กูเกิลร่วมมือกับองค์กรความมั่นคงไซเบอร์สิงคโปร์ (Cyber Security Agency of Singapore - CSA) ทดสอบการบล็อคแอปที่ต้องการสิทธิ์ระดับสูงนอกสโตร์ โดยการทดลองครั้งนี้ยังจำกัดเฉพาะในสิงคโปร์ก่อน

สิทธิ์ระดับสูง ได้แก่ การรับและอ่าน SMS, การอ่าน notification, และ accessibility ซึ่งสิทธิ์เหล่านี้ถูกกลุ่มคนร้ายใช้สร้างแอปดูดเงินบ่อยๆ โดยพบว่าคนร้ายมักหลอกให้เหยื่อติดตั้งแอปเหล่านี้ และเหตุการณ์ 95% เป็นการติดตั้งนอกสโตร์

แม้ Google Play Protect จะเตือนและบล็อคการติดตั้งแต่ในความเป็นจริงคนร้ายก็อาจจะหลอกให้เหยื่อปิด Google Play Protect ได้ (ยกเว้นผู้ใช้ที่เปิด Google Advanced Protection ที่ไม่สามารถปิดได้เลย)

มีรายงานพบการทดสอบรองรับคำสั่ง Sudo ใน Windows 11 ซึ่งพบใน Windows Server รุ่นพรีวิวล่าสุด โดยอยู่ในส่วนการตั้งค่า Developer ที่ต้องเปิดใช้งานก่อน ทำให้ผู้ใช้งานสามารถเข้าถึงสิทธิระดับผู้ดูแลได้

อย่างไรก็ตามการพบตัวเลือกคำสั่ง sudo นี้ มาจากพรีวิวที่อัพเดตเมื่อสุดสัปดาห์ที่ผ่านมา และไมโครซอฟท์ยังไม่ประกาศฟีเจอร์นี้อย่างเป็นทางการ จึงต้องรอดูกันว่าจะเปิดใช้งานทั่วไปตอนไหน โดยการทดสอบพบว่าเมื่อสั่งเปิดใช้งาน Sudo จะมีกล่องข้อความเตือนซ้ำอีกครั้งว่าผู้ใช้งานเข้าใจความเสี่ยงของการเปิดใช้ sudo ด้วย

Check Point Software Technology ผู้ให้บริการด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์ เปิดเผยว่า องค์กรในประเทศไทยถูกโจมตีทางไซเบอร์มากถึง 1,892 ครั้งต่อสัปดาห์ในช่วงครึ่งปีที่ผ่านมา ซึ่งถือว่าอยู่ในระดับที่สูงมากเมื่อเทียบกับค่าเฉลี่ยทั่วโลกที่ระดับ 1,040 ครั้ง โดยหน่วยงานภาครัฐ/ทหาร อุตสาหกรรมการผลิต และการเงิน/การธนาคาร โดนโจมตีเยอะสุดถึง 5,789 ครั้งในช่วงหกเดือนที่ผ่านมา

ในรายงาน Threat Intelligence Report ของ Check Point พบมัลแวร์แบบคริปโตไมเนอร์ (Cryptominer) และบอตเน็ต (Botnet) มากที่สุดในประเทศไทย ซึ่งแสดงให้เห็นว่าประเทศไทยมีความเสี่ยงต่อการโจมตีแบบฟิชชิ่ง (Phishing) การหลอกลวงรูปแบบต่าง ๆ และการปล้นทรัพยากร (Resource Hijacking)

GitLab ออกแพตช์พร้อมแจ้งเตือนช่องโหว่ CVE-2023-7028 ตั้งแต่ต้นปีที่ผ่านมา อย่างไรก็ดีตอนนี้ยังมีเซิร์ฟเวอร์จำนวนมากไม่ได้อัพเดต ทำให้เสี่ยงต่อการถูกยึดเซิร์ฟเวอร์

