RedTeam Pentesting บริษัทความปลอดภัยซอฟต์แวร์จากเยอรมนีรายงานถึงการตรวจสอบความปลอดภัยของ Bitwarden ซอฟต์แวร์เก็บรหัสผ่าน โดยพยายามถอดรหัสฐานข้อมูลเมื่อผู้ใช้เปิดใช้งานฟีเจอร์ปลดล็อกฐานข้อมูลด้วย Windows Hello ที่ทำให้ผู้ใช้ไม่ต้องพิมพ์ master password ทุกรอบที่ต้องการใช้งาน แต่เพียงแต่ตรวจสอบลายนิ้วมือหรือใบหน้าเท่านั้น

CloudSEK บริษัทความปลอดภัยไซเบอร์รายงานว่ากลุ่มผู้ผลิตมัลแวร์ PRISMA อ้างว่ามีฟีเจอร์พิเศษ สามารถนำ cookie ล็อกอินของกูเกิลที่คนร้ายเคยขโมยไปแต่เจ้าของบัญชีรู้ตัวและรีเซ็ตรหัสผ่านไปแล้ว กลับมาใช้ล็อกอินซ้ำได้อีกครั้ง

ทาง CloudSEK พบว่า PRISMA อาศัย API พิเศษ https://accounts.google.com/oauth/multilogin ของระบบล็อกอินของกูเกิลเองที่เปิดไว้รองรับการล็อกอินหลายบัญชี ผู้ใช้สามารถยิง request โดยอาศัยโทเค็นล็อกอินแล้วจะได้ cookie สำหรับใช้งานบริการต่างๆ ของกูเกิลออกมา

ตั้งแต่ Windows 10 (Fall Creators Update) เป็นต้นมา ไมโครซอฟท์มีช่องทางการติดตั้งแอพผ่านหน้าเว็บชื่อ App Installer เป็นการคลิกลิงก์ที่ใช้ URL ขึ้นต้นด้วย ms-appinstaller เพื่ออำนวยความสะดวกให้ผู้ใช้ (รายละเอียด) โดยเบื้องหลังเป็นการติดตั้งไฟล์ในแพ็กเกจฟอร์แมตใหม่ MSIX ที่ใช้ใน Windows 10 อยู่แล้ว

ทีมวิจัยจาก Ruhr University Bochum รายงานถึงช่องโหว่ Terrapin ของโปรโตคอล Secure Shell หรือ ssh ที่เปิดทางให้แฮกเกอร์สามารถแก้ไขข้อมูลบางส่วนระหว่างเริ่มต้นการเชื่อมต่อ ทำให้คนร้ายสามารถปิดฟีเจอร์ความปลอดภัยบางอย่างได้สำเร็จ อย่างไรก็ตามผลกระทบไม่ร้ายแรงนัก และการโจมตีทำได้จำกัดพอสมควร

Scam Sniffer บริการป้องกันความปลอดภัยของบริการคริปโต ออกรายงานถึงซอฟต์แวร์ดูดเงินคริปโตที่ระบาดหนัก เมื่อนับตั้งแต่เดือนมีนาคมที่ผ่านมา พบเว็บหลอกลวงกว่าหมื่นเว็บ สร้างขึ้นเพื่อพยายามหลอกให้เหยื่อโอนคริปโตไปยังคนร้ายด้วยวิธีต่างๆ

สคริปต์ที่ใช้งานนี้ชื่อว่า MS Drainer โดยผู้สร้างขายโปรแกรมในราคา 1,499 ดอลลาร์ พร้อมกับมีส่วนเสริมแยกต่างหาก ราคานี้ค่อนข้างดีมากเทียบกับคู่แข่งอื่นๆ ที่มักคิดค่าใช้งานโดยแบ่งส่วนแบ่งเงินที่ได้มาถึง 20% โปรแกรมนี้รองรับการดูดเงินจาก chain ต่างๆ ได้แก่ Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom, และ Optimism รองรับการดูดทั้งตัวเงินคริปโต, โทเค็นบน chain, และ NFT

