Wireshark โปรแกรมวิเคราะห์แพ็กเก็ตเน็ตเวิร์ค ออกเวอร์ชั่น 4.0 ปรับปรุงฟีเจอร์สำคัญสองจุดและฟีเจอร์ย่อยๆ อีกจำนวนมาก ส่วนที่ปรับปรุงได้แก่

ไมโครซอฟท์รายงานถึงกลุ่มแฮกเกอร์ ZINC ที่มีฐานอยู่ในเกาหลีเหนือพยายามโจมตีองค์กรจำนวนมาก ทั้งในสหรัฐฯ, สหราชอาณาจักร, อินเดีย, และรัสเซีย โดยอาศัยการหลอกเหยื่อประกอบกับการแปลงโปรแกรมโอเพนซอร์สที่ใช้งานได้จริง แต่มีฟีเจอร์มุ่งร้ายฝังอยู่ภายใน

ช่วงเริ่มต้นกลุ่ม ZINC จะแสดงตัวเป็นฝ่ายบุคคลที่ตามหาผู้สมัครให้กับบริษัทใหญ่ๆ แล้วติดต่อเหยื่อผ่านทาง LinkedIn จากนั้นจะพยายามหลอกล่อให้เหยื่อไปคุยกันผ่านทาง WhatsApp และส่งโปรแกรมให้เหยื่อ โดยโปรแกรมทำงานได้ตามปกติแต่แอบติดต่อเซิร์ฟเวอร์ของคนร้ายเพื่อขโมยข้อมูล

ไมโครซอฟท์ออกมายืนยันช่องโหว่ Zero-day 2 รายการ มีผลกระทบกับ Microsoft Exchange Server 2013, Exchange Server 2016 และ Exchange Server 2019 ซึ่งมีรายงานการถูกโจมตีด้วยช่องโหว่นี้แล้วในวงจำกัด

สองช่องโหว่คือ CVE-2022-41040 ที่เป็นช่องโหว่ใน Server-Side Request Forgery หรือ SSRF และ CVE-2022-41082 ที่โจมตีผ่าน Remote Code Execution หรือ RCE หากผู้โจมตีเข้าถึงสิทธิ PowerShell ได้ โดยในการโจมตีนั้นต้องเข้าถึงผ่าน CVE-2022-41040 ก่อน แล้วจึงส่งคำสั่งผ่าน CVE-2022-41082

Cloudflare ประกาศความร่วมมือกับ Yubico ผู้ผลิตกุญแจยืนยันตัวตนชื่อดัง จำหน่ายกุญแจที่ราคาอันละ 10 ดอลลาร์สหรัฐหรือราว 380 บาท

Cloudflare ระบุว่าการเสริมความปลอดภัยของการล็อกอินสมัยนี้ด้วยวิธี MFA ที่ใช้เพียงรหัส OTP ทาง SMS หรือเลข OTP จากแอพ Authenticator ต่างๆ นั้นปลอดภัยไม่พอแล้ว เพราะยังมีช่องโหว่ฟิชชิ่ง (phishing) เพื่อหลอกเอารหัส OTP อยู่ โดยวิธีที่จะป้องกันการฟิชชิ่งได้คือการใช้กุญแจยืนยันตัวตนแบบฮาร์ดแวร์ หรือ security key นั่นเอง

ไมโครซอฟท์เริ่มเปิดฟีเจอร์หน่วงเวลา หากผู้ใช้พยายามเข้าถึงไฟล์แชร์ผ่านโปรโตคอล SMB แต่ใส่รหัสผ่านผิด โดยค่าเริ่มต้นจะเป็นการหน่วงเวลา 2 วินาที ทำให้ในกรณีที่แฮกเกอร์เข้าถึงเน็ตเวิร์คได้และพยายามสแกนรหัสผ่านก็จะใช้เวลานานขึ้นมาก เพราะเดิมสามารถยิงได้วินาทีละ 300 ครั้งเลยทีเดียว

