Wordpress Error หลังจาก เปลี่ยน Theme

 หลังจากเพิ่ม Theme แล้วเลือกใช้งาน พบ Error ตามภาพ 

ไม่สามารถใช้งานระบบต่อได้, ไม่สามารถเข้า Admin Page ได้ 

ทดสอบทำตามคู่มือนี้ แล้วสามารถใช้งานได้

Change your WordPress theme from the database

https://help.one.com/hc/en-us/articles/115005585909-Change-your-WordPress-theme-from-the-database 

1. Double-click the field option_value for template
2. Replace the current theme, by writing the name of a default theme that is currently installed on your webspace. This could be twentytwentythree for example.
3. Press enter to save.
4. Do the same for stylesheet.

Export Group mail - Exchange Server On-premise

Export Group mail Exchange Server On-premise

1. Remote เข้าไปที่เครื่อง Server Exchange On-premise

2. คลิกที่ Start Menu (ปุ่ม Windows)

พิมพ์ Exchange Management Shell ในช่องค้นหา แล้วกด Enter หรือคลิกเพื่อเปิดหรือเปิดผ่านไฟล์ที่อยู่

ไปที่ C:\Program Files\Microsoft\Exchange Server\V15\bin\ คลิกไฟล์ Exchange Management Shell หรือรัน RemoteExchange.ps1 (ขึ้นอยู่กับเวอร์ชัน Exchange เช่น 2013, 2016, 2019)

3. ตรวจสอบว่าพร้อมใช้งาน

Get-DistributionGroup -ResultSize Unlimited

*** ถ้าเห็นรายชื่อ Distribution Groups แปลว่า Exchange Management Shell พร้อมใช้งาน

*** ถ้ามีข้อผิดพลาด (เช่น "Access Denied") ให้ตรวจสอบว่าบัญชีที่ใช้ใช่ Administrator หรือไม่

4. เปิด Notepad นำ Command ไปวางและบันทึกไฟล์ นามสกุล .ps1 เลือก "All Files (.)" ใน Save as type และตั้ง Encoding เป็น UTF-8

*** ภายใน Command ให้แก้ไข path save file และชื่อไฟล์ตามต้องการ

*** Command ตัวอย่างเป็นการ Export Group mail และสมาชิกภายในออกมา

Get-DistributionGroup -ResultSize Unlimited | ForEach-Object {

    $GroupName = $_.Name

    Get-DistributionGroupMember -Identity $GroupName | Select-Object @{Name="GroupName";Expression={$GroupName}}, Name, PrimarySmtpAddress

} | Export-Csv -Path "C:\path\to\your\file.csv" -NoTypeInformation -Encoding UTF8

อธิบายสคริปต์

สคริปต์นี้ทำอะไรบ้าง:

Get-DistributionGroup: ดึงรายชื่อ Distribution Groups ทั้งหมดในระบบ

ForEach-Object: วนลูปผ่านแต่ละกลุ่มที่ได้มา

$GroupName = $_.Name: เก็บชื่อของกลุ่มไว้ในตัวแปร $GroupName

Get-DistributionGroupMember -Identity $GroupName: ดึงรายชื่อสมาชิกในกลุ่มนั้น

Select @{Name="GroupName";Expression={$GroupName}}, Name, PrimarySmtpAddress: เลือกข้อมูลที่ต้องการ:

GroupName: ชื่อกลุ่ม (ใช้ $GroupName ที่เก็บไว้)

Name: ชื่อของสมาชิก

PrimarySmtpAddress: อีเมลหลักของสมาชิก

Export-Csv -Path "C:\path\to\your\file.csv" -NoTypeInformation: บันทึกผลลัพธ์เป็นไฟล์ CSV โดยไม่ใส่ข้อมูลเมทาดาทาที่ไม่จำเป็น

5. กลับไปที่  Exchange Management Shell พิมพ์คำสั่ง

"C:\path\to\your\{ชื่อไฟล์}.csv"

6. รอจนเสร็จ ตรวจสอบผลลัพธ์ที่ path save file

ถ้าภาษาไทยเพี้ยนใน Excel:

เปิด Excel > "Data" > "From Text/CSV"

เลือกไฟล์ > ตั้ง "File Origin" เป็น "65001: Unicode (UTF-8)" > Load

กลุ่ม APT จากจีนมุ่งเป้าการโจมตีไปยังสำนักงานตำรวจแห่งชาติของไทยด้วยรูปแบบมัลแวร์

    Cado Security Labs ได้ระบุถึงรูปแบบการโจมตีด้วยมัลแวร์ที่มุ่งเป้าไปยังสำนักงานตำรวจแห่งชาติของประเทศไทย โดยรูปแบบนี้ใช้เอกสารที่ดูเหมือนจะถูกต้อง ซึ่งมีเนื้อหาเกี่ยวกับ FBI เพื่อส่งไฟล์ Shortcut ที่ในที่สุดจะทำให้เกิดการรัน Yokai backdoor และแฝงตัวอยู่ในระบบของเป้าหมาย การดำเนินการที่พบในรูปแบบนี้สอดคล้องกับกลุ่ม APT จีนที่ชื่อว่า Mustang Panda

    ผลการวิเคราะห์ทางเทคนิค ไฟล์เริ่มต้นเป็นไฟล์ rar archive ที่มีชื่อว่า "ด่วนมาก เชิญเข้าร่วมโครงการความร่วมมือฝึกอบรมหลักสูตร FBI.rar แม้ว่าช่องทางการโจมตีจะยังไม่แน่ชัด แต่มีความเป็นไปได้สูงว่าไฟล์นี้จะถูกส่งผ่านทางอีเมลฟิชชิ่ง โดยที่ภายในไฟล์ rar archive จะมีไฟล์ LNK (ไฟล์ shortcut) ชื่อว่า ด่วนมาก เชิญเข้าร่วมโครงการความร่วมมือฝึกอบรมหลักสูตร FBI.docx.lnk, ไฟล์ PDF ปลอม และโฟลเดอร์ที่ชื่อว่า $Recycle.bin

    โดยไฟล์ shortcut จะเรียกใช้งาน ftp.exe (File Transfer Protocol) และจะทำการประมวลผลคำสั่งภายในไฟล์ PDF (แบบตอบรับ.pdf) ที่เป็นสคริปต์อัตโนมัติที่ดำเนินการตามคำสั่ง FTP ชุดคำสั่ง

    โดยไฟล์แบบตอบรับ.pdf เป็นไฟล์ PDF ปลอมที่มีคำสั่ง Windows ชุดคำสั่ง ซึ่งจะถูกดำเนินการโดย cmd.exe โดยที่เป้าหมายไม่จำเป็นต้องเปิด PDF โดยตรง แต่หากมีการเปิดไฟล์นี้ขึ้นมา เอกสารจะดูเหมือนแบบฟอร์มตอบรับตามปกติ

    ชุดคำสั่งจะทำการย้ายไฟล์ docx จากโฟลเดอร์ $Recycle.bin ที่แตกออกมาไปยังโฟลเดอร์หลักโดยแทนที่ไฟล์ LNK ด้วยไฟล์ decoy docx โดยที่ไฟล์ “PDF” ในโฟลเดอร์ $Recycle.bin ที่แตกออกมาจะถูกย้ายไปยัง c:\programdata\PrnInstallerNew.exe และเรียกใช้งาน โดยเอกสาร decoy จะแทนที่ไฟล์ shortcut หลังจากที่ลบตัวเองออกเพื่อลบร่องรอยของการติดมัลแวร์ เพื่อให้ดูเหมือนว่าเอกสารนี้ไม่มีอันตราย

File: PrnInstallerNew.exe

MD5: 571c2e8cfcd1669cc1e196a3f8200c4e

    PrnInstallerNew.exe เป็นไฟล์ 32-bit executable ที่เป็น Trojan ของซอฟต์แวร์ PDF-XChange Driver Installer ซึ่งเป็นซอฟต์แวร์ PDF printing โดยมัลแวร์จะแก้ไขการเรียกใช้งานฟังก์ชันแบบไดนามิกผ่าน GetProcAddress() โดยจัดเก็บไว้ในโครงสร้างเพื่อหลีกเลี่ยงการตรวจจับ โดยมัลแวร์มักจะหลีกเลี่ยงการ hardcoding API ฟังก์ชัน ด้วยการสร้างแบบไดนามิกในขณะที่ดำเนินการ ทำให้การตรวจจับโดยเครื่องมือด้านความปลอดภัยทำได้ยากขึ้น แทนที่จะอ้างอิงฟังก์ชันโดยตรง เช่น send() โดยมัลแวร์จะจัดเก็บ characters แต่ละตัวใน array และประกอบชื่อฟังก์ชันทีละตัวอักษรก่อนจะแก้ไขด้วย GetProcAddress() เทคนิคนี้ช่วยหลีกเลี่ยงเครื่องมือตรวจจับด้านความปลอดภัยได้ เนื่องจากโดยปกติเครื่องมือตรวจจับด้านความปลอดภัยจะสแกนหา API names ที่รู้จักภายในไบนารี เมื่อสร้างชื่อฟังก์ชันแล้ว มันจะถูกส่งต่อไปยัง GetProcAddress() ซึ่งจะดึงข้อมูลที่อยู่ในหน่วยความจำของฟังก์ชัน ทำให้มัลแวร์สามารถดำเนินการทางอ้อมโดยไม่ต้องเปิดเผย API calls ใน import tables ของฟังก์ชัน และเพื่อให้ยังคงสามารถแฝงตัวได้ ไบนารีจะเพิ่มตัวเองเป็นคีย์รีจิสทรี “MYAccUsrSysCmd_9EBC4579851B72EE312C449C” ใน HKEY_CurrentUser/Software/Windows/CurrentVersion/Run ซึ่งจะทำให้มัลแวร์ดำเนินการเมื่อผู้ใช้เข้าสู่ระบบ

    นอกจากนี้ ยังมีการสร้าง mutex “MutexHelloWorldSysCmd007” ซึ่งสันนิษฐานว่าเพื่อตรวจสอบอินสแตนซ์ที่กำลังทำงานอยู่

    หลังจากทำการแก้ไข ws_32.dll ซึ่งเป็นไลบรารีของ Windows สำหรับ sockets แล้ว มัลแวร์จะเชื่อมต่อกับ IP 154[.]90[.]47[.]77 ผ่านพอร์ต TCP 443 โดยใช้ฟังก์ชัน connect() โดย location ของเป้าหมายจะถูกตรวจสอบผ่าน IP เนื่องจากมัลแวร์ถูกล็อกโลเคชันไว้ที่ประเทศไทย ซึ่ง IP นี้จะถูกใช้ในรูปแบบที่กำหนดเป้าหมายไปที่เจ้าหน้าที่ของไทยตามที่ Netskope รายงานไว้ก่อนหน้านี้ โดย Yokai backdoor จะส่งชื่อโฮสต์ไปยัง C2 ซึ่งจะตอบกลับ ชุดคำสั่ง หลังจากผ่านการตรวจสอบแล้ว

การระบุแหล่งที่มา

    การกำหนดเป้าหมายเป็นตำรวจไทยดูเหมือนจะเป็นส่วนหนึ่งของรูปแบบใหญ่ที่กำหนดเป้าหมายไปที่เจ้าหน้าที่ของไทยในช่วงไม่กี่เดือนที่ผ่านมา อย่างไรก็ตาม การกำหนดเป้าหมายไปยังรัฐบาลไทยไม่ใช่เรื่องใหม่ เนื่องจากกลุ่ม APT ต่าง ๆ เช่น กลุ่ม APT ของจีนอย่าง Mustang Panda และ CerenaKeeper ก็ได้กำหนดเป้าหมายมาที่ประเทศไทยมาหลายปีแล้ว

