ในการอัพเดต Patch Tuesday รอบล่าสุด ไมโครซอฟท์ออกมายอมรับว่า มีใบรับรองดิจิทัลของตัวเองที่ใช้งานสำหรับ Windows ถูกนำไปใช้รับรองมัลแวร์ โดยบริษัทความปลอดภัยภายนอก 4 บริษัทได้ค้นพบและแจ้งเรื่องมายังไมโครซอฟท์

ตามปกติการที่บริษัทภายนอกหรือนักพัฒนาจะออกไดร์ฟเวอร์ในระดับเคอร์เนล ต้องผ่านการตรวจสอบและรับรองจากไมโครซอฟท์หลายขั้นตอน เพื่อให้ Windows เรียกไดร์ฟเวอร์นั้นขึ้นมาใช้งาน ซึ่งบริษัทความปลอดภัยก็ตรวจพบว่า มัลแวร์หลายตัว แฝงตัวอยู่ในไดร์ฟเวอร์ จนผ่านการตรวจสอบและรับรองจากไมโครซอฟท์ ขณะที่แอคเคาท์ที่ใช้ยื่นตรวจสอบของคนร้าย ก็ได้ใบรับรอง EV จากหน่วยงานภายนอกด้วย

แอปเปิลประกาศขยายความสามารถในการดูแลความปลอดภัยของบริการบนอุปกรณของแอปเปิลพร้อมกัน 3 รายการครอบคลุมบริการหลักๆ ได้แก่

GitHub ในฐานะเจ้าของระบบจัดการแพ็กเกจ npm ประกาศฟีเจอร์ด้านความปลอดภัยใหม่อีก 2 อย่างดังนี้

• granular access token นักพัฒนาเจ้าของโครงการสามารถให้สิทธิการเข้าถึงแก่นักพัฒนาคนอื่นๆ ได้ละเอียดขึ้น สามารถให้สิทธิเป็นรายเรื่องได้ ไม่ต้องให้สิทธิเต็ม ดังนั้นถ้า token หลุดออกไป (ตัวอย่างตามข่าวเก่า) ก็จำกัดความเสียหายได้ดีขึ้น นอกจากนี้ token ยังมีกำหนดวันหมดอายุ (นานสูงสุด 1 ปี) และจำกัดกลุ่ม IP ของผู้ใช้งานได้ด้วย
• code explorer เดิมทีหากผู้ใช้ npm ต้องการตรวจสอบโค้ดว่าปลอดภัยหรือไม่ จำเป็นต้องดาวน์โหลดไฟล์ npm ไปติดตั้งก่อนซึ่งอาจไม่ปลอดภัย ทางแก้คือใช้ code explorer ที่ดูโค้ดได้จากเว็บ npm portal แทน แต่เดิมทีมันเป็นฟีเจอร์สำหรับผู้ใช้แบบเสียเงินเท่านั้น ล่าสุดคือ GitHub เปิดให้ทุกคนใช้งานฟรี

ทีมความปลอดภัยของ Android แจ้งเตือนว่ามีกุญแจเข้ารหัสของผู้ผลิตฮาร์ดแวร์ OEM หลายรายหลุดออกสู่สาธารณะ ทำให้แฮ็กเกอร์สามารถใช้กุญแจเหล่านี้ sign แอพประสงค์ร้ายให้ดูน่าเชื่อถือได้

เว็บไซต์ Ars Technica ลองตรวจสอบรายชื่อกุญแจที่หลุดออกมา พบว่าเป็นของ Samsung, LG, MediaTek รวมถึงผู้ผลิตฮาร์ดแวร์รายย่อยๆ เช่น Revoview, Szroco

กุญแจของผู้ผลิตฮาร์ดแวร์ OEM เหล่านี้ แตกต่างจากกุญแจของนักพัฒนาแอพทั่วไป เพราะแอพที่ sign ด้วยกุญแจของ OEM จะถูกนำไปรวมใน system image ของระบบ มีสิทธิเข้าถึงระบบมากกว่าแอพที่ติดตั้งผ่าน Play Store ซึ่งแปลว่าแฮ็กเกอร์สามารถสร้างแอพประสงค์ที่เข้าถึงสิทธิต่างๆ ระบบได้มากขึ้น