ฟีเจอร์นี้ใส่มาใน Windows Insider และ Windows Server Insider ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่ปิดการทำงานไว้เป็นค่าเริ่มต้น ในเดือนนี้ไมโครซอฟท์จะเริ่มเปิดการใช้งานเฉพาะ Window Insider ก่อน โดยปรับได้ทีละ 0.1 วินาที และได้สูงสุด 10 วินาที โดยไม่สามารถตั้งได้ว่าหากผิดซ้ำๆ แล้วให้หน่วงนานขึ้น

หลังจากมีข่าวเจ้าของบัญชีถูกถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE จนกระทั่งเงินถูกโอนออกจากบัญชี 1.4 ล้านบาท ทางธนาคารไทยพาณิชย์ก็แถลงชี้แจงว่าการถอนเงินไม่ได้เกิดจากความผิดปกติของธนาคาร แต่ผู้ถูกหลอกให้ติดตั้งโปรแกรมซึ่งอยู่นอกเหนือความรับผิดชอบของธนาคาร

ทางธนาคารไทยพาณิชย์ระบุว่าธนาคารไม่มีนโยบายส่งข้อความผ่านทาง SMS, อีเมล, LINE, หรือช่องทางออนไลน์ต่างๆ เพื่อขอข้อมูลส่วนตัวหรือรหัสผ่านลูกค้า

แถลงของธนาคารไม่ได้บอกรายละเอียดของเหตุการณ์ครั้งนี้โดยตรง แต่แนะนำ 3 ประเด็น ได้แก่

2K Games ประกาศแจ้งเตือนลูกค้าว่าพบการแฮ็กเข้ามายังระบบ help desk ของบริษัทภายนอกที่ 2K ใช้งาน (2K ไม่เปิดเผยชื่อ แต่จากภาพตัวอย่างคือ Zendesk) และพบการส่งข้อความ phishing ทางอีเมล หลอกให้ผู้ใช้กดลิงก์ประสงค์ร้าย

2K Games เตือนว่าหากพบอีเมลจากบัญชี 2K Games support ให้ไม่ต้องเปิดและคลิกลิงก์ใดๆ แต่หากกดไปแล้ว ก็ควรตรวจสอบรหัสผ่านของตัวเอง และพยายามเปิดใช้ระบบ MFA ของบัญชีต่างๆ เท่าที่ทำได้

ผู้ที่ได้รับอีเมลจาก 2K Support คือผู้ที่เคยเปิด ticket ผ่านระบบซัพพอร์ตของ 2K มาก่อน และอีเมลอยู่ในระบบของ 2K Support แม้เคยเปิด ticket มานานมากแล้วก็ตาม

จากข่าวมัลแวร์ดูดเงินคนไทยที่ปลอมตัวเป็นแอปกรมสรรพากร คำถามอย่างหนึ่งคือโปรแกรมป้องกันไวรัสทั้งหลายสามารถช่วยป้องกันมัลแวร์เหล่านี้ได้หรือไม่ ล่าสุดผมตรวจสอบค่าแฮชของไฟล์ APK จาก TTC-CERT พบว่าตอนนี้ยังไม่มีโปรแกรมป้องกันไวรัสตัวใดสามารถตรวจจับมัลแวร์ที่มุ่งโจมตีคนไทยตัวนี้ได้เลย ปัญหานี้อาจจะเป็นปัจจัยหนึ่งที่ทำให้มัลแวร์สามารถโจมตีคนไทยได้ต่อเนื่องเป็นเวลานาน

เมื่อวานนี้มีข่าวถึงเจ้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้

Uber ออกรายงานชี้แจงการถูกแฮ็กครั้งใหญ่เมื่อสัปดาห์ที่แล้ว จุดเริ่มต้นเกิดจากบัญชีพนักงานสัญญาจ้าง (Uber EXT) ถูกแฮ็กก่อน โดยคาดว่าแฮ็กเกอร์ใช้วิธีซื้อรหัสผ่านรั่วมาจากแหล่งใต้ดิน dark web อีกที

