ไมโครซอฟท์ร่วมกับอินเทล ออกฟีเจอร์ใหม่ให้ Microsoft Defender for Endpoint (บริการแบบเสียเงิน) สามารถตรวจจับสคริปต์หรือมัลแวร์ขุดเหมือง (cryptojacking) ในเครื่องเราได้แล้ว แม้ว่ามัลแวร์พยายามซ่อนตัวอย่างแนบเนียนอยู่ใน VM ก็ตาม

วิธีการตรวจจับจำเป็นต้องใช้ฟีเจอร์ฝั่งฮาร์ดแวร์ Intel Threat Detection Technology (TDT) ที่เปิดตัวในปี 2018 โดยซีพียูอินเทลที่มี TDT มีหน่วยมอนิเตอร์ประสิทธิภาพซีพียู performance monitoring unit (PMU) ทำงานแยกต่างหาก คอยส่งข้อมูลการทำงานของซีพียูในระดับล่าง (low-level) มาให้

ก่อนหน้านี้ Microsoft เริ่มพบการโจมตีผ่านช่องโหว่ CVE-2021-26855 ของ Exchange ซึ่งมีผลกระทบเป็นวงกว้าง ทำให้ทางบริษัทต้องออกตัวช่วยบรรเทาผลกระทบย้อนไปจนถึงเวอร์ชัน 2013 ล่าสุดท่าทีจาก Microsoft คือจะปล่อยอัพเดตให้ Microsoft Defender Antivirus ช่วยป้องกันการโจมตีผ่านช่องโหว่นี้อีกทาง

สำหรับอัพเดตของ Microsoft Defender นี้ ฝั่งผู้ใช้งานเพียงอัพเดตข้อมูลให้เป็นเวอร์ชันล่าสุดเท่านั้น (ถ้าปิดระบบอัพเดตอัตโนมัติจะต้องกดอัพเดตเอง) ระบบจะเริ่มทำงานเพื่อป้องกันการโจมตีผ่านช่องโหว่ของ Exchange ทันที

ข่าวใหญ่วงการไอทีสัปดาห์นี้คือ SolarWinds ผู้ผลิตซอฟต์แวร์มอนิเตอร์เครือข่าย ถูกแฮกเกอร์ฝังมัลแวร์ Orion ส่งผลให้ลูกค้าของ SolarWinds ซึ่งมีหน่วยงานรัฐบาลสหรัฐหลายแห่ง เช่น กระทรวงการคลัง, กระทรวงพาณิชย์ โดนแฮ็กไปด้วย กลายเป็นกรณีการแฮ็กหน่วยงานรัฐบาลครั้งใหญ่ของสหรัฐอเมริกา

กรณีของ SolarWinds เป็นการแฮ็กระบบซัพพลายเชน (supply chain attack) โดยแฮ็กเกอร์เจาะเข้าระบบภายในของบริษัท SolarWinds ได้ก่อน จากนั้นค่อยเปลี่ยนไบนารีของ SolarWinds Orion เป็นเวอร์ชันที่ถูกแก้ไข เมื่อ SolarWinds แจกจ่ายซอฟต์แวร์ Orion ไปยังลูกค้า ทำให้ลูกค้ามีช่องโหว่ที่ตรวจสอบเองได้ยาก

ในงาน Microsoft Ignite 2020 เมื่อคืนนี้ ไมโครซอฟท์ประกาศรีแบรนด์ผลิตภัณฑ์ด้านความปลอดภัย (แบบเสียเงิน) ที่กระจัดกระจายใหม่หมด โดยจุดกลุ่มให้เหลือ 2 แบรนด์คือ Microsoft 365 Defender สำหรับฝั่งไคลเอนต์ และ Azure Defender สำหรับฝั่งเซิร์ฟเวอร์ โดยใช้ร่วมกับบริการเก็บข้อมูลความปลอดภัย Azure Sentinel ที่เปิดตัวไปก่อนแล้ว

