ไมโครซอฟท์เพิ่มฟีเจอร์ด้านความปลอดภัยให้กับบริการ Microsoft 365 (หรือ Office 365) เปิดทางให้องค์กรสามารถควบคุมการใช้งานบริการภายในได้มากขึ้น

บริการแรกคือ Microsoft Endpoint Data Loss Prevention (DLP) สำหรับการป้องกันพนักงานนำเอกสารออกไปจากองค์กรผ่านการเซฟลงไดรฟ์ USB หรือพิมพ์เอกสารออกมา โดยตัว Endpoint DLP จะทำงานร่วมกับแอปในชุด Office, Microsoft Edge, และ Windows 10 เพื่อควบคุมนโยบายว่าข้อมูลอะไรสามารถทำอะไรได้บ้าง

Diebold Nixdorf ผู้ผลิตตู้เอทีเอ็มรายใหญ่ออกประกาศเตือนลูกค้าถึงการโจมตีถอนเงินออกจากตู้เอทีเอ็ม หรือ Jackpotting ว่ากำลังพบการโจมตีแบบใหม่ที่คนร้ายสามารถส่งคำสั่งตรงเข้าตู้จ่ายธนบัตรเพื่อสั่งจ่ายเงินออกมาได้

การสำรวจความเสียหายพบว่าสาย USB ระหว่างเครื่องพีซีและกล่องจ่ายธนบัตรภายในตู้เอทีเอ็มถูกถอดออก โดยคนร้ายต่อตู้จ่ายธนบัตรเข้ากับพีซีของตัวเอง หรือเรียกว่า Black Box เพื่อสั่งให้กล่องจ่ายธนบัตรออกมาโดยตรง

ทางบริษัทระบุว่า Black Box นั้นเป็นพีซีที่รันซอฟต์แวร์แบบเดียวกับเอทีเอ็มจริงๆ โดยตอนนี้ยังระบุไม่ได้ว่าคนร้ายได้ซอฟต์แวร์ในตู้ไปได้อย่างไร ความเป็นไปได้อย่างหนึ่งคือสำเนาออกไปจากฮาร์ดดิสก์เครื่องเอทีเอ็มที่ไม่ได้เข้ารหัส

ทวิตเตอร์เขียนบล็อกรายงานถึงเหตุถูกแฮกจนคนร้ายสามารถส่งทวีตแทนเจ้าของบัญชี โดยระบุว่าคนร้ายสามารถหลอกให้พนักงานหลายคนใช้รหัสล็อกอิน ไปจนถึงการล็อกอินสองขั้นตอน (น่าจะเป็นการหลอกให้เข้าเว็บภายในของปลอม แต่ไม่ได้ระบุตรงๆ) จนคนร้ายสามารถเข้าถึงระบบภายในได้สำเร็จ

บัญชีเป้าหมายของคนร้ายมีทั้งหมด 130 บัญชี โดยคนร้ายสั่งเปลี่ยนรหัสผ่าน 45 บัญชีแล้วล็อกอินเพื่อทวีตแทนเจ้าของบัญชี ในจำนวนนี้ยังมี 8 บัญชีที่คนร้ายพยายามดาวน์โหลดข้อมูลการใช้งานทั้งหมดผ่านบริการ "Your Twitter Data"

ทวิตเตอร์แถลงยืนยันว่าบัญชีคนดังที่ถูกแฮกโพสหลอกเอาเงิน อย่าง บารัค โอบามา หรือ อิลอน มัสก์ ในวันนี้เกิดจากพนักงานซัพพอร์ตถูกหลอกแบบ social engineering ทำให้แฮกเกอร์เข้าถึงระบบได้

กระบวนการโจมตีเป็นการโจมตีอย่างเจาะจงไปยังพนักงานที่เข้าถึงเครื่องมือภายในของทวิตเตอร์ได้ ทำให้แฮกเกอร์สามารถโพสแทนเจ้าของบัญชี โดยทางทวิตเตอร์ได้ล็อกบัญชีเหล่านี้ทันทีและลบโพสทั้งหมดออก

คำชี้แจงไม่ได้ระบุว่าผลกระทบจะรวมถึงการเข้าถึงข้อความส่วนตัวหรือ direct message หรือไม่ หากได้รับผลกระทบด้วยความร้ายแรงอาจจะมากกว่าที่เห็น

