมาใช้ Chrome OS อยู่แล้ว แต่พอเจอ ransomware เข้าไปเลยเปลี่ยนทั้งหมดทันที)