    Mustang Panda เป็นกลุ่ม APT ที่มีฐานการดำเนินการอยู่ในจีน ซึ่งเคลื่อนไหวมาตั้งแต่ปี 2014 เป็นอย่างน้อย และมักจะกำหนดเป้าหมายไปที่รัฐบาล และองค์กรพัฒนาเอกชนในเอเชีย ยุโรป และสหรัฐอเมริกาเพื่อทำการจารกรรม โดยรูปแบบของ Mustang Panda ล่าสุด ได้ใช้วิธีการที่คล้ายคลึงกัน โดยใช้เทคนิคเอกสารล่อลวง และไฟล์ shortcut แม้ว่าจะไม่พบในรูปแบบนี้ แต่ Mustang Panda มักจะใช้วิธีการ DLL Sideloading เพื่อเรียกใช้เพย์โหลดที่เป็นอันตรายภายใต้กระบวนการที่ดูเหมือนถูกต้องตามปกติ ดังที่พบในงานวิจัยของ Netskope แทนที่จะใช้ DLL Sideloading เวอร์ชันนี้ สิ่งที่น่าสนใจอย่างหนึ่งในไบนารีที่รายงานโดย Netskope มีโค้ดที่ตรงกันกับ WispRider ซึ่งเป็นมัลแวร์บน USB ซึ่งถูกใช้โดย Mustang Panda

Key Takeaways

    การกำหนดเป้าหมายประเทศไทยอย่างต่อเนื่องโดยกลุ่ม APT ของจีน เน้นย้ำถึงภูมิทัศน์ของการจารกรรมทางไซเบอร์ในเอเชียตะวันออกเฉียงใต้ เนื่องจากความตึงเครียดทางภูมิรัฐศาสตร์ และการแข่งขันทางเศรษฐกิจที่ทวีความรุนแรงมากขึ้น รวมถึงประเทศไทยยังคงเป็นจุดรวมศูนย์ที่สำคัญสำหรับการปฏิบัติการทางไซเบอร์ที่มุ่งเป้าไปที่การรวบรวมข่าวกรอง, อิทธิพลทางการเมือง และความได้เปรียบทางเศรษฐกิจ เพื่อลดผลกระทบจากภัยคุกคามเหล่านี้ องค์กรและหน่วยงานภาครัฐต้องจัดลำดับความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์อย่างเข้มงวด, การแบ่งปันข่าวกรองเกี่ยวกับภัยคุกคาม และความร่วมมือระดับภูมิภาค

Ref : cadosecurity.com

ช่องโหว่ใน GitLab ทำให้ผู้ไม่หวังดีสามารถ Bypass ความปลอดภัย และเรียกใช้สคริปต์ตามที่ต้องการได้

    GitLab ออกอัปเดตด้านความปลอดภัยอย่างเร่งด่วน เพื่อแก้ไขช่องโหว่หลายรายการที่มีระดับความรุนแรงสูงในแพลตฟอร์ม ซึ่งสามารถทำให้ผู้ไม่หวังดีสามารถ Bypass กลไกด้านความปลอดภัย, เรียกใช้สคริปต์ที่เป็นอันตราย และเข้าถึงข้อมูลที่มีความสำคัญ

    แพตช์แก้ไขถูกรวมอยู่ในเวอร์ชัน 17.9.1, 17.8.4, และ 17.7.6 สำหรับทั้ง Community Edition (CE) และ Enterprise Edition (EE) ซึ่งช่วยลดความเสี่ยงระดับ Critical ที่ส่งผลกระทบต่อ Kubernetes integrations, dependency management และ authorization systems

GitLab แนะนำให้ทำการอัปเกรดทันทีสำหรับ instances ทั้งหมดที่เป็นแบบ self-managed

การวิเคราะห์ช่องโหว่โดยละเอียด

• CVE-2025-0475: XSS in Kubernetes Proxy Endpoint (CVSS 8.7) ช่องโหว่ Cross-site scripting (XSS) ความรุนแรงระดับสูงใน Kubernetes proxy endpoint ของ GitLab ซึ่งสามารถทำให้ให้ผู้ไม่หวังดีแทรกสคริปต์ที่เป็นอันตรายผ่านเนื้อหาที่ไม่ได้ถูกตรวจสอบอย่างถูกต้อง

    การใช้ประโยชน์จากช่องโหว่นี้ (มีผลกระทบกับเวอร์ชัน 15.10 ถึง 17.9.1) อาจทำให้เซสชันของผู้ใช้งานถูกโจมตี หรือทำให้การรับส่งข้อมูลถูกเปลี่ยนเส้นทางภายใต้บางเงื่อนไขโดยเฉพาะ

• CVE-2025-0555: XSS in Maven Dependency Proxy (CVSS 7.7) ช่องโหว่ XSS ความรุนแรงระดับสูงอีกหนึ่งรายการใน Maven Dependency Proxy ของ GitLab EE ซึ่งสามารถทำให้ผู้ไม่หวังดี Bypass security controls และเรียกใช้สคริปต์ที่เป็นอันตรายบนเว็บเบราว์เซอร์ของผู้ใช้งานได้

    ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน 16.6 ถึง 17.9.1 และแสดงให้เห็นถึงความเสี่ยงในระบบ dependency management ที่สามารถส่งผลกระทบต่อระบบโดยรวมได้

• CVE-2024-8186: HTML Injection Leading to XSS (CVSS 5.4) ช่องโหว่ HTML injection ความรุนแรงระดับปานกลางในฟีเจอร์การค้นหาข้อมูลย่อย (child item search) ของ GitLab (เวอร์ชัน 16.6 ถึง 17.9.1) ซึ่งสามารถทำให้ผู้ไม่หวังดีแทรกโค้ดที่เป็นอันตรายเข้าสู่ระบบได้ โดยเป็นการนำไปสู่การโจมตีแบบ XSS ใน instances แบบ self-hosted

• CVE-2024-10925: Guest User Authorization Bypass (CVSS 5.3) ช่องโหว่ความรุนแรงระดับปานกลาง สามารถทำให้ผู้ใช้งาน Guest ใน GitLab EE (เวอร์ชัน 16.2 ถึง 17.9.1) สามารถอ่านไฟล์ security policy YAML ที่มีข้อมูล rules และการตั้งค่าที่สำคัญได้

• CVE-2025-0307: Planner Role Data Exposure (CVSS 4.3) ผู้ใช้งานที่มี role เป็น Planner ในโปรเจกต์ private GitLab EE (เวอร์ชัน 17.7 ถึง 17.9.1) สามารถเข้าถึงข้อมูลการวิเคราะห์การรีวิวโค้ดได้อย่างไม่เหมาะสม ซึ่งเป็นละเมิดหลักการ least-privilege

การติดตั้งแพตช์ และการลดผลกระทบ

    GitLab และ Dedicated instances จะได้รับการแก้ไขโดยอัตโนมัติ แต่สำหรับ self-managed deployments จะต้องทำการอัปเกรดด้วยตนเองไปยังเวอร์ชัน 17.9.1, 17.8.4 หรือ 17.7.6

    GitLab ปฏิบัติตามนโยบายการเปิดเผยข้อมูลภายใน 30 วัน โดยจะเผยแพร่รายละเอียดทางเทคนิคทั้งหมดของ CVEs เหล่านี้ในวันที่ 27 มีนาคม 2025

คำแนะนำสำหรับผู้ดูแลระบบ

1. ให้ความสำคัญกับการอัปเกรดสำหรับ instances ที่ใช้ Kubernetes, Maven, หรือ granular role-based access controls
2. ตรวจสอบสิทธิ์การใช้งานของผู้ใช้เพื่อให้แน่ใจว่าปฏิบัติตามนโยบาย least-privilege
3. ติดตามการรับส่งข้อมูลของ proxy endpoint เพื่อตรวจสอบ payload ที่ผิดปกติที่เป็น HTML หรือสคริปต์

ช่องโหว่เหล่านี้แสดงให้เห็นถึงความเสี่ยงในระบบของ CI/CD platforms โดยเฉพาะเมื่อผู้ไม่หวังดีเริ่มมุ่งเป้าไปที่

• Dependency chains: การใช้ประโยชน์จากช่องโหว่ เช่น CVE-2025-0555 แสดงให้เห็นว่าแพ็คเกจที่เป็นอันตรายอาจแทรกซึมเข้าไปใน builds ได้
• Overprivileged roles: ช่องโหว่ เช่น CVE-2025-0307 แสดงให้เห็นถึงการกำหนดค่าสิทธิ์ที่ไม่ถูกต้องในโปรเจ็กต์ที่ซับซ้อน
• Third-party integrations: ช่องโหว่ใน Kubernetes proxy (CVE-2025-0475) เปิดเผยความเสี่ยงในเครื่องมือที่ใช้ในคลาวด์

GitLab ให้เครดิตแก่นักวิจัย joaxcar, yuki_osaki และ weasterhacker ผ่านโปรแกรม bug bounty โดยมอบรางวัลที่สอดคล้องกับคะแนน CVSS ของช่องโหว่แต่ละรายการ

Ref : gbhackers.com

VS Code Extension ถูกฝังโค้ดที่เป็นอันตรายโจมตีเพื่อโจมตีนักพัฒนา ถูกติดตั้งไปแล้วกว่า 9 ล้านครั้ง

    Microsoft ได้ลบ extensions ของ Visual Studio Code (VS Code) ที่มีการใช้งานอย่างแพร่หลาย 2 รายการ ได้แก่ “Material Theme Free” และ “Material Theme Icons Free” ออกจาก Marketplace หลังจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่ามีโค้ดอันตรายฝังอยู่ภายใน

    Extensions เหล่านี้ได้รับการพัฒนาโดย Mattia Astorino (หรือที่รู้จักในชื่อ equinusocio) และมียอดติดตั้งรวมกันเกือบ 9 ล้านครั้ง โดยมีการดาวน์โหลด extensions ทั้งหมดของ Astorino รวมกว่า 13 ล้านครั้ง

หลังจากการลบ extensions ออก ผู้ใช้งานจะได้รับการแจ้งเตือนว่ามีการปิดใช้งาน extensions เหล่านี้ด้วยเหตุผลด้านความปลอดภัย

    การตรวจสอบพบว่าโค้ดอันตรายมีแนวโน้มที่จะถูกเพิ่มเข้ามาผ่านไลบรารีที่ถูกโจมตี หรือระหว่างการอัปเดตล่าสุด แสดงให้เห็นถึงความเป็นไปได้ของการโจมตีแบบ Supply Chain Attack หรือการเข้าถึงบัญชีของนักพัฒนาโดยไม่ได้รับอนุญาต

    ผู้เชี่ยวชาญพบว่าธีมใน VS Code ควรจะประกอบไปด้วยไฟล์ JSON ที่เป็นข้อมูลสถิติตามปกติ ไม่ควรมีการเรียกโค้ด หรือสคริปต์ใด ๆ ดังนั้นการซ่อน JavaScript ภายใน extensions เหล่านี้จึงเป็นสัญญาณอันตรายที่สำคัญ

Malicious Intent Uncovered

    พฤติกรรมอันตรายได้รับการแจ้งเตือนครั้งแรกโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ Amit Assaraf และ Itay Kruk ซึ่งเชี่ยวชาญในการตรวจจับ VS Code extensions ที่เป็นอันตราย

    การวิเคราะห์พบว่าโค้ดที่ซ่อน JavaScript ใน extensions เหล่านี้ รวมถึงการอ้างอิงถึงชื่อผู้ใช้งาน และรหัสผ่าน

    แม้ว่าจุดประสงค์ที่แท้จริงของโค้ดนี้จะยังไม่สามารถระบุได้ เนื่องจากความซับซ้อนของเหตุการณ์ แต่การมีอยู่ของโค้ดก็เพียงพอที่จะทำให้ Microsoft ต้องดำเนินการทันที

    Astorino ปฏิเสธข้อกล่าวหาการกระทำผิดโดยเจตนา โดยชี้แจงว่าปัญหานี้เกิดจากไลบรารี Sanity.io ที่ล้าสมัย ซึ่งใช้งานมาตั้งแต่ปี 2016 และได้วิจารณ์ Microsoft ที่ไม่แจ้งเตือนพวกเขาก่อนที่จะลบ extensions ออก โดยอ้างว่าการแก้ไขไลบรารีจะเป็นกระบวนการที่รวดเร็วกว่า

    อย่างไรก็ตาม การวิเคราะห์ของ Microsoft ยืนยันผลการค้นพบของผู้เชี่ยวชาญ ซึ่งนำไปสู่การลบ extensions ทั้งหมดที่เกี่ยวข้องกับ Astorino ออกจาก Marketplace