รายงานจาก The Shadow Server Foundation แสดงให้เห็นว่าเซิร์ฟเวอร์จำนวนมากในสหรัฐฯ, รัสเซีย, เยอรมนี, และจีน ยังเปิดให้เชื่อมต่อผ่านอินเทอร์เน็ต สำหรับในไทยนั้นจำนวนเซิร์ฟเวอร์ดูไม่มากนัก เพียงแค่ 27 เครื่อง

SEC หรือ ก.ล.ต. สหรัฐ ชี้แจงผลการสอบสวนจากเหตุการณ์ที่บัญชี X @SECGov โพสต์ข้อความว่าได้อนุมัติ Bitcoin ETF และต่อมาข้อความดังกล่าวถูกลบไป โดยบอกว่าบัญชีถูกแฮค (แล้ววันถัดมาก็ประกาศอนุมัติจริง ๆ)

โดย SEC บอกว่าจากการตรวจสอบร่วมกับผู้ให้บริการเครือข่ายโทรศัพท์มือถือ พบว่ามีการเข้าถึงหมายเลขโทรศัพท์ที่ผูกกับบัญชีของ SEC ผ่านบริการ 3rd party ด้วยการสลับอุปกรณ์ที่ใช้หมายเลขโทรศัพท์ (SIM swap) และเนื่องจากบัญชีนี้ไม่ได้เปิด 2FA หรือการยืนยันตัวตนสองขั้นตอน จึงทำให้เข้าถึงบัญชีได้เลยผ่าน SMS ของโทรศัพท์มือถือ

BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

ไมโครซอฟท์รายงานถึงเหตุการณ์ความปลอดภัยไซเบอร์ที่บริษัทถูกกลุ่ม Midnight Blizzard หรือ Nobelium โจมตีด้วยการยิงรหัสผ่านอีเมล (password spray) ได้เป็นผลสำเร็จ ทำให้ข้อมูลของพนักงานด้านความปลอดภัยไซเบอร์, พนักงานระดับอาวุโส, และฝ่ายกฎหมายบางส่วนถูกดึงออกไปได้ โดยดูเหมือนคนร้ายพยายามหาข้อมูลว่าไมโครซอฟท์รู้ข้อมูลอะไรเกี่ยวกับกลุ่ม Midnight Blizzard เองบ้าง

ปกติการยิงรหัสผ่านแบบนี้ไม่สามารถโจมตีบริษัทที่บังคับล็อกอินสองขั้นตอนได้ แต่กรณีนี้ไมโครซอฟท์มี test tenant แยกออกไปอยู่ และคนร้ายสามารถยึด tenant นั้นได้สำเร็จ หลังจากนั้นจึงอาศัยสิทธิ์ในนั้นเข้าถึงอีเมลของพนักงาน

Hendrik H. นักวิจัยได้รับว่าจ้างจากบริษัทแห่งหนึ่งให้เข้าไปแก้ปัญหาซอฟต์แวร์เมื่อปี 2021 และพบโปรแกรม MSConnect.exe ของบริษัท Modern Solution นั้นมีรหัสผ่านฐานข้อมูล MariaDB ฝังอยู่ภายใน และเมื่อล็อกอินเข้าไปก็เห็นข้อมูลของลูกค้าทั้งหมดของ Modern Solution รวมกว่า 700,000 รายการ

Modern Solution ออกประกาศแจ้งเหตุข้อมูลรั่วไหลตั้งแต่ปี 2021 ระบุว่ากระทบเฉพาะผู้ใช้ระบบผ่านลูกค้ารายเดียว แต่หลังจากนั้นตำรวจเยอรมนีก็บุกยึดคอมพิวเตอร์ของ Hendrik เพราะ Modern Solution แจ้งความว่า Hendrikได้รหัสผ่านฐานข้อมูลจากแหล่งข้อมูลภายในพร้อมกับกล่าวหาว่าเขาเป็นคู่แข่งทางธุรกิจ

