I-SECURE CO., LTD.

Name: I-SECURE CO., LTD.
Address: 55 Soi Pradipat 17, Pradipat Road Samsennai, Phayathai, Bangkok, 10400, TH
Telephone: +6626157005

I-SECURE was founded by a team of internationally certified engineers who specialize in cybersecurity

Due to an increase of Computer crime in the network system of organizations that connect to internet so it's necessary to monitor and detect a suspicious incident continually in order to solve or respond the problems effectively.

28/05/2026

🖥️ เผยสาเหตุ Grafana ข้อมูลรั่วไหล เกิดจากการพลาดไม่เปลี่ยน Token หลังเหตุการณ์โจมตี TanStack

เหตุการณ์ข้อมูลของ Grafana รั่วไหล มีสาเหตุมาจาก Workflow token บน GitHub เพียงตัวเดียวที่หลุดรอดไปจากกระบวนการ rotate โทเค็นภายหลังเกิดเหตุโจมตี Supply-chain attack ของแพ็กเกจ TanStack บน npm เมื่อสัปดาห์ที่ผ่านมา

ในแคมเปญมัลแวร์ "Shai-Hulud" ที่กำลังแพร่ระบาดอย่างต่อเนื่อง ซึ่งเชื่อว่าเป็นฝีมือของกลุ่มแฮ็กเกอร์ TeamPCP แพ็กเกจ TanStack หลายสิบรายการที่ถูกฝังโค้ดขโมยข้อมูล Credential ได้ถูกนำไปเผยแพร่ลงบน npm index ส่งผลให้สภาพแวดล้อมการทำงานของนักพัฒนาหลายแห่งถูกโจมตี ซึ่งรวมถึงระบบของ Grafana ด้วยเช่นกัน

เมื่อแพ็กเกจ npm อันตรายดังกล่าวถูกเผยแพร่ออกมา ระบบ CI/CD workflow ของ Grafana ได้ทำการดึงแพ็กเกจดังกล่าวเข้าไปใช้งาน ส่งผลให้ Info-stealer module เริ่มเรียกใช้คำสั่งทำงานภายในสภาพแวดล้อม GitHub และทำการลักลอบส่งข้อมูล workflow tokens ของ GitHub ออกไปให้กับผู้โจมตี

บริษัทชี้แจงว่า ได้ตรวจพบความเคลื่อนไหวที่ผิดปกติอันเป็นผลมาจากแพ็กเกจ TanStack ที่ถูกบุกรุกเมื่อวันที่ 1 พฤษภาคม และได้เริ่มดำเนินแผนรับมือเหตุการณ์ฉุกเฉินในทันที ซึ่งรวมถึงการ rotate workflow tokens ของ GitHub

อย่างไรก็ตาม มีโทเค็นหนึ่งรายการที่ตกหล่นไปจากกระบวนการดังกล่าว และผู้โจมตีได้นำไปใช้เพื่อเข้าถึง private repositories ของบริษัท

ประกาศอัปเดตสถานการณ์ของ Grafana ระบุว่า "เราได้ทำการวิเคราะห์ และเร่ง rotate workflow tokens ของ GitHub จำนวนมากอย่างรวดเร็ว แต่โทเค็นที่ตกหล่นไปเพียงรายการเดียวได้เปิดทางให้ผู้โจมตีสามารถเข้าถึง GitHub repositories ของเราได้"

"การตรวจสอบในภายหลังยืนยันว่า มี workflow ของ GitHub ตัวหนึ่งที่ประเมินในตอนแรกว่าไม่ได้รับผลกระทบ แท้จริงแล้วกลับถูกโจมตี"

ก่อนหน้านี้ บริษัทได้ยืนยันว่าผู้โจมตีได้ลักลอบขโมย Source code ไปจริง พร้อมทั้งให้การรับรองว่าจะไม่มีผลกระทบต่อลูกค้า และจะไม่มีการจ่ายเงินค่าไถ่ให้กับกลุ่มแฮ็กเกอร์

จากการสืบสวนที่ดำเนินมาอย่างต่อเนื่องพบว่า ผู้บุกรุกยังได้ดาวน์โหลดข้อมูลเกี่ยวกับการดำเนินงาน และรายละเอียดต่าง ๆ ที่ Grafana ใช้ในการประกอบธุรกิจไปอีกด้วย

Grafana ระบุว่า "ข้อมูลดังกล่าวครอบคลุมถึงรายชื่อผู้ติดต่อทางธุรกิจ และที่อยู่อีเมล ซึ่งเป็นข้อมูลที่ใช้ติดต่อสื่อสารในบริบทการทำงานระดับองค์กร ไม่ใช่ข้อมูลที่ถูกดึงมา หรือประมวลผลผ่านการใช้งานระบบจริง หรือแพลตฟอร์ม Grafana Cloud แต่อย่างใด"

บริษัทย้ำว่าข้อมูลส่วนนี้ไม่ใช่ข้อมูลในระบบจริงของลูกค้า และจากหลักฐานผลการสืบสวนล่าสุด ไม่พบว่าระบบการทำงาน หรือการดำเนินงานของลูกค้าถูกแทรกแซงแต่อย่างใด

นอกจากนี้ Grafana Labs ยังระบุด้วยว่า ไม่มีการปรับเปลี่ยนหรือแก้ไข Codebase ในระหว่างเกิดเหตุการณ์ ดังนั้น โค้ดที่ผู้ใช้งานดาวน์โหลดไปในช่วงเวลาดังกล่าวจึงถือว่าปลอดภัย และผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม

หากผลการประเมินมีการเปลี่ยนแปลงอันเนื่องมาจากหลักฐานใหม่ที่พบจากการสืบสวนที่กำลังดำเนินอยู่ ทาง Grafana Labs ให้คำมั่นว่าจะแจ้งให้ลูกค้าที่ได้รับผลกระทบทราบโดยตรง
ที่มา : Bleepingcomputer

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน

ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

28/05/2026

🖥️ Discord เปิดใช้งานการเข้ารหัสแบบ End-to-End (E2EE) สำหรับการโทรด้วยเสียง และวิดีโอคอลแล้ว

Discord ประกาศว่าขณะนี้ การโทรด้วยเสียง และวิดีโอคอลทั้งหมดบนแพลตฟอร์ม จะได้รับการปกป้องด้วยการเข้ารหัสแบบ End-to-End Encryption (E2EE) เป็นค่า Default แล้ว

การติดตั้งระบบนี้เสร็จสมบูรณ์ไปตั้งแต่เดือนมีนาคมที่ผ่านมา ซึ่งหลังจากผ่านการทดสอบระบบในสเกลระดับใหญ่จนมั่นใจแล้ว ทาง Discord จึงได้ออกมาประกาศเปิดตัวระบบ E2EE อย่างเป็นทางการในตอนนี้ พร้อมทั้งเริ่มทยอย Remove โค้ดฝั่ง Client ในส่วนที่ยังรองรับการใช้งานแบบไม่เข้ารหัสออกไป

