ไมโครซอฟท์ปล่อยอัพเดตสำหรับ Windows Defender เวอร์ชั่น 1.373.1508.0 เมื่อวานนี้ โดยเพิ่ม signature สำหรับมัลแวร์ Win32/Hive.ZY เข้ามาด้วย แต่ปรากฎว่า signature นี่มีความผิดพลาด ทำให้ Windows Defender แจ้งเตือนแอปกลุ่มที่เกี่ยวข้องกับเบราว์เซอร์และ Electron ทั้งหมดว่ากลายเป็นมัลแวร์

แอปที่ถูกตรวจผิดพลาดมีตั้งแต่ Edge ของไมโครซอฟท์เอง, Google Chrome, Discord และแอป Electron อีกจำนวนมาก สร้างความตกใจให้กับผู้ใช้ว่าเครื่องติดมัลแวร์

ล่าสุดไมโครซอฟท์ปล่อยอัพเดต 1.373.1537.0 แก้ไขเรียบร้อยแล้ว ใครที่ได้รับแจ้งว่าเครื่องติดมัลแวร์ควรอัพเดตแล้วตรวจซ้ำอีกรอบ

Competition and Markets Authority (CMA) หน่วยงานกำกับดูแลการค้าของสหราชอาณาจักร อนุมัติดีลการควบกิจการบริษัทซอฟต์แวร์ความปลอดภัย NortonLifeLock กับ Avast มูลค่า 8 พันล้านดอลลาร์ ที่ประกาศในเดือนสิงหาคม 2021

NortonLifeLock เคยซื้อกิจการ Avira มาก่อนเมื่อปี 2020 และมาซื้อ Avast อีกต่อหนึ่ง หากดีลนี้ผ่านก็จะกลายเป็นอาณาจักรซอฟต์แวร์ความปลอดภัยรายใหญ่ที่มีผู้ใช้รวมกันมากกว่า 500 ล้านคน

ไมโครซอฟท์เปิดบริการ Microsoft Defender for Individuals ระบบจัดการความปลอดภัย โดยรวมอยู่ในบริการ Microsoft 365 Personal/Family แบบเสียเงิน โดยผู้ใช้จะได้ฟีเจอร์คล้ายขององค์กรมาบางส่วน แเช่น หน้าจอ dashboard รายงานความปลอดภัยของคนในครอบครัว และสามารถใช้งานได้ทั้งวินโดวส์, แมค, แอนดรอยด์, และไอโฟน

นอกจากการจัดการความปลอดภัยด้วยตัวป้องกันไวรัสของไมโครซอฟท์เองแล้ว Defender ยังรายงานการใช้งานตัวป้องกันไวรัสยี่ห้ออื่นๆ เข้าไว้ใน dashboard เหมือนกัน

ไมโครซอฟท์แยกซอฟต์แวร์ความปลอดภัย Microsoft Defender for Business เวอร์ชันสำหรับธุรกิจขนาดเล็กและกลาง (SME/SMB) ออกมาขายต่างหาก จากเดิมที่ขายรวมอยู่ในชุด Microsoft 365 เพียงอย่างเดียว

ช่วงหลังไมโครซอฟท์หันมาทำบริการความปลอดภัยแบบเสียเงิน ในชื่อแบรนด์ Microsoft Defender ที่มีฟีเจอร์ฝั่งเซิร์ฟเวอร์เพิ่มเข้ามานอกเหนือจาก Windows Defender ตัวฟรีที่มาพร้อมกับวินโดวส์ เช่น บริการตรวจสอบการแฮ็ก (threat intelligence) หรือแดชบอร์ดจัดการความปลอดภัยของอุปกรณ์ในองค์กร

David Weston หัวหน้าฝ่ายความปลอดภัยระบบปฏิบัติการของไมโครซอฟท์ โพสต์ภาพโชว์ฟีเจอร์ใหม่ของ Windows Defender / Microsoft Defender ว่าสามารถบล็อคการติดตั้งไฟล์ไดรเวอร์ที่มีช่องโหว่ความปลอดภัย ( vulnerable driver blocklist) ได้แล้ว