ไมโครซอฟท์ออกแพตช์ประจำเดือนกรกฎาคมโดยแยกประกาศพิเศษให้กับช่องโหว่ CVE-2020-1350 กระทบตั้งแต่ Windows Server 2003 มาจนถึง Windows Server 2019 เปิดทางให้แฮกเกอร์ยิงคิวรี DNS ที่สร้างเฉพาะขึ้นมารันโค้ดบนเซิร์ฟเวอร์เหยื่อได้ โดยระบุว่าแฮกเกอร์อาจโจมตีได้ง่าย คะแนนความร้ายแรงตาม CVSSv3 เป็น 10.0

จากข่าว หน่วยข่าวกรองอังกฤษเตรียมเสนอรัฐบาลแบน Huawei เมื่อสัปดาห์ที่แล้ว วันนี้รัฐบาลอังกฤษประกาศแบนอุปกรณ์เครือข่าย Huawei อย่างเป็นทางการแล้ว

คำสั่งนี้มาจากที่ประชุมสภาความมั่นคงแห่งชาติ (National Security Council หรือ NSC) ที่นายกรัฐมนตรีเป็นประธาน ตามข้อเสนอของศูนย์ความมั่นคงไซเบอร์ (National Cyber Security Centre หรือ NCSC) ด้วยเหตุผลว่า Huawei โดนสหรัฐอเมริกาแบนการใช้ชิปจากสหรัฐในเดือนพฤษภาคม ทำให้ไม่สามารถเข้าถึงเทคโนโลยีบางอย่างของสหรัฐ และชิปทดแทนอื่นๆ ไม่มีความน่าเชื่อมั่นเพียงพอในสายตาของ NCSC

Google Cloud เปิดให้บริการเซิร์ฟเวอร์แบบใหม่ Confidential VM ที่เข้ารหัสข้อมูลตลอดเวลาแม้ขณะประมวลผลและข้อมูลอยู่ในหน่วยความจำ โดยใช้ฟีเจอร์ Secure Encrypted Virtualization (SEV) ของซีพียู AMD EPYC รุ่นที่สอง

SEV เป็นฟีเจอร์ที่ทำให้ VM แต่ละเครื่องสร้างกุญแจเข้ารหัสหน่วยความจำของตัวเองเพื่อให้มั่นใจว่าคนดูแลฮาร์ดแวร์อย่างกูเกิลเองหรือผู้ใช้อื่นที่แชร์เครื่องกันจะไม่สามารถอ่านหน่วยความจำข้ามเครื่องเสมือนได้

Mozilla ประกาศหยุดให้บริการส่งไฟล์ขนาดใหญ่ Firefox Send ชั่วคราว หลังพบว่าถูกใช้แพร่กระจายมัลแวร์

Firefox Send เป็นบริการที่เปิดตัวในปี 2019 ใช้ส่งไฟล์ขนาดใหญ่ไม่เกิน 2.5GB และมีจุดเด่นเรื่องความปลอดภัย (เข้ารหัสไฟล์) และความเป็นส่วนตัว (มีระบบรหัสผ่าน, ใครก็ใช้ได้โดยไม่ต้องล็อกอิน)

อย่างไรก็ตาม จุดขายเหล่านี้กลายเป็นช่องโหว่ให้กลุ่มผู้ปล่อยมัลแวร์ นำมัลแวร์ขึ้นไปฝากไว้บน Firefox Send (เข้ารหัสไฟล์ทำให้ตรวจสอบได้ยาก) และอาศัยปัจจัยว่าโดเมนเนม firefox.com เป็นโดเมนที่น่าเชื่อถือ ฝ่าระบบตรวจจับมัลแวร์ต่างๆ เข้าไปหลอกให้ผู้ใช้ติดตั้งมัลแวร์เหล่านี้ได้

ไมโครซอฟท์เปิดตัว Freta บริการของ Microsoft Research ที่ให้บริการตรวจจับมัลแวร์ในหน่วยความจำด้วยการดึงหน่วยความจำของ VM ออกมาเป็นเป็นอิมเมจแล้วอัพโหลดขึ้น Freta เพื่อดูรายงาน