ความเสี่ยงที่อาจเกิดขึ้น และคำแนะนำ

    เหตุการณ์ดังกล่าวแสดงให้เห็นถึงความเสี่ยงที่เกิดจาก components ที่เป็นอันตรายใน supply chains ของซอฟต์แวร์

    ผู้ไม่ประสงค์ดีดีมักใช้ประโยชน์จากแพลตฟอร์มโอเพ่นซอร์ส เช่น VS Code Marketplace เพื่อแพร่กระจายโค้ดที่เป็นอันตรายใน extensions ที่ดูเหมือนจะถูกต้อง ในกรณีนี้นักพัฒนาที่ติดตั้ง extensions ที่ถูกโจมตีเหล่านี้อาจไม่รู้ตัวว่ากำลังเปิดเผยข้อมูลที่สำคัญ หรือระบบให้เสี่ยงต่อการถูกโจมตี

เพื่อลดความเสี่ยง นักพัฒนาควรถอนการติดตั้ง extensions ทั้งหมดที่เผยแพร่โดย equinusocio รวมถึง

• equinusocio.moxer-theme
• equinusocio.vsc-material-theme
• equinusocio.vsc-material-theme-icons
• equinusocio.vsc-community-material-theme
• equinusocio.moxer-icons

    เหตุการณ์นี้แสดงให้เห็นถึงความสำคัญของการตรวจสอบไลบรารีจาก third-party และการรักษามาตรการด้านความปลอดภัยใน Supply chain นักพัฒนาควรทำการตรวจสอบเครื่องมือของตนเป็นประจำ และหลีกเลี่ยงการติดตั้ง extensions ที่มีโค้ดที่น่าสงสัย

Ref : gbhackers.com

Microsoft เผยแพร่วิธีแก้ปัญหาการอัปเดตแพตซ์ความปลอดภัยของ Windows

    Microsoft ได้เผยแพร่วิธีแก้ไขปัญหาชั่วคราวสำหรับผู้ใช้งานที่ได้รับผลกระทบจากปัญหาที่ถูกบล็อกการอัปเดตความปลอดภัยของ Windows บนระบบ Windows 11 24H2 บางเครื่อง

    ตามที่ Microsoft อธิบาย เมื่อรับทราบข้อผิดพลาดในเดือนธันวาคม ปัญหานี้จะเกิดขึ้นต่อเมื่อทำการติดตั้ง Windows 11 จากแผ่น CD หรือ USB flash drive ที่ติดตั้งการอัปเดตของเดือนตุลาคม 2024 หรือพฤศจิกายน 2024

    Microsoft ระบุว่า "เมื่อใช้ media ในการติดตั้ง Windows 11 เวอร์ชัน 24H2 อุปกรณ์อาจอยู่ในสถานะที่ไม่สามารถอัปเดตความปลอดภัยของ Windows ได้อีกต่อไป"

"ปัญหานี้เกิดขึ้นเมื่อ media ถูกสร้างขึ้นโดยอัปเดตความปลอดภัยของเดือนตุลาคม 2024 หรือพฤศจิกายน 2024 เป็นส่วนหนึ่งของการติดตั้ง (อัปเดตเหล่านี้ถูกปล่อยระหว่างวันที่ 8 ตุลาคม 2024 ถึง 12 พฤศจิกายน 2024)"

    อย่างไรก็ตาม ปัญหาการติดตั้งเหล่านี้จะไม่ส่งผลกระทบต่ออัปเดตความปลอดภัยที่ผ่าน Windows Update และ Microsoft Update Catalog หรือหาก media การติดตั้งมีอัปเดตความปลอดภัยที่ออกในเดือนธันวาคม 2024 หรือใหม่กว่า

มีวิธีแก้ไขชั่วคราว แต่ยังไม่มีการแก้ไขถาวร

    แม้ว่า Microsoft จะระบุว่ากำลังดำเนินการแก้ไขปัญหานี้ แต่ได้อัปเดตหน้า Windows Release Health Dashboard เมื่อวันพฤหัสบดี โดยระบุว่าปัญหานี้ได้รับการแก้ไขแล้ว และแนะนำให้ผู้ใช้งานที่ได้รับผลกระทบติดตั้ง Windows 11 เวอร์ชัน 24H2 ใหม่ โดยใช้ media ที่มีอัปเดตความปลอดภัยที่ออกมาตั้งแต่เดือนธันวาคม 2024 เป็นต้นไป เพื่อหลีกเลี่ยงปัญหานี้

    Microsoft ระบุว่า "เพื่อป้องกันปัญหานี้ อย่าติดตั้ง Windows 11 เวอร์ชัน 24H2 โดยใช้ media ที่มีอัปเดตความปลอดภัยของเดือนตุลาคม 2024 หรือพฤศจิกายน 2024"

    "หากอุปกรณ์ไม่สามารถรับการอัปเดตเพิ่มเติมได้เนื่องจากปัญหานี้ สามารถแก้ไขได้โดยการติดตั้ง Windows 11 เวอร์ชัน 24H2 ใหม่ โดยใช้ media ที่มีอัปเดตความปลอดภัยประจำเดือนธันวาคม 2024 (ที่ปล่อยออกเมื่อวันที่ 10 ธันวาคม 2024) หรืออัปเดตที่ออกในภายหลัง"

    เมื่อวันพฤหัสบดี Microsoft ยังได้ประกาศว่าอัปเดตเพิ่มเติมของ Windows 11 เดือนมกราคม 2025 แก้ไขปัญหาอีกหนึ่งปัญหา(ที่ได้รับการยืนยันในเดือนพฤศจิกายน) ซึ่งทำให้ผู้ใช้งานที่ไม่ใช่ผู้ดูแลระบบไม่สามารถเปลี่ยนเขตเวลาของตนในการตั้งค่า 'วันที่ และเวลา' ได้

    จนกว่าการแก้ไขจะเผยแพร่ไปยังผู้ใช้งานทั้งหมด พร้อมกับอัปเดตของ Patch Tuesday เดือนกุมภาพันธ์ ผู้ใช้งานที่ได้รับผลกระทบ และไม่ต้องการติดตั้งการอัปเดตเพิ่มเติม สามารถใช้ Windows Control Panel เป็นวิธีแก้ไขชั่วคราวในการเปลี่ยนวันที่ และเวลาได้

Ref : bleepingcomputer.com

อาชญากรไซเบอร์สามารถโคลนเว็บไซต์ของแบรนด์ใดก็ได้ภายในไม่กี่นาทีโดยใช้ Darcula PhaaS v3

    ผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังรูปแบบการโจมตี Darcula Phishing-as-a-Service (PhaaS) กำลังเตรียมเปิดตัวเวอร์ชันใหม่ที่ช่วยให้ผู้ใช้งานสามารถโคลนเว็บไซต์ที่ถูกต้องของแบรนด์ใดก็ได้ และสร้างเว็บไซต์ปลอมขึ้นมาเพื่อใช้ในการฟิชชิ่ง ซึ่งทำให้การโจมตีฟิชชิ่งง่ายขึ้น และไม่จำเป็นต้องมีความเชี่ยวชาญทางเทคนิคสูง

 ตามที่ Netcraft ระบุในการวิเคราะห์ล่าสุดว่า "การอัปเดตครั้งนี้ของชุดเครื่องมือฟิชชิ่งเป็นการเปลี่ยนแปลงครั้งใหญ่ในความสามารถของอาชญากรไซเบอร์ โดยลดอุปสรรคในการเข้าถึงให้ผู้ไม่หวังดีสามารถโจมตีแบรนด์ใดก็ได้ด้วยแคมเปญฟิชชิ่งที่ซับซ้อน และปรับแต่งได้"

    บริษัทด้านความปลอดภัยทางไซเบอร์รายงานว่า ได้ตรวจพบ และบล็อกโดเมนฟิชชิ่งใหม่ของ Darcula มากกว่า 95,000 โดเมน, ที่อยู่ IP กว่า 31,000 รายการ และลบเว็บไซต์ปลอมมากกว่า 20,000 เว็บไซต์ นับตั้งแต่ที่รูปแบบการโจมตีนี้ถูกเปิดเผยครั้งแรกในปลายเดือนมีนาคม 2024

    การเปลี่ยนแปลงที่ใหญ่ที่สุดใน Darcula คือ ความสามารถของผู้ใช้งานทุกคนที่จะสร้างชุดเครื่องมือฟิชชิ่งสำหรับแบรนด์ใดก็ได้ตามความต้องการ

    ทีมพัฒนาหลักของบริการนี้ระบุในโพสต์เมื่อวันที่ 19 มกราคม 2025 ในช่อง Telegram ที่มีสมาชิกมากกว่า 1,200 คนว่า "เวอร์ชันใหม่ที่ได้รับการปรับปรุงพร้อมสำหรับการทดสอบแล้ว ตอนนี้ผู้ใช้ยังสามารถปรับแต่งหน้าตาของเว็บไซต์ได้เอง โดยใช้ darcula-suite คุณสามารถสร้างหน้าเลียนแบบของเว็บไซต์ในเวลาเพียง 10 นาที”

    ลูกค้าสามารถทำได้ง่าย ๆ โดยใช้แค่ URL ของเว็บไซต์แบรนด์ที่ต้องการเลียนแบบผ่านทางอินเทอร์เฟซเว็บ โดยรูปแบบการโจมตีจะใช้เครื่องมืออัตโนมัติอย่าง Puppeteer เพื่อดึงข้อมูล HTML และทรัพยากรที่จำเป็นทั้งหมดออกมา

    ผู้ใช้สามารถเลือกองค์ประกอบของ HTML ที่ต้องการเปลี่ยนแปลง และแทรกเนื้อหาฟิชชิ่ง (เช่น แบบฟอร์มการชำระเงิน หรือช่องกรอกข้อมูลเข้าสู่ระบบ) เพื่อให้มันดูเหมือนกับหน้าเว็บของแบรนด์ที่แท้จริง จากนั้นหน้าฟิชชิ่งที่สร้างขึ้นจะถูกอัปโหลดไปยัง admin panel

    Harry Freeborough นักวิจัยด้านความปลอดภัยระบุว่า "เหมือนกับการใช้งาน Software-as-a-Service ทั่วไป รูปแบบการโจมตี darcula-suite PhaaS มี admin dashboards ที่ทำให้มิจฉาชีพสามารถจัดการแคมเปญต่าง ๆ ของพวกเขาได้ง่าย เมื่อสร้างชุดเครื่องมือฟิชชิ่งเสร็จแล้ว ชุดเครื่องมือเหล่านี้จะถูกอัปโหลดไปยังรูปแบบการโจมตีอีกแห่งที่มิจฉาชีพสามารถจัดการแคมเปญที่กำลังดำเนินอยู่ ค้นหาข้อมูลที่ถูกขโมยมา และติดตามแคมเปญฟิชชิ่งที่ได้ปล่อยออกไปได้"

    นอกจากจะมี Dashboards ที่แสดงสถิติรวมของแคมเปญฟิชชิ่งแล้ว, Darcula v3 ยังเพิ่มฟีเจอร์ใหม่ที่ช่วยให้สามารถแปลงรายละเอียดบัตรเครดิตที่ถูกขโมยมาไปเป็นภาพเสมือนของบัตรของเหยื่อที่สามารถสแกน และเพิ่มเข้าไปในกระเป๋าเงินดิจิทัลเพื่อใช้ในทางผิดกฎหมายได้ โดยเฉพาะบัตรเหล่านี้จะถูกโหลดลงในโทรศัพท์มือถือชั่วคราว และขายให้กับมิจฉาชีพอื่น ๆ

    เครื่องมือนี้กำลังอยู่ในขั้นตอนการทดสอบภายใน และในโพสต์ล่าสุดวันที่ 10 กุมภาพันธ์ 2025 ผู้พัฒนามัลแวร์ได้โพสต์ข้อความว่าช่วงนี้เขายุ่งมาก ดังนั้นการอัปเดตเวอร์ชัน v3 จะถูกเลื่อนออกไปอีกไม่กี่วันหลังจากนี้

