ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบประกาศช่องโหว่ความปลอดภัยในกลุ่มผลิตภัณฑ์ Foxit มีรายละเอียดดังนี้

1. ช่องโหว่และผลิตภัณฑ์ที่ได้รับผลกระทบ
   1.1 รหัส CVE-2026-3775 (CVSS v3.1 Score 7.8) เป็นช่องโหว่ประเภท DLL Hijacking (CWE-427) [1] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3 และเก่ากว่า)
   1.2 รหัส CVE-2026-3779 (CVSS v3.1 Score 7.8) ซึ่งเป็นช่องโหว่ประเภท Use After Free (CWE-416) [2] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Editor (เวอร์ชัน 2025.3, 14.0.2, 13.2.2 และเก่ากว่า)
   1.3 รหัส CVE-2026-3780 (CVSS v3.1 Score 7.3) ซึ่งเป็นช่องโหว่ประเภท Untrusted Search Path (CWE-426) [3] ผลิตภัณฑ์ที่ได้รับผลกระทบ Foxit PDF Reader (เวอร์ชัน 2025.3 และเก่ากว่า)
   1.4 รหัส CVE-2026-4947 (CVSS v3.1 Score 7.1) ซึ่งเป็นช่องโหว่ประเภท Improper Access Control (CWE-284) [4] ผลิตภัณฑ์ที่ได้รับผลกระทบ ระบบบริการคลาวด์ Foxit eSign

2. รูปแบบพฤติกรรมการโจมตี
   สรุปรูปแบบพฤติกรรมการโจมตีของแต่ละช่องโหว่ มีรายละเอียดดังนี้
   2.1 รหัส CVE-2026-3775 ผู้โจมตีนำไฟล์ DLL อันตรายไปวางดักไว้ในเครื่องเป้าหมาย เมื่อ "บริการอัปเดต" ของ Foxit ทำงานอัตโนมัติ โค้ดอันตรายจะถูกรันด้วยสิทธิ์ระดับสูงสุด (SYSTEM) ทันที
   2.2 รหัส CVE-2026-3779 ผู้โจมตีส่งไฟล์ PDF ที่สร้างขึ้นพิเศษ เพื่อหลอกให้เหยื่อเปิด เมื่อเหยื่อเปิดไฟล์ โค้ดที่แฝงอยู่จะโจมตีข้อผิดพลาดในการจัดการหน่วยความจำของโปรแกรม ทำให้ผู้โจมตีสามารถรันคำสั่งอันตรายเพื่อควบคุมเครื่องได้
   2.3 รหัส CVE-2026-3780 หากผู้โจมตีนำไฟล์อันตรายไปวางซ่อนไว้ในเครื่องล่วงหน้า เมื่อเหยื่อหรือผู้ดูแลระบบทำการ "รันตัวติดตั้งโปรแกรม (Installer)" ของ Foxit ตัวติดตั้งจะถูกหลอกให้เรียกใช้งานไฟล์อันตรายนั้น ทำให้ผู้โจมตีถูกยกระดับเป็นสิทธิ์ผู้ดูแลระบบทันที
   2.4 รหัส CVE-2026-4947 ผู้โจมตีสามารถใช้เครื่องมือสกัดกั้นข้อมูลเว็บเพื่อ "ดัดแปลงหมายเลข ID เอกสาร" ผ่านระบบบริการคลาวด์ Foxit eSign ทำให้สามารถข้ามการตรวจสอบสิทธิ์ เข้าถึงเอกสารที่เป็นความลับของผู้อื่น และปลอมแปลงลายเซ็นได้โดยตรงผ่านอินเทอร์เน็ต

