เมื่อวันที่ 8 มีนาคมที่ผ่านมา คนจำนวนหนึ่งพบว่าไม่สามารถเข้าเว็บใดๆ ที่เป็นโดเมนของประเทศฟิจิ หรือ TLD ว่า .fj ได้ ทาง Cloudflare รายงานและพบว่าเกิดจากการเปลี่ยนกุญแจเซ็น DNSSEC ผิดพลาด จนทำให้ resolver หลายตัวที่ตรวจสอบ DNSSEC ก่อนไม่สามารถยืนยันความถูกต้องได้

DNSSEC เป็นกระบวนการยืนยันว่า ค่า DNS ที่ตอบจากเซิร์ฟเวอร์ DNS นั้นถูกต้องจริง โดยผู้ที่ถือโดเมนต้องนำค่าแฮชของกุญแจสาธารณะไปวางไว้ผู้ให้บริการระดับสูงขึ้นไป การตรวจสอบโดเมนจึงสามารถตรวจสอบเป็นชั้นๆ ตั้งแต่ root DNS ลงมายัง TLD ต่างๆ (เช่น .fj ของฟิจิ หรือ .th ของไทย) และจบด้วยการตรวจสอบโดเมนในที่สุด

Akamai เตือนถึงซอฟต์แวร์ Mitel MiCollab และ MiVoice Business Express ที่เป็นเกตเวย์สำหรับเชื่อมต่อตู้ PBX เข้ากับอินเทอร์เน็ต ถูกคอนฟิกผิดพลาด เปิดทางให้แฮกเกอร์ส่งข้อความไปกระตุ้นให้ซอฟต์แวร์เหล่านี้ยิงทราฟิกไปหาเหยื่อ

ซอฟต์แวร์ทั้งสองตัวเปิดพอร์ต UDP/10074 สู่อินเทอร์เน็ต แต่ปรากฎว่าตัวซอฟต์แวร์รองรับคำสั่งทดสอบประสิทธิภาพระบบ โดยหากยิงคำสั่งนี้เข้าไป ตัวซอฟต์แวร์จะยิงข้อมูลกลับออกมาจำนวนมาก การยิงคำสั่งเข้าไปครั้งเดียวอาจจะทำให้เซิร์ฟเวอร์ปล่อยแพ็กเก็ต UDP ออกมาถึงกว่า 4 พันล้านแพ็กเก็ต ขนาดรวม 2.5TB

เมื่อปลายปี 2017 Project Zero ของกูเกิลเคยรายงานถึงช่องโหว่ Meltdown และ Spectre ที่โจมตีการพยายามทำงานล่วงหน้าของซีพียู ซึ่งเป็นหัวใจสำคัญของความเร็วซีพียูยุคใหม่ แต่ปรากฎว่ากลับเปิดทางให้แฮกเกอร์อ่านข้อมูลที่ไม่มีสิทธิ์ได้ หลายปีผ่านไป กระบวนการแก้ไขมีทั้งการอัพเดตคอมไพล์เลอร์ และแก้ไขสถาปัตยกรรมซีพียูไปหลายอย่าง แต่ตอนนี้นักวิจัยจาก Vrije Universiteit Amsterdam ก็รายงานถึงช่องโหว่ Spectre-BHB ที่เปิดทางให้แฮกเกอร์อ่านข้อมูลในเคอร์เนลได้อีกครั้ง

Orca Security รายงานถึงช่องโหว่ AutoWarp ของ Azure Automation บริการรันสคริปต์อัตโนมัติสำหรับการจัดการทรัพยากรต่างๆ ใน Azure ทำให้คนร้ายสามารถขโมยโทเค็นจากผู้ใช้บริการนี้รายอื่นๆ ที่อยู่บนเซิร์ฟเวอร์ตัวเดียวกันได้

บริการ Azure Automation โดยปกติแล้วเป็นการรันสคริปต์ PowerShell หรือ Python เพื่อจัดการทรัพยากร เช่นการปิดเครื่องนอกเวลาทำการ ตัวสคริปต์นั้นจะใช้โทเค็นบัญชีที่มีสิทธิ์ตามที่ผู้ใช้เปิดให้บริการ Automation