บริษัทวิจัยความปลอดภัย Aqua Security เก็บสถิติแพ็กเกจยอดนิยมบน npm จำนวน 50,000 รายการแรกมาวิเคราะห์ แล้วพบว่าแพ็กเกจสัดส่วน 8.2% มีสถานะเป็นล้าสมัย (deprecated) อย่างเป็นทางการแล้ว (หมายถึงนักพัฒนาเจ้าของแพ็กเกจนั้นประกาศ deprecated อย่างชัดเจน)

อย่างไรก็ตาม ถ้านับแพ็กเกจอื่นที่อาจไม่ deprecated อย่างเป็นทางการ แต่มีสถานะคล้ายๆ กัน เช่น ตัว repository ทั้งอันบน GitHub ถูกปรับเป็น archived ไม่ใช้งานแล้ว, ตัว repository ถูกลบออกจาก GitHub แต่แพ็กเกจยังอยู่ใน npm, แพ็กเกจไม่ได้มีลิงก์ไปยัง repository ต้นทางด้วย สัดส่วนแพ็กเกจที่ล้าสมัย-ใช้งานไม่ได้จะเพิ่มเป็น 21% หรือราว 1/5 ของแพ็กเกจทั้งหมดเลยทีเดียว

Bitwarden บริการจัดการรหัสผ่านโอเพนซอร์สชื่อดังเริ่มรองรับการล็อกอินเข้าใช้งานด้วย Passkey แล้ว ทดแทนการใช้ชื่อบัญชีและรหัสผ่านตามปกติ

Bitwarden เลือกรองรับ Passkey ผ่านส่วนเสริม PRF ของมาตรฐาน WebAuthn โดยหลักการของ PRF คือให้กุญแจยืนยันตัวตนสร้างกุญแจเข้ารหัสขึ้นมาชุดหนึ่งสำหรับ Bitwarden (หรือเว็บไซต์อื่นๆ) โดยเฉพาะ จากนั้น Bitwarden ก็จะนำกุญแจนี้ไปใช้กับการเข้ารหัสและปลดล็อคข้อมูลของผู้ใช้ใน vault อีกทอดหนึ่งด้วย

OpenSSH ซอฟต์แวร์ควบคุมเครื่องระยะไกลประกาศแนวทางการยกเลิกรองรับกุญแจล็อกอินแบบ DSA (Digital Signature Algorithm) โดยกุญแจแบบ DSA นี้เป็นกุญแจล็อกอินที่ OpenSSH ใช้ตั้งแต่เวอร์ชั่นแรกเมื่อ OpenSSH ตั้งแต่ปี 1999 หรือ 24 ปีที่แล้ว โดยโค้ดทั้งหมดจะถูกถอดออกภายในต้นปี 2025

ที่ผ่านมาการแชร์ข้อมูลโดยตรงหากันระหว่างอุปกรณ์ผ่านบลูทูธ โดยเฉพาะช่องทางอย่าง AirDrop ในอุปกรณ์ของแอปเปิล เป็นช่องทางที่หน่วยงานของจีนพยายามออกระเบียบควบคุม เพราะสามารถติดตามตรวจสอบได้ยากกว่าช่องทางอื่น

ล่าสุดมีรายงานว่าหน่วยงานวิจัยของปักกิ่ง อ้างว่าพบวิธีดึงข้อมูล หมายเลขโทรศัพท์, อีเมล และชื่ออุปกรณ์ ของผู้รับและผู้ส่งรูปภาพผ่าน AirDrop ได้แล้ว โดยแกะข้อมูลจาก log ของอุปกรณ์

หน่วยงานวิจัยนี้บอกว่าข้อมูลผู้ส่งไฟล์ใน AirDrop นั้น มีการเก็บแบบเข้ารหัสไว้ใน log ที่ระดับอุปกรณ์ แต่สามารถถอดรหัสได้โดยใช้วิธี Rainbow Tables ซึ่งวิธีการนี้ทำให้หน่วยงานของจีนสามารถตรวจสอบผู้ต้องสงสัยหากมีการเผยแพร่เนื้อหาที่ไม่เหมาะสมได้