Rackspace ผู้ให้บริการคลาวด์รายใหญ่ถูกแฮกเซิร์ฟเวอร์ Microsoft Exchange ที่นำมาให้บริการ Hosted Exchange จนระบบล่มยาวนานนับวัน และบริษัทต้องปิดระบบทิ้งเพื่อป้องกันความเสียหายเพิ่มเติม โดยตอนนี้บริษัทให้ทางเลือกลูกค้าด้วยการย้ายไปใช้งาน Microsoft Exchange Plan 1 จนกว่าจะกู้ระบบสำเร็จ

กูเกิลรายงานถึงความเปลี่ยนแปลงภาพรวมของช่องโหว่ความปลอดภัยในแอนดรอยด์โดยเฉพาะช่องโหว่หน่วยความจำที่เป็นกลุ่มใหญ่ เดิมเคยมีรายงานช่องโหว่รวมถึง 75% ของช่องโหว่ทั้งหมด แต่นับจาก Android 11 เป็นต้นมาแอนดรอยด์ก็เริ่มมีโค้ดภาษา Rust เข้ามามากขึ้นเรื่อยๆ จนโค้ดในกลุ่มเนทีฟที่เป็นภาษา Rust ที่เพิ่งเพิ่มเข้ามาใน Android 13 นั้นสูงถึง 21% ใกล้เคียงกับภาษา C แล้ว รวมเฉพาะโครงการ AOSP มีโค้ด Rust ทั้งหมด 1.5 ล้านบรรทัด และจนตอนนี้ก็ยังไม่มีช่องโหว่หน่วยความจำในโค้ดภาษา Rust เลย

โค้ดภาษา Rust ในแอนดรอยด์มากขึ้นเรื่อยๆ พร้อมๆ กับช่องโหว่หน่วยความจำในแอนดรอยด์ก็ลดลงต่อเนื่องเช่นเดียวกัน ในปี 2022 นี้จะเป็นปีแรกที่ช่องโหว่หน่วยความจำของแอนดรอยด์ลดลงเหลือไม่ถึงครึ่งหนึ่งของช่องโหว่ทั้งหมด

Mozilla ประกาศถอดใบรับรองของบริษัท TrustCor ผู้ให้บริการออกใบรับรองรายเล็กออกจากฐานข้อมูล root CA หลังมีรายงานว่า TrustCor มีความเกี่ยวข้องกับบริษัท Measurement Systems ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยที่สร้าง SDK เก็บข้อมูลส่วนบุคคลผู้ใช้จากซอฟต์แวร์จำนวนมาก จนกูเกิลต้องไล่ถอดแอปออกจาก Google Play นับสิบรายการ

ทาง TrustCor ยืนยันว่าเป็นคนละบริษัทกับ Measurement Systems แต่ทั้งสองบริษัทก็มีผู้บริหารที่ทำงานข้ามบริษัทไปมา ทั้งสองบริษัทจดทะเบียนในปานามาในช่วงเวลาใกล้ๆ กัน และยังใช้ศูนย์ข้อมูลแห่งเดียวกัน

LastPass อัพเดตข้อมูลกรณีการโดนแฮ็กเมื่อเดือนสิงหาคม 2022 ที่ตอนแรกเชื่อว่าข้อมูลลูกค้าไม่ได้รับผลกระทบ เพราะแฮ็กเกอร์เข้าถึงเฉพาะซอร์สโค้ดของบริษัท

จากการตรวจสอบอย่างละเอียด LastPass ยอมรับว่าแฮ็กเกอร์เข้าถึงข้อมูลบางส่วนของลูกค้า (certain elements of our customers’ information) แต่ไม่ได้เข้าถึงข้อมูลรหัสผ่านของลูกค้าที่ถูกเข้ารหัสอีกที และตัว LastPass เองก็ไม่สามารถเข้าถึงได้

LastPass บอกว่าตอนนี้กำลังวิเคราะห์อยู่ว่ามีข้อมูลใดบ้างถูกเข้าถึงได้ และจะประกาศข้อมูลเพิ่มเติมต่อไป