ระบบของ Uber มีการยืนยันตัวตน 2FA ช่วยป้องกันอยู่ แฮ็กเกอร์จึงพยายามล็อกอินอยู่หลายครั้ง และมีครั้งที่พนักงานรายนี้เผลอกดยืนยันการล็อกอิน (ของแฮ็กเกอร์) เลยเข้าระบบได้

จากนั้น แฮ็กเกอร์เข้าถึงบัญชีของพนักงานคนอื่นๆ ได้ และสุดท้ายได้สิทธิเข้า G-Suite กับ Slack และโพสต์ข้อความประกาศการแฮ็กใน Slack ของบริษัท

Kiwi Farms เว็บบอร์ดที่มีชื่อเรื่องรวมข้อมูลส่วนบุคคลเพื่อโจมตีบุคคลข้ามเพศ ตอนนี้โดนแฮ็กเรียบร้อย ถูกเข้าถึงข้อมูลอีเมล รหัสผ่าน และหมายเลขไอพี

Joshua Moon ผู้ก่อตั้ง Kiwi Farms บอกว่าบัญชีแอดมินบอร์ดของเขาโดนแฮ็ก ดังนั้นขอให้ผู้ใช้ทุกคนทำใจว่าข้อมูลข้างต้นทั้งหมดหลุดไปด้วย เขาขอให้ผู้ใช้อ่านวิธีป้องกันตัวจากเว็บไซต์ privacyguides.org แม้จะเกลียดเว็บนี้ก็ตาม

ตอนนี้ ระบบเว็บบอร์ดของ Kiwi Farms ถูกปิดไปชั่วคราว และจะเปิดระบบกลับมาโดยใช้แบ็คอัพของวันที่ 17 กันยายน

โครงการ Chromium ที่เป็นฐานของเบราว์เซอร์ Chrome ประกาศโครงการ Chrome Root Program และ Chrome Root Store เพื่อจัดการฐานข้อมูล root CA ที่สามารถออกใบรับรองเข้ารหัสแบบต่างๆ ได้

ที่ผ่านมา Chromium/Chrome ใช้ฐานข้อมูล root CA ของแพลตฟอร์มเป็นหลัก ทำให้ประสบการณ์ใช้งานต่างกันในแต่ละแพลตฟอร์ม เช่น บนระบบปฎิบัติการรุ่นเก่าๆ ก็อาจจะไม่สามารถเข้าเว็บที่ใบรับรองจาก root CA ใหม่ๆ ได้แม้จะใช้ Chrome รุ่นใหม่ก็ตาม อย่างไรก็ดี แม้จะใช้ฐานข้อมูลของระบบปฎิบัติการแต่ที่ผ่านมา Chrome ก็มีนโยบายเพิ่มเติมไม่ยอมรับ root CA บางรายอยู่แล้ว เช่น เหตุการณ์ถอดถอน root CA ของ Synmantec การมีโครงการ root CA ของตัวเองจะทำให้ตัวเบราว์เซอร์ควบคุมได้มากขึ้น

LastPass ออกรายงานสรุปการสอบสวนกรณีถูกแฮ็กระบบเมื่อปลายเดือนสิงหาคม โดยระบุว่าจ้างบริษัท Mandiant ที่เป็นผู้เชี่ยวชาญด้านการตรวจสอบความปลอดภัยมาช่วย

Uber ออกมาชี้แจงรายละเอียดเพิ่มเติม หลังมีข่าวว่าถูกแฮ็ก ทำให้เข้าถึงระบบภายในของบริษัทได้หลายตัว

โดย Uber บอกว่ายังไม่พบหลักฐาน ว่ามีข้อมูลผู้ใช้งานที่สำคัญหลุดออกไป เช่น ประวัติการเดินทาง, ปัจจุบันบริการทั้งหมดสามารถใช้งานได้ตามปกติ ส่วนระบบเครื่องมือภายในที่ปิดการใช้งานไปเมื่อวาน ตอนนี้กลับมาใช้งานตามเดิมแล้ว