Freta รองรับไฟล์อิมเมจหน่วยความจำทั้งจาก VMware และ Hyper-V โดยสามารถอ่านอิมเมจและแปลผลหากรันด้วยเคอร์เนลลินุกซ์ยอดนิยมมากกว่า 4,000 เวอร์ชั่น รายงานที่ออกมาจะแสดงข้อมูล เช่น ตัวแปรต่างๆ, โมดูลเคอร์เนลที่โหลดอยู่, รายชื่อ system call, ไฟล์ที่เปิดอยู่, หรือโปรเซส เมื่ออ่านค่าเหล่านี้ทำให้ Freta สามารถแจ้งเตือน เช่น มีไลบรารีโหลดซ้ำซ้อนก็อาจจะเป็น rootkit ฝังอยู่ในเครื่อง

ช่วงต้นเดือนที่ผ่านมา F5 ปล่อยแพตช์ช่องโหว่ CVE-2020-5902 ที่เป็นช่องโหว่ของคอนโซลเว็บคอนฟิกสำหรับ BIG-IP ทำให้แฮกเกอร์เข้ามารันโค้ดได้ (ความร้ายแรงตาม CVSSv3 10 คะแนนเต็ม) และตอนนี้ก็เริ่มมีรายงาน

หลังช่องโหว่ถูกเปิดออกมาก็เริ่มมีคนสร้างคำสั่งสำหรับแฮกด้วยช่องโหว่นี้ออกมา คำสั่งนั้นทำได้ค่อนข้างง่ายด้วยการเขียน curl เพียงบรรทัดเดียว ทำให้ทาง U.S. Cyber Commands ออกมาแจ้งเตือนว่าควรรีบแพตช์

เกิดการถกเถียงกันในวงการความปลอดภัยไซเบอร์ (infosec หรือ information security) หลัง David Kleidermacher หัวหน้าทีมความปลอดภัย Android ประกาศถอนตัวจากเวทีงานสัมมนาความปลอดภัย Black Hat 2020 พร้อมกับเรียกร้องให้เลิกใช้คำว่า black hat/white hat รวมถึงคำที่แบ่งแยกเพศอย่าง man in the middle (MITM)

คำประกาศของ Kleidermacher สร้างเสียงวิพากษ์วิจารณ์ทั้งฝั่งที่เห็นด้วยและไม่เห็นด้วย โดยฝ่ายที่ไม่เห็นด้วยมองคำว่า black hat ว่าเป็นสีของหมวกคาวบอยฝ่ายผู้ร้ายในภาพยนตร์ ไม่เกี่ยวกับการแบ่งแยกสีผิว และมีความหมายที่ต่างจาก blacklist/whitelist ที่เป็นประเด็นในช่วงก่อนหน้านี้

Google ได้ลบแอปมัลแวร์ออกจาก Play Store 25 แอปที่ถูกพัฒนาโดย Rio Reader LLC มียอดดาวน์โหลดรวมกัน 2.34 ล้านครั้ง หลัง Evina บริษัทวิจัยด้านความปลอดภัยค้นพบว่าแอปเหล่านี้ แม้จะใช้งานได้และมีฟังก์ชันที่แตกต่างกันไป แต่เบื้องหลังคือแอปมัลแวร์ที่มีเป้าหมายขโมยข้อมูลล็อกอินเฟซบุ๊ก

แอปเหล่านี้สามารถตรวจจับได้ว่ากำลังเปิดแอปอะไรอยู่ และหากเหยื่อเปิดเฟสบุ๊ก แอปเหล่านี้จะเปิดหน้า phishing ที่เหมือนหน้าล็อกอินเฟซบุ๊กขึ้นมาบน foreground แทน และเมื่อเหยื่อกรอกอีเมลพาสเวิร์ด ข้อมูลเหล่านี้ก็จะถูกส่งไปยังโดเมน airshop.pw (ที่ตอนนี้ถูกปิดไปแล้ว)

ไมโครซอฟท์ออกแพตช์ความปลอดภัยพิเศษ นอกรอบ Patch Tuesday ตามปกติ อุดช่องโหว่ระดับวิกฤต (critical) และระดับสำคัญ (important) อย่างละหนึ่งตัวของ Windows 10 (ย้อนไปตั้งแต่ v1709) และ Windows Server 2019