กระทรวงกลาโหมสหรัฐฯ ประกาศแผนอิมพลีเมนต์ระบบความปลอดภัยแบบ Zero Trust ทั้งระบบ โดยวางแผนว่าจะสามารถอิมพลีเมนต์ได้สำเร็จทั้งองค์กรภายในปี 2027

การวางระบบความปลอดภัยแบบ Zero Trust จำกัดการเข้าถึงทรัพยากรต่างๆ ในองค์กร โดยตรวจสอบความปลอดภัยทุกอย่าง กระบวนการเข้าถึงแต่ละครั้งต้องตรวจสอบทั้งยืนยันตัวตนผู้ใช้, รูปแบบการเข้าถึงว่าผิดปกติหรือไม่, อุปกรณ์ที่ใช้มีความปลอดภัย โดยการอนุญาตให้เข้าถึงทรัพยากรต่างๆ เป็นรูปแบบที่จำกัดการอนุญาตเท่าที่จำเป็นเท่านั้น

Project Zero ของกูเกิล รายงานช่องโหว่ความปลอดภัยในไดรเวอร์ Arm Mali GPU ที่ใช้กันแพร่หลายในวงการ Android จำนวนรวม 5 จุด โดยส่งข้อมูลนี้ให้บริษัท Arm ในช่วงเดือนมิถุนายน-กรกฎาคม 2022 และ Arm ออกแพตช์อุดช่องโหว่ให้เรียบร้อยแล้วในเดือนสิงหาคม 2022

อย่างไรก็ตาม แพตช์อันนี้กลับไม่ถูกแบรนด์ผู้ผลิตสมาร์ทโฟนนำไปอัพเดตในสินค้าของตัวเองที่ใช้จีพียู Mali (แม้กระทั่ง Pixel ของกูเกิลเองก็ด้วย) ทำให้ช่องโหว่นี้ยังถูกเรียกใช้งานได้อยู่เช่นเดิม ทาง Project Zero ลองตรวจสอบกับตลาดแฮ็กเกอร์ใต้ดินก็พบว่านำช่องโหว่นี้ไปใช้งานกันอย่างแพร่หลายเช่นกัน ทางโครงการจึงออกมากระตุ้นเตือนอีกรอบให้บรรดาผู้ผลิตสมาร์ทโฟนเร่งอัพเดตแพตช์จาก Arm ให้เรียบร้อย

ไมโครซอฟท์ออกรายงานเตือนภัยการใช้งานเว็บเซิร์ฟเวอร์ Boa ที่หยุดพัฒนาไปตั้งแต่ปี 2005 แต่ยังนิยมใช้กันอย่างแพร่หลายในอุปกรณ์ IoT และกล้องวงจรปิด

Boa เป็นซอฟต์แวร์เว็บเซิร์ฟเวอร์ขนาดเล็กที่เขียนขึ้นในปี 1995 และหยุดพัฒนาในปี 2005 จุดเด่นของมันคือใช้ทรัพยากรน้อย ทำให้เป็นที่นิยมในกลุ่มผู้ผลิตอุปกรณ์ IoT และชุดพัฒนา SDK ต่างๆ (ที่ไมโครซอฟท์ระบุยี่ห้อมี 1 รายคือ Realtek) แต่การที่มันไม่ถูกพัฒนามานานมาก ทำให้แทบไม่มีฟีเจอร์ด้านความปลอดภัยใดๆ แม้กระทั่ง access control หรือการรองรับ SSL

NordPass ผู้พัฒนาแอปจัดการรหัสผ่าน ออกรายงานรหัสผ่านยอดนิยมประจำปี 2022 (Top 200 Most Common Passwords) โดยบอกว่าแม้ผู้คนจะตื่นตัวกับความปลอดภัยทางไซเบอร์มากขึ้น แต่พฤติกรรมเก่า ๆ ก็ยังคงอยู่

โดยรหัสผ่านยอดนิยม ที่รวบรวมจากนักวิจัยอิสระและพาร์ตเนอร์ จากฐานข้อมูลหลุดมาซึ่งรวบรวมไว้ขนาด 3TB พบว่า password คือรหัสผ่านยอดนิยมอันดับที่ 1 แซงหน้า 123456 แชมป์เก่าปีที่แล้วไปได้