X ออกแถลงการณ์จากประเด็นที่บัญชีของ ก.ล.ต. สหรัฐ หรือ SEC (@SECGov) โพสต์ข้อความการอนุมัติให้ตั้ง Bitcoin ETF ได้ และต่อมาโพสต์ถูกลบ พร้อมกับบอกว่าบัญชีถูกแฮค

โดย X ยืนยันว่าบัญชี SEC ถูกแฮคจริงจากการสอบสวนเบื้องต้น แต่ไม่ได้เกิดจากช่องโหว่ใด ๆ ในแพลตฟอร์มของ X เอง ปัญหานี้เกิดจากการเชื่อมต่อบัญชีของ @SECGov เข้ากับข้อมูลหมายเลขโทรศัพท์ ผ่านแอปภายนอก รวมทั้งบัญชี @SECGov ก็ไม่ได้เปิดการใช้งานยืนยันตัวตนสองขั้นตอน (2FA) ในขณะที่ถูกแฮค จากกรณีดังกล่าว X จึงแนะนำให้ผู้ใช้งานทุกคนเปิด 2FA เพื่อเพิ่มความปลอดภัยในการใช้งาน

RedTeam Pentesting บริษัทความปลอดภัยซอฟต์แวร์จากเยอรมนีรายงานถึงการตรวจสอบความปลอดภัยของ Bitwarden ซอฟต์แวร์เก็บรหัสผ่าน โดยพยายามถอดรหัสฐานข้อมูลเมื่อผู้ใช้เปิดใช้งานฟีเจอร์ปลดล็อกฐานข้อมูลด้วย Windows Hello ที่ทำให้ผู้ใช้ไม่ต้องพิมพ์ master password ทุกรอบที่ต้องการใช้งาน แต่เพียงแต่ตรวจสอบลายนิ้วมือหรือใบหน้าเท่านั้น

CloudSEK บริษัทความปลอดภัยไซเบอร์รายงานว่ากลุ่มผู้ผลิตมัลแวร์ PRISMA อ้างว่ามีฟีเจอร์พิเศษ สามารถนำ cookie ล็อกอินของกูเกิลที่คนร้ายเคยขโมยไปแต่เจ้าของบัญชีรู้ตัวและรีเซ็ตรหัสผ่านไปแล้ว กลับมาใช้ล็อกอินซ้ำได้อีกครั้ง

ทาง CloudSEK พบว่า PRISMA อาศัย API พิเศษ https://accounts.google.com/oauth/multilogin ของระบบล็อกอินของกูเกิลเองที่เปิดไว้รองรับการล็อกอินหลายบัญชี ผู้ใช้สามารถยิง request โดยอาศัยโทเค็นล็อกอินแล้วจะได้ cookie สำหรับใช้งานบริการต่างๆ ของกูเกิลออกมา

ตั้งแต่ Windows 10 (Fall Creators Update) เป็นต้นมา ไมโครซอฟท์มีช่องทางการติดตั้งแอพผ่านหน้าเว็บชื่อ App Installer เป็นการคลิกลิงก์ที่ใช้ URL ขึ้นต้นด้วย ms-appinstaller เพื่ออำนวยความสะดวกให้ผู้ใช้ (รายละเอียด) โดยเบื้องหลังเป็นการติดตั้งไฟล์ในแพ็กเกจฟอร์แมตใหม่ MSIX ที่ใช้ใน Windows 10 อยู่แล้ว

ทีมวิจัยจาก Ruhr University Bochum รายงานถึงช่องโหว่ Terrapin ของโปรโตคอล Secure Shell หรือ ssh ที่เปิดทางให้แฮกเกอร์สามารถแก้ไขข้อมูลบางส่วนระหว่างเริ่มต้นการเชื่อมต่อ ทำให้คนร้ายสามารถปิดฟีเจอร์ความปลอดภัยบางอย่างได้สำเร็จ อย่างไรก็ตามผลกระทบไม่ร้ายแรงนัก และการโจมตีทำได้จำกัดพอสมควร