Okta บริษัทให้บริการระบบยืนยันตัวตน ประกาศตกลงซื้อกิจการ Spera Security ผู้พัฒนาแพลตฟอร์มความปลอดภัย สำหรับตรวจจับความผิดปกติและช่องโหว่ที่เกิดขึ้นในกระบวนการทำงาน (Identity threat detection and response - ITDR)

มูลค่าของดีลไม่มีการเปิดเผย แต่ TechCrunch อ้างตัวเลขอยู่ที่ประมาณ 100-130 ล้านดอลลาร์

Okta บอกว่าปัจจุบันองค์กรมีการใช้งาน SaaS และแอพพลิเคชันบนคลาวด์ ในระดับที่สามารถถูกโจมตีโดยตรงมากขึ้น องค์กรจึงต้องการเครื่องมือที่ช่วยตรวจสอบความผิดปกติในภาพกว้างที่ดีขึ้น Spera จะเข้ามาช่วยเสริมงาน ITDR นี้ให้ปลอดภัยมากยิ่งขึ้นสำหรับลูกค้า

แอปเปิลเพิ่มฟีเจอร์ Stolen Device Protection เพิ่มมาตรการป้องกันแม้คนร้ายจะขโมยโทรศัพท์ไปได้ และรู้ PIN ของไอโฟนก็ตาม ฟีเจอร์นี้ประกอบด้วยฟีเจอร์ย่อย ได้แก่ การบังคับยืนยันตัวตนด้วย Face ID/Touch ID เท่านั้นสั่งคำสั่งสำคัญ และเพิ่มช่วงเวลาหน่วงหนึ่งชั่วโมงเมื่อสั่งเปลี่ยนรหัสผ่าน

สำหรับการหน่วงเวลาในการเปลี่ยนรหัสผ่านนั้นจะบังคับเฉพาะเมื่อไอโฟนอยู่นอกพื้นที่ปกติเท่านั้น หากใช้งานในบ้านหรือที่ทำงานยังทำงานเหมือนเดิม ส่วนคำสั่งสำคัญที่ต้องการ Face ID/Touch ID ได้แก่ การดูรหัสผ่านใน Keychain, เปิดบัตร Apple Card, ดูเลขบัตร Apple Card, ปิด Lost Mode, ล้างข้อมูลในเครื่อง, ส่งคำสั่งใน Apple Cash, สั่งจ่ายเงินผ่าน Safari, และการโอนบัญชีไปยังอุปกรณ์ใหม่

หลังจาก iOS 17.2 สำหรับผู้ใช้งานทั่วไปออกมาเมื่อวานนี้ แอปเปิลก็ออกอัพเดตซอฟต์แวร์รุ่นทดสอบสำหรับนักพัฒนา iOS 17.3 เบต้า ต่อทันที ซึ่งในเวอร์ชันแรกนี้มีฟีเจอร์ใหม่ด้านความปลอดภัยที่น่าสนใจ คือระบบป้องกันอุปกรณ์ที่ถูกขโมยสำหรับ iPhone (Stolen Device Protection)

Meta ประกาศเริ่มเปิดการส่งข้อความใน Messenger และ Facebook เป็นการเข้ารหัสแบบ End-to-End แล้ว มีผลกับผู้ใช้งานทุกคนทั้งการแชทและการโทรแบบส่วนตัว ตามที่บริษัทเคยประกาศไว้ว่าจะมาภายในปีนี้

Messenger เริ่มรองรับการส่งข้อความเข้ารหัสมาตั้งแต่ปี 2016 แต่เป็นแบบผู้ใช้งานต้องเปิดเอง (opt-in) ซึ่งเหตุผลที่ใช้เวลานานมากกว่าจะเปิดใช้งานเป็นค่าเริ่มต้นได้กับทุกคน เพราะต้องแก้ไขโครงสร้างการจัดการข้อความด้านหลัง รวมถึง Messenger เองก็มีฟีเจอร์ใหม่เพิ่มมาโดยตลอด