รหัสผ่านยอดนิยมอื่นที่น่าสนใจ เช่น tinder Oscars batman euphoria encanto ซึ่งมาจากกระแสความนิยมในหัวข้อตามช่วงเวลานั้น

Tailscale ผู้ให้บริการเครือข่ายส่วนตัวผ่านอินเทอร์เน็ต (คล้าย VPN) เปิดบริการ Tailscale Funnel เพื่อให้เครื่องอื่นๆ นอกเครือข่าย tailnet สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ด้วย

บริการ Funnel ทำให้ Tailscale ให้บริการคล้ายกับบริการอย่าง Cloudflare Tunnel ยิ่งขึ้นโดยผู้ใช้ไม่ต้องมีโดเมนเป็นของตัวเอง แต่ใช้โดเมน .ts.net ของ Tailscale

ทาง Tailscale จะส่งแพ็กเก็ตของผู้ใช้แบบที่เข้ารหัสไปยังโหนดของลูกค้าโดยตรงไม่มีการถอดรหัสระหว่างทาง และทาง Tailscale ยืนยันว่าลูกค้าสามารถตรวจสอบได้ว่าทางบริษัทไม่ได้ออกใบรับรองเข้ารหัสสำหรับโดเมน .ts.net เพื่อดักฟังข้อมูล

1Password ผู้ให้บริการ Password Manager เปิดตัวระบบ Passkey ซึ่งเป็นมาตรฐาน WebAuthen ที่ FIDO Alliance พัฒนาร่วมกับ W3C ให้ผู้ใช้สามารถล็อกอินบริการต่างๆ ได้โดยไม่ต้องใช้พาสเวิร์ดอีกต่อไป

จุดที่ 1Password โชว์คือการรองรับการซิงก์ข้ามแพลตฟอร์ม, แชร์ Passkeys กับครอบครัวหรือการพอร์ตข้อมูล โดยลูกค้า 1Password จำเป็นจะต้องใช้ส่วนเสริมบน Chrome เพื่อใช้งาน Passkeys และจะเริ่มให้บริการจริงช่วงต้นปี 2023

ที่มา - 1Password

ดราม่า FTX ยังไม่จบลงง่ายๆ แม้ยื่นขอล้มละลายไปแล้ว ล่าสุด FTX รายงานปัญหาผ่านห้องแชทใน Telegram ว่าโดนแฮ็กที่แอพ FTX Wallet ทำให้แฮ็กเกอร์สามารถโอนเงินคริปโตออกไปได้เป็นมูลค่า 600 ล้านดอลลาร์ (บางแห่งก็บอก 400 ล้านดอลลาร์)

David Schütz นักวิจัยด้านความปลอดภัยจากฮังการีได้เปิดเผยช่องโหว่บนมือถือ Google Pixel ทุกรุ่น สามารถปลดล็อคหน้าจอมือถือของเหยื่อได้โดยไม่ต้องทราบรหัส ล่าสุดกูเกิลอุดช่องโหว่นี้แล้วในแพทช์ล่าสุดเดือนพฤศจิกายน

David เขียนบล็อกเล่าว่าเขาพบช่องโหว่นี้โดยบังเอิญในมือถือ Pixel 6 ส่วนตัว โดยเขาทำมือถือแบตหมดแล้วโดนถาม PIN ของซิมการ์ดตอนเปิดเครื่องซึ่งเขาจำไม่ได้และใส่รหัสผิดครบ 3 ครั้ง ทำให้ต้องใส่รหัส PUK ของซิมแทนซึ่งระบุอยู่บนซองของซิม หลังจากเขาใส่รหัส PUK ที่ถูกต้อง เครื่องก็ให้ตั้ง PIN ของซิมใหม่ แต่ตั้งเสร็จเครื่องกลับให้สแกนนิ้ว ทั้งที่ปกติ Pixel จะต้องใส่ PIN ครั้งแรกหลังบูตเครื่องเพื่อถอดรหัสดิสก์ก่อน

David Schütz นักวิจัยความปลอดภัย รายงานถึงช่องโหว่ที่กูเกิลเพิ่งแพตช์ไปเมื่อวันที่ 5 พฤศจิกายนที่ผ่านมา เป็นช่องโหว่เปิดทางให้คนร้ายที่ได้โทรศัพท์ Pixel ไปสามารถปลดล็อกโทรศัพท์ได้ทันทีโดยไม่ต้องรู้ PIN หรือรหัสผ่าน เพียงแต่ใส่ซิมที่ติดล็อกและต้องปลดล็อกด้วย PUK เท่านั้น