3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
   ผู้ให้บริการ Foxit ได้ออกอัปเดตเพื่อแก้ไขปัญหาช่องโหว่ด้านความปลอดภัยทั้ง 4 รายการ [5] ดังนี้
   3.1 สำหรับผลิตภัณฑ์ซอฟต์แวร์ Foxit PDF Editor และ Foxit PDF Reader
   ผู้ที่ใช้งานเวอร์ชันที่ได้รับผลกระทบควรเร่งดำเนินการอัปเดตโปรแกรมให้เป็นเวอร์ชันแพตช์ล่าสุดทันที เพื่ออุดช่องโหว่ ป้องกันการถูกยกระดับสิทธิ์ และการถูกรันโค้ดอันตราย
   3.2 สำหรับแพลตฟอร์มคลาวด์ Foxit eSign
   เนื่องจากเป็นบริการรูปแบบคลาวด์ ผู้ให้บริการได้ดำเนินการแพตช์แก้ไขช่องโหว่บนระบบเซิร์ฟเวอร์แล้ว ผู้ใช้งานจึงไม่จำเป็นต้องติดตั้งแพตช์ใด ๆ อย่างไรก็ตาม ผู้ใช้ควรตรวจสอบบันทึกการเข้าถึง (Access Logs) เพื่อค้นหาความผิดปกติในการเข้าถึงเอกสารในช่วงเวลาที่ผ่านมา

#CyberSecurity #ITAdmin #VulnerabilityAlert #DLLHijacking #FoxitPDFEditor #Foxit

แหล่งอ้างอิง
[1] https://dg.th/pocvt2b6jw
[2] https://dg.th/n14u6h3psl
[3] https://dg.th/1bf23p4cd9
[4] https://dg.th/e9nhdtjg3y
[5] https://dg.th/elw143tjnf

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารภัยคุกคามทางไซเบอร์ พบการประกาศอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ Cisco จึงขอให้ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าวดำเนินการตรวจสอบเวอร์ชันของระบบ และดำเนินการอัปเดตแพตช์ตามคำแนะนำของผู้พัฒนา เพื่อลดความเสี่ยงจากการถูกโจมตี [1]

1. รายละเอียดช่องโหว่
   จากการออกอัปเดตแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยในผลิตภัณฑ์ของ Cisco พบช่องโหว่ที่สำคัญ ดังนี้
   1.1 CVE-2026-20160 (คะแนน CVSSv.3.1: 9.8) เป็นช่องโหว่ความปลอดภัยใน Cisco SSM On-Prem ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ต้องยืนยันตัวตนสามารถรันคำสั่งบนระบบด้วยสิทธิ์ root ได้ และอาจนำไปสู่การรันโค้ดโดยไม่ได้รับอนุญาต (Remote Code Execution: RCE) [2]
   1.2 CVE-2026-20093 (คะแนน CVSSv3.1: 9.8) เป็นช่องโหว่ความปลอดภัยใน Cisco IMC ที่เปิดโอกาสให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถยกระดับสิทธิ์ (Privilege Escalation) หรือเข้าถึงฟังก์ชันสำคัญของระบบได้ [3]

2. ภาพรวมของช่องโหว่
   ช่องโหว่ทั้งสองรายการถูกใช้เป็นช่องทางในการโจมตีระบบโดยไม่จำเป็นต้องผ่านการยืนยันตัวตน ในบางกรณี หากถูกโจมตีสำเร็จ อาจส่งผลกระทบดังนี้
   • ผู้โจมตีสามารถเข้าควบคุมระบบหรือเซิร์ฟเวอร์ได้
   • เกิดการรั่วไหลของข้อมูลสำคัญ
   • ระบบอาจถูกใช้เป็นฐานในการโจมตีต่อไปยังระบบอื่น (Lateral Movement)

3. แนวทางการแก้ไข
   3.1 อัปเดตแพตช์ (Security Patch) หรือเฟิร์มแวร์เป็นเวอร์ชันล่าสุดจากผู้พัฒนา
   3.2 ตรวจสอบระบบที่ได้รับผลกระทบ และยืนยันว่าไม่มีการถูกบุกรุก
   3.3 ปิดหรือจำกัดการเข้าถึงบริการที่ไม่จำเป็น โดยเฉพาะการเข้าถึงจากภายนอกเครือข่าย
   3.4 ใช้ระบบป้องกัน เช่น Firewall, Intrusion Detection/Prevention System (IDS/IPS) เพื่อกรองทราฟฟิกที่ผิดปกติ
   3.5 ทบทวนการตั้งค่าด้านความปลอดภัย โดยเฉพาะการกำหนดสิทธิ์ผู้ใช้งาน

ผู้ดูแลระบบที่ใช้งานผลิตภัณฑ์ดังกล่าว สามารถอัปเดตแพตซ์ได้ที่ https://dg.th/zx1jnp0i54