Discord เป็นแพลตฟอร์มออนไลน์ยอดฮิตที่ให้บริการทั้งการแชทข้อความ การโทรด้วยเสียง วิดีโอคอล Livestreaming และเซิร์ฟเวอร์ Community ซึ่งตอบโจทย์ทั้งกลุ่ม Gaming, Creators, Businesses ไปจนถึงกลุ่มคนที่มีความสนใจเฉพาะทางต่าง ๆ

ปัจจุบันคาดว่า Discord มีผู้ใช้งานที่ลงทะเบียนแล้วราว 690 ล้านบัญชี และมีผู้ใช้งานจริงเป็นประจำมากกว่า 200 ล้านคนต่อเดือนทั่วโลก

การเปลี่ยนผ่านไปสู่ระบบ E2EE ในครั้งนี้ สำเร็จได้ด้วยการขยายขีดความสามารถของโปรโตคอลการเข้ารหัสแบบ Open-source ที่ชื่อว่า "DAVE" เพื่อให้รองรับทุกแพลตฟอร์มที่แอปพลิเคชัน Discord ให้บริการ ซึ่งรวมถึง Desktop, Mobile, Web browsers, PlayStation, Xbox และ Discord SDKs

ปัจจุบัน ระบบการเข้ารหัสนี้ครอบคลุมทั้งการแชทส่วนตัว (DMs), แชทกลุ่ม (group DMs), Voice channels และการสตรีมแบบ Go Live โดยมีเพียง Stage channels เท่านั้นที่ได้รับการยกเว้น เนื่องจาก Channel ประเภทนี้ถูกออกแบบมาสำหรับการ Broadcasts สาธารณะขนาดใหญ่ มากกว่าจะเป็นการสนทนาแบบส่วนตัว

Discord ระบุว่า "ตอนนี้การเข้ารหัสแบบ End-to-End ได้กลายเป็นมาตรฐานสำหรับการโทรด้วยเสียง และวิดีโอคอลทุกครั้งบน Discord แล้ว (นอกเหนือจาก Stage channels) โดยที่ผู้ใช้ไม่จำเป็นต้องเข้าไปตั้งค่าเพื่อเปิดใช้งานเองแต่อย่างใด"

ทั้งนี้ โปรโตคอล DAVE เปิดตัวเป็นครั้งแรกเมื่อเดือนกันยายนปี 2024 โดยได้รับการพัฒนาพร้อมกับความช่วยเหลือ และการตรวจสอบระบบโดยบริษัท Trail of Bits เพื่อยกระดับความปลอดภัยให้กับการโทรด้วยเสียง, วิดีโอคอล, แชทกลุ่ม, Voice channels และการสตรีมแบบ Go Live บนแพลตฟอร์ม

โปรโตคอลดังกล่าวทำงานโดยอาศัยเทคโนโลยี WebRTC encoded transforms ร่วมกับ Messaging Layer Security (MLS) สำหรับการแลกเปลี่ยน Group key ที่รองรับการขยายขนาด และใช้ Ephemeral identity keys เพื่อยกระดับความเป็นส่วนตัว พร้อมทั้งช่วยลดปัญหาการสะดุด หรือความหน่วงของสัญญาณในจังหวะที่มีผู้ใช้กดเข้าร่วม หรือกดออกจากห้องสนทนา

ทาง Discord ยังได้เน้นย้ำถึงความท้าทายทางเทคนิคในการขยายระบบ DAVE ให้ครอบคลุมทุกแพลตฟอร์มที่รองรับ รวมถึงการทำระบบให้มีความหน่วงต่ำที่สุด เพื่อให้การเปลี่ยนผ่านในครั้งนี้ราบรื่นจนผู้ใช้งานแทบไม่รู้สึกถึงความเปลี่ยนแปลง

หนึ่งในตัวอย่างที่ระบุไว้ในรายงานคือ ปัญหาความเข้ากันได้กับเบราว์เซอร์ Firefox ซึ่งแทนที่ทีมวิศวกรของ Discord จะใช้วิธีแก้ปัญหาเฉพาะหน้า หรือจำกัดการรองรับการใช้งานบนเบราว์เซอร์ พวกเขากลับเลือกที่จะเข้าไปร่วมมือกับทาง Mozilla เพื่อแก้ไขปัญหานี้โดยตรง

ส่วนประเด็นที่ว่ามีความเป็นไปได้หรือไม่ที่จะนำระบบ DAVE มาขยายผลใช้กับการสื่อสารประเภทข้อความบนแพลตฟอร์ม ทาง Discord ระบุว่า ณ ตอนนี้ยังไม่มีแผนที่จะดำเนินการดังกล่าว

สาเหตุเป็นเพราะอาจต้องเผชิญกับความท้าทายทางวิศวกรรมครั้งใหญ่ที่จะกลายมาเป็นอุปสรรคสำคัญ เนื่องจากระบบแชทข้อความของ Discord นั้นถูกออกแบบ และพัฒนาขึ้นมาตั้งแต่ต้น ภายใต้โครงสร้างที่ไม่ได้รองรับการเข้ารหัสข้อความมาตั้งแต่แรก

ที่มา : bleepingcomputer

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน

ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

22/05/2026

🖥️ ช่องโหว่ในระบบ Windows DNS Client ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ที่เพิ่งถูกเปิดเผยล่าสุดใน Microsoft Windows DNS Client อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายภายในเครือข่ายขององค์กร โดยสามารถหลบเลี่ยงการตรวจจับได้ ซึ่งอาจถูกนำไปใช้ในการโจมตีเป็นวงกว้าง

ช่องโหว่นี้มีหมายเลข CVE-2026-41096 โดยเป็นช่องโหว่ที่มีความรุนแรงอยู่ในระดับ Critical และมีคะแนน CVSS สูงถึง 9.8 จาก 10 ซึ่งถือว่ารุนแรงมาก

โดยผู้โจมตีสามารถยึดครองอุปกรณ์ที่มีช่องโหว่ได้ทันที เพียงแค่ส่ง response ที่เป็นอันตราย กลับไปยัง network query ตามปกติ โดยไม่จำเป็นต้องอาศัยการตอบโต้จากผู้ใช้ หรือไม่ต้องผ่านการยืนยันตัวตนใด ๆ ก่อน

แม้ว่าในปัจจุบัน Microsoft จะประเมินว่าโอกาสที่จะเกิดการโจมตีจริงนั้นยังมีน้อย แต่ด้วยจำนวนเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบมีจำนวนมาก ทำให้ความเสี่ยงนี้เป็นความเสี่ยงระดับสูงที่ทีมรักษาความปลอดภัยไซเบอร์ทั่วโลกจำเป็นต้องให้ความสำคัญ และรับมือเป็นอันดับแรก ๆ

