Windows updates ประจำเดือนกุมภาพันธ์ 2024 ไม่สามารถติดตั้งได้จาก error 0x800F0922

 

Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)

Microsoft และ OpenAI แจ้งเตือนการพบแฮ็กเกอร์กำลังใช้ AI ในการโจมตีทางไซเบอร์

นักวิจัยพบกลุ่ม Hacker ที่เกี่ยวข้องกับรัฐบาลรัสเซีย เกาหลีเหนือ อิหร่าน และจีน กำลังทดลองใช้ปัญญาประดิษฐ์ (AI) และแบบจำลองภาษาขนาดใหญ่ (LLM) เพื่อเสริมการโจมตีทางไซเบอร์ที่กำลังดำเนินอยู่

(more…)

Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์

Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์

Microsoft เตรียมนำฟีเจอร์ ‘sudo’ จาก ระบบปฏิบัติการ Linux มาใช้งานใน Windows เซิร์ฟเวอร์ 2025 ซึ่งจะเพิ่มวิธีการใหม่ที่ทำให้แอดมิน สามารถยกระดับสิทธิ์บน Console Application ได้ (more…)

มัลแวร์ DarkGate แพร่กระจายผ่าน Microsoft Teams

 

นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.

Microsoft ประกาศสิ้นสุดการสนับสนุน Exchange 2019

Microsoft ประกาศกำหนดสิ้นสุดการสนับสนุนสำหรับซอฟแวร์ Exchange Server 2019 on-premises ในวันที่ 9 มกราคม 2024

ตั้งแต่วันที่ 9 มกราคม 2024 เป็นต้นไป Microsoft จะไม่รับคำขอแก้ไข Bug และคำขอเปลี่ยนแปลงการออกแบบ Design Change Requests (DCR) อีกต่อไป แต่จะยังคงออกแพตช์เพื่อแก้ไขปัญหาด้านความปลอดภัย หรือช่องโหว่ที่ถูกพบต่อไป

(more…)

Microsoft ยกเลิกการใช้งาน MSIX protocol handler หลังพบถูกใช้เป็นเครื่องมือการโจมตีของมัลแวร์

Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows

(more…)

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม แก้ไขช่องโหว่ 34 รายการ และ 1 Zero-Day

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม ซึ่งได้อัปเดตช่องโหว่ด้านความปลอดภัยทั้งหมด 34 รายการ และช่องโหว่ Zero-Day ของ CPU AMD 1 รายการ

โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) 8 รายการที่ได้รับการแก้ไขนั้น มีเพียง 3 รายการที่ Microsoft จัดว่าอยู่ในระดับ Critical แต่รวมแล้วในเดือนนี้มีช่องโหว่ที่มีระดับความรุนแรง Critical ทั้งหมด 4 รายการ ได้แก่ ช่องโหว่ใน Power Platform (Spoofing) 1 รายการ, ช่องโหว่ ใน Internet Connection Sharing (RCE) 2 รายการ และช่องโหว่ใน Windows MSHTML Platform (RCE) 1 รายการ
(more…)

Microsoft แจ้งเตือนแอปพลิเคชัน OAuth ถูกใช้ในการโจมตี BEC และขุดคริปโตโดยอัตโนมัติ

Microsoft แจ้งเตือนการพบกลุ่มผู้โจมตีที่มีเป้าหมายทางด้านการเงิน กำลังใช้งานระบบยืนยันตัวตน และตรวจสอบสิทธิ์มาตรฐาน (Open Authorization - OAuth) ในการโจมตีผ่านทางอีเมลในรูปแบบ Business Email Compromised - BEC และทำการฟิชชิ่ง สแปม รวมไปถึงสร้าง Virtual Machines สำหรับขุดคริปโตแบบอัตโนมัติ

โดย OAuth คือระบบยืนยันตัวตน (Authentication) และตรวจสอบสิทธิ์ (Authorization) เพื่อให้ผู้ใช้งานสามารถอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้งานที่มีอยู่บนฐานข้อมูลอีกเว็บไซต์ หรือแอปพลิเคชันอีกหลายแห่ง ผ่านรูปแบบโทเคนโดยไม่ต้องเปิดเผยรหัสผ่าน