4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
   4.1 เฝ้าระวัง (Monitoring) และวิเคราะห์ Log อย่างสม่ำเสมอ เพื่อตรวจจับพฤติกรรมผิดปกติ
   4.2 ใช้หลักการ Least Privilege ในการกำหนดสิทธิ์การเข้าถึง
   4.3 ดำเนินการทดสอบช่องโหว่ (Vulnerability Assessment) และการทดสอบเจาะระบบ (Penetration Testing) เป็นระยะ

หากไม่สามารถดำเนินการอัปเดตแพตช์ได้ทันที ควรใช้มาตรการชั่วคราว เช่น การจำกัดการเข้าถึงระบบจาก IP ที่เชื่อถือได้ หรือการปิดบริการที่มีความเสี่ยง เพื่อลดโอกาสในการถูกโจมตี

แหล่งอ้างอิง
[1] https://dg.th/r0iwnbgamp
[2] https://dg.th/uqikrv0e98
[3] https://dg.th/o18iem4592

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ข่าวสารด้านความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับฟีเจอร์ Lockdown Mode จาก Apple ซึ่งเป็นโหมดความปลอดภัยขั้นสูงที่ออกแบบมาเพื่อปกป้องอุปกรณ์และข้อมูลของผู้ใช้งาน เพื่อลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์

Lockdown Mode เป็นฟีเจอร์ด้านความปลอดภัยจาก Apple ที่ออกแบบมาเพื่อปกป้องผู้ใช้งานที่มีความเสี่ยงสูงจากการถูกโจมตีทางไซเบอร์แบบเฉพาะเจาะจง (Targeted Attack) โดยเฉพาะการโจมตีผ่านสปายแวร์ซึ่งมุ่งเข้าถึงข้อมูลสำคัญของผู้ใช้งาน เมื่อเปิดใช้งาน ระบบจะจำกัดการทำงานของแอป เว็บไซต์ และฟีเจอร์บางส่วน เพื่อลดช่องทางการโจมตี (Attack Surface) และเพิ่มระดับความปลอดภัยของอุปกรณ์และข้อมูลส่วนบุคคล [1]

ทั้งนี้ ขอแนะนำให้ผู้ใช้งานที่มีความเสี่ยงพิจารณาเปิดใช้งานฟีเจอร์ Lockdown Mode เพื่อยกระดับการป้องกัน โดยสามารถศึกษารายละเอียดเพิ่มเติมได้จากเว็บไซต์ของ Apple [2]

ประโยชน์ของ Lockdown Mode

• ข้อความ (Messages): บล็อกไฟล์แนบเกือบทุกชนิด (ยกเว้นรูปภาพ วิดีโอ และเสียงบางส่วน) รวมถึงปิดการใช้งานลิงก์และการแสดงตัวอย่างลิงก์
• การท่องเว็บ: บล็อกเทคโนโลยีเว็บที่ซับซ้อน เช่น JavaScript
• FaceTime: บล็อกการติดต่อจากคนแปลกหน้า หรือคำเชิญบริการต่างๆ จากคนที่ไม่เคยติดต่อด้วยมาก่อน
• ความปลอดภัยของอัลบั้มรูป: ตัดข้อมูลตำแหน่งที่ตั้ง (Location) ออกเมื่อแชร์รูป และซ่อน "อัลบั้มที่แชร์" ออกจากเครื่องชั่วคราว
• การเชื่อมต่ออุปกรณ์: เมื่อล็อกหน้าจอ เครื่องจะไม่ยอมรับการเชื่อมต่อต้องปลดล็อกเครื่องก่อนเสมอเพื่อเชื่อมต่อสายกับคอมพิวเตอร์หรืออุปกรณ์เสริม
• การเชื่อมต่อไร้สาย: ตัดการเชื่อมต่อและไม่เข้าร่วม Wi-Fi ที่ไม่ปลอดภัยโดยอัตโนมัติ รวมถึงปิดสัญญาณเซลลูลาร์ 2G และ 3G

ผลกระทบต่อการใช้งาน (Side Effects)