Uber บอกจะให้รายละเอียดเพิ่มเติมเมื่อมีความคืบหน้า โดยเบื้องต้นได้ดำเนินการในขั้นตอนทางกฎหมายแล้ว

ที่มา: Uber

มีแฮ็กเกอร์รายหนึ่งประกาศว่าแฮ็กระบบของ Uber ได้ และเข้าถึงระบบภายในจำนวนมาก เช่น อีเมล Google Workspace, Slack, ซอฟต์แวร์ความปลอดภัย, คอนโซล AWS, VMware ESXi เป็นต้น ตอนนี้ขอบเขตความเสียหายยังไม่ชัดเจน โดยเฉพาะเรื่องข้อมูลของลูกค้า-คนขับ แต่คาดว่าน่าจะโดนเยอะเลยทีเดียว

แฮ็กเกอร์รายนี้ที่อ้างว่าตัวเองมีอายุ 18 ปี ให้สัมภาษณ์กับ The New York Times ว่าใช้วิธี social engineering หลอกว่าเป็นเจ้าหน้าที่ฝ่ายไอทีของบริษัท ชักจูงจนได้รหัสผ่านจากพนักงาน และสามารถเจาะเข้าระบบ VPN ภายในได้ (ตอนนี้ยังไม่มีข้อมูลว่าผ่าน 2FA อย่างไร หรือไม่มี 2FA ป้องกันเลย)

Let's Encrypt บริการ Certification Authority (CA) ฟรีเปิดบริการ Certificate Revocation Lists (CRLs) สำหรับการประกาศใบรับรองที่ถูกยกเลิกเมื่อมีปัญหาความปลอดภัยของใบรับรอง แม้ว่าที่ผ่านมาหลายปี Let's Encrypt จะไม่รองรับ CRL เลยก็ตาม

นอกจาก iOS 16 ที่เปิดให้อัพเดตแล้ว แอปเปิลยังออกอัพเดตย่อยของระบบปฏิบัติการ iOS 15.7 และ iPadOS 15.7 สำหรับผู้ใช้ iPhone และ iPad เพื่อแก้ไขปัญหาช่องโหว่ความปลอดภัยเท่านั้นอีกด้วย

iOS 15.7 สามารถอัพเดตได้ทั้งผู้ใช้งานอุปกรณ์รองรับ iOS 15 ที่ไม่สามารถอัพเดตเป็น iOS 16 (iPhone 6s, iPhone 7 และ iPhone SE รุ่นแรก) รวมทั้งผู้ใช้งานที่ยังไม่ต้องการอัพเดตเป็น iOS 16 ก็สามารถเลือกอัพเดตแค่ iOS 15.7 ก่อนได้ ส่วนผู้ใช้ iPad ที่รองรับ iPadOS 15 สามารถอัพเดตได้ทุกคน เนื่องจาก iPadOS 16 ยังไม่ออกมา

VMware รายงานผลทดสอบประสิทธิภาพเคอร์เนลลินุกซ์เวอร์ชั่น 5.19 พบว่าประสิทธิภาพตกลงมากเนื่องจากเวอร์ชั่นนี้มีแพตช์แก้ช่องโหว่ Retbleed เข้ามาด้วย โดยกระทบโหลดประมวลผลสูง (compute) สูงสุด 70%, โหลดเน็ตเวิร์คกระทบ 30% และโหลดแบบสตอเรจกระทบ 13%

ผลกระทบนี้นับว่าสูงกว่าผลกระทบที่นักวิจัยจาก ETH Zurich เคยรายงานไว้ในงานวิจัยว่าน่าจะกระทบประสิทธิภาพลินุกซ์ 14-39% ช่องโหว่ Retbleed นี้เป็นช่องโหว่กลุ่มเดียวกับ Spectre ที่อาศัยฟีเจอร์ของซีพียูที่พยายามเร่งความเร็วในการประมวลผลด้วยการคาดเดาว่าต้องรันคำสั่งใดเป็นคำสั่งต่อไป