ในเอกสารของไมโครซอฟท์บอกว่าฟีเจอร์นี้ใช้ได้กับ Windows 10, 11, Server 2016 ขึ้นไป โดย Weston โชว์ภาพนี้บน Windows 11 แต่ยังไม่ชัดเจนว่าเราจะได้ใช้กันเมื่อไร

ไมโครซอฟท์เปิดตัว Microsoft Defender for Cloud (ชื่อเดิมคือ Azure Security Center) บริการสแกนความปลอดภัยบนคลาวด์ ที่ทำงานได้บนคลาวด์ 3 ค่ายใหญ่คือ Azure, AWS และล่าสุดคือ Google Cloud Platform (GCP)

แนวทางของผลิตภัณฑ์สายความปลอดภัยของไมโครซอฟท์ในช่วงหลัง (รีแบรนด์เป็น Microsoft Defender) คือเอาทุกอย่าง ทุกแพลตฟอร์ม ฝั่งไคลเอนต์รองรับสมาร์ทโฟน ลินุกซ์ IoT ส่วนฝั่งเซิร์ฟเวอร์ก็รองรับคลาวด์ทั้ง 3 ยี่ห้อหลักตามประกาศของข่าวนี้

ไมโครซอฟท์ปล่อยบริการรักษาความปลอดภัยไคลเอนต์สำหรับองค์กร Microsoft Defender for Endpoint Plan 1 (P1) แพ็กเกจเริ่มต้นสำหรับองค์กรที่ต้องการควบคุมความปลอดภัยภายในองค์กร และขยับแพ็กเกจเต็มแบบเดิมไปเป็น P2

P1 จะตัดระบบจัดการภัยอัตโนมัติ, การทำ sandbox, และการให้คำปรึกษาจากไมโครซอฟท์ แต่ยังมีฟีเจอร์ด้านการควบคุมความปลอดภัยเครื่องไคลเอนต์มาตรฐานค่อนข้างครบ ทั้งการจัดการไฟร์วอลล์, การควบคุมการใช้อุปกรณ์ต่อพ่วง, ควบคุมการเข้าเว็บ, การกำหนดเงื่อนไขการเข้าถึงระบบขององค์กร, และการเชื่อมต่อข้อมูลเข้าไปยังระบบ SIEM ภายในองค์กร

ไมโครซอฟท์ร่วมกับอินเทล ออกฟีเจอร์ใหม่ให้ Microsoft Defender for Endpoint (บริการแบบเสียเงิน) สามารถตรวจจับสคริปต์หรือมัลแวร์ขุดเหมือง (cryptojacking) ในเครื่องเราได้แล้ว แม้ว่ามัลแวร์พยายามซ่อนตัวอย่างแนบเนียนอยู่ใน VM ก็ตาม

วิธีการตรวจจับจำเป็นต้องใช้ฟีเจอร์ฝั่งฮาร์ดแวร์ Intel Threat Detection Technology (TDT) ที่เปิดตัวในปี 2018 โดยซีพียูอินเทลที่มี TDT มีหน่วยมอนิเตอร์ประสิทธิภาพซีพียู performance monitoring unit (PMU) ทำงานแยกต่างหาก คอยส่งข้อมูลการทำงานของซีพียูในระดับล่าง (low-level) มาให้

ก่อนหน้านี้ Microsoft เริ่มพบการโจมตีผ่านช่องโหว่ CVE-2021-26855 ของ Exchange ซึ่งมีผลกระทบเป็นวงกว้าง ทำให้ทางบริษัทต้องออกตัวช่วยบรรเทาผลกระทบย้อนไปจนถึงเวอร์ชัน 2013 ล่าสุดท่าทีจาก Microsoft คือจะปล่อยอัพเดตให้ Microsoft Defender Antivirus ช่วยป้องกันการโจมตีผ่านช่องโหว่นี้อีกทาง