• เว็บไซต์โหลดช้าหรือแสดงผลเพี้ยน: เนื่องจากเว็บไซต์ทำงานได้ไม่สมบูรณ์ รูปภาพบางส่วนอาจหายไป หรือฟอนต์ดูแปลกเนื่องจากถูกบล็อกการทำงานของสคริปต์
• การแจ้งเตือนขาดหาย: อาจไม่ได้รับการแจ้งเตือนหรือตัวอย่างข้อมูลจากแอปที่ถูกจำกัดสิทธิ์
• ความสะดวกสบายลดลง: ไม่สามารถเชื่อมต่ออุปกรณ์เข้ากับรถยนต์ (CarPlay แบบสาย) หรือคอมพิวเตอร์เพื่อถ่ายโอนข้อมูลได้ทันทีในขณะที่เครื่องล็อกอยู่
• ใช้งานบางฟีเจอร์ไม่ได้: บริการที่ต้องใช้การเชื่อมโยงกับผู้อื่น เช่น Shared Albums ใน Photos จะหายไปจนกว่าจะปิดโหมดนี้

สิ่งที่ยังใช้งานได้ตามปกติ

• โทรศัพท์: สามารถรับสายและโทรออกด้วยระบบธรรมดา
• ข้อความ SMS: สามารถรับ-ส่งข้อความตัวอักษรธรรมดา
• ระบบฉุกเฉิน: คุณสมบัติ SOS และการแจ้งเตือนฉุกเฉินยังคงทำงานเต็มรูปแบบ

แหล่งอ้างอิง
[1] https://dg.th/lb47gmtsja
[2] https://dg.th/b3vx6ruwjc

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานจาก Kaspersky ซึ่งเป็นบริษัทด้านความปลอดภัยไซเบอร์ระดับสากล เกี่ยวกับมัลแวร์ชนิดใหม่ชื่อ CrystalX RAT โดยมัลแวร์ดังกล่าวจัดอยู่ในประเภท Remote Access Trojan (RAT) ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถสอดแนม ขโมยข้อมูล และสั่งการเครื่องคอมพิวเตอร์ของเหยื่อ ทั้งนี้พบว่ามีการเผยแพร่และโฆษณามัลแวร์ดังกล่าวผ่านแพลตฟอร์ม Telegram และ YouTube [1]

1. รายละเอียดลักษณะการทำงานของมัลแวร์

CrystalX RAT มีความสามารถในการเข้าถึงและควบคุมระบบของผู้ใช้งานในหลายรูปแบบ ดังนี้
1.1 ขโมยข้อมูลรหัสผ่าน มัลแวร์สามารถดึงข้อมูลรหัสผ่านที่บันทึกไว้ในเบราว์เซอร์ เช่น Google Chrome และ Microsoft Edge รวมถึงข้อมูลจากแอปพลิเคชันยอดนิยม เช่น Discord, Steam และ Telegram
1.2 บันทึกการกดแป้นพิมพ์ (Keylogging) มัลแวร์สามารถบันทึกข้อมูลการพิมพ์บนแป้นพิมพ์ หรือ Keylogger ซึ่งอาจรวมถึงรหัสผ่าน ข้อความสนทนา หรือข้อมูลสำคัญอื่น ๆ ที่ผู้ใช้งานพิมพ์ลงในระบบ
1.3 สอดแนมผ่านหน้าจอ กล้อง และไมโครโฟน ผู้โจมตีอาจใช้มัลแวร์เพื่อดูหน้าจอของเหยื่อแบบเรียลไทม์ เปิดใช้งานไมโครโฟนเพื่อดักฟังเสียง หรือเปิดกล้องเว็บแคมเพื่อสอดแนมโดยที่ผู้ใช้งานไม่ทราบ
1.4 ขโมยหรือแก้ไขข้อมูลในคลิปบอร์ด (Clipboard) มัลแวร์สามารถตรวจสอบข้อมูลที่ผู้ใช้งานคัดลอก (Copy) ไว้ในคลิปบอร์ด และอาจแก้ไขข้อมูลดังกล่าวก่อนนำไปวาง (Paste) เช่น เปลี่ยนเลขบัญชีปลายทางหรือข้อมูลสำคัญอื่นให้เป็นของผู้โจมตี
1.5 ควบคุมการทำงานของระบบ ผู้โจมตีสามารถใช้มัลแวร์เพื่อสั่งการเครื่องคอมพิวเตอร์ของเหยื่อได้ เช่น สั่งปิดเครื่อง เปลี่ยนภาพพื้นหลังหน้าจอ ควบคุมเมาส์ หรือเปิดหน้าต่างแชทเพื่อสื่อสารหรือข่มขู่ผู้ใช้งานโดยตรง