ช่องโหว่ทั้งสองตัวอยู่ในส่วน Windows Codecs Library ซึ่งเกี่ยวข้องกับหน่วยความจำ หากผู้ใช้รันไฟล์มีเดียที่มีช่องโหว่ และแอพพลิเคชันที่เปิดไฟล์เรียกใช้ Windows Codecs Library ก็อาจได้รับผลกระทบได้

หมายเลขของช่องโหว่รอบนี้คือ CVE-2020-1425 และ CVE-2020-1457 สามารถอัพเดตกันได้ผ่าน Windows Update ตามปกติ

Palo Alto Networks รายงานช่องโหว่ของ PAN-OS ที่ทำให้แฮกเกอร์สามารถข้ามการยืนยันตัวตนในกรณีที่เปิดการยืนยันตัวตนแบบ SAML (Security Assertion Markup Language) เอาไว้ ทำให้แฮกเกอร์สามารถข้ามการล็อกอินทั้งหน้าเว็บอินเทอร์เฟซเอง และ GlobalProtect VPN ไปได้

กระบวนการยืนยันตัวตนผ่าน SAML จะมีตัวเลือก "Validate Identity Provider Certificate" หากเลือกไว้จะทำให้ช่องโหว่นี้ใช้การไม่ได้ อย่างไรก็ดีเซิร์ฟเวอร์ SAML จำนวนมากคอนฟิกด้วยใบรับรองแบบ self-signed ทำให้ผู้ดูแลระบบมักปิดคอนฟิกนี้เอาไว้ และหากเลือกขึ้นมาก็จะล็อกอินไม่ได้

เมื่อต้นปีนี้ Microsoft Defender ประกาศออกเวอร์ชันลินุกซ์, Android, iOS (เฉพาะเวอร์ชันวินโดวส์ที่ใช้ชื่อ Windows Defender) และออกรุ่นพรีวิวของลินุกซ์มาเป็นแพลตฟอร์มแรก

คิวถัดมาคือ Microsoft Defender ATP for Android ที่มีสถานะเป็นรุ่นทดสอบ public preview ให้ใช้กันทั่วไป (ส่วนเวอร์ชัน iOS จะออกตามมาภายในปีนี้) และยังประกาศว่า Microsoft Defender ATP for Linux เข้าสถานะ GA (general availability) เรียบร้อยแล้ว

ฟีเจอร์หลักของ Microsoft Defender ATP for Android ประกอบด้วย

NVIDIA เปิดตัว NVIDIA Mellanox UFM Cyber-AI แพลตฟอร์มตรวจจับความผิดปกติในเน็ตเวิร์ค ตั้งแต่ความผิดปกติด้านประสิทธิภาพ, ชิ้นส่วนอุปกรณ์เสียหาย, หรือมีการโจมตีไซเบอร์เช่นการขุดเหมืองเงินคริปโต

สินค้าในตระกูล UFM ของ NVIDIA เป็นซอฟต์แวร์สำหรับการจัดการเน็ตเวิร์คมีอีกสองตัว คือ UFM Telemetry สำหรับการมอนิเตอร์เครือข่ายส่งข้อมูลไปยังระบบอื่นๆ ต่อไปเปิดตัวในวันนี้ และ UFM Enterprise สำหรับการจัดการเครือข่าย โดย UFM Cyber-AI จะไม่ขายเฉพาะซอฟต์แวร์ แต่ขายทั้งเซิร์ฟเวอร์เป็น appliance พร้อมซอฟต์แวร์

ซูเปอร์คอมพิวเตอร์มีราคาแพงอย่างมาก และระยะยาวที่ระบบดาวน์สร้างความเสียหายได้มาก โดยมีงานวิจัยจาก ITIC ระบุว่าโดยทั่วไปค่าเสียหายอยู่ที่ชั่วโมงละ 300,000 ดอลลาร์หรือประมาณสิบล้านบาท

ทีมข่าวกรองความมั่นคงปลอดภัยของไมโครซอฟท์รายงานถึงกลุ่มแฮกเกอร์ CHIMBORAZO ที่พยายามแพร่มัลแวร์ไปยังเครื่องของเหยื่อโดยส่งลิงก์หรืออีเมลพร้อม iframe ส่งเหยื่อไปยังหน้าเว็บดาวน์โหลดมัลแวร์ ที่น่าสนใจคือลิงก์เหล่านี้กลับถูกบล็อคไว้ด้วย CAPTCHA อีกชั้นหนึ่ง