Max Kellermann จากบริษัท CM4All ผู้ให้บริการสร้างเว็บบน WordPress รุ่นพิเศษ รายงานถึงบั๊กประหลาดที่ผู้ใช้ CM4All รายงานมาตั้งแต่เดือนเมษายนที่ผ่านมา ว่า log ของเว็บเซิร์ฟเวอร์ในช่วงสิ้นเดือนนั้นพัง (corrupt) บ่อยๆ หลังจากบีบอัดไฟล์

Kellermann พยายามไล่หาต้นเหตุที่ไฟล์พังอยู่หลายเดือน และพบว่าไฟล์ log ที่พังนั้นกลับมีข้อมูลขยะในไฟล์ตรงกับข้อมูลที่โปรเซสรับไฟล์ไปบีบอัด โดยโปรเซสรับไฟล์พยายามเขียนคำว่า "PK" เพื่อแสดงว่าเป็นไฟล์ zip ที่หัวไฟล์

หลังจากแฮกเกอร์ Lapsus$ ได้อ้างว่าแฮก Samsung ได้และปล่อยซอร์สโค้ดออกมาราว 190GB วันนี้ Samsung ได้ออกแถลงการณ์ยืนยันว่าบริษัทโดนแฮกอย่างเป็นทางการแล้ว และรายงานว่ามีอะไรหลุดออกไปบ้าง

Samsung ระบุว่า ข้อมูลที่หลุดออกไปจากการแฮกครั้งล่าสุด (แต่ไม่ได้ระบุถึงกลุ่ม Lapsus$ โดยตรง) มีซอร์สโค้ดบางส่วนของอุปกรณ์ตระกูล Galaxy และยืนยันว่าไม่มีข้อมูลสำคัญของลูกค้าหรือพนักงานรั่วออกไปจากการแฮกครั้งนี้ โดยทาง Samsung ระบุว่าไม่มีผลกระทบกับธุรกิจของบริษัทและลูกค้า พร้อมทั้งบริษัทจะเพิ่มมาตรการเพื่อป้องกันเหตุการณ์เกิดขึ้นอีกในอนาคต

ในงานแถลงข่าวแคมเปญ RansomAware ของสำนักงานว่าด้วยยาเสพติดและอาชญากรรมแห่งสหประชาชาติ (UNODC) เมื่อวันศุกร์ที่ผ่านมา พ.ต.อ.หญิง มนชนก จำรูญโรจน์ ผกก.กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัล กองบัญชาการตำรวจสืบสวนอาชญากรรมทางเทคโนโลยี บรรยายถึงการโจมตีด้วยมัลแวร์เรียกค่าไถ่ (ransomware) ครั้งใหญ่ๆ ในไทยในช่วงปีที่ผ่านมา โดยระยะเวลาปีเดียวมีการโจมตีครั้งสำคัญๆ 5 ครั้ง โดยครั้งล่าสุดเพิ่งเกิดขึ้นเมื่อเดือนมกราคมที่ผ่านมา

เหตุการณ์ทั้ง 5 ครั้งมีเป็นข่าวต่อสาธารณะแล้วหลายกรณีนี้ แม้ในการบรรบายจะไม่ได้ระบุชื่อหน่วยงานผู้เสียหายโดยตรง

จากข่าว NVIDIA ยืนยันข่าวโดนแฮ็กระบบ แฮ็กเกอร์ได้ข้อมูลพนักงานและซอร์สโค้ด ตอนนี้วงการความปลอดภัยเริ่มตรวจพบมัลแวร์ที่ใช้ใบรับรองดิจิทัลของ NVIDIA ที่หลุดออกมา เซ็นรับรองไบนารีเพื่อเพิ่มความน่าเชื่อถือแล้ว

กลุ่มแฮกเกอร์ Lapsus$ ประกาศขโมยข้อมูลออกจากมาจากซัมซุงได้สำเร็จ โชว์ไฟล์บีบอัดแล้วขนาด 190GB ส่วนสำคัญคือซอร์สโค้ดของอุปกรณ์ต่างๆ ได้แก่