2. รูปแบบการแพร่กระจายและการโจมตี

มัลแวร์ CrystalX RAT มักแพร่กระจายผ่านการหลอกล่อให้ผู้ใช้งานดาวน์โหลดไฟล์หรือโปรแกรมที่เป็นอันตราย โดยมักแฝงมากับซอฟต์แวร์เถื่อนหรือซอฟต์แวร์ละเมิดลิขสิทธิ์ เกมเถื่อนหรือโปรแกรมช่วยเล่นเกม (Cheat Tools) โปรแกรมที่อ้างว่าเป็นเครื่องมือเสริมหรือโปรแกรมอรรถประโยชน์ไฟล์แนบที่ถูกส่งผ่านช่องทางแชทซึ่งอาจปลอมแปลงให้ดูเหมือนเป็นไฟล์เอกสารหรือไฟล์ติดตั้งที่ปลอดภัย

3. แนวทางการป้องกัน

3.1 ดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น หลีกเลี่ยงการติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมแปลกปลอม หรือไฟล์จากแหล่งเผยแพร่ที่ไม่น่าเชื่อถือ โดยเฉพาะจากกลุ่ม Telegram หรือลิงก์ใต้คลิปวิดีโอใน YouTube
3.2 เฝ้าระวังความผิดปกติของอุปกรณ์หากพบพฤติกรรมผิดปกติ เช่น เมาส์เคลื่อนที่เอง มีหน้าต่างโปรแกรมแปลกปลอมเปิดขึ้นโดยไม่ได้สั่งงาน หรือไฟแสดงสถานะกล้องเว็บแคมติดขึ้นเอง ควรพิจารณาว่าอาจมีความเสี่ยงจากการติดมัลแวร์
3.3 เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication: MFA หรือ 2FA) แม้ผู้โจมตีจะสามารถขโมยรหัสผ่านได้ แต่การเปิดใช้ 2FA จะช่วยลดความเสี่ยงในการเข้าถึงบัญชีโดยไม่ได้รับอนุญาต
3.4 ติดตั้งและอัปเดตโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอ ควรติดตั้งโปรแกรม Antivirus/Anti-malware ที่เชื่อถือได้ และอัปเดตฐานข้อมูลภัยคุกคามให้เป็นปัจจุบันอยู่เสมอ รวมถึงตรวจสอบให้แน่ใจว่า Windows Defender หรือระบบป้องกันที่ใช้งานอยู่เปิดทำงานตามปกติ
3.5 ตรวจสอบข้อมูลก่อนวางจากคลิปบอร์ดก่อนกดวางข้อมูลสำคัญ เช่น เลขบัญชี หรือข้อมูลสำหรับการทำธุรกรรม ควรตรวจสอบความถูกต้องอีกครั้ง เพื่อป้องกันกรณีมัลแวร์แก้ไขข้อมูลในคลิปบอร์ด

แหล่งอ้างอิง
[1] https://www.securityweek.com/sophisticated-crystalx-rat-emerges/

️ ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์และพบรายงานจาก Microsoft เกี่ยวกับการโจมตีที่มุ่งเป้าผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows ซึ่งอาจทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมระบบของผู้ใช้งานได้ การโจมตีดังกล่าว ไม่ได้อาศัยช่องโหว่ของซอฟต์แวร์โดยตรง แต่เป็นการใช้เทคนิค Social Engineering เพื่อหลอกล่อให้ผู้ใช้งานเปิดไฟล์แนบที่เป็นอันตรายด้วยตนเอง ส่งผลให้เครื่องคอมพิวเตอร์อาจถูกติดตั้งมัลแวร์หรือซอฟต์แวร์สำหรับควบคุมเครื่องคอมพิวเตอร์ได้