สำหรับอัพเดตของ Microsoft Defender นี้ ฝั่งผู้ใช้งานเพียงอัพเดตข้อมูลให้เป็นเวอร์ชันล่าสุดเท่านั้น (ถ้าปิดระบบอัพเดตอัตโนมัติจะต้องกดอัพเดตเอง) ระบบจะเริ่มทำงานเพื่อป้องกันการโจมตีผ่านช่องโหว่ของ Exchange ทันที

ข่าวใหญ่วงการไอทีสัปดาห์นี้คือ SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่าย ถูกแฮกเกอร์ฝังมัลแวร์ Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐอเมริกา

กรณีของ SolarWinds เป็นการแฮ็กระบบซัพพลายเชน (supply chain attack) โดยแฮ็กเกอร์เจาะเข้าระบบภายในของบริษัท SolarWinds ได้ก่อน จากนั้นค่อยเปลี่ยนไบนารีของ SolarWinds Orion เป็นเวอร์ชันที่ถูกแก้ไข เมื่อ SolarWinds แจกจ่ายซอฟต์แวร์ Orion ไปยังลูกค้า ทำให้ลูกค้ามีช่องโหว่ที่ตรวจสอบเองได้ยาก

ในงาน Microsoft Ignite 2020 เมื่อคืนนี้ ไมโครซอฟท์ประกาศรีแบรนด์ผลิตภัณฑ์ด้านความปลอดภัย (แบบเสียเงิน) ที่กระจัดกระจายใหม่หมด โดยจุดกลุ่มให้เหลือ 2 แบรนด์คือ Microsoft 365 Defender สำหรับฝั่งไคลเอนต์ และ Azure Defender สำหรับฝั่งเซิร์ฟเวอร์ โดยใช้ร่วมกับบริการเก็บข้อมูลความปลอดภัย Azure Sentinel ที่เปิดตัวไปก่อนแล้ว

Windows Defender โปรแกรมแสกนไวรัสจากไมโครซอฟท์ ระบุให้ โปรแกรมล้างขยะและ registry ยอดนิยมอย่าง CCleaner อยู่ในรายการโปรแกรมที่ไม่พึงประสงค์ (Potentially Unwanted Program - PUP) โดยเวอร์ชันที่โดนคือเวอร์ชันฟรี เนื่องจากมักผูกมาพร้อมกับซอฟต์แวร์อื่นด้วย

ที่ผ่านมาท่าทีไมโครซอฟท์ก็ไม่ได้มีท่าทีสนับสนุนแอปที่เข้าไปยุ่งกับ registry อยู่แล้ว เพราะอาจทำให้เกิดปัญหาร้ายแรงกับ Windows ได้ อย่างในปีที่แล้ว ไมโครซอฟท์ก็แบนลิงก์ของ CCleaner บน Microsoft Community Forum ด้วยเหตุผลนี้

ที่มา - BleepingComputer

เมื่อต้นปีนี้ Microsoft Defender ประกาศออกเวอร์ชันลินุกซ์, Android, iOS (เฉพาะเวอร์ชันวินโดวส์ที่ใช้ชื่อ Windows Defender) และออกรุ่นพรีวิวของลินุกซ์มาเป็นแพลตฟอร์มแรก

คิวถัดมาคือ Microsoft Defender ATP for Android ที่มีสถานะเป็นรุ่นทดสอบ public preview ให้ใช้กันทั่วไป (ส่วนเวอร์ชัน iOS จะออกตามมาภายในปีนี้) และยังประกาศว่า Microsoft Defender ATP for Linux เข้าสถานะ GA (general availability) เรียบร้อยแล้ว

ฟีเจอร์หลักของ Microsoft Defender ATP for Android ประกอบด้วย

เมื่อสัปดาห์ที่แล้วไมโครซอฟท์ประกาศว่าจะขยาย Microsoft Defender ATP (MTP) ชุดซอฟต์แวร์ความปลอดภัยออกไปทุกแพลตฟอร์มรวมถึงลินุกซ์ วันนี้ไมโครซอฟท์ก็ออกมาให้รายละเอียดสำหรับเวอร์ชั่นลินุกซ์เพิ่มเติม