⛓️‍💥 ช่องโหว่ RCE ใน Windows DNS Client

หัวใจสำคัญของช่องโหว่นี้คือ Buffer Overflow ประเภท Heap-based ซึ่งฝังอยู่ในโครงสร้างสถาปัตยกรรมของระบบปฏิบัติการ Windows โดยช่องโหว่นี้มุ่งเป้าการโจมตีไปที่ DNSAPI.dll Component โดยเฉพาะ ซึ่งเป็นไฟล์พื้นฐานที่มีหน้าที่ประมวลผลการตอบกลับของ network address ขาเข้าบนเครื่อง Windows รุ่นใหม่เกือบทุกเครื่อง

ทุกครั้งที่เบราว์เซอร์พยายามจะโหลดหน้าเว็บ, เปิดใช้งาน และเชื่อมต่อ VPN หรือบริการเบื้องหลังที่กำลังตรวจสอบการอัปเดตซอฟต์แวร์ ระบบจะทำการส่ง query ตามมาตรฐานขึ้นมาเสมอ และเมื่อเครื่องคอมพิวเตอร์ที่มีช่องโหว่ได้รับ response ที่ถูกสร้างขึ้นมาเป็นพิเศษจากผู้โจมตี ซอฟต์แวร์จะคำนวณขอบเขตของ memory ผิดพลาด และประมวลผลชุดข้อมูลที่ส่งมาทางเครือข่ายอย่างไม่ถูกต้อง

ตามรายงานคู่มืออัปเดตความปลอดภัยของ Microsoft ระบุว่า ช่องโหว่นี้อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดใด ๆ โดยอาศัยช่องโหว่จากการประมวลผล memory ที่ผิดพลาด ภายใน Windows DNS Client ซึ่งผู้โจมตีอาจทำการโจมตีในลักษณะนี้สำเร็จได้ ผ่านทางเราเตอร์ที่ถูก Compromised, เซิร์ฟเวอร์ local network ที่เป็นอันตราย, เครื่องเซิร์ฟเวอร์ DNS ที่ถูกปลอมแปลงข้อมูล หรือการเชื่อมต่อ wireless สาธารณะที่เป็นอันตราย

เมื่อผู้โจมตีอยู่ในตำแหน่งที่ดักควบคุมข้อมูลเครือข่ายได้แล้ว จะต้องรอให้เครื่องเป้าหมายทำการตรวจสอบการเชื่อมต่อเบื้องหลังตามปกติอย่างต่อเนื่อง เพื่อทำให้โค้ดเจาะระบบที่ซ่อนอยู่ถูกสั่งรันโดยอัตโนมัติ

เนื่องจากการประมวลผลที่มีช่องโหว่นี้เกิดขึ้นในระดับเครื่องผู้ใช้ แทนที่จะเป็นระบบเซิร์ฟเวอร์ด่านหน้าที่เชื่อมต่อกับเครือข่ายภายนอก จึงทำให้ส่งผลกระทบครอบคลุมทั้งเครื่องคอมพิวเตอร์ทั่วไป และเครื่องเซิร์ฟเวอร์ขององค์กรด้วยเช่นกัน

ซึ่งกลไกในลักษณะนี้หมายความว่า การโจมตีเพื่อขยายผลไปยังระบบอื่น ๆ ภายในเครือข่ายที่ถูกเจาะเข้ามาได้แล้วนั้น สามารถเกิดขึ้นได้อย่างรวดเร็ว หากระบบภายในขององค์กรยังไม่มีการอัปเดตแพตช์เพื่อปิดช่องโหว่

🧑‍💻 การแก้ไขช่องโหว่ RCE ใน Windows DNS Client

Microsoft ได้แก้ไขช่องโหว่ในรอบการปล่อยอัปเดต Patch Tuesday เมื่อวันที่ 12 พฤษภาคม 2026 โดยการปล่อยอัปเดตแบบ Cumulative Updates ครอบคลุมระบบปฏิบัติการที่ได้รับผลกระทบเป็นวงกว้าง

แนวทางการแก้ไขอย่างเป็นทางการดังกล่าว จะช่วยแก้ไขการทำให้เกิดปัญหา Buffer Overflow โดยครอบคลุมสภาพแวดล้อมระบบที่มีการใช้งานกันอย่างแพร่หลาย ซึ่งรวมถึง Windows 11 เวอร์ชันต่าง ๆ, Windows Server 2022 และ Windows Server 2025

นักวิเคราะห์ด้านความปลอดภัยไซเบอร์แนะนำเป็นอย่างยิ่งให้ติดตั้งแพตช์เหล่านี้ทันที โดยเริ่มต้นจากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง และอุปกรณ์ที่ต้องเชื่อมต่อกับเครือข่ายภายนอกที่ไม่น่าเชื่อถืออยู่เป็นประจำ

ในกรณีที่ไม่สามารถติดตั้งอัปเดตได้ทันที ผู้ดูแลระบบได้รับการแนะนำให้จำกัดการเชื่อมต่อขาออกอย่างเข้มงวด โดยอนุญาตให้เชื่อมต่อไปยัง DNS Resolvers ที่น่าเชื่อถือเท่านั้น และให้เฝ้าระวังอุปกรณ์อย่างเคร่งครัด เพื่อตรวจหา Child Processes ที่ผิดปกติซึ่งอาจถูกสั่งรันขึ้นมาจาก background network services

ที่มา : Cybersecuritynews

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

20/05/2026

💻 Microsoft แก้ไข Bug ใน Windows Autopatch ที่ทำให้มีการติดตั้งไดรเวอร์ที่ถูก restricted

Microsoft ได้ทำการแก้ไข bug ของบริการ Windows Autopatch ที่เป็นสาเหตุให้มีการติดตั้งการอัปเดตไดรเวอร์ที่ถูก restricted โดย policy ของผู้ดูแลระบบ ลงบนอุปกรณ์ Windows บางส่วนที่จัดการผ่านระบบ Autopatch ในสหภาพยุโรป

จากการแจ้งเตือนที่ถูกตรวจพบโดย Susan Bradley ซึ่งเป็น Microsoft MVP ระบุว่า ปัญหาดังกล่าวส่งผลกระทบต่ออุปกรณ์จำนวนจำกัดที่ใช้งานระบบปฏิบัติการ Windows ได้แก่ Windows 11 เวอร์ชัน 25H2, 24H2 และ 23H2

Microsoft ระบุว่า อุปกรณ์ Windows ที่ได้รับผลกระทบได้ติดตั้งการอัปเดตไดรเวอร์ที่แนะนำโดยไม่ผ่านการอนุมัติจากผู้ใช้งาน แม้ว่านโยบายด้านไดรเวอร์ซึ่งกำหนดโดยผู้ดูแลระบบไอทีจะกำหนดให้ต้องได้รับการอนุมัติด้วยตนเองก็ตาม