1. รายละเอียดลักษณะการโจมตี
   พบว่าผู้โจมตีมุ่งเป้าไปยังผู้ใช้งานแอปพลิเคชัน WhatsApp บนระบบปฏิบัติการ Windows โดยเฉพาะ เวอร์ชันที่ต่ำกว่า 2.2450.6 ผ่านการส่งไฟล์แนบอันตรายที่แสดงลักษณะคล้ายไฟล์ทั่วไป แต่เป็นไฟล์นามสกุล .vbs (Visual Basic Script) ซึ่งสามารถเรียกทำงานได้ทันทีเมื่อผู้ใช้งานเปิดไฟล์ เมื่อผู้ใช้งานหลงเชื่อและเปิดไฟล์ดังกล่าว สคริปต์จะเริ่มทำงานโดยคัดลอกตัวเองไปซ่อนในโฟลเดอร์ภายในระบบ และเปลี่ยนชื่อให้คล้ายไฟล์ระบบเพื่อหลีกเลี่ยงการตรวจจับ จากนั้นจะดาวน์โหลดมัลแวร์เพิ่มเติมจากบริการคลาวด์ที่น่าเชื่อถือ
   เพื่อทำให้ทราฟฟิกดูคล้ายการใช้งานปกติของผู้ใช้ ก่อนพยายามยกระดับสิทธิ์เป็นผู้ดูแลระบบ เพื่อติดตั้งซอฟต์แวร์ที่เปิดทางให้ผู้โจมตีสามารถเข้าควบคุมเครื่องคอมพิวเตอร์ได้ และคงอยู่ภายในระบบได้อย่างต่อเนื่อง

2. แนวทางการป้องกัน
   2.1 หลีกเลี่ยงการเปิดไฟล์แนบจากบุคคลที่ไม่รู้จักและควรยืนยันกับผู้ส่งผ่านช่องทางอื่นก่อนเปิดทุกครั้ง
   2.2 เปิดแสดงนามสกุลไฟล์ (File Name Extensions) เพื่อให้สามารถตรวจสอบประเภทไฟล์ได้ หากพบไฟล์นามสกุล .vbs หรือ .msi ไม่ควรเปิดใช้งานโดยเด็ดขาดหากไม่มั่นใจว่าเป็นไฟล์ที่ปลอดภัย
   2.3 อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ โดยเฉพาะแอปพลิเคชัน WhatsApp และระบบปฏิบัติการ Windows ให้เป็นเวอร์ชันล่าสุด
   2.4 หากปรากฏการแจ้งเตือนขอสิทธิ์ผู้ดูแลระบบ (UAC) หรือพบการติดตั้งโปรแกรมที่ผิดปกติโดยไม่ได้ดำเนินการเอง ควรปฏิเสธการให้สิทธิ์และตรวจสอบระบบทันที
   2.5 ติดตั้งและใช้งานโปรแกรมป้องกันมัลแวร์หรือโปรแกรมป้องกันไวรัสที่มีการอัปเดตฐานข้อมูลอย่างต่อเนื่อง เพื่อช่วยตรวจจับการทำงานของไฟล์อันตราย

ข้อสังเกตเพิ่มเติม
การโจมตีในลักษณะนี้เน้นอาศัยความประมาทหรือความเข้าใจผิดของผู้ใช้งาน (User Interaction) เป็นหลัก รวมถึงการใช้เทคนิค Living-off-the-Land (LOLBins) ซึ่งเป็นการใช้เครื่องมือมาตรฐานที่มีอยู่ในระบบ Windows มาใช้ในทางที่ผิด เพื่อให้การตรวจจับโดยซอฟต์แวร์ความปลอดภัยทำได้ยากขึ้น

แหล่งอ้างอิง
[1] https://dg.th/2xrzpit8c5

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ กรณี Microsoft แจ้งเตือนผู้ดูแลระบบ IT และผู้ใช้งานองค์กร ให้ดำเนินการแก้ไขปัญหา Outlook Classic ขัดข้องเนื่องจากส่วนเสริม Teams Meeting ที่เกิดจากความไม่เข้ากันของตัวโปรแกรม Outlook รุ่นก่อนหน้ากับส่วนเสริมของระบบ [1]