ช่องโหว่นี้อาศัยบั๊ก race condition ของการเรนเดอร์หน้าจอ ทำให้เมื่อผู้ใช้ใส่ PUK code เพื่อปลดล็อกซิมแล้วแอนดรอยด์กลับปิดหน้าจอล็อกทั้งหมดทำให้ผู้ใช้ไปอยู่ที่หน้า Home และใช้งานโทรศัพท์ได้ทันที

เมื่อคืนนี้ ไมโครซอฟท์ออกแพตช์ความปลอดภัย Patch Tuesday รอบเดือนพฤศจิกายน 2022 มีแพตช์สำคัญ 4 ตัวของ Windows และ 2 ตัวของ Exchange Server ที่ควรอัพเดตกันด่วน เนื่องจากพบการโจมตีช่องโหว่เหล่านี้แล้ว

ช่องโหว่ 4 ตัวของ Windows กระจายกันไปหลายด้าน เช่น Windows Scripting Languages, Web Security, Print Spooler, CNG Key Isolation กระทบกับ Windows ทุกเวอร์ชัน (ที่ยังอยู่ในระยะซัพพอร์ตคือ 10, 11 และ Windows Server 2016, 2019, 2022) ส่วนช่องโหว่ของ Microsoft Exchange กระทบตั้งแต่เวอร์ชัน 2013, 2016, 2019

ช่องโหว่ทั้งหมดของรอบนี้มี 68 ตัว ครอบคลุมผลิตภัณฑ์หลากหลาย เช่น .NET, Azure, Dynamics, Office, Visual Studio รวมถึงเคอร์เนลลินุกซ์ที่ใช้ใน WSL2 ด้วย

ไมโครซอฟท์ออกรายงาน Microsoft Digital Defense Report 2022 รายงานถึงภัยไซเบอร์และการป้องกันในช่วงปีที่ผ่านมา ความเปลี่ยนแปลงสำคัญคือการโจมตีโครงสร้างพื้นฐานสำคัญยิ่งยวด (critical infrastructure) เพิ่มขึ้นอย่างรวดเร็ว ในช่วงหลังจากรัสเซียเริ่มโจมตียูเครน ทำให้โครงสร้างไอทีในชาตินาโต้ถูกโจมตีไปด้วย

รายงานยังระบุถึงกลุ่มแฮกเกอร์จีนว่าใช้งานช่องโหว่ที่ไม่เคยมีรายงานมาก่อน (zero-day) เพิ่มขึ้นเรื่อยๆ โดยการใช้ช่องโหว่เหล่านี้เพิ่มขึ้นสอดคล้องกับการประกาศกฎหมายรายงานช่องโหว่ซอฟต์แวร์ที่ต้องแจ้งรัฐบาลก่อนเสมอ

systemd ออกเวอร์ชั่น 252 เมื่อสัปดาห์ที่ผ่านมา โดยเปลี่ยนระบบการบูตใหม่ ไปใช้ unified kernel image (UKI) อิมเมจของเคอร์เนลลินุกซ์ที่รวมกับอิมเมจของ /initrd/, และ UEFI boot stub เข้าไว้ด้วยกัน เพื่อปิดช่องโหว่การโจมตีดิสก์เข้ารหัสด้วยการเปลี่ยนเคอร์เนลระหว่างรัน

Dropbox เปิดเผยว่าถูกแฮ็กเข้าระบบจัดการซอร์สโค้ดภายใน (เป็น GitHub แบบบัญชีองค์กร) โดยแฮ็กเกอร์ใช้วิธี phishing หลอกเอาล็อกอิน สามารถเข้าถึงซอร์สโค้ดจำนวน 130 repositories และข้อมูลพนักงาน-คู่ค้าจำนวนหนึ่ง แต่เข้าไม่ถึงซอร์สโค้ดของแอพหลัก และข้อมูลทั้งหมดของลูกค้า