แนวทางนี้แสดงให้เห็นว่าคนร้ายกำลังพยายามหลบเลี่ยงระบบตรวจสอบลิงก์อัตโนมัติที่บริการอีเมลหรือองค์กรต่างๆ เริ่มจัดหามาใช้กันมากขึ้น โดยระบบตรวจสอบลิงก์จะให้ระบบอัตโนมัติเข้ามาตรวจสอบเนื้อหาในลิงก์ที่แนบมากับอีเมลล่วงหน้าเพื่อตรวจสอบว่ามีการวางมัลแวร์ไว้ในลิงก์หรือไม่

Zoom เปิดเผยว่าเตรียมจะทดสอบการให้บริการโดยการเข้ารหัส end-to-end ในเดือนหน้า โดยเป็นตัวเลือกการเข้ารหัสเสริม แอดมินหรือโฮสต์ต้องเป็นคนเลือกเปิดการเข้ารหัสแบบนี้ ขณะที่การเข้ารหัสดีฟอลต์จะยังคงเป็น AES 256 GCM อยู่

นอกจากนี้ Zoom ยังปรับปรุงเงื่อนไขการเข้ารหัส end-to-end สำหรับแอคเคาท์ฟรีด้วยว่าการใช้งานจะมีการเข้ารหัส ถ้าหากลงทะเบียนยืนยันตัวตนด้วยเบอร์โทรศัพท์มือถือ จากก่อนหน้านี้ที่ระบุว่าแอคเคาท์ฟรีจะไม่มีการเข้ารหัส end-to-end ให้เพราะป้องกันการใช้งานในทางที่ผิด

ที่มา - Zoom

การยืนยันตัวตนแบบสองขั้นตอน (two-factor authentication) ปกติใช้การส่ง OTP มาทางเบอร์โทรศัพท์ แต่ก็มีปัญหาการโคลนซิม หรือการขอซิมใหม่จากผู้ให้บริการมือถือที่เป็นช่องโหว่จนมีการโจมตีแฮกบัญชีผู้ใช้ไปแล้วหลายครั้ง

Google เลยปรับค่าเริ่มต้นของการยืนยันตัวตนแบบสองขั้นตอน ในการล็อกอินเข้าใช้บริการของ Google ให้เป็นการส่ง notification บนมือถือแทนการส่ง SMS เพื่อเพิ่มความปลอดภัยให้กับผู้ใช้ โดยเมื่อผู้ใช้ล็อกอินด้วยรหัสผ่านสำเร็จแล้ว กูเกิลจะส่งหน้าจอแจ้งเตือนไปยังโทรศัพท์ที่เคยล็อกอินบัญชีเดียวกันไว้ แสดงคำถามยืนยันว่าเป็นคนล็อกอินจริงหรือไม่ หรืออาจแสดงตัวเลขบนหน้าจอว่ามองเห็นตัวเลขตรงกันหรือไม่

ซิสโก้เปิดตัว SecureX บริการคลาวด์ที่เป็นแพลตฟอร์มความมั่นคงปลอดภัยไซเบอร์มาตั้งแต่งาน RSA Conference เมื่อต้นปีที่ผ่านมา ตอนนี้ทางบริษัทก็ระบุว่า SecureX พร้อมให้บริการจริงตั้งแต่วันที่ 30 มิถุนายนนี้เป็นต้นไป

SecureX เป็นบริการคลาวด์ที่เชื่อมต่อกับอุปกรณ์ของซิสโก้ได้ทั้งหมด พร้อมกับความสามารถในการเชื่อมต่อกับบริการด้านความมั่นคงปลอดภัยอื่นๆ อีกนับร้อยรายการ โดยสามารถสร้าง playbook สำหรับตอบสนองต่อความผิดปกติในเครือข่ายได้ โดยรวมนับว่าฟีเจอร์ต่างๆ ใกล้เคียงกับ Splunk อย่างมาก