• ซอร์สโค้ด Trusted Applet โปรแกรมที่รันอยู่ใน TrustZone ของอุปกรณ์ซัมซุง
• อัลกอริทึมสำหรับการปลดล็อกด้วยไบโอเมทริกซ์
• bootloader
• ซอร์สโค้ดจาก Qualcomm
• ซอร์สโค้ดของเซิร์ฟเวอร์ซัมซุง รวมถึงซอร์สโค้ดล็อกอินบัญชีต่างๆ

ตอนนี้ยังไม่มีข้อมูลไฟล์อื่นๆ จะเป็นอะไรบ้าง โดยทาง Lapsus$ กำลังปล่อยไฟล์ทั้งหมดผ่านทาง bittorrent

ที่มา - Bleeping Computer

NVIDIA ยืนยันข่าวว่าบริษัทโดนแฮ็ก และโดนขโมยข้อมูลภายในบางอย่างออกไป ซึ่งจากข่าวในแวดวงความปลอดภัยระบุว่าโดนขโมยซอร์สโค้ดของ DLSS ไปเผยแพร่ด้วย

NVIDIA พบว่าตัวเองถูกแฮ็กในวันที่ 23 กุมภาพันธ์ หลังสอบสวนพบว่าไม่เกี่ยวข้องกับสงครามระหว่างยูเครน-รัสเซีย และไม่โดน ransomware เรียกค่าไถ่ แต่พบว่าโดนขโมยบัญชีล็อกอินของพนักงานและข้อมูลภายในบางอย่าง

มีกลุ่มแฮ็กเกอร์ LAPSU$ จากอเมริกาใต้ออกมาอ้างว่าเป็นผู้แฮ็ก NVIDIA และขโมยข้อมูลออกมาได้ 1TB ซึ่งในนั้นมีไดรเวอร์ LHR สำหรับการใช้จีพียูขุดเงินคริปโตด้วย โดย LAPSU$ ประกาศขายข้อมูลนี้ให้กับผู้สนใจ

กูเกิลแจ้งเตือนผู้ใช้ที่ล็อกอินบริการของกูเกิลผ่านแอปภายนอก (เช่นแอปอีเมลรายอื่นที่ไม่ใช่แอป GMail) แล้วล็อกอินด้วยชื่อผู้ใช้และรหัสผ่านจะไม่สามารถล็อกอินได้อีกต่อไปหลังวันที่ 30 พฤษภาคมนี้

กระบวนการล็อกอินด้วยชื่อผู้ใช้และรหัสผ่านนั้นเป็นกระบวนการเก่าที่กูเกิลไม่แนะนำมานานแล้ว เนื่องจากรหัสผ่านบัญชีกูเกิลต้องวิ่งผ่านบริการภายนอก ที่ผ่านมากูเกิลมีทาง เช่น การใช้ปุ่ม "Sign in with Google" ซึ่งเป็นมาตรฐาน OpenID Connect และ App Password ที่เป็นการสร้างรหัสผ่านเฉพาะสำหรับแอป

โตโยต้าและโรงงานในเครือบางส่วน เช่น Hino และ Daihatsu ต้องหยุดสายการผลิตในญี่ปุ่น หลังซัพพลายเออร์รายหนึ่งถูกโจมตีไซเบอร์

บริษัทที่ถูกโจมตีคือ Kojima Industries Corp เป็นซัพพลายเออร์รายใหญ่ให้กับเครือโตโยต้า ทำหน้าที่ผลิตชิ้นส่วนอิเล็กทรอนิกส์และชิ้นส่วนพลาสติก คาดว่าคนร้ายโจมตีโดยส่งมัลแวร์เข้ามาทางอีเมล แต่ตอนนี้ยังไม่สามารถยืนยันได้แน่ชัดเนื่องจากบริษัทปิดเซิร์ฟเวอร์ทั้งหมดป้องกันปัญหาลุกลาม ทำให้ตอนนี้ระบบคอมพิวเตอร์ของ Kojima เชื่อมต่อข้อมูลกับทางโตโยต้าไม่ได้ และไม่สามารถมอนิเตอร์การทำงานของเครื่องจักรได้เลย

โตโยต้ามีโรงงานในญี่ปุ่นทั้งหมด 14 แห่ง มีกำลังผลิต 1 ใน 3 ของโรงงานทั้งโลก การหยุดสายการผลิตแต่ละวันกระทบรถยนต์วันละประมาณ 13,000 คัน