ระบบที่ได้รับผลกระทบยังพบพฤติกรรมที่ผิดปกติ รวมถึงการรีบูตเครื่อง และในบางกรณี เกิดระบบหยุดทำงาน ขึ้นอยู่กับไดรเวอร์ที่ติดตั้ง

ทาง Microsoft ระบุเพิ่มเติมว่า ได้ดำเนินการแก้ไข Bug ดังกล่าวผ่านฝั่งเซิร์ฟเวอร์เรียบร้อยแล้ว และลูกค้าไม่จำเป็นต้องดำเนินการใด ๆ เพื่อแก้ไขปัญหานี้

Microsoft ระบุว่า "อุปกรณ์จำนวนจำกัดที่จัดการโดย Windows Autopatch ในภูมิภาคสหภาพยุโรป (EU) อาจได้รับการอัปเดตไดรเวอร์ที่ถูก restricted จาก Windows Update แม้ว่าจะมีการกำหนดนโยบายการดูแลระบบเพื่อจำกัดการติดตั้งไดรเวอร์ก็ตาม"

"ปัญหานี้ได้รับการแก้ไขแล้วด้วยการแก้ไขฝั่งเซิร์ฟเวอร์ ไม่จำเป็นต้องมีการอัปเดตฝั่งไคลเอ็นต์ หรือดำเนินการใด ๆ เพิ่มเติมจากลูกค้า"

"เมื่อเดือนที่แล้ว Microsoftได้แก้ไขปัญหาอีกปัญหาหนึ่ง ที่ทำให้ระบบที่ใช้ Windows Server 2019 และ 2022 อัปเกรดเป็น Windows Server 2025 อย่างไม่คาดคิด"

Microsoft ยอมรับถึงปัญหานี้เป็นครั้งแรกในเดือนกันยายน 2024 หลังจากมีการรายงานอย่างแพร่หลายจากกลุ่มผู้ดูแลระบบ Windows ว่าเซิร์ฟเวอร์ถูกอัปเกรดเป็น Windows Server เวอร์ชันใหม่เพียงชั่วข้ามคืน ทั้งที่พวกเขายังไม่มี license การใช้งาน

เมื่อวันอังคารที่ผ่านมา ทางบริษัทฯ ยังได้ยืนยันอีกว่า มีลูกค้าบางส่วนกำลังประสบปัญหาในการติดตั้ง Office บนอุปกรณ์ Windows 365 เนื่องจากมีการเปลี่ยนแปลงการตั้งค่า จากการอัปเดตระบบครั้งล่าสุด

ที่มา : bleepingcomputer

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

18/05/2026

💻 พบช่องโหว่ใหม่บน Microsoft Teams บนระบบปฏิบัติการ Android ที่สามารถโจมตีแบบ Spoofing ได้

ช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยล่าสุดใน Microsoft Teams บนระบบปฏิบัติการ Android ที่อาจทำให้ผู้โจมตีสามารถปลอมแปลงอุปกรณ์ภายในระบบได้ ซึ่งสร้างความกังวลให้กับองค์กร และผู้ใช้ทั่วไปที่ต้องพึ่งพาแพลตฟอร์มนี้สำหรับการสื่อสารในแต่ละวัน

เมื่อวันที่ 12 พฤษภาคม 2026 ทาง Microsoft ได้เปิดเผยรายงานช่องโหว่หมายเลข CVE-2026-32185 ซึ่งเป็นส่วนหนึ่งของการอัปเดตความปลอดภัยประจำเดือน (Patch Tuesday) ของเดือนพฤษภาคม 2026

ช่องโหว่นี้อยู่ในวิธีการที่ Microsoft Teams จัดการกับการเข้าถึงไฟล์ และไดเร็กทอรี ซึ่งอาจทำให้ผู้โจมตีสามารถปลอมแปลง หรือเปลี่ยนแปลงแก้ไของค์ประกอบที่น่าเชื่อถือภายในแอปพลิเคชันได้

ช่องโหว่นี้มีสาเหตุหลักมาจากการกำหนดค่าที่ผิดพลาด ส่งผลให้ผู้โจมตีในระบบที่ไม่ได้รับอนุญาตสามารถเข้าถึงไฟล์ หรือไดเร็กทอรีของ Microsoft Teams และนำไปสู่การโจมตีแบบ spoofing attacks เพื่อหลอกลวงให้ผู้ใช้หลงเชื่อเนื้อหา หรือการสื่อสารที่เป็นอันตรายว่าเป็นของจริง และถูกต้องได้

แม้ว่าการโจมตีนี้จะต้องอาศัยการโต้ตอบจากผู้ใช้ และมีการจำกัดช่องทางการโจมตีจากภายในระบบเท่านั้น แต่ช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ data confidentiality หรือการรักษาความลับของข้อมูลในระดับสูง จึงทำให้ช่องโหว่นี้เป็นเรื่องที่น่ากังวลอย่างยิ่งสำหรับสภาพแวดล้อมขององค์กรที่มีข้อมูลสำคัญ

ช่องโหว่นี้มีคะแนน CVSS 3.1 อยู่ที่ 5.5 คะแนน คะแนนประเมินตามสภาพแวดล้อมระบบอยู่ที่ 4.8 คะแนน และ Microsoft ได้จัดระดับความรุนแรงไว้ที่ระดับ Important

ที่สำคัญคือ การโจมตีช่องโหว่นี้ไม่จำเป็นต้องมีสิทธิ์ระดับสูง ซึ่งช่วยลดอุปสรรคให้กับผู้โจมตีในการเข้าถึงข้อมูลได้ง่ายในสภาพแวดล้อมภายในองค์กรที่มีการใช้งานร่วมกัน หรือถูกเจาะระบบไปก่อนหน้าแล้ว

ณ วันที่เผยแพร่รายงานนี้ ช่องโหว่ดังกล่าวยังไม่เคยถูกเปิดเผยต่อสาธารณะ และยังไม่มีการนำไปใช้โจมตีจริงในวงกว้าง

โดย Microsoft ได้ประเมินความเสี่ยงในการถูกโจมตี และจัดให้ช่องโหว่นี้อยู่ในกลุ่ม 'มีแนวโน้มถูกนำไปใช้โจมตีได้ยาก' และยังไม่มีการยืนยันว่าพบโค้ดตัวอย่างการโจมตีแต่อย่างใด ส่วนระดับการแก้ไขนั้นถูกระบุเป็น 'แก้ไขอย่างเป็นทางการ' ซึ่งหมายความว่ามีแพตซ์อัปเดตพร้อมใช้งานแล้ว