1. กลุ่มอุปกรณ์ที่เข้าข่ายได้รับผลกระทบ
   1.1 โปรแกรม Outlook Classic ที่อยู่ใน Current Channel เวอร์ชัน 2402 (รุ่น 17328.20142) หรือต่ำกว่า
   1.2 อุปกรณ์ที่มีการเปิดใช้งานร่วมกับ Microsoft Teams Meeting Add-in เวอร์ชันใหม่ล่าสุด รุ่น 1.26.02603

2. รูปแบบพฤติกรรมการโจมตี
   เมื่อโปรแกรม Outlook แบบคลาสสิกรุ่นเก่าพยายามทำงานร่วมกับ Teams Meeting Add-in เวอร์ชันใหม่ล่าสุด จะส่งผลให้ระบบทำงานผิดพลาดและเกิดการขัดข้อง (Crash) ผู้ใช้งานจะไม่สามารถใช้งานแอปพลิเคชันอีเมลได้ตามปกติ และระบบจะบังคับแสดงหน้าต่างแจ้งเตือนให้ผู้ใช้ต้องเริ่มการทำงานใหม่ผ่านโหมดปลอดภัย (Safe Mode) ซึ่งส่งผลกระทบต่อความต่อเนื่องในการทำงาน

3. การแก้ไขช่องโหว่ / รายละเอียดการอัปเดต
   ปัจจุบัน Microsoft ได้รับทราบและดำเนินการแก้ไขข้อผิดพลาดดังกล่าวเป็นที่เรียบร้อยแล้ว [2] โดยผู้พัฒนาได้อัปเดตตัวแก้ไขปัญหาของ Microsoft Teams เป็นเวอร์ชัน 26058.712.4527.9297

4. แนวทางการปฏิบัติสำหรับผู้ใช้ที่ได้รับผลกระทบ
   4.1 การแก้ไขแบบถาวร ผู้ดูแลระบบควรแจ้งหรือดำเนินการอัปเดตไคลเอ็นต์ Outlook แบบคลาสสิกของผู้ใช้งานให้เป็นเวอร์ชันอัปเดตล่าสุด
   4.2 การแก้ไขปัญหาชั่วคราว (Workaround) สำหรับผู้ใช้ที่ยังจำเป็นต้องใช้งาน Office รุ่นเก่า สามารถตั้งค่าปิดการใช้งาน Add-in ที่มีปัญหาชั่วคราวได้ตามขั้นตอนดังนี้
   • เปิด Outlook ใน Safe Mode โดยกดปุ่ม Ctrl ค้างไว้เมื่อเริ่มเปิดแอปพลิเคชัน (หรือใช้วิธีค้นหาคำสั่งเปิด Outlook ใน Safe Mode ของระบบ)
   • ไปที่เมนู File > Options > Add-ins > เลือก Go
   • ในหน้าต่าง COM Add-ins ให้ยกเลิกการเลือกเครื่องหมายถูก (Uncheck) ที่หัวข้อ Microsoft Teams Meeting Add-in for Microsoft Office จากนั้นคลิก OK
   • รีสตาร์ท (Restart) โปรแกรม Outlook เพื่อกลับเข้าสู่การใช้งานตามปกติ

#CyberSecurity #ITAdmin #Microsoft365 #OutlookClassic #MicrosoftTeams #TechNews #ITSupport #TechUpdate

แหล่งอ้างอิง
[1] https://dg.th/6f2nrlh3ak
[2] https://dg.th/k1db7oxc95

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คำแนะนำเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) จำนวน 3 รายการ เมื่อวันที่ 31 มีนาคม 2569 เพื่อให้ข้อมูลที่ทันเวลาเกี่ยวกับประเด็นด้านความมั่นคงปลอดภัย ช่องโหว่ และการโจมตีที่เกี่ยวข้องกับระบบ ICS โดยมีรายละเอียดดังนี้

• ICSA-26-090-01 Anritsu Remote Spectrum Monitor
• ICSA-26-090-02 PX4 Autopilot
• ICSA-24-324-01 Mitsubishi Electric MELSEC iQ-F Series (Update A)

CISA แนะนำให้ผู้ใช้งานและผู้ดูแลระบบ ตรวจสอบคำแนะนำ ICS ที่เผยแพร่ล่าสุด เพื่อศึกษารายละเอียดทางเทคนิคและแนวทางการลดความเสี่ยง (mitigations)

อ้างอิง
https://www.cisa.gov/news-events/ics-advisories