Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม Hacker ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.com ของเป้าหมาย ผ่านการโจมตีช่องโหว่ Zero-day ที่ถูกแก้ไขไปแล้วในชื่อ GetAccessTokenForResourceAPI ที่ทำให้สามารถปลอมแปลง Token การเข้าถึงที่ลงชื่อแล้ว และปลอมแปลงบัญชีภายในองค์กรเป้าหมายได้
โดยหน่วยงานที่ตกเป็นเป้าหมายของการโจมตีในครั้งนี้คือหน่วยงานรัฐบาลในสหรัฐอเมริกา และภูมิภาคยุโรปตะวันตก ซึ่งมีหน่วยงานของรัฐ และกระทรวงพาณิชย์ของสหรัฐอเมริการวมอยู่ด้วย
ต่อมาในวันที่ 14 กรกฎาคม 2023 ที่ผ่านมา นักวิจัยด้านความปลอดภัยของ Wiz พบว่าการโจมตีดังกล่าวได้ส่งผลกระทบไปยังแอปพลิเคชัน Azure AD ทั้งหมดที่ทำงานด้วย OpenID v2.0 ของ Microsoft อีกด้วย เนื่องจากความสามารถของคีย์ที่ถูกขโมยในการใช้ Token เพื่อเข้าถึง OpenID v2.0 สำหรับบัญชีส่วนบุคคล (เช่น Xbox, Skype) และ multi-tenant AAD app
รวมถึง Microsoft ระบุว่าการโจมตีดังกล่าวส่งผลต่อ Exchange Online และ Outlook ซึ่งมี app ที่ใช้ในการจัดการของ Microsoft เช่น Outlook, SharePoint, OneDrive และ Team รวมไปถึงแอปพลิเคชันของผู้ใช้งานที่เข้าสู่ระบบด้วย Microsoft ซึ่งใช้ Azure Active Directory auth (AAD) token ในการตรวจสอบยืนยันตัวตน
โดยเหตุการณ์นี้ส่งผลกระทบเป็นอย่างมาก เนื่องจาก Hacker ที่มี AAD signing key สามารถเข้าถึงแอปพลิเคชันได้เกือบทุกชนิด ในฐานะผู้ใช้งานคนใดก็ได้ในการเข้าสู่ระบบ
เพื่อป้องกันผลกระทบที่จะเกิดขึ้น ทาง Microsoft ได้ทำการยกเลิก MSA signing key ทั้งหมด เพื่อป้องกันไม่ให้ Hacker สามารถใช้ Key อื่น ๆ ที่ขโมยมาได้ รวมถึงป้องกันการสร้าง Token เพื่อใช้เข้าถึงระบบใหม่อีกครั้ง และได้ย้าย Token เข้าถึงระบบที่ถูกสร้างขึ้นใหม่ไปไว้ยังที่เก็บคีย์สำหรับระบบองค์กรของบริษัท จากการตรวจสอบเพิ่มของ Microsoft ยังไม่พบว่ามีการโจมตีเพื่อเข้าถึงบัญชีของลูกค้าด้วยวิธีปลอมแปลง Token เพื่อเข้าถึงระบบภายหลังจากนั้น รวมถึงพบการเปลี่ยนแปลงวิธีการโจมตีของ Storm-0558 ที่แสดงให้เห็นว่า Hacker ไม่สามารถเข้าถึงคีย์ใด ๆ ได้อีกต่อไป
โดยในขณะนี้ทาง Microsoft ยังไม่ได้ออกมารายงานว่า Hacker สามารถโจมตีเพื่อเข้าถึงบัญชีของลูกค้าด้วยวิธีปลอมแปลง Token ได้อย่างไร รวมถึงยังได้เปิดให้ใช้ฟีเจอร์ expand access to cloud logging data เพื่อเฝ้าระวัง และติดตามการโจมตีในลักษณะดังกล่าวได้ฟรีอีกด้วย หลังจากที่ CISA ได้ทำการร้องขอไปยัง Microsoft เนื่องจากฟีเจอร์ดังกล่าว ผู้ใช้งานจำเป็นต้องจ่ายเงินเพื่อใช้งาน Purview Audit (Premium) logging license เท่านั้นถึงจะมีสิทธิใช้งาน
ที่มา : bleepingcomputer
You must be logged in to post a comment.