กูเกิลประกาศมาตรการที่เกี่ยวข้องกับสงครามยูเครน-รัสเซีย ประเด็นสำคัญคือ YouTube หยุดรับโฆษณาที่เกี่ยวข้องกับสถานการณ์ และจะแสดงคลิปวิดีโอจากแหล่งข่าวที่เชื่อถือได้ให้เด่นชัดขึ้น เพื่อป้องกันการแพร่กระจายของข่าวปลอม

กูเกิลบอกว่าในช่วง 2-3 วันมานี้ แบนคลิปปลอมและช่องข่าวปลอมไปแล้วจำนวนมาก ซึ่งกูเกิลจะเฝ้าระวังเรื่องนี้ต่อไป

Yegor Aushev ผู้ร่วมก่อตั้ง Cyber Unit Technologies โพสประกาศระดมแฮกเกอร์ชาวยูเครนเพื่อตอบโต้รัสเซีย พร้อมกับป้องกันระบบออนไลน์ของยูเครนเอง

ตัว Aushev ระบุว่าถูกขอร้องจากกระทรวงกลาโหมให้ระดมคนครั้งนี้ ให้ และบุคลากรที่หาได้แบ่งออกเป็นทั้งฝั่งป้องกันโครงสร้างของยูเครนเองและฝ่ายบุก

ก่อนหน้านี้มีรายงานว่ายูเครนถูกโจมตีด้วยมัลแวร์ และลบข้อมูลออกจากเว็บไซต์หลายแห่ง ในช่วงเวลาเดียวกับที่รัสเซียบุกโจมตีภาคพื้นดิน

ที่มา - Reuters

Pangu Lab บริษัทความปลอดภัยไซเบอร์จากจีนรายงานถึงมัลแวร์ Bvp47 ที่ตั้งชื่อตามสตริงที่เจอซ้ำๆ กันในตัวมัลแวร์ว่าเป็นมัลแวร์ที่กระจายอยู่ทั่วโลก และมีความสามารถซับซ้อน สามารถซ่อนการสื่อสารได้ค่อนข้างแนบเนียน โดยคาดว่าจะเป็นมัลแวร์ตัวหนึ่งของ NSA

Bvp47 ซ่อนการสื่อสารกับต้นทางผ่านทางแพ็กเก็ต TCP SYN เพื่อกระตุ้นการทำงานมัลแวร์และส่งคำสั่ง กระบวนการเชื่อมต่อเข้ารหัสอย่างรัดกุม และเมื่อเจาะเซิร์ฟเวอร์ต้นทางได้แล้วก็จะเจาะออกด้านข้างหาเซิร์ฟเวอร์ตัวอื่นๆ ไปเรื่อยๆ

ไมโครซอฟท์เปิดตัว Microsoft Defender for Cloud (ชื่อเดิมคือ Azure Security Center) บริการสแกนความปลอดภัยบนคลาวด์ ที่ทำงานได้บนคลาวด์ 3 ค่ายใหญ่คือ Azure, AWS และล่าสุดคือ Google Cloud Platform (GCP)

แนวทางของผลิตภัณฑ์สายความปลอดภัยของไมโครซอฟท์ในช่วงหลัง (รีแบรนด์เป็น Microsoft Defender) คือเอาทุกอย่าง ทุกแพลตฟอร์ม ฝั่งไคลเอนต์รองรับสมาร์ทโฟน ลินุกซ์ IoT ส่วนฝั่งเซิร์ฟเวอร์ก็รองรับคลาวด์ทั้ง 3 ยี่ห้อหลักตามประกาศของข่าวนี้

1Password โปรแกรมจัดการรหัสผ่าน ประกาศเพิ่มฟีเจอร์ SSH & Git สำหรับการเก็บกุญแจล็อกอิน Secure Shell (SSH) ใน 1Password 8 เวอร์ชั่นเดสก์ทอป

กุญแจ SSH นิยมใช้งานกันในหมู่นักพัฒนาเพื่อดึงโค้ดเข้าและออกจาก Git เช่น บริการ GitHub โดยปกติแล้วนักพัฒนามักเก็บกุญแจลับเป็นไฟล์ โดยหากเข้ารหัสเอาไว้ก็จะมีรหัสผ่านเป็นของตัวเอง