MTP รองรับลินุกซ์ดิสโทรหลักแทบทั้งหมด ได้แก่ RHEL 7+, CentOS Linux 7+, Ubuntu 16 LTS, or higher LTS, SLES 12+, Debian 9+, และ Oracle EL 7 โดยสามารถติดตั้งผ่าน Puppet หรือ Ansible ก็ได้

การควบคุม MTP จะสามารถควบคุมผ่าน command line ได้ทั้งหมดผ่านคำสั่ง mdatp และยังรายงานข้อมูลการการสแกนเครื่องกลับไปยัง Microsoft Defender Security Center

รุ่นพรีวิวจะเปิดให้ดาวน์โหลดจริงในอีกไม่กี่วันข้างหน้า ส่วนฟีเจอร์เพิ่มเติมไมโครซอฟท์สัญญาว่าจะอัพเดตให้ในไม่กี่เดือน

Microsoft Threat Protection (MTP) เป็นชื่อเรียกรวมๆ ของชุดฟีเจอร์-บริการด้านความปลอดภัยของไมโครซอฟท์แบบเสียเงินหลายตัว ประกอบด้วย Microsoft Defender ATP ที่คุ้มครองเครื่อง, Office 365 ATP คุ้มครองอีเมล, Azure ATP คุ้มครองบัญชี, Microsoft Cloud App Security คุ้มครองแอพ

วันนี้ไมโครซอฟท์ประกาศว่า Microsoft Threat Protection มีสถานะเปิดบริการเป็นการทั่วไป (generally available) องค์กรที่จ่ายแพ็กเกจ Microsoft 365 E5 อยู่แล้วสามารถเปิดใช้งานได้ทันทีผ่านหน้าแอดมินของระบบ

Tanmay Ganacharya ผู้บริหารฝ่ายวิจัยความปลอดภัยของไมโครซอฟท์ เปิดเผยว่า Windows Defender มีส่วนแบ่งตลาดเกิน 50% ของผู้ใช้ Windows ทั้งหมดแล้ว หรือถ้านับเป็นจำนวนอุปกรณ์คือมากกว่า 500 ล้านเครื่อง

ในแง่จำนวนผู้ใช้ Windows Defender อาจไม่ใช่เรื่องน่าแปลกใจนัก เพราะมาพร้อมกับตัวระบบปฏิบัติการอยู่แล้ว แต่ Ganacharya ก็ให้ข้อมูลว่าการที่ Windows Defender มีส่วนแบ่งตลาดสูงสุด ก็ตกเป็นเป้าโจมตีของไวรัสและมัลแวร์ต่างๆ มากตามไปด้วยเช่นกัน เพราะการเจาะผ่าน Windows Defender สำเร็จมีรางวัลเป็นฐานผู้ใช้จำนวนมากที่สุดนั่นเอง

ไมโครซอฟท์เปิดตัวชุดซอฟต์แวร์ความปลอดภัย Microsoft Defender ATP for Mac สำหรับระบบปฏิบัติการ macOS อย่างเป็นทางการ ใช้ได้กับ macOS Sierra ขึ้นไป

ต้องอธิบายกันสักนิดว่า ซอฟต์แวร์ตัวนี้คือ Windows Defender Advanced Threat Protection (ATP) ซึ่งเป็นบริการแบบเสียเงินสำหรับลูกค้าองค์กร และขยายความสามารถจากการเป็นแอนตี้ไวรัสธรรมดา ให้ครอบคลุมถึงภัยคุกคามแบบอื่นๆ เช่น การป้องกันการโดนแฮ็ก การแจ้งเตือนเครื่องที่โดนแฮ็ก ฯลฯ ด้วย