Ref: thehackernews.com

Microsoft แจ้งเตือน Exchange 2016 และ 2019 จะ End of Support ในเดือนตุลาคม 2025

    Microsoft แจ้งเตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่มีการขยายเวลาออกมาในเดือนตุลาคม 2025 นี้ และแบ่งปันคำแนะนำสำหรับผู้ที่ต้องการเลิกใช้ Exchange Servers

    จริง ๆ แล้ว Exchange 2016 จะสิ้นสุดการสนับสนุนในเดือนตุลาคม 2020 ขณะที่ Exchange 2019 จะสิ้นสุดการสนับสนุนเมื่อวันที่ 9 มกราคม 2024 ที่ผ่านมา

  หลังจากวันที่ 14 ตุลาคม 2025 Microsoft จะไม่ให้การสนับสนุนทางเทคนิคสำหรับปัญหาที่เกิดกับ Exchange 2016 หรือ Exchange 2019 อีกต่อไป รวมถึงการสนับสนุนทางเทคนิค และการแก้ไขช่องโหว่สำหรับปัญหาที่เพิ่งค้นพบซึ่งอาจส่งผลกระทบต่อการใช้งาน และความเสถียรของ Exchange Servers ซึ่งอาจทำให้ Servers เสี่ยงต่อการถูกโจมตีจากช่องโหว่

อัปเกรดเป็น Exchange Online หรือ Exchange Server SE

    Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปยัง Exchange Online (ในรูปแบบ Office 365 subscription หรือ stand-alone service) หรือเตรียมอัปเกรดเป็น Exchange Server Subscription Edition (SE) เมื่อมีการเปิดตัวในช่วงครึ่งหลังของปี 2025

    โดยผู้ดูแลระบบสามารถดำเนินการอัปเกรดจาก Exchange Server 2019 เป็น Exchange Server SE ซึ่งเหมือนกับการติดตั้ง Cumulative Update (CU)

    ทั้งนี้ทีมงาน Exchange ได้ระบุว่าเพื่อให้สามารถอัปเกรด Exchange Server 2019 ได้อย่างรวดเร็ว และง่ายขึ้น จึงได้เพิ่มฟีเจอร์ใหม่เข้ามาใน Exchange Server 2019 CU15 และจะส่งฟีเจอร์เหล่านั้นไปที่ Exchange Server SE CU1 หรือรุ่นที่ใหม่กว่า โดยปล่อยให้ Exchange SE RTM เป็นการอัปเดต branding ที่นำเสนอ lifecycle และ support policies แบบใหม่

    การย้ายไปยัง Exchange Server SE RTM จะทำให้ Server อยู่ในเส้นทางที่รองรับการอัปเดตไปยัง Exchange SE CU1 เมื่อ Exchange SE CU1 พร้อมใช้งาน เวอร์ชันเก่าทั้งหมดจะไม่รองรับอีกต่อไป

Microsoft ได้ออกเอกสารคำแนะนำโดยละเอียดสำหรับ global admin เกี่ยวกับการย้ายไปยัง Microsoft 365 และการย้ายไปยัง Exchange Online

Ref : bleepingcomputer.com

Google Chrome และ Firefox ออกแพตซ์อัปเดตช่องโหว่ระดับความรุนแรงสูง

    Google และ Mozilla ประกาศออกแพตช์อัปเดตด้านความปลอดภัยใหม่สำหรับ Chrome เวอร์ชัน 133 และ Firefox เวอร์ชัน 135 ในวันอังคารที่ 18 กุมภาพันธ์ 2025 ที่ผ่านมา เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง ซึ่งเกี่ยวข้องกับปัญหาด้านความปลอดภัยของหน่วยความจำใน Browser

การอัปเดต Chrome ล่าสุดอยู่ระหว่างดำเนินการบน Windows, macOS, และ Linux พร้อมแพตช์สำหรับช่องโหว่ระดับความรุนแรงสูงสองรายการ และระดับความรุนแรงปานกลางหนึ่งรายการ ซึ่งทั้งหมดถูกรายงานจากนักวิจัยภายนอกองค์กร

    รายการแรกคือ CVE-2025-0999 ซึ่งเป็นช่องโหว่ Heap buffer overflow ใน JavaScript Engine V8 ที่อาจถูกใช้เพื่อดำเนินการรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) โดยทาง Google ระบุว่า ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ (Bug Bounty Reward) ซึ่งมีมูลค่ากว่า 11,000 ดอลลาร์สำหรับช่องโหว่นี้

    โดยช่องโหว่ด้านความปลอดภัยรายการที่สอง ซึ่งมีหมายเลข CVE-2025-1426 เป็นช่องโหว่ Heap buffer overflow ใน GPU component ของ Chrome โดยขณะนี้ Google ยังไม่ได้กำหนดจำนวนเงินรางวัลสำหรับช่องโหว่นี้

    การอัปเดตล่าสุดของ Chrome รวมถึงการแก้ไขช่องโหว่ use-after-free ระดับความรุนแรงปานกลางใน Network component ซึ่ง Google ได้มอบรางวัลสำหรับผู้ที่ค้นพบช่องโหว่ ซึ่งมีมูลค่ากว่า 4,000 ดอลลาร์สำหรับช่องโหว่นี้

    Google ปฏิเสธในส่วนของการเปิดเผยข้อมูล รวมถึงรายละเอียดเชิงลึกของช่องโหว่ดังกล่าว และไม่ได้มีการระบุถึงเหตุการณ์ที่ช่องโหว่เหล่านี้ถูกนำไปใช้งาน ซึ่งเป็นไปตามปกติของโครงการฯ (Bug Bounty Programme)

    Chrome เวอร์ชันล่าสุดที่อยู่ระหว่างอัปเดตคือเวอร์ชัน 133.0.6943.126/.127 สำหรับ Windows และ macOS รวมถึงเวอร์ชัน 133.0.6943.126 สำหรับ Linux

    ในวันอังคารที่ 18 กุมภาพันธ์ 2025 Mozilla ประกาศแพตซ์อัปเดต Firefox เวอร์ชัน 135.0.1 พร้อมการแก้ไขช่องโหว่ด้านความปลอดภัยของหน่วยความจำที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2025-1414 โดยมีการแจ้งเตือนเพิ่มเติมว่าช่องโหว่ดังกล่าวอาจนำไปสู่การดำเนินการรันโค้ดที่เป็นอันตราย (Code Execution) ได้

    Mozilla ระบุว่า “มีช่องโหว่ด้านความปลอดภัยของหน่วยความจำ ใน Firefox เวอร์ชัน 135 โดยที่บางช่องโหว่เหล่านี้ส่งผลให้เกิดความเสียหายในหน่วยความจำ (Memory Corruption) และทางบริษัทเชื่อว่า หากผู้ไม่หวังดีมีความพยายามเพียงพอ ช่องโหว่บางรายการเหล่านี้อาจถูกนำไปใช้เพื่อรันโค้ดที่เป็นอันตรายตามที่ผู้ไม่ประสงค์ดีต้องการได้”

    คำแนะนำ ผู้ใช้งานควรอัปเดต Browser Chrome และ Firefox ให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

Ref: www.securityweek.com

Microsoft แจ้งเตือนให้ระวังผู้ไม่ประสงค์ดีทำการขโมยอีเมลจากการฟิชชิ่งด้วยรหัสของอุปกรณ์

    รูปแบบการโจมตีจากผู้ไม่ประสงค์ดีที่มีความเชื่อมโยงกับประเทศรัสเซีย กำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ของบุคคลในองค์กรที่เป็นเป้าหมาย โดยใช้เทคนิคการฟิชชิ่งผ่านรหัสอุปกรณ์ เป้าหมายของการโจมตีอยู่ในภาคส่วนรัฐบาล, องค์กรไม่แสวงหากำไร, บริการด้านไอที และเทคโนโลยี, กระทรวงกลาโหม, โทรคมนาคม, สุขภาพ และพลังงาน/น้ำมัน และก๊าซ ในยุโรป อเมริกาเหนือ แอฟริกา และตะวันออกกลาง

    Microsoft Threat Intelligence Center กำลังติดตามกลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลังรูปแบบการโจมตีผ่านรหัสอุปกรณ์ภายใต้ชื่อ 'Storm-237' โดยอ้างอิงจากเป้าหมาย วิธีการโจมตี และแนวทางของกลุ่ม นักวิจัยมีความมั่นใจในระดับปานกลางว่าการดำเนินการนี้เกี่ยวข้องกับปฏิบัติการของรัฐที่สอดคล้องกับผลประโยชน์ของรัสเซีย

การโจมตีฟิชชิ่งผ่านรหัสอุปกรณ์

    อุปกรณ์ที่จำกัดอินพุต - อุปกรณ์ที่ไม่รองรับแป้นพิมพ์ หรือเบราว์เซอร์ เช่น สมาร์ททีวี และอุปกรณ์ IoT บางประเภท จะต้องอาศัยการตรวจสอบสิทธิ์ด้วยรหัสเพื่อให้ผู้ใช้งานลงชื่อเข้าใช้แอปพลิเคชันได้โดยการพิมพ์รหัสอนุญาตบนอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟน หรือคอมพิวเตอร์

    นักวิจัยของ Microsoft ค้นพบว่า ตั้งแต่เดือนสิงหาคมปีที่แล้ว กลุ่มผู้ไม่ประสงค์ดี Storm-2372 ได้ใช้ช่องทางการยืนยันตัวตนนี้ในการโจมตี โดยหลอกให้เหยื่อกรอกรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้ไม่ประสงค์ดีลงในหน้าลงชื่อเข้าใช้ที่ถูกต้อง

    กลุ่มผู้ไม่ประสงค์ดีจะเริ่มต้นการโจมตีโดยสร้างการเชื่อมต่อกับเป้าหมายผ่านแพลตฟอร์มการส่งข้อความ เช่น WhatsApp, Signal และ Microsoft Teams โดยแอบอ้างเป็นบุคคลสำคัญที่เกี่ยวข้องกับเป้าหมาย

    ผู้ไม่ประสงค์ดีจะค่อย ๆ สร้างความน่าเชื่อถือ ก่อนที่จะส่ง Link ประชุมออนไลน์ปลอมผ่านอีเมลหรือข้อความ ตามที่นักวิจัยระบุ เหยื่อจะได้รับคำเชิญเข้าร่วมประชุมผ่าน Microsoft Teams ซึ่งภายในมีรหัสอุปกรณ์ที่สร้างขึ้นโดยผู้ไม่ประสงค์ดี

    Microsoft ระบุว่า "คำเชิญเหล่านี้หลอกให้เหยื่อดำเนินการยืนยันตัวตนผ่านรหัสอุปกรณ์ โดยเลียนแบบบริการส่งข้อความ ซึ่งช่วยให้กลุ่ม Storm-2372 สามารถเข้าถึงบัญชีของเหยื่อในเบื้องต้น และดำเนินการรวบรวมข้อมูลผ่าน Graph API เช่น การดึงข้อมูลอีเมล"

    วิธีนี้ช่วยให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงบริการของ Microsoft เช่น อีเมล และพื้นที่จัดเก็บข้อมูลบนคลาวด์ของเหยื่อได้ โดยไม่ต้องใช้รหัสผ่าน ตราบใดที่โทเค็นที่ถูกขโมยมายังคงมีผลใช้งานอยู่

    อย่างไรก็ตาม Microsoft ระบุว่า ขณะนี้ผู้ไม่ประสงค์ดีกำลังใช้ Client ID เฉพาะของ Microsoft Authentication Broker ในกระบวนการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์ ซึ่งจะช่วยให้พวกเขาสามารถสร้างโทเค็นใหม่ได้

    วิธีการนี้เปิดโอกาสให้เกิดการโจมตีรูปแบบใหม่ และการแฝงตัวอยู่ในระบบ เนื่องจากผู้ไม่ประสงค์ดีสามารถใช้ Client ID ดังกล่าวเพื่อลงทะเบียนอุปกรณ์กับ Entra ID ซึ่งเป็นโซลูชันจัดการตัวตน และการเข้าถึงบนคลาวด์ของ Microsoft