Windows Defender โปรแกรมแสกนไวรัสจากไมโครซอฟท์ ระบุให้ โปรแกรมล้างขยะและ registry ยอดนิยมอย่าง CCleaner อยู่ในรายการโปรแกรมที่ไม่พึงประสงค์ (Potentially Unwanted Program - PUP) โดยเวอร์ชันที่โดนคือเวอร์ชันฟรี เนื่องจากมักผูกมาพร้อมกับซอฟต์แวร์อื่นด้วย

ที่ผ่านมาท่าทีไมโครซอฟท์ก็ไม่ได้มีท่าทีสนับสนุนแอปที่เข้าไปยุ่งกับ registry อยู่แล้ว เพราะอาจทำให้เกิดปัญหาร้ายแรงกับ Windows ได้ อย่างในปีที่แล้ว ไมโครซอฟท์ก็แบนลิงก์ของ CCleaner บน Microsoft Community Forum ด้วยเหตุผลนี้

ที่มา - BleepingComputer

เมื่อต้นปีนี้ Microsoft Defender ประกาศออกเวอร์ชันลินุกซ์, Android, iOS (เฉพาะเวอร์ชันวินโดวส์ที่ใช้ชื่อ Windows Defender) และออกรุ่นพรีวิวของลินุกซ์มาเป็นแพลตฟอร์มแรก

คิวถัดมาคือ Microsoft Defender ATP for Android ที่มีสถานะเป็นรุ่นทดสอบ public preview ให้ใช้กันทั่วไป (ส่วนเวอร์ชัน iOS จะออกตามมาภายในปีนี้) และยังประกาศว่า Microsoft Defender ATP for Linux เข้าสถานะ GA (general availability) เรียบร้อยแล้ว

ฟีเจอร์หลักของ Microsoft Defender ATP for Android ประกอบด้วย

เมื่อสัปดาห์ที่แล้วไมโครซอฟท์ประกาศว่าจะขยาย Microsoft Defender ATP (MTP) ชุดซอฟต์แวร์ความปลอดภัยออกไปทุกแพลตฟอร์มรวมถึงลินุกซ์ วันนี้ไมโครซอฟท์ก็ออกมาให้รายละเอียดสำหรับเวอร์ชั่นลินุกซ์เพิ่มเติม

MTP รองรับลินุกซ์ดิสโทรหลักแทบทั้งหมด ได้แก่ RHEL 7+, CentOS Linux 7+, Ubuntu 16 LTS, or higher LTS, SLES 12+, Debian 9+, และ Oracle EL 7 โดยสามารถติดตั้งผ่าน Puppet หรือ Ansible ก็ได้

การควบคุม MTP จะสามารถควบคุมผ่าน command line ได้ทั้งหมดผ่านคำสั่ง mdatp และยังรายงานข้อมูลการการสแกนเครื่องกลับไปยัง Microsoft Defender Security Center

รุ่นพรีวิวจะเปิดให้ดาวน์โหลดจริงในอีกไม่กี่วันข้างหน้า ส่วนฟีเจอร์เพิ่มเติมไมโครซอฟท์สัญญาว่าจะอัพเดตให้ในไม่กี่เดือน

Microsoft Threat Protection (MTP) เป็นชื่อเรียกรวมๆ ของชุดฟีเจอร์-บริการด้านความปลอดภัยของไมโครซอฟท์แบบเสียเงินหลายตัว ประกอบด้วย Microsoft Defender ATP ที่คุ้มครองเครื่อง, Office 365 ATP คุ้มครองอีเมล, Azure ATP คุ้มครองบัญชี, Microsoft Cloud App Security คุ้มครองแอพ

วันนี้ไมโครซอฟท์ประกาศว่า Microsoft Threat Protection มีสถานะเปิดบริการเป็นการทั่วไป (generally available) องค์กรที่จ่ายแพ็กเกจ Microsoft 365 E5 อยู่แล้วสามารถเปิดใช้งานได้ทันทีผ่านหน้าแอดมินของระบบ