Microsoft ได้เริ่มทดสอบส่วนขยาย Windows Defender Application Guard สำหรับ Chrome และ Firefox เพื่อรักษาความปลอดภัยของพีซีองค์กรแล้ว เพื่อเป็นการขยายการรองรับจากปัจจุบันที่ใช้งานได้เฉพาะเบราว์เซอร์ Microsoft Edge เท่านั้น

ส่วนขยายเบราว์เซอร์ของ Windows Defender แต่เดิมนั้นทำมาเฉพาะ Microsoft Edge ซึ่งจะรักษาความปลอดภัยของพีซีด้วยการเปิดหน้าเว็บที่ไม่ได้ระบุไว้ว่าเป็นเว็บไซต์ที่เชื่อถือได้ไว้ใน virtual container เพื่อป้องกันการโจมตีจากผู้ประสงค์ร้ายเข้าสู่ระบบของบริษัท

ไมโครซอฟท์ปรับ Windows Defender Antivirus (WDA) ให้รันโปรเซสการสแกนไวรัสไปอยู่ใน sandbox ลดโอกาสการโจมตีที่ตัวป้องกันไวรัสเสียเอง

ตัวป้องกันไวรัสกลายเป็นจุดเสียงหนึ่งของระบบ เพราะตัวมันเองต้องรับอินพุตจำนวนมาก ทั้งไฟล์ต่างๆ ทราฟิกเน็ตเวิร์ค และตัวป้องกันไวรัสมักมีสิทธิ์ระดับสูงในเครื่อง หากแฮกเกอร์มุ่งเป้าเครื่องที่ติดตั้งต้องป้องกันไวรัสก็สามารถทำได้ เช่น กรณี Project Zero ที่ทดสอบความปลอดภัยแล้วพบว่าตัวป้องกันไวรัสเองมีช่องโหว่จำนวนมาก

ไมโครซอฟท์เปิดตัว Windows Defender Browser Protection ซึ่งเป็นส่วนเสริม Chrome ช่วยป้องกันมัลแวร์และการ phishing เสริมเข้าไปกับฟีเจอร์ Safe Browsing ของ Chrome

ไมโครซอฟท์ระบุว่า Windows Defender Browser Protection ใช้เอนจินต์และฐานข้อมูลเดียวกับที่ใช้บน Microsoft Edge ที่ไมโครซอฟท์เคลมว่าป้องกันการ Phishing ได้ 99% สูงกว่า Chrome

ดาวน์โหลด Windows Defender Browser Protection ได้ที่นี่

อินเทลเปิดตัวเทคโนโลยีด้านความปลอดภัย 2 ตัวในงานสัมมนา RSA 2018

ตัวแรกคือ Intel Threat Detection Technology (IDT) เป็นชุดของฟีเจอร์ในระดับฮาร์ดแวร์ ที่ช่วยให้ซอฟต์แวร์ตรวจจับมัลแวร์ทำงานได้ดีขึ้น ฟีเจอร์สองอย่างแรกของ IDT ประกอบด้วย

• Accelerated Memory Scanning ระบบตรวจจับภัยคุกคามในปัจจุบันใช้วิธีสแกนหน่วยความจำเพื่อหาสิ่งผิดปกติ ปัญหาคือเปลืองทรัพยากรของซีพียูในการสแกน เทคนิคนี้เปลี่ยนมาใช้จีพียู (ออนบอร์ดของอินเทล) มาทำหน้าที่สแกนแทน ช่วยลดโหลดจากซีพียูเดิมที่ 20% ลงมาเหลือ 2% และตอนนี้ Microsoft Windows Defender Advanced Threat Protection (ATP) เริ่มใช้งานแล้ว
• Advanced Platform Telemetry ฟีเจอร์นี้จะนำข้อมูล telemetry ที่ส่งจากเครื่องของผู้ใช้กลับไปยังบริษัท มาผนวกกับเทคนิค machine learning เพื่อวิเคราะห์หาภัยคุกคามได้แม่นยำขึ้น (ทำงานในระดับฮาร์ดแวร์) ตอนนี้ Cisco Tetration นำไปใช้งานแล้ว