    Microsoft ระบุว่า "เมื่อมีโทเค็นเดียวกัน และอุปกรณ์ที่ลงทะเบียนใหม่ Storm-2372 สามารถขอรับ Primary Refresh Token (PRT) และเข้าถึงทรัพยากรขององค์กรได้ โดยพบว่า Storm-2372 ใช้อุปกรณ์ที่เชื่อมต่อนี้ในการรวบรวมอีเมลของเหยื่อ"

การป้องกันภัยคุกคามจาก Storm-2372

    เพื่อป้องกันการโจมตีฟิชชิ่งด้วยรหัสอุปกรณ์ที่ใช้โดย Storm-2372 Microsoft เสนอให้ปิดใช้งานการลงชื่อเข้าใช้ด้วยรหัสอุปกรณ์หากทำได้ และบังคับใช้นโยบายการเข้าถึงใน Microsoft Entra ID เพื่อจำกัดการใช้งานเฉพาะกับอุปกรณ์ หรือเครือข่ายที่เชื่อถือได้เท่านั้น หากสงสัยว่ามีการฟิชชิ่งโดยใช้รหัสอุปกรณ์ ให้ revoke โทเค็นของผู้ใช้ทันทีโดยใช้ 'revokeSignInSessions' และกำหนดนโยบายการเข้าถึงเพื่อบังคับให้มีการตรวจสอบสิทธิ์ใหม่อีกครั้งสำหรับผู้ใช้งานที่อาจจะถูกโจมตี

    สุดท้ายนี้ ควรใช้ sign-in logs ของ Microsoft Entra ID เพื่อตรวจสอบ และระบุความพยายามในการยืนยันตัวตนจำนวนมากในช่วงเวลาสั้น ๆ , การเข้าสู่ระบบด้วยรหัสอุปกรณ์จาก IP ที่ไม่รู้จัก และการแจ้งเตือนที่ผิดปกติสำหรับการยืนยันตัวตนด้วยรหัสอุปกรณ์ที่ส่งไปยังผู้ใช้หลายราย

Ref: www.bleepingcomputer.com

พบช่องโหว่ในเครื่องมือ Windows Disk Cleanup ของ Windows ทำให้สามารถยกระดับสิทธิ์เป็น SYSTEM

    Microsoft ได้ทำการแก้ไขช่องโหว่การยกระดับสิทธิ์ที่มีระดับความรุนแรงสูง (CVE-2025-21420) ในเครื่องมือ Windows Disk Cleanup ของ Windows (cleanmgr.exe) อย่างเร่งด่วนในระหว่างการอัปเดต Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025

    ช่องโหว่นี้มีคะแนน CVSS 7.8 ซึ่งทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ SYSTEM ผ่านเทคนิค DLL sideloading ได้

เทคนิคของการใช้ช่องโหว่

    ช่องโหว่นี้ใช้การทำงานของ cleanmgr.exe ที่มีสิทธิ์สูง เพื่อโหลด Unsigned DLLs ผู้ไม่หวังดีสามารถฝังไลบรารีที่เป็นอันตราย เช่น dokannp1.dll ลงในไดเรกทอรีของระบบผ่านเทคนิค Path Interception หรือ File Replacement โดยนักวิจัยด้านความปลอดภัยได้แสดงให้เห็นวิธีการใช้ช่องโหว่นี้จาก

cp .\dokan1.dll C:\Users\<username>\System32\System32\System32\dokannp1.dll cleanmgr /sageset:2

    โดยโค้ดนี้จะ bypass การตรวจสอบ signature validation โดยการใช้ประโยชน์จากช่องโหว่ Directory Traversal ใน Disk Cleanup scheduler

    การโจมตีโดยใช้ช่องโหว่นี้สำเร็จ ต้องการการเปิดใช้งานเครื่องมือด้วยตนเอง หรือการดำเนินการอัตโนมัติผ่าน disk space thresholds ที่กำหนดไว้ ตามที่รายงานโดย Cyber Security News

    การอัปเดตในเดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ 67 รายการของ Windows ซึ่งรวมถึงช่องโหว่แบบ zero-day 4 รายการ โดยการอัปเดตที่สำคัญได้แก้ไข

• CVE-2025-21418: การยกระดับสิทธิ์ใน Windows Ancillary Function Driver
• CVE-2025-21391: การยกระดับสิทธิ์ใน Storage Spaces Direct
• CVE-2025-21194: การ Bypass การรักษาความปลอดภัยในเฟิร์มแวร์ของ Microsoft Surface
• CVE-2025-21377: ช่องโหว่ในการเปิดเผย NTLM hash

    คำแนะนำจาก Microsoft เน้นย้ำถึงการติดตั้งอัปเดตโดยทันที เนื่องจากช่องโหว่ CVE-2025-21418 และ CVE-2025-21377 กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง

การลดผลกระทบ และแนวทางการปฏิบัติ

• ติดตั้งแพตช์เดือนกุมภาพันธ์ 2025 ผ่าน Windows Update หรือ WSUS
• ตรวจสอบไดเรกทอรีของระบบสำหรับ DLL ที่ไม่ได้รับอนุญาต
• ใช้แอปพลิเคชันที่ช่วยในการแสดงรายการยูทิลิตี้ของระบบ

    การวิเคราะห์ทางเทคนิคทั้งหมด และคำแนะนำในการลดความเสี่ยงสามารถดูได้จากคำแนะนำด้านความปลอดภัยของ Microsoft หมายเลข ADV25002

    ทีม Security ควรให้ความสำคัญกับการตรวจสอบ scheduled tasks และ service configurations เพื่อป้องกันไม่ให้เกิดช่องทางการยกระดับสิทธิ์ที่คล้ายกันในอนาคต

Ref: gbhackers.com

พบช่องโหว่ใน PostgreSQL ที่ถูกใช้งานร่วมกับช่องโหว่ Zero-Day ของ BeyondTrust ในการโจมตีแบบกำหนดเป้าหมาย

    ผู้เชี่ยวชาญด้านความปลอดภัยจาก Rapid7 ค้นพบช่องโหว่ SQL injection ที่มีระดับความรุนแรงสูง (CVE-2025-1094) ในเครื่องมือ psql ของ PostgreSQL โดยพบช่องโหว่นี้ระหว่างการตรวจสอบการโจมตีด้วยการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของช่องโหว่ CVE-2024-12356

    โดย BeyondTrust ได้แก้ไขช่องโหว่ CVE-2024-12356 ในเดือนธันวาคม 2024 ซึ่งช่วยให้สามารถปิดช่องโหว่ทั้งสองรายการ อย่างไรก็ตาม CVE-2025-1094 ยังคงเป็นช่องโหว่ Zero-Day จนกระทั่ง Rapid7 รายงานให้กับ PostgreSQL ทราบ

    การสอบสวนการโจมตีทางไซเบอร์ของ BeyondTrust ทำให้พบช่องโหว่ Zero-Day (CVE-2024-12356 และ CVE-2024-12686) โดยผู้ไม่หวังดีได้ใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อยึดการควบคุมระบบ Remote Support SaaS รวมถึงระบบของกระทรวงการคลังสหรัฐฯ

    คำแนะนำที่เผยแพร่โดย Rapid7 ระบุว่า "Rapid7 พบว่าในการทดสอบทั้งหมด การโจมตีช่องโหว่ CVE-2024-12356 ให้สำเร็จจะต้องใช้ร่วมกับช่องโหว่ CVE-2025-1094 เพื่อให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ แม้ว่า CVE-2024-12356 จะถูกแพตช์โดย BeyondTrust ในเดือนธันวาคม 2024 และการแพตช์นี้สามารถบล็อกการโจมตีจากทั้ง CVE-2024-12356 และ CVE-2025-1094 ได้ แต่การแพตช์นี้ไม่ได้แก้ไขสาเหตุที่แท้จริงของ CVE-2025-1094 ซึ่งยังคงเป็นช่องโหว่ Zero-Day จนกระทั่ง Rapid7 ค้นพบ และรายงานให้ PostgreSQL ทราบ"

    ช่องโหว่ CVE-2025-1094 (คะแนน CVSS: 8.1) เป็นช่องโหว่การโจมตีแบบ SQL injection ใน PostgreSQL ที่เกิดจากการทำงานของ Quoting Syntax ไม่ถูกต้องในฟังก์ชัน libpq (PQescapeLiteral(), PQescapeIdentifier(), PQescapeString(), และ PQescapeStringConn()) ช่องโหว่นี้เกิดขึ้นเมื่อแอปพลิเคชันใช้ผลลัพธ์จากฟังก์ชันเหล่านี้ในการสร้างคำสั่ง SQL สำหรับ psql ซึ่งเป็นเทอร์มินัลโต้ตอบของ PostgreSQL

    ช่องโหว่นี้ส่งผลกระทบกับ PostgreSQL ก่อนเวอร์ชัน 17.3, 16.7, 15.11, 14.16, และ 13.19 ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถแทรกคำสั่ง SQL ที่เป็นอันตรายในการใช้งานบนระบบที่มีช่องโหว่ได้

CVE-2025-1094 ใช้ประโยชน์จากวิธีที่ PostgreSQL จัดการกับอักขระ UTF-8 ที่ไม่ถูกต้อง ซึ่งทำให้เกิดการโจมตีแบบ SQL injection ใน psql ได้ โดยผู้ไม่หวังดีสามารถใช้คำสั่ง meta-commands ของ psql โดยเฉพาะคำสั่งเครื่องหมายอัศเจรีย์ '!' ซึ่งใช้ในการเรียกคำสั่ง shell ของระบบปฏิบัติการ และอาจนำไปสู่การควบคุมระบบทั้งหมดได้

    "เนื่องจากวิธีที่ PostgreSQL จัดการ Escape อักขระที่ไม่ถูกต้องใน UTF-8 เมื่อรวมกับวิธีการประมวลผลลำดับไบต์ที่ไม่ถูกต้องภายในอักขระ UTF-8 ที่ถูกประมวลผลโดย psql ทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ CVE-2025-1094 เพื่อสร้างการโจมตีแบบ SQL injection ได้" รายงานระบุเพิ่มเติมว่า "ผู้ไม่หวังดีที่สามารถสร้างการโจมตีแบบ SQL injection ผ่านช่องโหว่ CVE-2025-1094 ได้ จะสามารถเรียกใช้โค้ดตามที่ต้องการได้ โดยการใช้ความสามารถของเครื่องมือ interactive ในการเรียกใช้ meta-commands ซึ่งช่วยเพิ่มฟังก์ชันการทำงานของเครื่องมือ interactive โดยจะดำเนินการเพิ่มเติมหลายอย่างที่เครื่องมือ interactive สามารถทำได้ คำสั่ง meta-command ที่ระบุด้วยเครื่องหมายอัศเจรีย์ ‘!’ จะช่วยให้สามารถเรียกใช้คำสั่ง shell ของระบบปฏิบัติการได้ ผู้ไม่หวังดีสามารถใช้ช่องโหว่ CVE-2025-1094 เพื่อทำการเรียกคำสั่ง meta-command นี้ และควบคุมคำสั่ง shell ของระบบปฏิบัติการได้

 

PostgreSQL แก้ไขช่องโหว่ดังกล่าว โดยการปล่อยอัปเดตเวอร์ชันดังนี้

- PostgreSQL 17.3

- PostgreSQL 16.7

- PostgreSQL 15.11

- PostgreSQL 14.16

- PostgreSQL 13.19

Stephen Fewer ผู้เชี่ยวชาญด้านความปลอดภัยด้านความปลอดภัยของ Rapid7 ได้รับเครดิตจากการค้นพบช่องโหว่นี้

Ref : securityaffairs.com

ช่องโหว่ใน Firewall ของ SonicWall กำลังถูกใช้ในการโจมตีหลังจากมีการเผยแพร่ PoC exploit ออกมา

ผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ Authentication Bypass ที่ส่งผลกระทบต่อ Firewall ของ SonicWall หลังจากมีการปล่อย proof-of-concept (PoC) ออกมาในเวลาไม่นาน