ช่องโหว่นี้จะส่งผลกระทบเฉพาะแอปพลิเคชัน Microsoft Teams บนระบบปฏิบัติการ Android โดยเวอร์ชันที่ได้รับการอัปเดตแพตซ์แก้ไขแล้วคือ 1.0.0.2026092103 ซึ่งผู้ใช้จำเป็นต้องดำเนินการอัปเดตผ่าน Google Play Store ด้วยตนเอง

การแก้ไข และมาตรการลดผลกระทบ

- Microsoft ได้ปล่อยอัปเดตความปลอดภัยสำหรับ Microsoft Teams บนระบบปฏิบัติการ Android ผ่านทาง Google Play Store เรียบร้อยแล้ว จึงขอแนะนำอย่างยิ่งให้ผู้ใช้งาน และผู้ดูแลระบบดำเนินการอัปเดตแอปพลิเคชันเป็นเวอร์ชันล่าสุดในทันที เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่นี้

- องค์กรที่มีการใช้งาน Microsoft Teams ในสภาพแวดล้อมที่มีการควบคุมดูแลอย่างเข้มงวด หรือระบบที่มีความปลอดภัยสูง ควรให้ความสำคัญกับการติดตั้งแพตซ์นี้ โดยเฉพาะอย่างยิ่งบนอุปกรณ์พกพาที่ใช้ Teams สำหรับการสื่อสารทางธุรกิจ

ที่มา : cybersecuritynews

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

15/05/2026

💻 มัลแวร์ CloudZ ใช้ประโยชน์จาก Microsoft Phone Link ในการขโมยข้อความ SMS และรหัส OTP

CloudZ เป็นเครื่องมือควบคุมจากระยะไกลประเภท Remote Access Trojan (RAT) เวอร์ชันใหม่ ที่มาพร้อมกับปลั๊กอินอันตรายตัวใหม่ชื่อ Pheno ซึ่งจะเข้าควบคุมการเชื่อมต่อ Microsoft Phone Link เพื่อขโมยรหัสสำคัญจากอุปกรณ์พกพา

Microsoft Phone Link เป็นโปรแกรมที่ติดตั้งมาพร้อมกับ Windows 10 และ 11 ที่ช่วยให้ผู้ใช้สามารถจัดการสายเรียกเข้า, รับ-ส่งข้อความ และดูการแจ้งเตือนจากมือถือ (Android และ iOS) ผ่านคอมพิวเตอร์ได้โดยตรง ด้วยการใช้ประโยชน์จากแอปพลิเคชันนี้ ผู้โจมตีสามารถดักฟังข้อความสำคัญที่ส่งไปยังโทรศัพท์มือถือของเป้าหมายได้โดยไม่ต้องเจาะระบบของอุปกรณ์

นักวิจัยจาก Cisco Talos ระบุในรายงานสัปดาห์นี้ว่า Pheno จะคอยตรวจสอบการเชื่อมต่อ Phone Link ที่มีการใช้งานอยู่ เพื่อเข้าถึงไฟล์ SQLite Database ภายในคอมพิวเตอร์ ซึ่งเป็นแหล่งจัดเก็บข้อมูลข้อความ SMS และรหัสผ่านแบบใช้ครั้งเดียว (OTP)

เมื่อตรวจพบกิจกรรมของ Phone Link บนเครื่องเหยื่อ CloudZ RAT จะเข้าดักจับไฟล์ฐานข้อมูล SQLite ดังกล่าว ซึ่งส่งผลกระทบโดยตรงต่อความปลอดภัยของรหัส OTP ที่ส่งผ่าน SMS รวมถึงข้อความแจ้งเตือนจากแอปพลิเคชันยืนยันตัวตนอื่น ๆ

นอกจากขีดความสามารถของปลั๊กอิน Pheno แล้ว นักวิจัยพบว่ามัลแวร์ CloudZ ยังมีเป้าหมายในการขโมยข้อมูลที่จัดเก็บในเว็บเบราว์เซอร์, ข้อมูลระบบโฮสต์ และสามารถรับคำสั่งควบคุมจากระยะไกลได้หลากหลาย ดังนี้:

- การลบ, ดาวน์โหลด และเขียนไฟล์
- การรันคำสั่งผ่าน Shell Command)
- การบันทึกภาพหน้าจอ เพื่อดูพฤติกรรมผู้ใช้
- การโหลด, ลบ หรือบันทึกปลั๊กอินลงดิสก์
- การสั่งปิด Process ของตัว RAT เอง

Cisco รายงานว่า CloudZ มีกลวิธีในการหลบเลี่ยงการตรวจจับ โดยมัลแวร์จะสลับใช้ค่า User-Agent ที่กำหนดไว้ 3 รูปแบบ เพื่อซ่อนทราฟฟิก HTTP ให้ดูเหมือนการใช้งานเบราว์เซอร์ปกติ นอกจากนี้ ในทุก HTTP request จะมีการเพิ่ม Header ป้องกันการแคช เพื่อป้องกันไม่ให้ Proxy หรือ CDN ทำการเก็บข้อมูลรายละเอียดของเซิร์ฟเวอร์ C2 หรือเซิร์ฟเวอร์ที่ใช้ทดสอบ

🤖 ช่องทางการโจมตี

แม้จะยังไม่สามารถระบุจุดเริ่มต้นของการเข้าถึงระบบได้แน่ชัด แต่นักวิจัยพบว่าลำดับการติดมัลแวร์เริ่มต้นจากการที่เหยื่อติดตั้ง ScreenConnect Update ปลอม ซึ่งจะทำหน้าที่รันตัว Loader ที่เขียนด้วยภาษา Rust ก่อนจะส่งต่อไปยัง .NET Loader เพื่อทำหน้าที่ติดตั้ง CloudZ RAT และสร้าง Persistence ผ่าน Scheduled Task

🤖 กลไกป้องกันการวิเคราะห์

Time-based Sandbox Evasion: การหน่วงเวลาการทำงานเพื่อหลบเลี่ยงการตรวจจับของ Sandbox
Tool Detection: ตรวจสอบการรันเครื่องมือวิเคราะห์ระบบ เช่น Wireshark, Fiddler, Procmon และ Sysmon
Environment Check: การตรวจสอบค่าสตริงที่เกี่ยวข้องกับ VM และ Sandbox เพื่อหยุดการทำงานทันทีหากพบว่ากำลังถูกวิเคราะห์

🤖 คำแนะนำการป้องกัน

เพื่อป้องกันการโจมตีในลักษณะนี้ ผู้ใช้ควรหลีกเลี่ยงบริการ OTP ผ่าน SMS และใช้แอปยืนยันตัวตนที่ไม่ใช้ระบบการแจ้งเตือนแบบ push ซึ่งเสี่ยงต่อการถูกดักจับ และสำหรับข้อมูลที่มีความสำคัญสูง แนะนำให้เปลี่ยนไปใช้โซลูชันที่ป้องกันการฟิชชิ่ง เช่น คีย์ฮาร์ดแวร์