หลังจากการตรวจสอบเหตุการณ์ที่เกิดขึ้น ทีมผู้เชี่ยวชาญภัยคุกคามทางไซเบอร์ของ Microsoft (Microsoft Threat Intelligence) เปิดเผยว่า กลุ่มผู้โจมตีมุ่งเป้าไปที่ผู้ใช้งานที่มีความหละหลวมในการใช้งานระบบยืนยันตัวตนในการป้องกันการฟิชชิ่ง หรือ password-spraying เช่น ไม่ได้เปิดระบบการยืนยันตัวตนหลายขั้นตอน (Multifactor Authentication - MFA) เป็นต้น และโดยเฉพาะอย่างยิ่งเป้าหมายที่มีสิทธิ์ในการสร้าง หรือแก้ไข OAuth ในแอปพลิเคชันได้

แอคเคาท์ที่ถูกยึดโดยกลุ่มผู้โจมตีได้แล้วนั้น จะถูกนำมาใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ เพื่อให้สามารถยกระดับสิทธิ์ที่สูงขึ้นให้แก่กลุ่มผู้โจมตีได้ ซึ่งจะสามารถทำให้การกระทำต่าง ๆ ของกลุ่มผู้โจมตีนี้ไม่ถูกพบว่าเป็นการกระทำที่ต้องสงสัย ถึงขนาดที่ว่าแอคเคาน์ที่ถูกยึดนั้นถูกลบไป ก็จะไม่ส่งผลต่อ OAuth ที่สร้างขึ้นใหม่เช่นกัน ซึ่งระบบ OAuth ที่มีสิทธิ์ระดับสูงนี้ สามารถนำมาใช้งานได้อย่างหลากหลายมาก ตั้งแต่สร้าง Virtual Machines เพื่อขุดคริปโตโดยเฉพาะ ทำให้ผู้โจมตีสามารถเข้าระบบได้ตลอดเวลาเพื่อดำเนินการโจมตีผ่านทางอีเมลในรูปแบบ BEC ไปจนถึงการสร้างสแปมแคมเปญเพื่อโจมตีโดเมนขององค์กรที่ถูกผู้โจมตีบุกรุกเข้ามาแล้วได้

มีรายงานเหตุการณ์สำคัญที่ระบุว่าเกี่ยวข้องกับกลุ่มผู้โจมตีที่ชื่อ Storm-1283 ซึ่งเป็นผู้สร้าง OAuth แอปพลิเคชัน สำหรับการขุดคริปโตผ่าน Virtual Machines ส่งผลให้องค์กรได้รับความเสียหายตั้งแต่ $10,000 ไปจนถึง $1.5M ทั้งนี้ขึ้นอยู่กับระยะเวลาที่องค์กรถูกโจมตี โดยมีรายละเอียดการโจมตีดังภาพด้านล่าง

อีกหนึ่งเหตุการณ์คือผู้โจมตีใช้ประโยชน์จาก OAuth แอปพลิเคชัน โดยใช้บัญชีที่ถูกบุกรุกเพื่อแฝงตัวอยู่ในระบบ และดำเนินการส่งฟิชชิ่ง โดยใช้วิธีการ adversary in the middle

ผู้โจมตีกลุ่มเดียวกันนี้ยังใช้แอคเคาท์ที่ถูกบุกรุกในการเก็บรวบรวมข้อมูล (reconnaissance) เพื่อเตรียมโจมตีผ่านทางอีเมลในรูปแบบ BEC โดยใช้ Microsoft Outlook Web Application - OWA ในการค้นหาข้อมูลที่เกี่ยวข้องกับการชำระเงิน และใบแจ้งหนี้ต่าง ๆ

ในบางกรณี ผู้โจมตีได้สามารถสร้างอีกหลายโปรไฟล์ของ OAuth เพื่อให้สามารถดำเนินการต่อไปได้ยาวนานขึ้นก่อนที่จะถูกตรวจพบ โดยการเพิ่มแอคเคาท์ ชื่อผู้ใช้งาน และรหัสผ่าน รวมไปถึงการอ่านอีเมล และส่งอีเมลฟิชชิ่งผ่าน Microsoft Graph API