Scam Sniffer บริการป้องกันความปลอดภัยของบริการคริปโต ออกรายงานถึงซอฟต์แวร์ดูดเงินคริปโตที่ระบาดหนัก เมื่อนับตั้งแต่เดือนมีนาคมที่ผ่านมา พบเว็บหลอกลวงกว่าหมื่นเว็บ สร้างขึ้นเพื่อพยายามหลอกให้เหยื่อโอนคริปโตไปยังคนร้ายด้วยวิธีต่างๆ

สคริปต์ที่ใช้งานนี้ชื่อว่า MS Drainer โดยผู้สร้างขายโปรแกรมในราคา 1,499 ดอลลาร์ พร้อมกับมีส่วนเสริมแยกต่างหาก ราคานี้ค่อนข้างดีมากเทียบกับคู่แข่งอื่นๆ ที่มักคิดค่าใช้งานโดยแบ่งส่วนแบ่งเงินที่ได้มาถึง 20% โปรแกรมนี้รองรับการดูดเงินจาก chain ต่างๆ ได้แก่ Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom, และ Optimism รองรับการดูดทั้งตัวเงินคริปโต, โทเค็นบน chain, และ NFT

Okta บริษัทให้บริการระบบยืนยันตัวตน ประกาศตกลงซื้อกิจการ Spera Security ผู้พัฒนาแพลตฟอร์มความปลอดภัย สำหรับตรวจจับความผิดปกติและช่องโหว่ที่เกิดขึ้นในกระบวนการทำงาน (Identity threat detection and response - ITDR)

มูลค่าของดีลไม่มีการเปิดเผย แต่ TechCrunch อ้างตัวเลขอยู่ที่ประมาณ 100-130 ล้านดอลลาร์

Okta บอกว่าปัจจุบันองค์กรมีการใช้งาน SaaS และแอพพลิเคชันบนคลาวด์ ในระดับที่สามารถถูกโจมตีโดยตรงมากขึ้น องค์กรจึงต้องการเครื่องมือที่ช่วยตรวจสอบความผิดปกติในภาพกว้างที่ดีขึ้น Spera จะเข้ามาช่วยเสริมงาน ITDR นี้ให้ปลอดภัยมากยิ่งขึ้นสำหรับลูกค้า

แอปเปิลเพิ่มฟีเจอร์ Stolen Device Protection เพิ่มมาตรการป้องกันแม้คนร้ายจะขโมยโทรศัพท์ไปได้ และรู้ PIN ของไอโฟนก็ตาม ฟีเจอร์นี้ประกอบด้วยฟีเจอร์ย่อย ได้แก่ การบังคับยืนยันตัวตนด้วย Face ID/Touch ID เท่านั้นสั่งคำสั่งสำคัญ และเพิ่มช่วงเวลาหน่วงหนึ่งชั่วโมงเมื่อสั่งเปลี่ยนรหัสผ่าน

สำหรับการหน่วงเวลาในการเปลี่ยนรหัสผ่านนั้นจะบังคับเฉพาะเมื่อไอโฟนอยู่นอกพื้นที่ปกติเท่านั้น หากใช้งานในบ้านหรือที่ทำงานยังทำงานเหมือนเดิม ส่วนคำสั่งสำคัญที่ต้องการ Face ID/Touch ID ได้แก่ การดูรหัสผ่านใน Keychain, เปิดบัตร Apple Card, ดูเลขบัตร Apple Card, ปิด Lost Mode, ล้างข้อมูลในเครื่อง, ส่งคำสั่งใน Apple Cash, สั่งจ่ายเงินผ่าน Safari, และการโอนบัญชีไปยังอุปกรณ์ใหม่