Tanmay Ganacharya ผู้บริหารฝ่ายวิจัยความปลอดภัยของไมโครซอฟท์ เปิดเผยว่า Windows Defender มีส่วนแบ่งตลาดเกิน 50% ของผู้ใช้ Windows ทั้งหมดแล้ว หรือถ้านับเป็นจำนวนอุปกรณ์คือมากกว่า 500 ล้านเครื่อง

ในแง่จำนวนผู้ใช้ Windows Defender อาจไม่ใช่เรื่องน่าแปลกใจนัก เพราะมาพร้อมกับตัวระบบปฏิบัติการอยู่แล้ว แต่ Ganacharya ก็ให้ข้อมูลว่าการที่ Windows Defender มีส่วนแบ่งตลาดสูงสุด ก็ตกเป็นเป้าโจมตีของไวรัสและมัลแวร์ต่างๆ มากตามไปด้วยเช่นกัน เพราะการเจาะผ่าน Windows Defender สำเร็จมีรางวัลเป็นฐานผู้ใช้จำนวนมากที่สุดนั่นเอง

ไมโครซอฟท์เปิดตัวชุดซอฟต์แวร์ความปลอดภัย Microsoft Defender ATP for Mac สำหรับระบบปฏิบัติการ macOS อย่างเป็นทางการ ใช้ได้กับ macOS Sierra ขึ้นไป

ต้องอธิบายกันสักนิดว่า ซอฟต์แวร์ตัวนี้คือ Windows Defender Advanced Threat Protection (ATP) ซึ่งเป็นบริการแบบเสียเงินสำหรับลูกค้าองค์กร และขยายความสามารถจากการเป็นแอนตี้ไวรัสธรรมดา ให้ครอบคลุมถึงภัยคุกคามแบบอื่นๆ เช่น การป้องกันการโดนแฮ็ก การแจ้งเตือนเครื่องที่โดนแฮ็ก ฯลฯ ด้วย

Microsoft ได้เริ่มทดสอบส่วนขยาย Windows Defender Application Guard สำหรับ Chrome และ Firefox เพื่อรักษาความปลอดภัยของพีซีองค์กรแล้ว เพื่อเป็นการขยายการรองรับจากปัจจุบันที่ใช้งานได้เฉพาะเบราว์เซอร์ Microsoft Edge เท่านั้น

ส่วนขยายเบราว์เซอร์ของ Windows Defender แต่เดิมนั้นทำมาเฉพาะ Microsoft Edge ซึ่งจะรักษาความปลอดภัยของพีซีด้วยการเปิดหน้าเว็บที่ไม่ได้ระบุไว้ว่าเป็นเว็บไซต์ที่เชื่อถือได้ไว้ใน virtual container เพื่อป้องกันการโจมตีจากผู้ประสงค์ร้ายเข้าสู่ระบบของบริษัท

ไมโครซอฟท์ปรับ Windows Defender Antivirus (WDA) ให้รันโปรเซสการสแกนไวรัสไปอยู่ใน sandbox ลดโอกาสการโจมตีที่ตัวป้องกันไวรัสเสียเอง

ตัวป้องกันไวรัสกลายเป็นจุดเสียงหนึ่งของระบบ เพราะตัวมันเองต้องรับอินพุตจำนวนมาก ทั้งไฟล์ต่างๆ ทราฟิกเน็ตเวิร์ค และตัวป้องกันไวรัสมักมีสิทธิ์ระดับสูงในเครื่อง หากแฮกเกอร์มุ่งเป้าเครื่องที่ติดตั้งต้องป้องกันไวรัสก็สามารถทำได้ เช่น กรณี Project Zero ที่ทดสอบความปลอดภัยแล้วพบว่าตัวป้องกันไวรัสเองมีช่องโหว่จำนวนมาก