กูเกิลออกอัพเดต Chrome เวอร์ชัน 105.0.5195.102 ทั้งบน Windows, Mac และ Linux ซึ่งแก้ไขบั๊ก Zero-Day โดยมีความรุนแรงระดับ High จึงแนะนำให้ผู้ใช้งาน Chrome อัพเดตทันที

ช่องโหว่ที่แก้ไขคือ CVE-2022-3075 ที่อาศัยช่องโหว่ในไลบรารี่ของ Mojo ทั้งนี้กูเกิลระบุว่าจะเปิดเผยรายละเอียดของบั๊กนี้เมื่อมีผู้อัพเดตเบราว์เซอร์เป็นจำนวนมากพอสมควร แม้มีรายงานการโจมตีแล้ว

อัพเดตดังกล่าวเป็นการแก้ไขช่องโหว่ Zero-Day ครั้งที่ 6 ในปีนี้ของ Chrome

ที่มา: Bleeping Computer

QNAP แจ้งเดือนว่าแรนซัมแวร์ DEADBOLT เริ่มโจมตีแอป Photo Station ในตัว NAS ทำให้สามารถเข้ารหัสสตอเรจได้ทั้งหมด และควรอัพเดตเป็นเวอร์ชั่นล่าสุดทันที

สำหรับการใช้งานระยะยาว QNAP แนะนำให้ย้ายจาก Photo Station ไปยัง QuMagie แทน นอกจากนั้นยังควรซ่อน NAS ไม่ให้สามารถเข้าถึงจากอินเทอร์เน็ตโดยตรง ไม่ว่าจะใช้ myQNAPcloud Link หรือ VPN บนตัว QNAP เอง เพื่อลดความเสี่ยง

ทาง QNAP ระบุว่าออกแพตช์ได้ภายใน 12 ชั่วโมงหลังจากเริ่มมีรายงานครั้งนี้

ที่มา - QNAP

ไมโครซอฟท์ปล่อยอัพเดตสำหรับ Windows Defender เวอร์ชั่น 1.373.1508.0 เมื่อวานนี้ โดยเพิ่ม signature สำหรับมัลแวร์ Win32/Hive.ZY เข้ามาด้วย แต่ปรากฎว่า signature นี่มีความผิดพลาด ทำให้ Windows Defender แจ้งเตือนแอปกลุ่มที่เกี่ยวข้องกับเบราว์เซอร์และ Electron ทั้งหมดว่ากลายเป็นมัลแวร์

แอปที่ถูกตรวจผิดพลาดมีตั้งแต่ Edge ของไมโครซอฟท์เอง, Google Chrome, Discord และแอป Electron อีกจำนวนมาก สร้างความตกใจให้กับผู้ใช้ว่าเครื่องติดมัลแวร์

ล่าสุดไมโครซอฟท์ปล่อยอัพเดต 1.373.1537.0 แก้ไขเรียบร้อยแล้ว ใครที่ได้รับแจ้งว่าเครื่องติดมัลแวร์ควรอัพเดตแล้วตรวจซ้ำอีกรอบ

มีรายงานจากสำนักข่าวรัสเซีย @runews ว่าสัปดาห์ที่ผ่านมา มีคนแฮ็กระบบของแอพเรียกรถ Yandex Taxi และสั่งให้แท็กซี่ที่ว่างอยู่ตอนนั้นไปรวมตัวกันที่ถนน Kutuzovsky Prospekt กลางกรุงมอสโก และเกิดภาวะจราจรติดขัดบริเวณนั้น

โฆษกของ Yandex ยืนยันการแฮ็กระบบครั้งนี้จริง แต่ก็ไม่ได้ให้รายละเอียดเพิ่มเติมว่าถูกโจมตีได้อย่างไร บอกแค่ว่าภาวะการจราจรคลี่คลายภายในเวลาไม่ถึง 1 ชั่วโมง