ไมโครซอฟท์ให้รายละเอียดเพิ่มเติมของ Windows 10 ที่จะหมดระยะซัพพอร์ตในวันที่ 14 ตุลาคม 2025 หรืออีกเกือบสองปีข้างหน้า ซึ่งจะไม่มีการออกอัพเดตแก้ไขบั๊ก แพตช์ช่องโหว่ความปลอดภัย และอื่น ๆ จึงแนะนำให้องค์กรและผู้ใช้งานวางแผนอัพเดตเป็น Windows 11

Windows 10 ออกอัพเดตส่วนฟีเจอร์การใช้งานรุ่นสุดท้าย Windows 10 22H2 เมื่อเดือนเมษายน และจากนี้จะมีเฉพาะแพตช์ความปลอดภัยจนถึงปี 2025 ตามกำหนด

กูเกิลออกอัพเดต Chrome แก้ไขช่องโหว่ Zero-Day CVE-2023-6345 ซึ่งกูเกิลบอกว่ามีการรายงานปัญหาและโจมตีแล้วตอนนี้ ผู้ใช้งานจึงควรอัพเดตทันที

โดย Chrome เวอร์ชันที่อัพเดตแล้วบนเดสก์ท็อป สำหรับ Windows คือ 119.0.6045.199/.200 ส่วน Mac และ Linux เป็นเวอร์ชัน 119.0.6045.199

กูเกิลยังไม่ได้เปิดเผยรายละเอียดของช่องโหว่นี้ เนื่องจากต้องรอให้มีผู้ใช้ Chrome อัพเดตจำนวนมากพอก่อน โดยถือเป็นการแก้ไขช่องโหว่ Zero-Day ครั้งที่ 6 ในปีนี้ แต่คาดว่าเป็นช่องโหว่เกี่ยวกับ Skia ที่เป็นไลบรารีกราฟิก 2D รายงานการค้นพบโดยนักวิจัยของ Google's Threat Analysis Group (TAG)

Okta แจ้งรายละเอียดเพิ่มเติมเหตุการณ์ถูกแฮกเมื่อเดือนตุลาคมที่ผ่านมา โดยก่อนหน้านี้เคยระบุว่ากระทบลูกค้า 1% ของบริษัท แต่การสอบสวนล่าสุดทาง Okta พบว่าแฮกเกอร์ดาวน์โหลดรายงานผู้ใช้ทั้งหมดของระบบซัพพอร์ตออกไปด้วยทำให้ผลกระทบกว้างกว่าเดิม

รายงานที่ถูกดาวน์โหลดออกไปมีชื่อและอีเมลของลูกค้าที่เข้าใช้ระบบซัพพอร์ตทั้งหมด

Microsoft’s Offensive Research and Security Engineering (MORSE) ทีมวิจัยความปลอดภัยของไมโครซอฟท์เองจ้างให้บริษัท Blackwing Intelligence ทดสอบความปลอดภัยของเซ็นเซอร์ลายนิ้วมือสำหรับล็อกอินวินโดวส์หรือ Windows Hello ว่ามีช่องโหว่ใดบ้าง

ทีมงานทดสอบ โน้ตบุ๊กสามรุ่น จากเซ็นเซอร์สามยี่ห้อ คือ Dell Inspiron 15 (Goodix), Lenovo ThinkPad T14 (Synaptics), และ Microsoft Surface Pro Type Cover (ELAN) โดยทั่วไปแล้ว Windows Hello นั้นมีฟีเจอร์สำคัญสองประเด็น คือ 1) ลายนิ้วมืออยู่ในชิปเซ็นเซอร์ลายนิ้วมือตลอดเวลา ไม่เคยส่งออกนอกชิป 2) โปรโตคอล Secure Device Connection Protocol (SDCP) ที่ไมโครซอฟท์สร้างขึ้นสำหรับใช้กับการสื่อสารข้ามชิปอย่างปลอดภัย ชิปไม่ได้ถูกดัดแปลง