ไมโครซอฟท์เปิดตัว Windows Defender Browser Protection ซึ่งเป็นส่วนเสริม Chrome ช่วยป้องกันมัลแวร์และการ phishing เสริมเข้าไปกับฟีเจอร์ Safe Browsing ของ Chrome

ไมโครซอฟท์ระบุว่า Windows Defender Browser Protection ใช้เอนจินต์และฐานข้อมูลเดียวกับที่ใช้บน Microsoft Edge ที่ไมโครซอฟท์เคลมว่าป้องกันการ Phishing ได้ 99% สูงกว่า Chrome

ดาวน์โหลด Windows Defender Browser Protection ได้ที่นี่

อินเทลเปิดตัวเทคโนโลยีด้านความปลอดภัย 2 ตัวในงานสัมมนา RSA 2018

ตัวแรกคือ Intel Threat Detection Technology (IDT) เป็นชุดของฟีเจอร์ในระดับฮาร์ดแวร์ ที่ช่วยให้ซอฟต์แวร์ตรวจจับมัลแวร์ทำงานได้ดีขึ้น ฟีเจอร์สองอย่างแรกของ IDT ประกอบด้วย

• Accelerated Memory Scanning ระบบตรวจจับภัยคุกคามในปัจจุบันใช้วิธีสแกนหน่วยความจำเพื่อหาสิ่งผิดปกติ ปัญหาคือเปลืองทรัพยากรของซีพียูในการสแกน เทคนิคนี้เปลี่ยนมาใช้จีพียู (ออนบอร์ดของอินเทล) มาทำหน้าที่สแกนแทน ช่วยลดโหลดจากซีพียูเดิมที่ 20% ลงมาเหลือ 2% และตอนนี้ Microsoft Windows Defender Advanced Threat Protection (ATP) เริ่มใช้งานแล้ว
• Advanced Platform Telemetry ฟีเจอร์นี้จะนำข้อมูล telemetry ที่ส่งจากเครื่องของผู้ใช้กลับไปยังบริษัท มาผนวกกับเทคนิค machine learning เพื่อวิเคราะห์หาภัยคุกคามได้แม่นยำขึ้น (ทำงานในระดับฮาร์ดแวร์) ตอนนี้ Cisco Tetration นำไปใช้งานแล้ว

ไมโครซอฟท์มี 'บริการ' ความปลอดภัยชื่อ Windows Defender Advanced Threat Protection (เรียกย่อๆ คือ Windows Defender ATP) ที่เริ่มนำมาใช้กับ Windows 10 Fall Creators Update

ล่าสุดไมโครซอฟท์ประกาศว่าจะขยาย Windows Defender ATP ไปใช้กับ Windows 7 และ Windows 8.1 ด้วย เพื่อรองรับกลุ่มลูกค้าองค์กรที่ยังมี Windows เวอร์ชันเก่าใช้งานอยู่

ไมโครซอฟท์ประกาศนโยบายใหม่ของ Windows Defender Antivirus ว่านับตั้งแต่ 1 มีนาคม 2018 เป็นต้นไป จะเพิ่มฟีเจอร์บล็อคและถอนการติดตั้งโปรแกรมกลุ่มที่ใช้ทำความสะอาดหรือปรับปรุงประสิทธิภาพเครื่อง (พวกชื่อแนวๆ cleaner/faster/optimizer) ที่มีพฤติกรรมส่งข้อความรบกวนผู้ใช้

ไมโครซอฟท์บอกว่าโปรแกรมกลุ่ม cleaner หลายตัวมีเวอร์ชันฟรีที่ใช้ลองใช้งานก่อน แต่ใช้ไปแล้วจะแสดงข้อความรบกวนผู้ใช้ เช่น โฆษณาให้จ่ายเงินเพื่อซื้อฟีเจอร์เพิ่ม หรือกระตุ้นให้ตอบแบบสอบถาม ดาวน์โหลดไฟล์ สมัครจดหมายข่าว ฯลฯ โปรแกรมที่มีพฤติกรรมเหล่านี้จะถูกประเมินว่าเป็น unwanted software และจะถูกลบออกจากระบบทันที