นอกจากนี้ Cisco Talos ได้เผยแพร่ชุด IoCs ซึ่งประกอบด้วย URL, Malware Hashes, โดเมน และที่อยู่ IP เพื่อให้ผู้ดูแลระบบนำไปใช้ในการเฝ้าระวัง และป้องกันเครือข่ายของตนได้

ที่มา : Bleepingcomputer.com

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

12/05/2026

💻 พบช่องโหว่ใน Notepad++ ที่ช่วยให้ผู้โจมตีทำให้โปรแกรมหยุดทำงาน เเละ Leak ข้อมูลใน Memory ได้

มีการระบุถึงช่องโหว่ด้านความปลอดภัยใน Notepad++ ซึ่งเป็นหนึ่งในโปรแกรมแก้ไขข้อความแบบโอเพนซอร์สที่ได้รับความนิยมสูงสุดในกลุ่มนักพัฒนา และผู้เชี่ยวชาญด้านไอที

ช่องโหว่หมายเลข CVE-2026-3008 อาจทำให้ผู้โจมตีจากภายนอกทำให้แอปพลิเคชันหยุดทำงาน หรือดึงข้อมูลสำคัญที่อยู่ในหน่วยความจำออกจากระบบที่ได้รับผลกระทบได้

ช่องโหว่นี้เป็นช่องโหว่ประเภท String Injection ที่อยู่ในฟังก์ชัน FindInFiles ของ Notepad++ โดยเฉพาะอย่างยิ่ง ปัญหาเกิดขึ้นเมื่อฟิลด์ "find-result-hits" ในไฟล์ Configuration nativeLang.xml มีตัวระบุรูปแบบ "%s" ซึ่งไปทำให้เกิดพฤติกรรมที่เป็นอันตรายระหว่างการดำเนินการค้นหา

ช่องโหว่ประเภทนี้สามารถนำไปสู่การจัดการหน่วยความจำที่ไม่เหมาะสม ส่งผลให้ผู้ไม่หวังดีสามารถทำให้แอปพลิเคชันค้าง หรือล่ม (DoS) โดยการทำให้แอปพลิเคชันหยุดทำงาน หรือรวบรวมข้อมูลที่อยู่ในหน่วยความจำ ซึ่งอาจถูกนำไปใช้เพื่อขยายผลการโจมตีในขั้นต่อไป

นอกจากนี้ ช่องโหว่ที่สองหมายเลข CVE-2026-6539 ก็มีความเชื่อมโยงกับการแก้ไขในเเพตซ์ครั้งนี้ด้วย ซึ่งแสดงให้เห็นว่ามีการแก้ไขปัญหาความปลอดภัยอื่น ๆ ที่เกี่ยวข้องไปพร้อมกับช่องโหว่หลักเช่นกัน

หากการโจมตีสำเร็จ อาจส่งผลกระทบต่อขั้นตอนการทำงานของนักพัฒนา, ผู้ดูแลระบบ และนักวิเคราะห์ความปลอดภัยที่ต้องพึ่งพา Notepad++ ในการปฏิบัติงานประจำวัน

แม้ว่าช่องโหว่ด้านการเปิดเผยข้อมูลในหน่วยความจำ ในบางครั้งอาจถูกมองว่ามีความรุนแรงต่ำ ซึ่งตัวช่องโหว่เองอาจจะดูไม่อันตรายนัก แต่บ่อยครั้งที่ช่องโหว่เหล่านี้มักถูกนำไปใช้ร่วมกับช่องโหว่อื่น ๆ เพื่อหลีกเลี่ยงมาตรการป้องกันความปลอดภัย เช่น Address Space Layout Randomization (ASLR)

🚨 เวอร์ชันที่ได้รับผลกระทบ

ช่องโหว่นี้ส่งผลกระทบโดยเฉพาะกับ:

-Notepad++ เวอร์ชัน 8.9.3

ผู้ที่ใช้งานเวอร์ชันก่อนหน้านี้ควรตระหนักว่ามีความเสี่ยงเช่นเดียวกัน และควรดำเนินการอัปเดทเเพตช์โดยเร็วที่สุด

การออกแพตช์แก้ไข

Hazley Samsudin เจ้าของผลิตภัณฑ์ Notepad++ ได้ตอบสนองอย่างรวดเร็วด้วยการออกเวอร์ชัน 8.9.4 ซึ่งแก้ไขทั้งช่องโหว่ CVE-2026-3008 และ CVE-2026-6539 โดยตรง

การแก้ไขดังกล่าวช่วยแก้ปัญหาพฤติกรรมการหยุดทำงานในฟีเจอร์ FindInFiles เมื่อมีการแยกแยะรูปแบบ String อย่างไม่ถูกต้องจากไฟล์ nativeLang.xml โดยรายละเอียดของแพตช์มีการระบุไว้เป็นบน GitHub repository อย่างเป็นทางการของ Notepad++ ภายใต้ Issue หมายเลข #17960

🌐 มาตรการลดความเสี่ยง

แนะนำอย่างยิ่งให้ผู้ใช้งาน และผู้ดูแลระบบทุกคนที่ใช้งานเวอร์ชันที่ได้รับผลกระทบ ดำเนินการดังต่อไปนี้ทันที:

-อัปเดตเป็น Notepad++ เวอร์ชัน 8.9.4 ผ่านเว็บไซต์ทางการของ Notepad++ หรืออัปเดตผ่านตัวโปรแกรม
-ตรวจสอบความถูกต้องของไฟล์ติดตั้งที่ดาวน์โหลดมาโดยใช้ Checksums ที่เป็นทางการ
-เฝ้าระวังพฤติกรรมที่ผิดปกติของแอปพลิเคชันในระบบ ซึ่งอาจแสดงถึงความพยายามในการโจมตีที่เคยเกิดขึ้นก่อนหน้านี้

เนื่องจากการใช้งาน Notepad++ ที่แพร่หลายในระดับองค์กร และการทำงานของนักพัฒนา องค์กรต่าง ๆ จึงควรให้ความสำคัญกับการอัปเดตนี้ในรอบการจัดการแพตช์มาตรฐาน

สำหรับผู้ใช้ที่ใช้การตั้งค่า nativeLang.xml แบบกำหนดเอง ขอเน้นย้ำให้ดำเนินการติดตั้งแพตซ์แก้ไขโดยเร็วที่สุด

ที่มา: cybersecuritynews

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

10/05/2026

🚨 ช่องโหว่ระดับ Critical ใน Gemini CLI ทำให้สามารถโจมตีโดยวิธีการ Remote Code Ex*****on ได้

Google ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Gemini CLI ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ใน Automated workflows บางอย่างได้

ช่องโหว่นี้ส่งผลกระทบต่อแพ็กเกจ npm /gemini-cli และ GitHub Action google-github-actions/run-gemini-cli โดยเฉพาะเมื่อใช้งานแบบ Headless เช่น ใน Pipeline CI/CD