Central Provident Fund (CPF) หรือกองทุนสำรองเลี้ยงชีพแห่งชาติสิงคโปร์ประกาศเตรียมจำกัดวงเงินการถอนต่อวันเหลือ 2,000 ดอลลาร์สิงคโปร์ หรือประมาณ 50,000 บาท เพื่อสู้กับการหลอกลวงต่างๆ รวมถึงแอปดูดเงิน

นโยบายใหม่นี้มีผลวันที่ 30 พฤศจิกายนนี้และจะบังคับกับผู้ที่มีสิทธิ์ถอนเงินอายุ 55 ปีขึ้นไป การตั้งค่าเริ่มต้นอยู่ที่ 2,000 ดอลลาร์สิงคโปร์ จากนั้นผู้ใช้จะสามารถสแกนใบหน้าเพื่อปรับค่าระหว่าง 0-200,000 ดอลลาร์สิงคโปร์ได้เอง แต่หลังการสั่งปรับวงเงินแล้วจะต้องรออีก 12 ชั่วโมง คำสั่งจึงจะมีผล

กูเกิลเปิดตัวกุญแจ Titan Security Key รุ่นใหม่ รองรับการล็อกอินด้วย Passkey ที่กูเกิลกำลังผลักดันเต็มตัว

กุญแจ Titan Security Key รุ่นใหม่มีทั้งแบบ USB-A และ USB-C โดยจะวางขายแทนกุญแจ U2F รุ่นเดิมที่วางขายในปัจจุบัน กุญแจทั้งสองรุ่นรองรับการเชื่อมต่อกับอุปกรณ์พกพาด้วย NFC และหน่วยความจำในตัวกุญแจสามารถเก็บคีย์ในระบบ Passkey ได้สูงสุด 250 คีย์ ซึ่งกูเกิลบอกว่าน่าจะครอบคลุมการใช้งานของคนทั่วไปแล้ว

ราคาขายรุ่น USB-A ตัวละ 30 ดอลลาร์ รุ่น USB-C ตัวละ 35 ดอลลาร์ ราคาต่างจากเวอร์ชันก่อนเล็กน้อย ที่เหมือนเดิมคือยังไม่มีขายในไทยอย่างเป็นทางการ

Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ Reptar (CVE-2023-23583) ที่อาศัย bit ที่ไม่ได้ใช้งานของคำสั่ง MOVSB ที่ใช้ย้ายข้อมูลเข้าไปยัง register เมื่อรันคำสั่งที่ผิดพลาดแบบนี้อย่างจงใจจะทำให้ซีพียูหลุดไปสู่สถานะที่ไม่ได้กำหนดการทำงานไว้ ส่งผลให้เครื่องแครชไปได้ทั้งเครื่อง แม้จะรันโค้ดอยู่ใน virtual machine ที่ถูกจำกัดสิทธิ์ไว้ก็ตาม

บั๊กนี้เกิดจากฟีเจอร์ Fast Short Repeat Move (FSRM) ที่เป็นฟีเจอร์สำหรับย้ายสตริงด้วยความเร็วสูง ในซีพียูที่เปิดฟีเจอร์นี้ไว้และสั่งคำสั่ง MOVSB โดยใส่ค่า prefix ของ register ให้ผิดพลาดอย่างจงใจ ซีพียูจะหลุดเข้าไปอยู่ใน state ที่ผิดพลาดและ halt หยุดการทำงานไปเลย โดย FSRM นั้นเพิ่มเข้ามาตั้งแต่ซีพียู Ice Lake ขึ้นมา

Patch Tuesday หรือธรรมเนียมการออกแพตช์ความปลอดภัยรายเดือน ทุกวันอังคารที่ 2 ของเดือน มีอายุครบ 20 ปีแล้ว หลังออกแพตช์ครั้งแรกในเดือนพฤศจิกายน 2003