ที่มา - Microsoft, Neowin

ไมโครซอฟท์มีบริการด้านความปลอดภัยชื่อยาวเหยียด Windows Defender Advanced Threat Protection (ต่อไปจะเรียกย่อว่า ATP) ตัวมันเองเป็น "บริการ" ที่ทำงานสนับสนุนโปรแกรม Windows Defender อีกต่อหนึ่ง (คิดเงินถ้าเป็นลูกค้าองค์กรที่ต้องการใช้ฟีเจอร์ครบชุด)

ล่าสุดไมโครซอฟท์ประกาศว่า Windows Defender ATP จะขยายความสามารถในการตรวจจับมัลแวร์ไปยังอุปกรณ์อื่นๆ ที่ไม่ใช่วินโดวส์ด้วย โดยจะไปไกลถึง macOS, Linux, iOS, Android

ไมโครซอฟท์ใช้วิธีร่วมมือกับบริษัทความปลอดภัย 3 รายคือ Bitdefender, Lookout, Ziften เพื่อดึงข้อมูลมัลแวร์และช่องโหว่ของระบบปฏิบัติการต่างๆ มาใช้งาน ตอนนี้ข้อมูลจาก Bitdefender ถูกนำมาใช้แล้ว และอีกสองรายจะตามมาในไม่ช้า

ไมโครซอฟท์ประกาศฟีเจอร์ความปลอดภัยให้ Windows 10 Fall Creators Update อีกหลายอย่าง (นอกเหนือจาก Protected Folder ป้องกัน ransomware) โดยส่วนใหญ่เป็นการนำมาจาก Windows Defender Advanced Threat Protection (ATP)

Windows Defender ATP เป็นบริการความปลอดภัยของไมโครซอฟท์ที่รันอยู่บนคลาวด์ (เป็นบริการแบบคิดเงินสำหรับลูกค้าองค์กร) ที่ประกอบด้วยบริการย่อยหลายตัว เดิมที Windows Defender ATP แยกจาก Windows 10 อย่างชัดเจน แต่ไมโครซอฟท์จะเริ่มผนวกมันเข้ามาใน Fall Creators Update

ไมโครซอฟท์ออก Windows 10 Insider Preview Build 16232 โดยรุ่นนี้เน้นเพิ่มฟีเจอร์ด้านความปลอดภัยหลายอย่างเข้ามายัง Fall Creators Update

ฟีเจอร์สำคัญคือ Windows Defender Antivirus เพิ่มการปกป้องไฟล์ของเราจาก ransomware แล้ว ฟีเจอร์นี้เรียกว่า Controlled Folder Access

หน้าที่ของมันคือกำหนดว่าโฟลเดอร์ไหนที่ห้ามไม่ให้แอพแก้ไขไฟล์ในโฟลเดอร์นั้น (protected folder) ถ้าหากเราติด ransomware และมันพยายามเข้ารหัสไฟล์ของเราพร้อมลบไฟล์เก่าทิ้ง ตัว Windows Defender จะป้องกันไม่ให้แอพมีสิทธิเขียนไฟล์ในโฟลเดอร์ที่ป้องกันไว้

ผู้ใช้สามารถกำหนด protected folder ได้หลายอันตามต้องการ และสามารถ whitelist ให้แอพบางตัวที่มั่นใจว่าปลอดภัย มีสิทธิแก้ไขไฟล์ได้ด้วย

วันนี้ มัลแวร์ WannaCrypt สร้างความปั่นป่วนไปทั่วโลก ถึงแม้ระบบปฏิบัติการ Windows ออกแพตช์มาตั้งแต่เดือนมีนาคม แต่ก็ยังมีคอมพิวเตอร์จำนวนมากที่ไม่ได้อัพเดตแพตช์และไม่มีระบบแอนตี้ไวรัสช่วยป้องกัน