Microsoft ยังระบุเพิ่มเติมอีกว่า ขณะที่ทำการตรวจสอบ และวิเคราะห์หาข้อมูลเพิ่มเติมนั้น พบว่ากลุ่มผู้โจมตีได้สร้าง tenant OAuth แอปพลิเคชันออกมากว่า 17,000 multitenant ครอบคลุม tenant หลายแบบที่แตกต่างกัน โดยใช้แอคเคาท์จำนวนมากที่ยึดมาได้ และจากข้อมูลอีเมลทั่วโลกของ Microsoft ที่ได้รวบรวมมานั้น พบว่า OAuth แอปพลิเคชันที่ต้องสงสัย ส่งอีเมลฟิชชิ่งไปแล้วกว่า 927,000 อีเมล ทั้งนี้ทางไมโครซอฟท์ได้มีการกำจัด OAuth แอปพลิเคชันที่ต้องสงสัยที่เกี่ยวข้องกับแคมเปญนี้ในช่วงระยะเวลาตั้งแต่กรกฏาคม ถึง พฤศจิกายน 2023 ทั้งหมดแล้ว

1 ใน 3 ของเหตุการณ์ที่เกิดขึ้นพบว่าเป็นฝีมือของกลุ่ม Storm-1286 ที่บุกรุกบัญชีผู้ใช้งานที่ไม่ได้มีการเปิดการป้องกันด้วยระบบยืนยันตัวตนหลายขั้นตอน ซึ่งเกี่ยวข้องกับแคมเปญการโจมตีในรูปแบบ password-spraying โดยที่แอคเคาท์ที่ถูกยึดไปได้นั้น จะถูกนำไปใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ในองค์กรที่เป็นเป้าหมาย ซึงจะทำให้ผู้ที่โจมตีเข้ามานั้น สามารถส่งสแปมอีเมลได้ตลอดเวลาตั้งแต่ไม่กี่วัน ไปถึงขั้นหลักเดือนเลยทีเดียว

ในการป้องกันกลุ่มผู้โจมตีที่ใช้ช่องโหว่ OAuth แอปพลิเคชันนี้นั้น ทาง Microsoft แนะนำให้ใช้งานระบบ MFA เพื่อขัดขวางการการโจมตีแบบฟิชชิ่ง และการโจมตีที่ขโมยข้อมูลสำคัญมาแล้วนำไปใช้งานในระบบอื่น ๆ ด้วยวิธีการ Credential stuffing

คำแนะนำ

Security teams ควรเปิดใช้งาน conditional access policies เพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกขโมย
ทำการตรวจสอบเงื่อนไขในการเข้าถึงข้อมูลอย่างสม่ำเสมอ เพื่อเพิกถอนการเข้าถึงของผู้ใช้โดยอัตโนมัติ หากตรงกับเงื่อนไขที่มีความเสี่ยงที่อาจเกิดขึ้น
ทำการตั้งค่า Azure Active Directory Security ให้มีการเปิดการใช้งานระบบ MFA เป็นค่าเริ่มต้น รวมไปถึงป้องกันการกระทำต่าง ๆ ที่ต้องใช้สิทธิ์ระดับสูง

ที่มา : bleepingcomputer

พบกลุ่ม APT28 ใช้ช่องโหว่ใน Outlook เพื่อขโมยบัญชี Microsoft Exchange

 

ทีม Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML (more…)

Microsoft ออก Patch Tuesday ประจำเดือนพฤศจิกายน แก้ไขช่องโหว่ Zero-Days 5 รายการ และช่องโหว่อื่น ๆ 58 รายการ

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนพฤศจิกายน 2023 ซึ่งเป็นการอัปเดตสำหรับช่องโหว่ทั้งหมด 58 รายการ และเป็นช่องโหว่แบบ Zero-Day 5 รายการ

โดยเป็นการแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) 14 รายการ แต่มีเพียง 1 รายการที่มีความรุนแรงระดับ Critical โดยช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งหมด 3 รายการ ได้แก่ ช่องโหว่ Azure information disclosure, ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Windows Internet Connection Sharing (ICS) และช่องโหว่ใน Hyper-V Escape ที่ทำให้สามารถเรียกใช้งานโปรแกรมบนโฮสต์ด้วยสิทธิ์ SYSTEM (more…)