ไมโครซอฟท์เริ่มแนวคิดการอัพเดตแพตช์ความปลอดภัยรายเดือนให้ระบบปฏิบัติการ จากบันทึกของบิล เกตส์ ชื่อ Trustworthy Computing ช่วงต้นปี 2002 ที่เขียนขึ้นเพื่อรับมือปัญหาช่องโหว่ความปลอดภัยระบาดบนวินโดวส์ (ในยุคนั้น)

Okta เผยรายละเอียดของการโดนแฮ็กระบบ เมื่อปลายเดือนตุลาคม 2023 ที่ผ่านมา หลังการสอบสวนเชิงลึกเสร็จสิ้นแล้ว

David Bradbury ประธานเจ้าหน้าที่ฝ่ายความมั่นคง (Chief Security Officer) เป็นผู้แถลงผ่านบล็อกของบริษัท เล่าถึงสาเหตุว่าเกิดจากพนักงานรายหนึ่งใช้โน้ตบุ๊กของบริษัท ล็อกอินบัญชี Google ส่วนตัวบน Chrome และเก็บรหัสผ่านต่างๆ ไว้ใน Chrome ทำให้โดนแฮ็กเอารหัสผ่านจากจุดนั้น ลามมายังบัญชีภายในของบริษัทต่อในภายหลัง

Mark Brand จาก Project Zero เล่าถึงฟีเจอร์ลับของ Pixel 8/Pixel 8 Pro ว่าเป็นโทรศัพท์ตัวแรกที่สามารถเปิดฟีเจอร์ Memory Tagging Extensions ฟีเจอร์ป้องกันบั๊กหน่วยความจำหลายรูปแบบ เช่น ทำให้โปรแกรมไม่สามารถใช้หน่วยความจำที่เคยคืนระบบไปแล้ว (user-after-free)

แม้จะบอกว่าเปิดใช้งานได้ แต่ก็ต้องนับว่าเป็นฟีเจอร์ลับพอสมควร เพราะผู้ที่ต้องการใช้งานต้องเปิด USB debugging เพื่อไปตั้งค่าฟีเจอร์นี้ในเคอร์เนลเอง และฟีเจอร์นี้ไม่ได้ซัพพอร์ตเป็นทางการ ข้อจำกัดอีกอย่างคือมีบางส่วนในระบบไม่สามารถใช้ฟีเจอร์นี้ได้เพราะคอนฟิก exclusion ไว้ หรือบางโปรแกรม เช่น Chrome นั้นมีระบบจัดการหน่วยความจำ PartitionAlloc ของตัวเองทำให้ไม่สามารถใช้งานฟีเจอร์นี้ได้

ซัมซุงเปิดตัวฟีเจอร์ความปลอดภัย Auto Blocker ซึ่งเป็นส่วนหนึ่งของรอม One UI 6.0 ที่ช่วยป้องกันภัยทางไซเบอร์ให้ผู้ใช้งาน

Auto Blocker มีฟีเจอร์หลายอย่างดังนี้

ก.ล.ต. สหรัฐฯ (SEC) ประกาศตั้งข้อหาแก่บริษัท SolarWinds และ Timothy G. Brown CISO ของบริษัท จากเหตุการณ์ที่บริษัทถูกแฮกฝังโค้ดในซอฟต์แวร์ ส่งผลต่อเนื่องให้องค์กรลูกค้าถูกแฮกตามไปด้วย

SEC ระบุว่าวิศวกรของบริษัทเตือน Brown แล้วว่าเครือข่ายของบริษัทปล่อยให้มีการเข้าถึงอย่างไม่ปลอดภัยนัก และหากคนร้ายเจาะเข้ามาได้ก็ตรวจจับได้ยาก แม้ Brown จะได้รับรายงานแต่ก็ไม่แก้ไขหรือแจ้งเรื่องต่อภายในบริษัทให้มีการแก้ไข