ช่องโหว่ด้านความปลอดภัย (CVE-2024-53704) ความรุนแรงระดับ Critical ถูกพบในขั้นตอนการยืนยันตัวตนของ SSLVPN ซึ่งส่งผลกระทบต่อ SonicOS เวอร์ชัน 7.1.x (ถึงเวอร์ชัน 7.1.1-7058), 7.1.2-7019 และ 8.0.0-8035 ซึ่งใช้งานโดย Firewall  Gen 6 และ Gen 7 หลายรุ่น รวมถึงอุปกรณ์ในซีรีส์ SOHO

การโจมตีที่ประสบความสำเร็จช่วยให้ผู้ไม่ประสงค์ดีจากภายนอก สามารถยึดเซสชัน SSL VPN ที่กำลังใช้งานได้ โดยไม่ต้องผ่านการยืนยันตัวตน ซึ่งจะทำให้สามารถเข้าถึงเครือข่ายของเป้าหมายได้โดยไม่ได้รับอนุญาต

SonicWall ได้ส่งอีเมลแจ้งเตือนให้ลูกค้าดำเนินการอัปเกรดเฟิร์มแวร์ SonicOS ของ Firewall โดยทันที เพื่อป้องกันการถูกโจมตีก่อนที่จะแจ้งช่องโหว่ต่อสาธารณะ และปล่อยอัปเดตความปลอดภัยในวันที่ 7 มกราคม 2025

บริษัทยังได้แนะนำมาตรการลดผลกระทบสำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์ความปลอดภัยให้กับอุปกรณ์ได้ทันที เช่น การจำกัดการเข้าถึงเฉพาะต้นทางที่เชื่อถือได้ และการปิดกั้นการเข้าถึงจากอินเทอร์เน็ตทั้งหมดหากไม่มีความจำเป็น

เมื่อวันพฤหัสบดีที่ผ่านมา (13 กุมภาพันธ์ 2025) บริษัทด้านความปลอดภัยทางไซเบอร์ Arctic Wolf เปิดเผยว่า พวกเขาเริ่มตรวจพบความพยายามในการโจมตีช่องโหว่นี้ไม่นานหลังจากที่ PoC ถูกเผยแพร่ออกสู่สาธารณะ ซึ่งยืนยันถึงความกังวลของ SonicWall เกี่ยวกับความเป็นไปได้ที่ช่องโหว่นี้จะถูกโจมตีมากขึ้น

Arctic Wolf ระบุว่า "PoC exploit ที่ถูกเผยแพร่นั้นช่วยให้ผู้ไม่ประสงค์ดีที่ไม่ได้ผ่านการยืนยันตัวตนสามารถ bypass MFA, เปิดเผยข้อมูลส่วนตัว และเข้าถึงเซสชัน VPN ที่กำลังทำงานอยู่ได้"

"เนื่องจากความง่ายในการโจมตี และข้อมูลภัยคุกคามที่มีอยู่ Arctic Wolf จึงแนะนำให้ทำการอัปเกรดเป็นเฟิร์มแวร์เวอร์ชันที่ได้รับการแก้ไข เพื่อจัดการกับช่องโหว่นี้"

PoC exploit ถูกเผยแพร่ในหนึ่งเดือนหลังจากที่มีการปล่อยแพตช์อัปเดต

ผู้เชี่ยวชาญด้านความปลอดภัยด้านความปลอดภัยที่ Bishop Fox ได้เผยแพร่ PoC exploit เมื่อวันที่ 10 กุมภาพันธ์ 2025 ซึ่งเป็นเวลาประมาณหนึ่งเดือนหลังจากที่มีการปล่อยอัปเดตแพตช์

Bishop Fox ระบุเพิ่มเติมว่า จากการสแกนอินเทอร์เน็ตเมื่อวันที่ 7 กุมภาพันธ์ 2025 พบว่าเซิร์ฟเวอร์ SonicWall SSL VPN ที่ยังไม่ได้รับการแพตช์มีจำนวนกว่า 4,500 เครื่อง

SonicWall แจ้งเตือนภายหลังจากที่โค้ด exploit ถูกปล่อยออกมาว่า "Proof-of-Concept (PoC) สำหรับช่องโหว่ Authentication Bypass SSLVPN ของ SonicOS (CVE-2024-53704) ได้ถูกเผยแพร่สู่สาธารณะแล้ว"

"ขากเหตุการณ์นี้ทำให้ความเสี่ยงจากการถูกโจมตีเพิ่มขึ้นอย่างมาก ผุ้ใช้งานควรอัปเดต Firewall ที่ยังไม่ได้รับการแพตช์ทั้งหมด (7.1.x และ 8.0.0) ทันที หากไม่สามารถอัปเดตเฟิร์มแวร์ได้ ควรปิดการใช้งาน SSLVPN"

ในอดีต กลุ่มแรนซัมแวร์อย่างกลุ่ม Akira และ Fog เคยโจมตี Firewall ของ SonicWall ด้วยเช่นกัน Arctic Wolf เคยแจ้งเตือนเมื่อเดือนตุลาคมว่ามีการโจมตีอย่างน้อย 30 ครั้ง โดยการโจมตีเริ่มด้วยการเข้าถึงเครือข่ายจากระยะไกลผ่านบัญชี SonicWall VPN

Ref : bleepingcomputer.com

กลุ่มผู้ไม่ประสงค์ดี RedMike จากจีนกำลังโจมตีผู้ให้บริการโทรคมนาคมผ่านช่องโหว่ในอุปกรณ์ Cisco

    กลุ่มผู้ไม่ประสงค์ดีที่มีชื่อเสียง และได้รับการสนับสนุนจากรัฐบาลจีนได้มุ่งเป้าการโจมตีไปยังบริษัทโทรคมนาคมในสหรัฐฯ

    กลุ่มผู้ไม่ประสงค์ดีที่เป็นที่รู้จักในชื่อ RedMike ได้พยายามในการบังคับใช้กฎหมายของสหรัฐฯ ที่ต้องการทำลายระบบ back-end และหยุดการโจมตีทางไซเบอร์ โดยการโจมตีล่าสุดของ ผู้ไม่ประสงค์ดีกลุ่มนี้ มุ่งเป้าไปที่ช่องโหว่ที่เป็นที่รู้จักในอุปกรณ์ของ Cisco

    ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์เครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

    นักวิจัยจาก Recorded Future Insikt Group ระบุว่า พบกลุ่มผู้ไม่ประสงค์ดีกำลังโจมตีผู้ให้บริการโทรคมนาคมทั่วโลก รวมถึงผู้ให้บริการในสหรัฐอเมริกา

นอกจากนี้กลุ่ม RedMike ยังได้มุ่งเป้าการโจมตีไปที่สถาบันการศึกษาทั่วโลก โดยมีเป้าหมาย ได้แก่ อาร์เจนตินา, บังกลาเทศ, อินโดนีเซีย, มาเลเซีย, เม็กซิโก, เนเธอร์แลนด์, ไทย, สหรัฐอเมริกา และเวียดนาม ระบุว่า "RedMike ได้พยายามโจมตีโดยใช้ช่องโหว่ในอุปกรณ์ Cisco มากกว่า 1,000 เครื่องทั่วโลก"

    กลุ่ม RedMike มุ่งเป้าไปที่อุปกรณ์ Cisco IOS XE โดยการใช้ช่องโหว่สองรายการ คือ CVE-2023-20198 และ CVE-2023-2027

    ช่องโหว่ทั้งสองรายการ เป็นช่องโหว่ที่เกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งหากถูกใช้ในการโจมตีจะทำให้ผู้ไม่หวังดีสามารถควบคุมอุปกรณ์ด้วยสิทธิ์ของผู้ดูแลระบบได้

    แม้ว่าอุปกรณ์เครือข่ายอาจดูเหมือนไม่ได้ตกเป็นเป้าหมายที่สำคัญสำหรับผู้ไม่หวังดี แต่มันสามารถเป็นจุดเริ่มต้นที่สำคัญสำหรับกลุ่ม APT ที่ต้องการโจมตีเข้าไปในเครือข่ายภายในขององค์กร

นักวิจัยจากผู้ให้บริการด้านความปลอดภัย NCC Group ระบุว่า "โดยภาพรวมในระหว่างการโจมตี กลุ่มผู้ไม่ประสงค์ดีได้แสดงให้เห็นถึงความเข้าใจในเชิงลึกเกี่ยวกับสภาพแวดล้อมของเป้าหมาย รวมถึงการระบุช่องโหว่ เพื่อเตรียมตัวสำหรับการกลับมาโจมตีใหม่อีกครั้ง และยังใช้กลยุทธ์การโจมตีหลายรูปแบบ โดยผสมผผสานเครื่องมือที่เป็นที่รู้จัก และ backdoor ที่ถูกสร้างขึ้นเอง ซึ่งทำให้ยากต่อการตรวจจับ และป้องกัน"

    ในกรณีนี้เชื่อว่ากลุ่ม RedMike กำลังใช้วิธีการโจมตีใน 2 แนวทาง โดยผู้ไม่หวังดีจะพยายามเข้าถึงฐานข้อมูล และเซิร์ฟเวอร์ที่เก็บข้อมูลทรัพย์สินทางปัญญา และข้อมูลวิจัยที่มีค่าจากองค์กรที่เป็นเป้าหมาย รวมถึงการโจมตีเพื่อสอดแนมในบริษัทโทรคมนาคม

    Insikt Group อธิบายว่า "มหาวิทยาลัยส่วนใหญ่มีความเกี่ยวข้องกับงานวิจัยที่ทันสมัย จึงเป็นเป้าหมายหลักของกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีน เพื่อขโมยข้อมูลวิจัยที่มีค่า และทรัพย์สินทางปัญญา"

    การโจมตีเหล่านี้มีความน่าสนใจ เนื่องจากมันเกิดขึ้นท่ามกลางความตั้งใจของหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ที่จะทำลายเครือข่ายของ RedMike โดยการปิดบริษัทโฮสติ้งที่เชื่อว่าให้การสนับสนุนโครงสร้างพื้นฐานสำหรับการควบคุม และสั่งการของกลุ่มผู้ไม่ประสงค์ดี

    การโจมตีล่าสุด แสดงให้เห็นว่าในประเทศจีนยังมีผู้ให้บริการหลายรายที่ให้การสนับสนุนกลุ่มผู้ไม่ประสงค์ดี

    นักวิจัยอธิบายเพิ่มเติมว่า "ถึงแม้ว่าจะมีการรายงานจากสื่อจำนวนมาก และมีการคว่ำบาตรจากสหรัฐฯ แต่ Insikt Group คาดว่ากลุ่ม RedMike จะยังคงมุ่งเป้าโจมตีผู้ให้บริการโทรคมนาคมในสหรัฐฯ และทั่วโลกต่อไป เนื่องจากมีข้อมูลการสื่อสารที่มีมูลค่าสูงจำนวนมากที่ถูกส่งผ่านเครือข่ายเหล่านี้ สิ่งนี้แสดงให้เห็นด้วยการกำหนดเป้าหมายก่อนหน้านี้ของ RedMike ต่อการปฏิบัติการสกัดกั้นโดยชอบด้วยกฎหมายของสหรัฐฯ และการสื่อสารของบุคคลสำคัญทางการเมืองของสหรัฐฯ"

Ref : scworld.com

ช่องโหว่ RCE ระดับ Critical ใน Microsoft Outlook กำลังถูกนำไปใช้ในการโจมตีจริง

    CISA แจ้งเตือนหน่วยงานรัฐบาลกลางของสหรัฐฯ เมื่อวันพฤหัสบดีให้รักษาความปลอดภัยในระบบ เพื่อป้องกันการโจมตีที่กำลังเกิดขึ้น ซึ่งมุ่งเป้าไปที่ช่องโหว่ระดับ Critical ใน Microsoft Outlook ที่สามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ได้

ช่องโหว่ดังกล่าวถูกพบโดยนักวิจัยจาก Check Point 'Haifei Li' และมีหมายเลข CVE-2024-21413 เกิดจากการตรวจสอบข้อมูลอินพุตที่ไม่เหมาะสม เมื่อเปิดอีเมลที่มีลิงก์อันตราย โดยใช้เวอร์ชันของ Outlook ที่มีช่องโหว่