ไมโครซอฟท์มี 'บริการ' ความปลอดภัยชื่อ Windows Defender Advanced Threat Protection (เรียกย่อๆ คือ Windows Defender ATP) ที่เริ่มนำมาใช้กับ Windows 10 Fall Creators Update

ล่าสุดไมโครซอฟท์ประกาศว่าจะขยาย Windows Defender ATP ไปใช้กับ Windows 7 และ Windows 8.1 ด้วย เพื่อรองรับกลุ่มลูกค้าองค์กรที่ยังมี Windows เวอร์ชันเก่าใช้งานอยู่

ไมโครซอฟท์ประกาศนโยบายใหม่ของ Windows Defender Antivirus ว่านับตั้งแต่ 1 มีนาคม 2018 เป็นต้นไป จะเพิ่มฟีเจอร์บล็อคและถอนการติดตั้งโปรแกรมกลุ่มที่ใช้ทำความสะอาดหรือปรับปรุงประสิทธิภาพเครื่อง (พวกชื่อแนวๆ cleaner/faster/optimizer) ที่มีพฤติกรรมส่งข้อความรบกวนผู้ใช้

ไมโครซอฟท์บอกว่าโปรแกรมกลุ่ม cleaner หลายตัวมีเวอร์ชันฟรีที่ใช้ลองใช้งานก่อน แต่ใช้ไปแล้วจะแสดงข้อความรบกวนผู้ใช้ เช่น โฆษณาให้จ่ายเงินเพื่อซื้อฟีเจอร์เพิ่ม หรือกระตุ้นให้ตอบแบบสอบถาม ดาวน์โหลดไฟล์ สมัครจดหมายข่าว ฯลฯ โปรแกรมที่มีพฤติกรรมเหล่านี้จะถูกประเมินว่าเป็น unwanted software และจะถูกลบออกจากระบบทันที

ที่มา - Microsoft, Neowin

ไมโครซอฟท์มีบริการด้านความปลอดภัยชื่อยาวเหยียด Windows Defender Advanced Threat Protection (ต่อไปจะเรียกย่อว่า ATP) ตัวมันเองเป็น "บริการ" ที่ทำงานสนับสนุนโปรแกรม Windows Defender อีกต่อหนึ่ง (คิดเงินถ้าเป็นลูกค้าองค์กรที่ต้องการใช้ฟีเจอร์ครบชุด)

ล่าสุดไมโครซอฟท์ประกาศว่า Windows Defender ATP จะขยายความสามารถในการตรวจจับมัลแวร์ไปยังอุปกรณ์อื่นๆ ที่ไม่ใช่วินโดวส์ด้วย โดยจะไปไกลถึง macOS, Linux, iOS, Android

ไมโครซอฟท์ใช้วิธีร่วมมือกับบริษัทความปลอดภัย 3 รายคือ Bitdefender, Lookout, Ziften เพื่อดึงข้อมูลมัลแวร์และช่องโหว่ของระบบปฏิบัติการต่างๆ มาใช้งาน ตอนนี้ข้อมูลจาก Bitdefender ถูกนำมาใช้แล้ว และอีกสองรายจะตามมาในไม่ช้า

ไมโครซอฟท์ประกาศฟีเจอร์ความปลอดภัยให้ Windows 10 Fall Creators Update อีกหลายอย่าง (นอกเหนือจาก Protected Folder ป้องกัน ransomware) โดยส่วนใหญ่เป็นการนำมาจาก Windows Defender Advanced Threat Protection (ATP)

Windows Defender ATP เป็นบริการความปลอดภัยของไมโครซอฟท์ที่รันอยู่บนคลาวด์ (เป็นบริการแบบคิดเงินสำหรับลูกค้าองค์กร) ที่ประกอบด้วยบริการย่อยหลายตัว เดิมที Windows Defender ATP แยกจาก Windows 10 อย่างชัดเจน แต่ไมโครซอฟท์จะเริ่มผนวกมันเข้ามาใน Fall Creators Update