ตามประกาศด้านความปลอดภัย ช่องโหว่นี้เกิดจากช่องโหว่ 2 ช่องโหว่ที่เกี่ยวข้องกัน ได้แก่ การจัดการ trust ใน Workspace ที่ไม่ปลอดภัย และการ bypass ระบบ Tool allowlisting เมื่อใช้งานภายใต้โหมด --yolo

เมื่อรวมกันแล้ว ช่องโหว่เหล่านี้อาจเปิดช่องโหว่ให้กับระบบที่ต้องประมวลผลเนื้อหาที่ไม่น่าเชื่อถือ เช่น การส่ง Pull requests หรือ Issues จากผู้ใช้งานภายนอกได้

ช่องโหว่ RCE ของ Gemini CLI

ช่องโหว่แรก : เกี่ยวข้องกับความน่าเชื่อถือของโฟลเดอร์ในโหมด headless ในเวอร์ชันก่อนหน้า โดย Gemini CLI จะเชื่อถือ Workspace ปัจจุบันโดยอัตโนมัติเมื่อทำงานในสภาพแวดล้อมแบบ Non-interactive
ทำให้เครื่องมือนี้สามารถโหลดไฟล์การตั้งค่าภายใน และ environment variables จากไดเร็กทอรี .gemini/ ได้โดยไม่ต้องขออนุมัติ

หากผู้โจมตีนำเนื้อหาที่เป็นอันตรายไปวางไว้ในไดเรกทอรี CLI ก็อาจประมวลผล และนำไปสู่การรันคำสั่งที่เป็นอันตรายได้

ในทางปฏิบัติ เป็นการเปิดช่องทางไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Ex*****on) ในกระบวนการทำงานของ CI ที่จัดการกับ Repository ที่ไม่น่าเชื่อถือ

ช่องโหว่ที่สอง : ส่งผลกระทบต่อระบบ Tool allowlisting ภายใต้โหมด –yolo ในเวอร์ชันก่อนหน้านี้ ระบบไม่ได้ enforce restrictions ของเครื่องมือที่กำหนดไว้ในไฟล์ ~/.gemini/settings.json อย่างรัดกุมเพียงพอเมื่อมีการเปิดใช้งานโหมด –yolo

ตัวอย่างเช่น หากเวิร์กโฟลว์อนุญาตให้ใช้ run_shell_command แต่ policy อาจครอบคลุมกว้างเกินไป และไปอนุญาตให้รันคำสั่งที่เป็นอันตรายได้ แทนที่จะรันเฉพาะคำสั่งที่ได้รับการอนุมัติเท่านั้น

ในสภาพแวดล้อมที่ต้องประมวลผล prompt ที่ไม่น่าเชื่อถือ หรือข้อความที่ผู้ใช้เป็นผู้ควบคุม ช่องโหว่นี้อาจถูกนำไปใช้ผ่านการโจมตีแบบ Prompt Injection เพื่อสั่งให้ระบบเรียกใช้คำสั่งต่าง ๆ ได้

ประกาศแจ้งเตือนระบุว่า ผลกระทบนี้จำกัดอยู่แค่การใช้งาน Gemini CLI ในโหมด Headless เท่านั้น แต่ถึงอย่างนั้นก็ยังครอบคลุมถึงเวิร์กโฟลว์ของ GitHub Actions อีกจำนวนมาก

Google แจ้งเตือนให้ผู้ใช้ทุกคนตรวจสอบการกำหนดค่าของ Gemini CLI ในระบบ Automation pipelines โดยเฉพาะในส่วนของ Contributors จากภายนอกที่สามารถส่งผลกระทบต่อไฟล์, prompt หรือ environment settings ได้

ปัจจุบันมีเวอร์ชันที่ได้รับการแก้ไขออกมาแล้ว ผู้ใช้ควรอัปเกรดแพ็กเกจ /gemini-cli เป็นเวอร์ชันล่าสุด 0.39.1 หรือ 0.40.0-preview.3

ส่วน GitHub Action run-gemini-cli ก็ได้รับการแก้ไขในเวอร์ชันล่าสุดแล้วเช่นกันในเวอร์ชัน 0.1.22 เวิร์กโฟลว์ใดที่มีการล็อกเวอร์ชัน Gemini CLI เป็นเวอร์ชันเก่าควรได้รับการอัปเดตทันที

นอกจากนี้ Google ยังได้ปรับเปลี่ยนระบบความปลอดภัยซึ่งจะส่งผลกระทบต่อการทำงานเดิมนั่นคือโหมด Headless จะไม่เชื่อถือ Workspace โดยอัตโนมัติอีกต่อไป

องค์กรที่ใช้งาน Trusted Inputs จะต้องตั้งค่าตัวแปร GEMINI_TRUST_WORKSPACE: ‘true’ ด้วยตนเอง

สำหรับเวิร์กโฟลว์ที่ต้องประมวลผลเนื้อหาที่ไม่น่าเชื่อถือ Google แนะนำให้ปฏิบัติตามคู่มือการเสริมความปลอดภัยของระบบ และตรวจสอบการตั้งค่าส่วนที่อนุญาตให้รันเครื่องมือ และคำสั่งต่าง ๆ อย่างระมัดระวัง

ช่องโหว่นี้ได้รับรายงานจาก Elad Meged จากบริษัท Novee Security และ Dan Lisichkin จากบริษัท Pillar Security ผ่านทางโครงการ Vulnerability Rewards Program ของ Google

กรณีนี้แสดงให้เห็นถึงความเสี่ยงที่เพิ่มสูงขึ้นในกลุ่มเครื่องมือสำหรับนักพัฒนาที่ใช้ AI นั่นคือ เมื่อระบบ Automation ,Prompt handling และ Shell access ร่วมกับ Input ที่ไม่น่าเชื่อถือ ช่องโหว่ของ Policy ความปลอดภัยเพียงเล็กน้อยก็สามารถกลายเป็นช่องทางการโจมตีระดับ Critical ได้อย่างรวดเร็ว

ที่มา : Cybersecuritynews

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

09/05/2026

🚨 ช่องโหว่ระดับ Critical บน vm2 sandbox อาจทำให้ผู้โจมตีสามารถรันโค้ดบนเครื่อง Host ได้

ช่องโหว่ระดับ Critical ในไลบรารี Sandboxing ยอดนิยมของ Node.js อย่าง vm2 อาจทำให้ผู้โจมตีสามารถ escape ออกจาก Sandbox และรันโค้ดใด ๆ ก็ได้บนระบบของเครื่อง Host

ช่องโหว่ด้านความปลอดภัยนี้มีหมายเลข CVE-2026-26956 และได้รับการยืนยันแล้วว่าส่งผลกระทบต่อ vm2 เวอร์ชัน 3.10.4 (รวมถึงเวอร์ชันก่อนหน้าที่อาจมีช่องโหว่ด้วยเช่นกัน) นอกจากนี้ยังมีการเผยแพร่โค้ด Proof-of-concept (PoC) ออกมาแล้ว