หลังจาก iOS 17.2 สำหรับผู้ใช้งานทั่วไปออกมาเมื่อวานนี้ แอปเปิลก็ออกอัพเดตซอฟต์แวร์รุ่นทดสอบสำหรับนักพัฒนา iOS 17.3 เบต้า ต่อทันที ซึ่งในเวอร์ชันแรกนี้มีฟีเจอร์ใหม่ด้านความปลอดภัยที่น่าสนใจ คือระบบป้องกันอุปกรณ์ที่ถูกขโมยสำหรับ iPhone (Stolen Device Protection)

Meta ประกาศเริ่มเปิดการส่งข้อความใน Messenger และ Facebook เป็นการเข้ารหัสแบบ End-to-End แล้ว มีผลกับผู้ใช้งานทุกคนทั้งการแชทและการโทรแบบส่วนตัว ตามที่บริษัทเคยประกาศไว้ว่าจะมาภายในปีนี้

Messenger เริ่มรองรับการส่งข้อความเข้ารหัสมาตั้งแต่ปี 2016 แต่เป็นแบบผู้ใช้งานต้องเปิดเอง (opt-in) ซึ่งเหตุผลที่ใช้เวลานานมากกว่าจะเปิดใช้งานเป็นค่าเริ่มต้นได้กับทุกคน เพราะต้องแก้ไขโครงสร้างการจัดการข้อความด้านหลัง รวมถึง Messenger เองก็มีฟีเจอร์ใหม่เพิ่มมาโดยตลอด

ไมโครซอฟท์ให้รายละเอียดเพิ่มเติมของ Windows 10 ที่จะหมดระยะซัพพอร์ตในวันที่ 14 ตุลาคม 2025 หรืออีกเกือบสองปีข้างหน้า ซึ่งจะไม่มีการออกอัพเดตแก้ไขบั๊ก แพตช์ช่องโหว่ความปลอดภัย และอื่น ๆ จึงแนะนำให้องค์กรและผู้ใช้งานวางแผนอัพเดตเป็น Windows 11

Windows 10 ออกอัพเดตส่วนฟีเจอร์การใช้งานรุ่นสุดท้าย Windows 10 22H2 เมื่อเดือนเมษายน และจากนี้จะมีเฉพาะแพตช์ความปลอดภัยจนถึงปี 2025 ตามกำหนด

กูเกิลออกอัพเดต Chrome แก้ไขช่องโหว่ Zero-Day CVE-2023-6345 ซึ่งกูเกิลบอกว่ามีการรายงานปัญหาและโจมตีแล้วตอนนี้ ผู้ใช้งานจึงควรอัพเดตทันที

โดย Chrome เวอร์ชันที่อัพเดตแล้วบนเดสก์ท็อป สำหรับ Windows คือ 119.0.6045.199/.200 ส่วน Mac และ Linux เป็นเวอร์ชัน 119.0.6045.199

กูเกิลยังไม่ได้เปิดเผยรายละเอียดของช่องโหว่นี้ เนื่องจากต้องรอให้มีผู้ใช้ Chrome อัพเดตจำนวนมากพอก่อน โดยถือเป็นการแก้ไขช่องโหว่ Zero-Day ครั้งที่ 6 ในปีนี้ แต่คาดว่าเป็นช่องโหว่เกี่ยวกับ Skia ที่เป็นไลบรารีกราฟิก 2D รายงานการค้นพบโดยนักวิจัยของ Google's Threat Analysis Group (TAG)

Okta แจ้งรายละเอียดเพิ่มเติมเหตุการณ์ถูกแฮกเมื่อเดือนตุลาคมที่ผ่านมา โดยก่อนหน้านี้เคยระบุว่ากระทบลูกค้า 1% ของบริษัท แต่การสอบสวนล่าสุดทาง Okta พบว่าแฮกเกอร์ดาวน์โหลดรายงานผู้ใช้ทั้งหมดของระบบซัพพอร์ตออกไปด้วยทำให้ผลกระทบกว้างกว่าเดิม

รายงานที่ถูกดาวน์โหลดออกไปมีชื่อและอีเมลของลูกค้าที่เข้าใช้ระบบซัพพอร์ตทั้งหมด