Dropbox บอกว่าได้รับแจ้งเตือนจาก GitHub ที่ตรวจพบความเคลื่อนไหวผิดปกติของบัญชีนักพัฒนา หลังสอบสวนแล้วพบว่าบัญชีถูกแฮ็ก โดยแฮ็กเกอร์ปลอมตัวเป็นอีเมลของระบบ CircleCI บริการ CI/CD ที่ Dropbox ใช้งาน หลอกเอา API key ของบัญชีพนักงานรายหนึ่งไปได้

OpenSSL ออกอัพเดต 3.0.7 ตามที่ประกาศไว้ก่อนหน้านี้ อย่างไรก็ดีทางโครงการระบุว่าเมื่อวิเคราะห์ช่องโหว่แล้วพบว่าการโจมตีทำได้ยากกว่าที่คิดตอนแรก ทำให้ความร้ายแรงจากระดับวิกฤติเหลือระดับร้ายแรงสูง

mitmproxy พรอกซี่สำหรับตรวจสอบข้อมูลที่เข้ารหัส เช่น HTTPS เปิดตัวเวอร์ชั่น 9 โดยเพิ่มฟีเจอร์สำคัญสองอย่างคือการดัก UDP และมี Wireguard มาในตัว

การดักฟัง UDP นั้นใช้ได้ทั้ง UDP ธรรมดา และ DTLS ที่เข้ารหัส ทำให้โดยรวมแล้วผู้ใช้จะสามารถส่องข้อมูลการเชื่อมต่อโปรโตคอลเข้ารหัสได้เหมือน TLS ปกติ

โหมด Wireguard ทำให้สามารถบังคับแอปพลิเคชั่นต่างๆ ให้เชื่อมต่อผ่าน mitmproxy ได้ง่ายขึ้นเพราะตัวโปรแกรมทำหน้าที่เป็นเซิร์ฟเวอร์ VPN (แต่ยังต้องติดตั้ง root CA ของ mitmproxy เองอยู่) ฟีเจอร์นี้ทำให้ตรวจสอบทราฟิกแอปบนโทรศัพท์มือถือได้ง่ายขึ้นเพราะเพียงสแกน QR คอนฟิกของ mitmproxy ก็จะบังคับให้แอปพลิเคชั่นเชื่อมต่อได้เลย ฟีเจอร์นี้ยังเป็นฟีเจอร์แรกที่พัฒนาด้วย Rust ของโครงการ

โครงการ Fedora ประกาศเลื่อนการออก Fedora 37 เป็นกรณีพิเศษ เนื่องจากช่องโหว่ระดับวิกฤตของ OpenSSL ที่จะเปิดเผยต่อสาธารณะในวันอังคารหน้า ทำให้ทีม Fedora ตัดสินใจรอแพตช์ OpenSSL ให้เรียบร้อยก่อนออกเวอร์ชัน 37 ตัวจริง (เดิมมีกำหนดออก 8 พฤศจิกายน)

ทีม Fedora บอกว่าตอนนี้ยังไม่รู้ข้อมูลที่ชัดเจนว่าช่องโหว่ OpenSSL ร้ายแรงแค่ไหน แต่การที่ระดับของช่องโหว่เป็น critical ทำให้ทีมงานตัดสินใจรอแพตช์ก่อน เพื่อลดผลกระทบของการใช้ดิสโทรที่มีช่องโหว่ติดไปด้วย ซึ่งเป็นการตัดสินใจเลือกระหว่างเวลา-คุณภาพ

เบื้องต้นทีมงานคาดว่าจะออก Fedora 37 ในวันที่ 15 พฤศจิกายน แต่ก็ต้องรอข้อมูลแพตช์อีกครั้ง

OpenSSL ประกาศแจ้งเตือนล่วงหน้าว่าโครงการกำลังออกแพตช์ความปลอดภัยแก้ไขช่องโหว่ระดับวิกฤติ โดยช่องโหว่นี้กระทบ OpenSSL ในตระกูล 3.0 เท่านั้น และจะออกแพตช์เป็น OpenSSL 3.0.7

เวลาที่ออกแพตช์คือวันที่ 1 พฤศจิกายนที่จะถึงนี้ ช่วงเวลาระหว่าง 2 ทุ่มถึงเที่ยงคืนตามเวลาประเทศไทย