Microsoft ยังไม่ทราบแน่ชัดว่าแฮ็กเกอร์ขโมย Azure AD signing key ได้อย่างไร

Microsoft ระบุว่ายังไม่ทราบว่าแฮ็กเกอร์ชาวจีนอาศัยช่องโหว่อะไรในการขโมย Microsoft account (MSA) consumer signing key ที่ไม่ได้ใช้งาน เพื่อใช้ในการเข้าถึงบัญชี Exchange Online และ Azure AD ใน 24 องค์กร รวมถึงหน่วยงานของรัฐบาลก่อนหน้านี้Microsoft ได้ยอมรับในคำแนะนำใหม่ที่เผยแพร่ในวันนี้ว่า การสืบสวนวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง signing key ดังกล่าวกำลังอยู่ในระหว่างการดำเนินการเหตุการณ์นี้ถูกรายงานโดยเจ้าหน้าที่ของรัฐบาลสหรัฐฯ ภายหลังจากการพบการเข้าถึงที่ไม่ได้รับอนุญาตเข้าถึงบริการอีเมล Exchange Online ของหลายหน่วยงานของรัฐบาล

Microsoft เริ่มต้นสืบสวนการโจมตีในวันที่ 16 มิถุนายน และพบว่ากลุ่มผู้โจมตีชาวจีนที่ชื่อ Storm-0558 สามารถเข้าถึงบัญชีอีเมลของหน่วยงานราว 25 องค์กร (โดยรายงานว่ารวมถึงกรมรัฐธรรมนูญ และพาณิชย์ของสหรัฐฯ)ผู้โจมตีใช้ signing key เข้าสู่ระบบ Azure AD ขององค์กรที่ถูกโจมตีเพื่อปลอมโทเค็นในการตรวจสอบข้อมูล (auth tokens) ใหม่โดยการใช้ช่องโหว่ของ GetAccessTokenForResource API เพื่อให้สามารถเข้าถึงอีเมลองค์กรของเป้าหมายได้Storm-0558 สามารถใช้สคริปต์ PowerShell และ Python เพื่อสร้างโทเค็นใหม่ผ่านการเรียกใช้ REST API ต่อกับบริการ OWA Exchange Store เพื่อขโมยอีเมล และไฟล์แนบ อย่างไรก็ตาม Microsoft ยังไม่ได้ยืนยันว่าพวกเขาใช้วิธีการนี้ในการโจมตีในการขโมยข้อมูล Exchange Online ในเดือนที่ผ่านมา

Microsoft ระบุเพิ่มเติมในวันนี้ว่า "ข้อมูลตามการวิเคราะห์ และการสืบสวนชี้ว่า การโจมตีถูกจำกัดไว้ที่แค่การเข้าถึงอีเมล และการนำข้อมูลออกจากผู้ใช้ที่เป็นเป้าหมายเท่านั้น"ทางบริษัทได้บล็อกการใช้ private signing key ที่ถูกขโมยสำหรับผู้ใช้งานที่ได้รับผลกระทบทั้งหมดในวันที่ 3 กรกฎาคม และ token replay infrastructure ของผู้โจมตีได้ถูกปิดใช้งานลงในวันถัดไป

MSA signing keys ได้ถูกยกเลิกเพื่อบล็อกการปลอมโทเค็น Azure AD
ในวันที่ 27 มิถุนายน Microsoft ยังได้ทำการยกเลิก MSA signing keys ทั้งหมดเพื่อบล็อกการพยายามสร้างโทเค็นการเข้าถึงใหม่ และย้ายโทเค็นที่สร้างขึ้นใหม่ไปยัง key store ที่ใช้สำหรับระบบองค์กร

Microsoft ระบุว่า "ไม่พบพฤติกรรมที่เกี่ยวข้องกับ signing keys จากผู้โจมตีอีก ตั้งแต่ Microsoft ได้ยกเลิก MSA signing keys ที่ผู้โจมตีได้รับมา"อย่างไรก็ตาม แม้ว่า Microsoft จะไม่พบพฤติกรรมที่เกี่ยวข้องกับคีย์ของ Storm-0558 หลังจากยกเลิก MSA signing keys ที่ใช้งานอยู่ และแก้ไขช่องโหว่ของ API ที่เปิดให้ใช้งาน แต่คำแนะนำในวันนี้ระบุว่าผู้โจมตีกำลังเปลี่ยนไปใช้เทคนิคอื่นในการโจมตีในวันอังคารที่ผ่านมา Microsoft พึ่งระบุว่ากลุ่มผู้โจมตี RomCom ที่เกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ของรัสเซียใช้ช่องโหว่ zero-day ใน Office ที่ยังไม่ได้รับการแก้ไขในการโจมตีแบบฟิชชิ่งต่อองค์กรที่เข้าร่วมการประชุมสุดยอดของกลุ่มนาโต้ ในเมืองวิลนีอุสในประเทศลิทัวเนียโดยปฏิบัติการของกลุ่ม RomCom ได้ใช้เอกสารที่เป็นอันตรายโดยปลอมตัวเป็นองค์กร Ukrainian World Congress เพื่อที่จะติดตั้ง payloads ของมัลแวร์ เช่น MagicSpell loader และ RomCom backdoor