ในรายงานแจ้งเตือนด้านความปลอดภัย ผู้ดูแลโปรเจกต์ระบุว่า ช่องโหว่นี้จะส่งผลกระทบเฉพาะกับสภาพแวดล้อมที่ใช้ Node.js 25 (ยืนยันผลบน Node.js 25.6.1) ที่มีการเปิดใช้งาน WebAssembly exception handling และรองรับ JSTag เท่านั้น

vm2 เป็นไลบรารี Node.js แบบ Open-source ที่ใช้สำหรับรันโค้ด JavaScript ที่ไม่น่าเชื่อถือ ภายในสภาพแวดล้อม Sandbox ที่ถูกจำกัดสิทธิ์ โดยทั่วไปมักถูกนำไปใช้ในแพลตฟอร์มสำหรับเขียนโค้ดออนไลน์ เครื่องมืออัตโนมัติต่าง ๆ และแอปพลิเคชัน SaaS ที่ต้องมีการรันสคริปต์จากฝั่งผู้ใช้งาน

ไลบรารีตัวนี้จะพยายาม Isolate โค้ดที่รันอยู่ใน Sandbox ออกจากระบบของเครื่อง Host และบล็อกการเข้าถึง Node.js API ที่มีความสำคัญ เช่น Process และ Filesystem

vm2 มีการใช้งานอย่างแพร่หลาย โดยมียอดดาวน์โหลดมากกว่า 1.3 ล้านครั้งต่อสัปดาห์บน npm (Node Package Manager) ซึ่งเป็นโปรแกรมจัดการแพ็กเกจผ่าน Command-line ที่เป็นค่า Default ของ Node.js

ช่องโหว่ CVE-2026-26956 มีสาเหตุมาจากข้อผิดพลาดของไลบรารีในการจัดการกับ Exception ที่ข้ามไปมาระหว่างสภาพแวดล้อม Sandbox และเครื่อง Host

รายงานแจ้งเตือนระบุว่า โดยปกติแล้ว vm2 จะอาศัยระบบป้องกันในระดับ JavaScript เพื่อป้องกันข้อผิดพลาดที่เกิดจากฝั่ง Host และใช้ bridge Proxies เพื่อ Wrap objects ที่ถูกเรียกใช้งาน Cross-context ซึ่งกลไกทั้งสองส่วนนี้ทำงานอยู่ภายใน JavaScript ทั้งหมด

อย่างไรก็ตาม กลไกการจัดการ Exception ของ WebAssembly สามารถดักจับข้อผิดพลาดของ JavaScript ได้ในระดับที่ลึกกว่าภายใน V8 engine ของ Google ส่งผลให้สามารถ Bypass ระบบป้องกันความปลอดภัยระดับ JavaScript ของ vm2 ไปได้

ด้วยการทำให้เกิด TypeError ที่ถูกสร้างขึ้นมาเป็นพิเศษผ่านการแปลงค่า Symbol ให้เป็น String ผู้โจมตีจะสามารถทำให้ Error object จากฝั่ง Host รั่วไหลกลับเข้าไปใน Sandbox ได้โดยไม่ผ่านการตรวจสอบ และคัดกรองจาก vm2

เนื่องจาก Object ที่รั่วไหลออกมานั้นมีต้นทางมาจากเครื่อง Host ผู้โจมตีจึงสามารถใช้ประโยชน์จาก Constructor chain ของ Object นั้นเพื่อกลับเข้าไปเข้าถึงระบบภายในของ Node.js เช่น Process object ได้ ซึ่งในท้ายที่สุดจะอาจทำให้สามารถรันคำสั่งใด ๆ ก็ได้ตามต้องการบนระบบของเครื่อง Host

รายงานแจ้งเตือนด้านความปลอดภัยของผู้ดูแลโปรเจกต์ยังได้แนบโค้ด PoC ที่แสดงให้เห็นถึงการรันโค้ดจากระยะไกลบนเครื่อง Host ไว้ด้วย

ผู้ใช้งาน vm2 ได้รับคำแนะนำให้อัปเกรดเป็นเวอร์ชัน 3.10.5 หรือใหม่กว่า (เวอร์ชันล่าสุดคือ 3.11.2) โดยเร็วที่สุด เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ CVE-2026-26956

ในช่วงต้นปีที่ผ่านมา vm2 ก็ได้รับผลกระทบจากช่องโหว่ประเภท Sandbox escape ระดับ Critical อีกรายการหนึ่ง ซึ่งอาจนำไปสู่การรันโค้ดใด ๆ ก็ได้บนระบบของเครื่อง Host โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2026-22709

ช่องโหว่ประเภท Sandbox escape ก่อนหน้านี้ที่เคยส่งผลกระทบต่อไลบรารีเดียวกันนี้ ได้แก่ CVE-2023-30547, CVE-2023-29017 และ CVE-2022-36067 ซึ่งแสดงให้เห็นถึงความท้าทายในการ Isolate โค้ดที่ไม่น่าเชื่อถือให้มีความปลอดภัยอย่างแท้จริงในสภาพแวดล้อม Sandbox ของ JavaScript

ที่มา : Bleepingcomputer

รูปภาพ: www.canva.com
-------------------------------------
-------------------------------------
🛡 I-SECURE 1st Managed Security Service Provider (MSSP) in Thailand
🛡 I-Secure มีทีมงานผู้เชี่ยวชาญที่จะคอยให้คำปรึกษาทางด้าน Cyber Security ให้กับองค์กรของท่าน
ติดต่อผู้เชี่ยวชาญของเราได้ที่
☎️ 02-615-7005
👩🏻‍💻 [email protected]
🌎 https://www.i-secure.co.th/

Line ID: -SECURE

ที่อยู่

55 Soi Pradipat 17, Pradipat Road Samsennai, Phayathai
Bangkok
10400

เบอร์โทรศัพท์

+6626157005

เว็บไซต์

http://www.i-secure.co.th/

แจ้งเตือน

รับทราบข่าวสารและโปรโมชั่นของ I-SECURE CO., LTD.ผ่านทางอีเมล์ของคุณ เราจะเก็บข้อมูลของคุณเป็นความลับ คุณสามารถกดยกเลิกการติดตามได้ตลอดเวลา

ต้องการให้ธุรกิจของคุณ ธุรกิจ ขึ้นเป็นอันดับหนึ่ง บริษัท วิศวกรรม ใน Bangkok?

28/05/2026

28/05/2026

22/05/2026

20/05/2026

18/05/2026

15/05/2026

12/05/2026

10/05/2026

09/05/2026

ที่อยู่

เบอร์โทรศัพท์

เว็บไซต์

แจ้งเตือน

ทางลัด

แชร์