    ผู้ไม่หวังดีสามารถดำเนินการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ เนื่องจากช่องโหว่ดังกล่าวทำให้สามารถ bypass ฟีเจอร์ Protected View (ซึ่งควรจะบล็อกเนื้อหาที่เป็นอันตรายที่ฝังอยู่ในไฟล์ Office โดยการเปิดไฟล์เหล่านั้นในโหมด read-only) และเปิดไฟล์ Office ที่เป็นอันตรายในโหมด editing ได้

เมื่อ Microsoft ได้แก้ไขช่องโหว่ CVE-2024-21413 เมื่อช่วงหนึ่งปีก่อน ทาง Microsoft ได้เตือนว่า Preview Pane เป็นช่องทางการโจมตีที่สามารถทำให้การโจมตีสำเร็จได้ แม้จะเพียงแค่ preview เอกสาร Office ที่เป็นอันตรายก็ตาม

    ตามที่ Check Point อธิบาย ช่องโหว่ด้านความปลอดภัยนี้ (เรียกว่า Moniker Link) ช่วยให้ผู้ไม่หวังดี สามารถ bypass การป้องกันที่มีอยู่ใน Outlook สำหรับลิงก์ที่เป็นอันตรายที่ฝังอยู่ในอีเมล โดยใช้โปรโตคอล file:// และการเพิ่มเครื่องหมายอัศเจรีย์ "!" ใน URL ที่ชี้ไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยผู้ไม่หวังดี

    เครื่องหมายอัศเจรีย์ "!" จะถูกเพิ่มหลังจากนามสกุลไฟล์ พร้อมกับข้อความแบบสุ่ม (ในตัวอย่างของ Check Point ใช้คำว่า "something") ดังที่แสดงด้านล่าง

*<a href="file:///\\10.10.111.111\test\test.rtf!something">CLICK ME</a>* 

    CVE-2024-21413 ส่งผลกระทบต่อผลิตภัณฑ์ Office หลายรายการ รวมถึง Microsoft Office LTSC 2021, Microsoft 365 Apps for Enterprise, Microsoft Outlook 2016, และ Microsoft Office 2019 โดยการโจมตีที่สำเร็จจาก CVE-2024-21413 อาจส่งผลให้ข้อมูล NTLM credentials ถูกขโมย และการเรียกใช้โค้ดที่เป็นอันตรายผ่านเอกสาร Office

    ในวันพฤหัสบดีที่ผ่านมา (6 กุมภาพันธ์ 2025) CISA ได้เพิ่มช่องโหว่นี้ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยระบุว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ตามที่ได้รับคำสั่งจาก Binding Operational Directive (BOD) 22-01 หน่วยงานรัฐบาลกลางจะต้องรักษาความปลอดภัยเครือข่ายของตนภายในสามสัปดาห์ (ภายในวันที่ 27 กุมภาพันธ์ 2025)

    หน่วยงานความมั่นคงทางไซเบอร์เตือนว่า "ช่องโหว่ประเภทนี้เป็นช่องทางการโจมตีที่พบได้บ่อยสำหรับผู้ไม่หวังดีทางไซเบอร์ และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง"

    ขณะที่ CISA ให้ความสำคัญกับการแจ้งเตือนหน่วยงานรัฐบาลกลางเกี่ยวกับช่องโหว่ที่ควรอัปเดตโดยด่วน องค์กรเอกชนก็ควรจัดลำดับความสำคัญในการแก้ไขช่องโหว่เหล่านี้เพื่อป้องกันการโจมตีที่กำลังดำเนินอยู่

Ref : bleepingcomputer.com

Apple แก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีที่มีความซับซ้อนสูง

    Apple ออกแพตซ์อัปเดตด้านความปลอดภัยเร่งด่วนเพื่อแก้ไขช่องโหว่ Zero-day ซึ่งบริษัทระบุว่ากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย และมีความซับซ้อนสูง

บริษัทเปิดเผยในคำแนะนำสำหรับผู้ใช้งาน iPhone และ iPad ว่า "การโจมตีแบบ physical อาจทำให้สามารถ disable USB Restricted Mode บนอุปกรณ์ที่ถูกล็อกได้"

"Apple รับทราบช่องโหว่ที่ถูกใช้ในการโจมตีที่มีความซับซ้อนสูงต่อบุคคลที่ตกเป็นเป้าหมายแบบเฉพาะเจาะจง"

    USB Restricted Mode เป็นฟีเจอร์ความปลอดภัย (เปิดตัวครั้งแรกเมื่อเกือบ 7 ปีที่แล้วใน iOS 11.4.1) ที่บล็อกอุปกรณ์เสริม USB ไม่ให้สามารถสร้างการเชื่อมต่อข้อมูล หากอุปกรณ์ถูกล็อกไว้นานเกิน 1 ชั่วโมง ฟีเจอร์นี้ออกแบบมาเพื่อป้องกัน forensic software เช่น Graykey และ Cellebrite (ซึ่งถูกใช้โดยหน่วยงานบังคับใช้กฎหมาย) จากการดึงข้อมูลจากอุปกรณ์ iOS ที่ถูกล็อค

    ในเดือนพฤศจิกายน Apple ได้แนะนำฟีเจอร์ความปลอดภัยใหม่ที่ถูกเรียกว่า "inactivity reboot" ซึ่งจะรีสตาร์ท iPhone โดยอัตโนมัติหลังจากไม่ได้ใช้งานเป็นเวลานาน เพื่อเข้ารหัสข้อมูลใหม่ และทำให้การดึงข้อมูลด้วย forensic software ทำได้ยากขึ้น

    ช่องโหว่ Zero-day CVE-2025-24200 ถูกรายงานโดย Bill Marczak จาก Citizen Lab ที่ Appleได้ออกแพตช์แก้ไขในวันนี้เป็นปัญหาด้านการ authorization ซึ่งได้รับการแก้ไขใน iOS 18.3.1, iPadOS 18.3.1 และ iPadOS 17.7.5 ด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ Zero-day นี้ ประกอบด้วย

• iPhone XS และรุ่นที่ใหม่กว่า
• iPad Pro ขนาด 13 นิ้ว, iPad Pro ขนาด 12.9 นิ้ว รุ่นที่ 3 และใหม่กว่า, iPad Pro ขนาด 11 นิ้ว รุ่นที่ 1 และใหม่กว่า, iPad Air รุ่นที่ 3 และใหม่กว่า, iPad รุ่นที่ 7 และใหม่กว่า และ iPad mini รุ่นที่ 5 และใหม่กว่า
• iPad Pro ขนาด 12.9 นิ้ว รุ่นที่ 2, iPad Pro ขนาด 10.5 นิ้ว, และ iPad รุ่นที่ 6

    แม้ว่าช่องโหว่นี้จะถูกใช้โจมตีแบบเฉพาะเจาะจง แต่ขอแนะนำให้ติดตั้งแพตซ์อัปเดตความปลอดภัยทันที เพื่อป้องกันความพยายามในการโจมตีที่อาจเกิดขึ้น

    แม้ว่า Apple ยังไม่ได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีที่เกิดขึ้นจริงในวงกว้าง แต่นักวิจัยด้านความปลอดภัยของ Citizen Lab เปิดเผยช่องโหว่ Zero-day กำลังถูกใช้ในการโจมตีด้วยสปายแวร์แบบกำหนดเป้าหมายต่อบุคคลที่มีความเสี่ยงสูง เช่น นักข่าว, นักการเมืองฝ่ายค้าน และผู้เห็นต่างทางการเมือง

    Citizen Lab ได้เปิดเผยช่องโหว่ Zero-day อีกสองรายการ (CVE-2023-41061 และ CVE-2023-41064) ซึ่ง Apple ได้แก้ไขในการอัปเดตความปลอดภัยเร่งด่วนในเดือนกันยายน 2023 และถูกใช้ในการโจมตีแบบ zero-click exploit chain ที่เรียกว่า BLASTPASS เพื่อทำการแพร่กระจายสปายแวร์ Pegasus ของกลุ่ม NSO

    ในปี 2024 บริษัทได้แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีอย่างต่อเนื่องจำนวน 6 รายการ ได้แก่ ช่องโหว่แรกในเดือนมกราคม, สองช่องโหว่ในเดือนมีนาคม, ช่องโหว่ที่สี่ในเดือนพฤษภาคม และอีกสองช่องโหว่ในเดือนพฤศจิกายน

ในปี 2023 Apple ได้แก้ไขช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีจริงจำนวน 20 รายการ ได้แก่

• ช่องโหว่ Zero-day (CVE-2023-42916 และ CVE-2023-42917) ในเดือนพฤศจิกายน
• ช่องโหว่ Zero-day (CVE-2023-42824 และ CVE-2023-5217) ในเดือนตุลาคม
• ช่องโหว่ Zero-day (CVE-2023-41061, CVE-2023-41064, CVE-2023-41991, CVE-2023-41992 และ CVE-2023-41993) ในเดือนกันยายน
• ช่องโหว่ Zero-day (CVE-2023-37450 และ CVE-2023-38606) ในเดือนกรกฎาคม
• ช่องโหว่ Zero-day (CVE-2023-32434, CVE-2023-32435 และ CVE-2023-32439) ในเดือนมิถุนายน
• ช่องโหว่ Zero-day (CVE-2023-32409, CVE-2023-28204 และ CVE-2023-32373) ในเดือนพฤษภาคม
• ช่องโหว่ Zero-day (CVE-2023-28206 และ CVE-2023-28205) ในเดือนเมษายน
• ช่องโหว่ WebKit Zero-day (CVE-2023-23529) ในเดือนกุมภาพันธ์

Ref : bleepingcomputer.com

Cloudflare ล่ม เนื่องจากการบล็อก URL ฟิชชิ่งที่ผิดพลาด

    การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง

    Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare

    การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ

    Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"

“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"

    เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น

• Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
• Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
• Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
• Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
• Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
• Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%

    นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น

    Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้

    Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ

    มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง

    ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%

    เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

Ref : bleepingcomputer.com

Microsoft Patch Tuesday เดือนกุมภาพันธ์ 2025 แก้ไขช่องโหว่ Zero-day จำนวน 4 รายการ และช่องโหว่รวม 55 รายการ

วันนี้เป็นวัน Microsoft Patch Tuesday ประจำเดือนกุมภาพันธ์ 2025 ซึ่งมีUpdate ความปลอดภัยสำหรับช่องโหว่ 55 รายการ รวมถึงช่องโหว่ Zero-day จำนวน 4 รายการ โดยมี 2 รายการที่ถูกใช้โจมตีแล้ว

Patch Tuesday ครั้งนี้ยังแก้ไขช่องโหว่ "Critical" จำนวน 3 รายการ ซึ่งทั้งหมดเป็นช่องโหว่แบบ Remote Code Execution

จำนวนช่องโหว่ที่พบในแต่ละประเภทมีดังนี้:

19 ช่องโหว่การยกระดับสิทธิ์ (Elevation of Privilege Vulnerabilities)

2 ช่องโหว่การข้ามฟีเจอร์ความปลอดภัย (Security Feature Bypass Vulnerabilities)

22 ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution Vulnerabilities)

1 ช่องโหว่การเปิดเผยข้อมูล (Information Disclosure Vulnerabilities)

9 ช่องโหว่การปฏิเสธการให้บริการ (Denial of Service Vulnerabilities)

3 ช่องโหว่การปลอมแปลง (Spoofing Vulnerabilities)

ตัวเลขข้างต้นไม่รวมถึงช่องโหว่ระดับวิกฤติของ Microsoft Dynamics 365 Sales ที่เกี่ยวกับการยกระดับสิทธิ์ และช่องโหว่ 10 รายการของ Microsoft Edge ที่ได้รับการแก้ไขไปแล้วเมื่อวันที่ 6 กุมภาพันธ์

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับUpdate ที่ไม่ใช่ด้านความปลอดภัยในวันนี้ คุณสามารถดูบทความเฉพาะเกี่ยวกับ Update สะสม KB5051987 และ KB5051989 สำหรับ Windows 11 รวมถึง Update KB5051974 สำหรับ Windows 10

ช่องโหว่ Zero-day ที่ถูกโจมตีสองรายการที่ได้รับการเปิดเผย

ใน Patch Tuesday ของเดือนนี้ Microsoft ได้แก้ไขช่องโหว่ Zero-day สองรายการที่ถูกโจมตีแล้ว และอีกสองรายการที่ได้รับการเปิดเผยสู่สาธารณะ