บริการ SSH & Git ของ 1Password นี้จะทำให้ตัว 1Password กลายเป็น SSH Agent ที่เก็บกุญแจลับสำหรับ SSH เอาไว้ และสามารถปลดกุญแจมาใช้งานได้ด้วย master password ของ 1Password ไม่ต้องจำรหัสแยกอีก และเมื่อตัวโปรแกรม git หรือ ssh ขอใช้กุญแจ ตัวโปรแกรม 1Password ก็จะแสดงหน้าจอถามผู้ใช้อีกครั้ง

ตอนนี้ฟีเจอร์ SSH & Git ยังอยู่ในระดับเบต้า

OpenSea เว็บไซต์แพลตฟอร์มซื้อขาย NFT รายใหญ่บนเครือข่าย Ethereum ทำการตรวจสอบหลังได้รับข้อมูลว่าเว็บไซต์อาจถูกแฮก ก่อนจะพบว่าจริงๆ แล้วผู้ใช้งานถูกโจมตีด้วยอีเมล phishing หลอกว่าเป็น OpenSea และขโมย NFT ไปกว่า 254 โทเคนจากผู้ใช้ 32 คน ก่อนจะขายงานบางส่วนได้เงินเป็น ETH มูลค่ารวมราว 1.7 ล้านดอลลาร์ หรือราว 54 ล้านบาท ภายใน 3 ชั่วโมง

Project Zero โครงการค้นหาช่องโหว่ความปลอดภัยของซอฟต์แวร์ต่างๆ โดยทีมของกูเกิล เผยสถิติช่องโหว่ที่ค้นพบในปี 2019-2021 จำนวนรวม 346 รายการ

ทีม Project Zero ได้แยกช่องโหว่ตามบริษัทต้นสังกัดของซอฟต์แวร์นั้นๆ และเปรียบเทียบระยะเวลาเฉลี่ยที่บริษัทหรือองค์กรแก้ไขช่องโหว่ที่รายงาน

Marc Montpas นักวิจัยความปลอดภัยจาก Jetpack รายงานช่องโหว่ปลั๊กอินของ WordPress สำหรับแบ็คอัพชื่อ UpdraftPlus โดยช่องโหว่นี้ทำให้ user ที่สิทธิ์ไม่สูงเช่น subscriber สามารถดาวน์โหลดไฟล์แบ็คอัพล่าสุดของทั้งเว็บได้ ซึ่งมีความเสี่ยงเพราะอาจได้ข้อมูลทั้งรายชื่อผู้ใช้งานและรหัสผ่านที่เข้ารหัส

ตามปกติสิทธิ์ในการเข้าถึงไฟล์แบ็คอัพ WordPress นั้นต้องเป็นระดับ administrator เท่านั้น

UpdraftPlus เป็นปลั๊กอิน WordPress ที่มีการติดตั้งมากกว่า 3 ล้านครั้ง โดยทีมนักพัฒนาได้ออกอัพเดตแก้ไขช่องโหว่นี้ในเวอร์ชันล่าสุด 1.22.3 แล้ว จึงแนะนำผู้ดูแลเว็บไซต์ที่ติดตั้งปลั๊กอินนี้ให้อัพเดตโดยด่วน

Jay Freeman นักพัฒนาโครงการ Cydia ที่ใช้เจาะ iOS รายงานช่องโหว่สร้างโทเค็นไม่จำกัดบนเครือข่าย Optimism ที่เป็นเครือข่าย Layer-2 สำหรับการโอน Ethereum อย่างรวดเร็วและประหยัด gas นับเป็นช่องโหว่ที่ร้ายแรงจนกระทั่งทาง Optimism ตัดสินใจจ่ายเงินรางวัล 2 ล้านดอลลาร์ (กับอีก 42 ดอลลาร์)

ช่องโหว่อาศัยคำสั่ง SELFDESTRUCT ของ EVM ที่ Optimism พัฒนาต่อมาจากโครงการ Ethereum โดยหากเรียกคำสั่งนี้จาก smart contract ตัว EVM จะลบ contract ทิ้ง แต่กลับเหลือมูลค่า token ทิ้งไว้ หากโอนเงินแล้วสั่ง SELFDESTRUCT ก็จะเหมือนสร้างเงินขึ้นมาเฉยๆ