มาตรการของไมโครซอฟท์คือ ออกแพตช์ฉุกเฉินให้ระบบปฏิบัติการที่หมดระยะซัพพอร์ตแล้วอย่าง Windows XP และ Windows 8 นอกจากนี้ ไมโครซอฟท์ยังประกาศว่าอัพเดตฐานข้อมูลมัลแวร์ให้ Windows Defender แล้วเช่นกัน ดังนั้นถ้าไม่สามารถอัพเดตแพตช์ของระบบปฏิบัติการโดยตรง แต่สามารถอัพเดต Windows Defender ก็จะช่วยป้องกันได้

Eugene Kaspersky ผู้พัฒนาแอนตี้ไวรัส Kaspersky ได้ออกมาบอกว่า การที่ Microsoft ใส่ Defender ไว้ใน Windows 10 เป็นการต่อต้านการแข่งขันอย่างชัดเจน และเป็นการขัดขวางนักพัฒนารายอื่น คือทำให้ผู้ใช้ไม่สนใจซอฟต์แวร์ความปลอดภัยของนักพัฒนารายอื่น

Kaspersky ได้ส่งคำวิจารณ์ไปยังหน่วยงานต่อต้านการผูกขาดของ EU และรัสเซียแล้ว ซึ่งเขาบอกว่าต้องการให้ Microsoft เลิกพฤติกรรมที่ทำให้เกิดการขัดขวางการแข่งขัน

ไมโครซอฟท์เปิดตัวฟีเจอร์ความปลอดภัยตัวใหม่ล่าสุดของ Windows 10 ชื่อว่า Windows Defender Advanced Threat Protection ที่ช่วยให้ Windows Defender ขยายความสามารถจากการตรวจจับมัลแวร์ มาเป็นตรวจจับการโจมตีหรือการแฮ็กระบบได้ด้วย

เทคนิคที่ไมโครซอฟท์นำมาใช้คือการวิเคราะห์พฤติกรรม ผสมกับฐานข้อมูลความปลอดภัยขนาดใหญ่ที่ไมโครซอฟท์มี เมื่อตรวจจับการโจมตีหรือการแฮ็กระบบได้แล้ว บริการตัวนี้จะสามารถดูประวัติย้อนหลังของคอมพิวเตอร์ได้ว่าเกิดอะไรขึ้น และถ้าเครื่องที่โดนแฮ็กรันอยู่บน VM ก็สามารถแยก VM ตัวนั้นไม่ให้ยุ่งเกี่ยวกับ VM ตัวอื่นได้ด้วย

ประเด็นปัญหา Lenovo/Superfish ยังได้รับความสนใจอย่างต่อเนื่อง ล่าสุดมีผู้เชี่ยวชาญความปลอดภัยแจ้งว่า ไมโครซอฟท์อัพเดต Windows Defender ซอฟต์แวร์ความปลอดภัยที่มากับ Windows ให้ถอนการติดตั้ง Superfish รวมถึงลบใบรับรองดิจิทัลแล้ว

สำหรับผู้ที่สนใจว่าตัวเองติด Superfish หรือไม่ สามารถเช็คได้จาก Superfish CA test

ฝั่งของ Lenovo เองเพิ่งออกเครื่องมือลบ Superfish ตามที่สัญญาไว้ และบอกว่ากำลังทำงานร่วมกับ McAfee ในเรื่องนี้ด้วยเช่นกัน

Windows AntiSpyware (ตอนนี้ยังเป็น Beta) ได้เปลี่ยนชื่อมาเป็น Windows Defender ด้วยเหตุผลทางการตลาดว่า เป็นการแสดงถึงสิ่งที่ Defender ให้กับผู้ใช้อย่างแท้จริง ซึ่งก็คือ defend จากภัยร้ายทุกชนิด ไม่ใช่ Spyware เพียงอย่างเดียว ฟังแล้วก็โอเคครับ ชื่อนี้ใช้ได้ๆ

Announcing Windows Defender