ZachXBT บัญชีทวิตเตอร์รายงานอาชญากรรมในโลกคริปโตรายงานถึงผู้เสียหายอย่างน้อย 25 รายแจ้งเข้ามาว่าถูกขโมยเงินคริปโตไป โดยพบความเชื่อมโยงว่าทุกรายเป็นผู้ใช้ LastPass และเก็บกุญแจบัญชีคริปโตไว้ใน LastPass เช่นกัน

ความเชื่อมโยงนี้ทำให้คาดว่าคนร้ายอาศัยฐานข้อมูล LastPass ที่รั่วออกมาปีที่แล้ว และสามารถยิงรหัสผ่านจนแกะฐานข้อมูลออกมาได้ โดยที่ผ่านมาอดีตวิศวกรของ LastPass ออกมาระบุว่าฐานข้อมูลไม่ได้เข้ารหัสบางส่วน อาจจะเป็นสัญญาณให้คนร้ายเลือกแกะรหัสฐานข้อมูลเป้าหมายได้ง่ายขึ้น

กูเกิลประกาศขยายโครงการ VRP (Vulnerability Reward Program) ที่ให้รายงานช่องโหว่หรือบั๊ก ครอบคลุมถึงหัวข้อ Generative AI ซึ่งกูเกิลบอกว่าถือเป็นการให้ผลตอบแทนสำหรับการวิจัย ที่เกี่ยวข้องกับความปลอดภัยและความเสี่ยงของ AI เพื่อให้ AI เป็นพื้นที่ปลอดภัยของทุกคน

ตัวอย่างหัวข้อที่กูเกิลถือว่าเป็นช่องโหว่ของ Generative AI เช่น การมีอคติอย่างไม่ยุติธรรม (Unfair bias), การนำโมเดลไปดัดแปลงไม่เหมาะสม ตลอดจนการตีความข้อมูลที่ไม่ถูกต้อง กูเกิลบอกว่าการนำ Generative AI ไปใส่ในผลิตภัณฑ์ของกูเกิลนั้น มีทีมงานความปลอดภัยทดสอบความเสี่ยงด้านต่าง ๆ ที่อาจเกิดขึ้นได้อยู่แล้ว แต่การได้ความร่วมมือเพิ่มเติมจากนักวิจัยภายนอกจะช่วยให้ Generative AI ของกูเกิลปลอดภัยมากขึ้นไปอีก

Cloudflare ปล่อยโครงการโอเพนซอร์ส HAR File Sanitizer สำหรับล้างข้อมูลสำคัญก่อนแชร์ไฟล์ request จากเบราว์เซอร์ หลังเกิดช่องโหว่ในระบบซัพพอร์ตของ Okta จนมีองค์กรถูกแฮกจำนวนมาก

CloudSEK บริษัทความปลอดภัยไซเบอร์รายงานถึงแก๊งหลอกลวงเงินในอินเดียที่กำลังระบาดขึ้น โดยอาศัยระบบโอนเงินทันที UPI แบบเดียวกับ PromptPay ในไทยเป็นโครงสร้างสำคัญ

แก๊งนี้อาศัยการหลอกโฆษณาแอปปล่อยกู้ โดยหลอกเหยื่อว่าต้องจ่ายค่าธรรมเนียมก่อนจึงจะได้เงินกู้ และเมื่อได้เงินแล้วก็มักหายตัวไป โดยช่วงเวลาเพียงไม่กี่เดือนในไตรมาสสามปีนี้มีผู้เสียหายแล้วถึง 40,000 ราย มูลค่าความเสียหายอย่างน้อย 1.6 ล้านบาท

กลยุทธ์ของกลุ่มคนร้ายนี้คล้ายกับคนร้ายในไทยที่พยายามซ่อนเงินผ่านทางเครือข่ายบัญชีม้าหลายชั้น และกลุ่มใหญ่อาศัยบริการ payment gateway ของจีนที่เปิดทางให้สามารถรับเงินได้ผ่านทางหมายเลขโทรศัพท์โดยไม่มีกระบวนการป้องกันการฟอกเงินที่ดีพอ