กูเกิลออกรายงานเกี่ยวกับการให้รางวัลสำหรับผู้แจ้งบั๊กช่องโหว่ในโครงการ VRP (Vulnerability Reward Program) โดยในปี 2021 มีการจ่ายเงินไป 8.7 ล้านดอลลาร์ และมีนักวิจัยเลือกบริจาคเงินรางวัลดังกล่าวให้หน่วยงานการกุศลกว่า 3 แสนดอลลาร์

โครงการ VRP แบ่งการรายงานเป็น 4 หมวด ได้แก่ Android, Chrome, Abuse และ Google Play ในปีที่ผ่านมาหมวด Chrome มีการจ่ายเงินรางวัลมากที่สุดรวม 3.3 ล้านดอลลาร์ จากช่องโหว่ที่รายงาน 333 รายการ มีนักวิจัยได้รับเงินรางวัล 115 ราย ส่วนใหญ่เป็นบั๊กเกี่ยวกับเบราว์เซอร์

ช่องโหว่ที่ได้เงินรางวัลสูงสุดคือ CVE-2021-39698 ซึ่งเป็นช่องโหว่ที่ทำงานเป็นลูกโซ่บน Android ได้เงินรางวัล 157,000 ดอลลาร์ สูงสุดเท่าที่เคยจ่ายมาในหมวด Android

Google Cloud เปิดบริการตรวจสอบหาโปรแกรมขุดเงินคริปโตที่ถูกฝังอยู่ใน Virtual Machine ที่รันอยู่ใน Google Cloud เองชื่อว่า Virtual Machine Threat Detection (VMTD) มีจุดเด่นคือไม่ต้องลงซอฟต์แวร์ตรวจสอบใดๆ เพิ่มอีก แต่เปิดบริการจากคอนโซลของคลาวด์

VMTD รันอยู่ในตัว hypervisor ที่อยู่นอก VM แล้วอาศัยการตรวจสอบหน่วยความจำโดยตรง หากพบมัลแวร์ก็จะรายงานผ่าน Security Command Center

ตอนนี้บริการ VMTD มีให้บริการเฉพาะลูกค้าที่ใช้ Security Command Center Premium เท่านั้น และลูกค้าต้องเปิดด้วยตัวเอง และไม่สามารถใช้งานกับ Confidential VM ที่เข้ารหัสหน่วยความจำ

มีรายงานข่าวจาก Bloomberg ว่าไมโครซอฟท์กำลังพิจารณาซื้อกิจการ Mandiant บริษัทด้านความปลอดภัยของข้อมูล เพื่อนำมาเสริมกับบริการของไมโครซอฟท์โดยเฉพาะบริการคลาวด์ โดยมูลค่าของดีลยังไม่มีรายงาน

Mandiant ปัจจุบันเป็นบริษัทที่แยกออกมาจาก FireEye เมื่อปีที่แล้ว หลังจากบริษัทแม่ขายกิจการให้กลุ่มทุน STG ธุรกิจหลักของ Mandiant คือให้บริการข้อมูลการโจมตีทางไซเบอร์และวิเคราะห์พฤติกรรม ซึ่งข้อมูลนี้น่าจะเป็นประโยชน์สำหรับบริการต่าง ๆ ของไมโครซอฟท์

ตัวแทนจากทั้งไมโครซอฟท์และ Mandiant ปฏิเสธที่จะให้ความเห็นต่อข่าวดังกล่าว

ไมโครซอฟท์ประกาศปิดการทำงานของ VBA macro เป็นค่าดีฟอลต์ ด้วยเหตุผลด้านความปลอดภัย โดยจะมีผลกับโปรแกรมในตระกูล Office จำนวน 5 ตัวคือ Access, Excel, PowerPoint, Visio, Word

เมื่อผู้ใช้เปิดไฟล์เอกสารที่มี VBA ที่ดาวน์โหลดจากอินเทอร์เน็ต (มีสถานะเป็น Mark of the Web - MOTW) จะเห็นแถบข้อความแจ้งเตือน Security Risk ด้านบนของหน้าจอ และมีปุ่ม Learn More เพื่ออธิบายรายละเอียด