เหตุการณ์นี้อาจคล้ายๆ กับภาพยนตร์ The Fate of the Furious (Fast and Furious ภาค 8) ที่ตัวละครในหนังสร้างภาวะรถติดในนครนิวยอร์กด้วยการแฮ็กระบบรถยนต์ แต่กรณีการแฮ็ก Yandex ถือเป็นครั้งแรกที่เกิดจากแอพเรียกรถลักษณะนี้

แอปเปิลออกอัพเดต iOS 12.5.6 สำหรับ iPhone, iPad และ iPod touch รุ่นเก่า ที่ไม่สามารถอัพเดตเป็นระบบปฏิบัติการเวอร์ชันล่าสุด iOS 15 ได้แก่ iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (6th Gen)

ในอัพเดต iOS 12.5.6 นี้ แอปเปิลระบุว่าแก้ไขช่องโหว่สำคัญของ WebKit ซึ่งมีรายงานการโจมตีแล้ว ผู้ที่ใช้อุปกรณ์กลุ่มดังกล่าวจึงควรอัพเดตระบบปฏิบัติการให้เป็นเวอร์ชันนี้ ทั้งนี้ช่องโหว่ดังกล่าวแอปเปิลได้แก้ไขไปแล้วใน iOS 15.6.1, iPadOS 15.6.1 และ macOS Monterey 12.5.1

ผู้ใช้งานสามารถอัพเดตผ่าน OTA ได้ โดยไปที่ Settings เลือก General และ Software Update

ไมโครซอฟท์รายงานถึงช่องโหว่ใน API ที่ TikTok เพิ่มลงในเบราว์เซอร์ภายในแอปผ่านทาง WebView เปิดทางให้แฮกเกอร์ดึงเอา token สำหรับยืนยันตัวตนไปได้ โดยทีมงานของไมโครซอฟท์ยืนยันช่องโหว่ด้วยการสร้างลิงก์ที่ผู้ใช้ TikTok บนแอนดรอยด์คลิปแล้วจะถูกเปลี่ยนโปรไฟล์เป็น "!! SECURITY BREACH !!!"

ช่องโหว่ใน API ของ WebView อาจจะต้องเปิดจากลิงก์ในแอปเท่านั้ แต่เนื่องจากตัวแอป TikTok รองรับ deeplink ผ่านทาง URL ที่ขึ้นต้นด้วย https://m.tiktok[.]com/redirect อีกทางทำให้แฮกเกอร์สามารถสร้างลิงก์จากภายนอกแอปแต่ก็เปิดจากเบราว์เซอร์ในแอป TikTok อยู่ดี แม้ที่จริง TikTok จะป้องกันการทำเช่นนี้ไว้แต่ทีมงานของไมโครซอฟท์ก็พบวิธีการหลบฟิลเตอร์ได้

บริการจัดการรหัสผ่านยอดนิยม LastPass ประกาศว่าถูกแฮ็กระบบผ่านบัญชีของพนักงานฝ่ายพัฒนาซอฟต์แวร์รายหนึ่ง ข้อมูลที่ถูกเข้าถึงได้มีซอร์สโค้ดและเอกสารทางเทคนิค แต่ข้อมูลรหัสผ่านของผู้ใช้ยังปลอดภัยเพราะอยู่คนละส่วนกัน

LastPass ยังอธิบายวิธีการเก็บรหัสผ่านของผู้ใช้ ว่าเก็บรหัสผ่านที่เข้ารหัสแล้ว (encrypted passwords) ส่วนรหัสผ่านหลักหรือ Master Password ในการปลดล็อคอยู่ที่ผู้ใช้ และแม้แต่ LastPass เองก็ไม่สามารถเข้าถึงข้อมูลเหล่านี้ได้เช่นกัน (zero knowledge architecture) กรณีนี้ผู้ใช้จึงไม่ต้องทำอะไร และ LassPass ก็ไม่บังคับให้รีเซ็ตรหัสผ่านหลักแต่อย่างใด

ที่มา - LastPass