Microsoft จัดประเภทช่องโหว่ Zero-day ว่าเป็นช่องโหว่ที่ถูกเปิดเผยต่อสาธารณะหรือถูกโจมตีโดยที่ยังไม่มีการแก้ไขอย่างเป็นทางการ

ช่องโหว่ Zero-day ที่ถูกโจมตีแล้ว

1. CVE-2025-21391 - Windows Storage Elevation of Privilege Vulnerability

• ช่องโหว่นี้เกี่ยวข้องกับการยกระดับสิทธิ์ที่สามารถใช้ลบไฟล์ได้
• Microsoft ระบุว่า “ผู้โจมตีจะสามารถลบไฟล์เป้าหมายบนระบบเท่านั้น”
• ช่องโหว่นี้ไม่ทำให้เกิดการรั่วไหลของข้อมูลลับ แต่สามารถลบข้อมูลที่อาจทำให้บริการไม่สามารถใช้งานได้
• ยังไม่มีข้อมูลเกี่ยวกับวิธีการโจมตีและผู้ที่เปิดเผยช่องโหว่นี้

2. CVE-2025-21418 - Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

• ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น SYSTEM บน Windows ได้
• ยังไม่มีข้อมูลว่าใช้ในการโจมตีอย่างไร และ Microsoft ระบุว่าช่องโหว่นี้ถูกเปิดเผยโดยไม่ระบุชื่อ

ช่องโหว่ Zero-day ที่เปิดเผยสู่สาธารณะ

1. CVE-2025-21194 - Microsoft Surface Security Feature Bypass Vulnerability

• ช่องโหว่นี้เกี่ยวข้องกับไฮเปอร์ไวเซอร์ (Hypervisor) ที่ช่วยให้สามารถข้าม UEFI และเข้าถึง secure kernel ได้
• Microsoft ระบุว่าเป็นช่องโหว่ที่กระทบต่อ Virtual Machines บนเครื่องที่ใช้ UEFI
• อาจเกี่ยวข้องกับช่องโหว่ PixieFail ซึ่งเป็นชุดช่องโหว่ 9 รายการที่ส่งผลกระทบต่อโปรโตคอล IPv6 ใน Tianocore’s EDK II ที่ใช้ใน Microsoft Surface และผลิตภัณฑ์ไฮเปอร์ไวเซอร์

2. CVE-2025-21377 - NTLM Hash Disclosure Spoofing Vulnerability

• ช่องโหว่นี้เปิดเผย NTLM hash ของผู้ใช้ Windows ทำให้ผู้โจมตีสามารถล็อกอินในฐานะผู้ใช้นั้นได้
• การเปิดช่องโหว่สามารถเกิดขึ้นจากการโต้ตอบเพียงเล็กน้อย เช่น การคลิกเลือกไฟล์หรือคลิกขวาเพื่อดูรายละเอียด
• ช่องโหว่นี้อาจคล้ายกับช่องโหว่ NTLM hash อื่น ๆ ที่เมื่อ Windows เชื่อมต่อกับเซิร์ฟเวอร์ระยะไกล NTLM hash ของผู้ใช้จะถูกส่งไป ทำให้ผู้โจมตีสามารถรวบรวมและนำไปใช้ใน Pass-the-Hash Attack ได้
• ช่องโหว่นี้ถูกค้นพบโดยทีมนักวิจัยจาก Cathay Pacific, Securify B.V., และ ACROS Security (0patch)

Patch Tuesday ครั้งนี้เป็น Update ที่สำคัญ เนื่องจากมีช่องโหว่ Zero-day ที่ถูกใช้งานแล้วถึงสองรายการ ทำให้ผู้ใช้ Windows ควรติดตั้ง Update โดยเร็วที่สุด

Update ล่าสุดจากบริษัทอื่น ๆ

บริษัทอื่น ๆ ที่ออก Update หรือคำแนะนำด้านความปลอดภัยในเดือนกุมภาพันธ์ 2025 ได้แก่:

Adobe ออก Update ความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Adobe Photoshop, Substance3D, Illustrator และ Animate

AMD ออกมาตรการลดความเสี่ยงและอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่ที่สามารถใช้โหลด microcode ของ CPU ที่เป็นอันตราย

Apple ออก Update ความปลอดภัยสำหรับช่องโหว่ Zero-day ที่ถูกใช้ในการโจมตีที่ มีความซับซ้อนสูงมาก

Cisco ออก Update ความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco IOS, ISE, NX-OS และ Identity Services

Google แก้ไขช่องโหว่ Zero-day ที่ถูกโจมตีแล้วใน USB Video Class driver ของ Android Kernel

Ivanti  ออก Update ความปลอดภัยสำหรับ Connect Secure, Neurons for MDM และ Cloud Service Application

Fortinet ออก Update ความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง FortiManager, FortiOS, FortiAnalyzer และ FortiSwitchManager

Netgear แก้ไขช่องโหว่ระดับวิกฤติ 2 รายการที่มีผลกระทบต่อ เราเตอร์ WiFi หลายรุ่น

SAP ออก Update ความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ

Update ความปลอดภัย Patch Tuesday เดือนกุมภาพันธ์ 2025

ด้านล่างเป็นรายการช่องโหว่ที่ได้รับการแก้ไขทั้งหมดใน Update Patch Tuesday เดือนกุมภาพันธ์ 2025

หากต้องการดูรายละเอียดฉบับเต็มของแต่ละช่องโหว่และระบบที่ได้รับผลกระทบ คุณสามารถดูได้ที่ รายงาน

Tag	CVE ID	CVE Title	Severity
Active Directory Domain Services	CVE-2025-21351	Windows Active Directory Domain Services API Denial of Service Vulnerability	Important
Azure Network Watcher	CVE-2025-21188	Azure Network Watcher VM Extension Elevation of Privilege Vulnerability	Important
Microsoft AutoUpdate (MAU)	CVE-2025-24036	Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability	Important
Microsoft Digest Authentication	CVE-2025-21368	Microsoft Digest Authentication Remote Code Execution Vulnerability	Important
Microsoft Digest Authentication	CVE-2025-21369	Microsoft Digest Authentication Remote Code Execution Vulnerability	Important
Microsoft Dynamics 365 Sales	CVE-2025-21177	Microsoft Dynamics 365 Sales Elevation of Privilege Vulnerability	Critical
Microsoft Edge (Chromium-based)	CVE-2025-21267	Microsoft Edge (Chromium-based) Spoofing Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2025-21279	Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2025-21342	Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2025-0445	Chromium: CVE-2025-0445 Use after free in V8	Unknown
Microsoft Edge (Chromium-based)	CVE-2025-0451	Chromium: CVE-2025-0451 Inappropriate implementation in Extensions API	Unknown
Microsoft Edge (Chromium-based)	CVE-2025-0444	Chromium: CVE-2025-0444 Use after free in Skia	Unknown
Microsoft Edge (Chromium-based)	CVE-2025-21283	Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Important
Microsoft Edge (Chromium-based)	CVE-2025-21404	Microsoft Edge (Chromium-based) Spoofing Vulnerability	Low
Microsoft Edge (Chromium-based)	CVE-2025-21408	Microsoft Edge (Chromium-based) Remote Code Execution Vulnerability	Important
Microsoft Edge for iOS and Android	CVE-2025-21253	Microsoft Edge for IOS and Android Spoofing Vulnerability	Moderate
Microsoft High Performance Compute Pack (HPC) Linux Node Agent	CVE-2025-21198	Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability	Important
Microsoft Office	CVE-2025-21392	Microsoft Office Remote Code Execution Vulnerability	Important
Microsoft Office	CVE-2025-21397	Microsoft Office Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2025-21381	Microsoft Excel Remote Code Execution Vulnerability	Critical
Microsoft Office Excel	CVE-2025-21394	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2025-21383	Microsoft Excel Information Disclosure Vulnerability	Important
Microsoft Office Excel	CVE-2025-21390	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2025-21386	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office Excel	CVE-2025-21387	Microsoft Excel Remote Code Execution Vulnerability	Important
Microsoft Office SharePoint	CVE-2025-21400	Microsoft SharePoint Server Remote Code Execution Vulnerability	Important
Microsoft PC Manager	CVE-2025-21322	Microsoft PC Manager Elevation of Privilege Vulnerability	Important
Microsoft Streaming Service	CVE-2025-21375	Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability	Important
Microsoft Surface	CVE-2025-21194	Microsoft Surface Security Feature Bypass Vulnerability	Important
Microsoft Windows	CVE-2025-21337	Windows NTFS Elevation of Privilege Vulnerability	Important
Open Source Software	CVE-2023-32002	HackerOne: CVE-2023-32002 Node.js `Module._load()` policy Remote Code Execution Vulnerability	Important
Outlook for Android	CVE-2025-21259	Microsoft Outlook Spoofing Vulnerability	Important
Visual Studio	CVE-2025-21206	Visual Studio Installer Elevation of Privilege Vulnerability	Important
Visual Studio Code	CVE-2025-24039	Visual Studio Code Elevation of Privilege Vulnerability	Important
Visual Studio Code	CVE-2025-24042	Visual Studio Code JS Debug Extension Elevation of Privilege Vulnerability	Important
Windows Ancillary Function Driver for WinSock	CVE-2025-21418	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Important
Windows CoreMessaging	CVE-2025-21358	Windows Core Messaging Elevation of Privileges Vulnerability	Important
Windows CoreMessaging	CVE-2025-21184	Windows Core Messaging Elevation of Privileges Vulnerability	Important
Windows DHCP Client	CVE-2025-21179	DHCP Client Service Denial of Service Vulnerability	Important
Windows DHCP Server	CVE-2025-21379	DHCP Client Service Remote Code Execution Vulnerability	Critical
Windows Disk Cleanup Tool	CVE-2025-21420	Windows Disk Cleanup Tool Elevation of Privilege Vulnerability	Important
Windows DWM Core Library	CVE-2025-21414	Windows Core Messaging Elevation of Privileges Vulnerability	Important
Windows Installer	CVE-2025-21373	Windows Installer Elevation of Privilege Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2025-21216	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2025-21212	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2025-21352	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Internet Connection Sharing (ICS)	CVE-2025-21254	Internet Connection Sharing (ICS) Denial of Service Vulnerability	Important
Windows Kerberos	CVE-2025-21350	Windows Kerberos Denial of Service Vulnerability	Important
Windows Kernel	CVE-2025-21359	Windows Kernel Security Feature Bypass Vulnerability	Important
Windows LDAP - Lightweight Directory Access Protocol	CVE-2025-21376	Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability	Critical
Windows Message Queuing	CVE-2025-21181	Microsoft Message Queuing (MSMQ) Denial of Service Vulnerability	Important
Windows NTLM	CVE-2025-21377	NTLM Hash Disclosure Spoofing Vulnerability	Important
Windows Remote Desktop Services	CVE-2025-21349	Windows Remote Desktop Configuration Service Tampering Vulnerability	Important
Windows Resilient File System (ReFS) Deduplication Service	CVE-2025-21183	Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability	Important
Windows Resilient File System (ReFS) Deduplication Service	CVE-2025-21182	Windows Resilient File System (ReFS) Deduplication Service Elevation of Privilege Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2025-21410	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Routing and Remote Access Service (RRAS)	CVE-2025-21208	Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability	Important
Windows Setup Files Cleanup	CVE-2025-21419	Windows Setup Files Cleanup Elevation of Privilege Vulnerability	Important
Windows Storage	CVE-2025-21391	Windows Storage Elevation of Privilege Vulnerability	Important
Windows Telephony Server	CVE-2025-21201	Windows Telephony Server Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2025-21407	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2025-21406	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2025-21200	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2025-21371	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Telephony Service	CVE-2025-21190	Windows Telephony Service Remote Code Execution Vulnerability	Important
Windows Update Stack	CVE-2025-21347	Windows Deployment Services Denial of Service Vulnerability	Important
Windows Win32 Kernel Subsystem	CVE-2025-21367	Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability	Important

Ref : bleepingcomputer.com