หลังเหตุฮอนด้าประกาศว่าระบบไอทีมีปัญหาทั่วโลกจนกระทบสายการผลิต ล่าสุดก็ออกมีข่าวออกมาว่าการโจมตีครั้งนี้มาจากมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ Snake โดยพบตัวอย่างมัลแวร์อัพโหลดขึ้นไปยัง VirusTotal

ตัวอย่างมัลแวร์ที่พบจะพยายามหาไอพีของโดเมน mds.honda.com ซึ่งเป็นโดเมนภายในบริษัทไม่สามารถ resolve จากภายนอกได้ แสดงให้เห็นว่าตัวมัลแวร์ปรับแต่งมาให้โจมตีทางฮอนด้าโดยเฉพาะ

กลุ่มมัลแวร์ Snake มีประวัติการขโมยข้อมูลไปก่อนการเข้ารหัสเพื่อเรียกค่าไถ่ แต่ทางฮอนด้ายืนยันว่าไม่มีข้อมูลหลุดในตอนนี้

จากข่าวเมื่อเดือนเมษายน ที่บัญชี Nintendo Account 160,000 บัญชีถูกแฮ็ก ล่าสุดนินเทนโดเปิดเผยว่าพบอีก 140,000 บัญชี (รวมเป็น 300,000 บัญชี) โดยบริษัทรีเซ็ตรหัสผ่านของบัญชีเหล่านี้ และแจ้งเตือนผู้ใช้ไปทางอีเมลแล้ว

บัญชีที่ถูกแฮ็กเป็นระบบเก่าที่ใช้งาน Nintendo Network ID (NNID) มาตั้งแต่ยุค Wii U/3DS โดยแถลงการณ์ของนินเทนโดยืนยันว่าข้อมูลที่หลุดไปไม่มีข้อมูลบัตรเครดิตรวมอยู่ด้วย และบริษัทแนะนำให้ผู้ใช้เปิด 2-Step Verification เพื่อความปลอดภัย

ไมโครซอฟท์ปล่อยแพตช์ความปลอดภัยประจำเดือนมิถุนายนตามรอบ Patch Tuesday โดยรอบนี้มีความพิเศษสักหน่อยคือช่องโหว่รันโค้ดระยะไกล (remote code execution - RCE) ที่เป็นช่องโหว่ร้ายแรงระดับวิกฤตินั้นมากถึง 11 รายการ กระทบตัววินโดวส์เอง อย่าง File Explorer, เซิร์ฟเวอร์ SharePoint, เบราว์เซอร์ Edge ในส่วนของ ChakraCore, และ Internet Explorer ส่วน VBScript

แม้จะมีช่องโหว่ร้ายแรงสูงจำนวนมาก แต่ช่องโหว่ในกลุ่มนี้ก็ยังไม่มีรายละเอียดออกมาสู่สาธารณะและไม่มีรายงานการโจมตีจริง โดยมีช่องโหว่ระดับสำคัญรองลงมามีรายงานออกมาจาก ZDI ก่อนหน้านี้เพราะเกินกำหนดการปิดบังช่องโหว่

Michael Gillespie นักวิจัยมัลแวร์เข้ารหัสเรียกค่าไถ่ หรือ ransomware รายงานถึงมัลแวร์ตัวใหม่ที่ชื่อว่า Zorab เป็นมัลแวร์ที่เข้ารหัสข้อมูลซ้ำหลังจากข้อมูลของผู้ใช้ถูกเข้ารหัสจากมัลแวร์ตัวอื่นไปแล้ว

ตัวอย่างมัลแวร์ตัวนี้ที่พบปลอมตัวเป็นตัวถอดรหัสมัลแวร์ STOP Djvu ที่มี Michael เองเคยพบจุดอ่อนและเผยแพร่ตัวถอดรหัสได้ฟรีมาก่อนหน้านี้แล้ว แม้ว่าจะมีเวอร์ชั่นใหม่ๆ ที่ยังไม่มีตัวถอดรหัสออกมา โดยตัว Zorab เมื่อรันแล้วจะเข้ารหัสไฟล์ธรรมดาที่ยังไม่เข้ารหัสด้วย

ตอนนี้มัลแวร์เพิ่งมีรายงานออกมา ยังต้องรอการวิเคราะห์อีกระยะว่าจะมีช่องโหว่ในการเข้ารหัสทำให้ถอดรหัสได้เองหรือไม่