ที่มา : bleepingcomputer

New Azure AD Bug Lets Hackers Brute-Force Passwords Without Getting Caught

 

 

 

 

 

 

 

 

ช่องโหว่ใหม่บน Azure AD ทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านจำนวนมากได้โดยที่ไม่ถูกตรวจจับ

นักวิจัย Secureworks Counter Threat Unit (CTU) พบช่องโหว่ที่เกิดขึ้นบน Microsoft Azure Active Directory ที่ยังไม่ได้รับการ Patch ทำให้ผู้ไม่หวังดีทำการโจมตีด้วยการ Brute-force attacks โดยระบุว่าช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านได้เรื่อยๆด้วยวิธีการ Brute-force บน Microsoft Azure Active Directory โดยไม่ถูกตรวจจับได้จากพฤติกรรมการพยายามเข้าสู่ระบบหลายๆครั้ง

Azure Active Directory เป็น solution ในการจัดการการเข้าถึงข้อมูล และการเข้าถึงบนระบบ Cloud ของ Microsoft ซึ่งออกแบบมาให้เป็น การเข้าถึงแบบ single sing-on (SSO) และ แบบ multi-factor authentication นอกจากนี้ยังเป็นองค์ประกอบหลักของการใช้งาน Microsoft 365(Office 365) อีกด้วย

จุดอ่อนดังกล่าวเกิดขึ้นที่ระบบ Single Sign-On feature ที่อนุญาตให้ผู้ใช้งานเข้าใช้ได้อัตโนมัติ เมื่อใช้อุปกรณ์ขององค์กรที่เชื่อมต่อกับเครือข่ายภายในโดยไม่ต้องทำการใส่ Password เพื่อให้การโจมตีนี้สำเร็จจะต้องอาศัย Kerberos protocol เพื่อหา User Object บน Azure AD และ ticket-granting ticket (TGT) ที่อนุญาตให้เข้าถึงข้อมูลต่างๆในระบบ ผ่าน UserNameMixed ซึ่งเป็นส่วนสร้าง Token และ error code ของ User โดยที่ไม่มีการสร้างข้อมูลเพื่อเก็บการเข้าถึงแบบ Autologon's authentication

โดยทาง Microsoft ได้ออกมาแจ้งให้กับผู้ใช้งานทราบว่า รายละเอียดดังกล่าวที่นักวิจัยได้แจ้งมา ระบุไม่ได้เป็นช่องโหว่ในด้านความปลอดภัยและยืนยันว่าการเข้าถึงในลักษณะดังกล่าวมีการป้องกัน โดย Token ที่ถูกสร้างด้วย UserNameMixed API ไม่สามารถใช้ในการเข้าถึงข้อมูลได้ ซึ่ง Azure AD มีเงื่อนไขในการตรวจสอบบน Conditional Access, Azure AD Multi-Factor Authentication, Azure AD Identity Protection และจะต้องมีการบันทึกข้อมูลในการเข้าถึงเมื่อมีการเข้าสู่ระบบ

ที่มา : thehackernews

New Microsoft 365 sign-in pages already spoofed for phishing

แคมเปญฟิชชิงที่ปลอมแปลงหน้าลงชื่อเข้าใช้ Microsoft 365

ATP Office 365 ได้เปิดเผยถึงข้อมูลแคมเปญฟิชชิงที่ผู้ไม่หวังดีเริ่มทำการปลอมแปลงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 รูปแบบใหม่หลังจาก Microsoft ได้ทำการอัปเดตหน้าลงชื่อเข้าใช้ใหม่ประมาณสามเดือนที่ผ่านมา

การปรับปรุงหน้าลงชื่อเข้าใช้ของ Microsoft นั้นต้องการลดความต้องการแบนด์วิดท์ที่จำเป็นสำหรับการโหลดหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365 และหวังให้ผู้ใช้เห็นความเเตกต่างจากเว็บไซต์ฟิชชิ่งที่ไม่ได้ทำการปรับปรุงหน้าชื่อเข้าใช้

เเต่จากการเปิดเผยข้อมูลของ ATP Office 365 นั้นพบว่าผู้โจมตีที่ได้ทำการปรับปรุงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 เป็นรูปแบบใหม่ด้วย นั้นทำให้ผู้โจมตีมีความน่าเชื่อถือมากขึ้น โดยทำให้ผู้โจมตีสามารถหลอกล่อเหยื่อให้การเปิดไฟล์ที่แนบและทำให้สามารถรีไดเร็คไปหน้า Landing Page ฟิชชิ่งที่ทำการลอกเลียนแบบหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365

Microsoft ได้เเนะนำให้ผู้ใช้ทำการตรวจสอบเเหล่งที่มาของอีเมลที่เปิดอ่านและทำการตรวจสอบทุกครั้งที่เปิดหน้า Landing Page ลงชื่อเข้าใช้เพื่อป้องกันการฟิชชิงข้อมูลของผู้ใช้

ที่มา : bleepingcomputer

Microsoft เพิ่มประวัติการลงชื่อเข้าใช้ด้วย Azure AD เพื่อตรวจหาเหตุการณ์ที่ผิดปกติ

 

Microsoft ประกาศการเพิ่มคุณสมบัติประวัติการลงชื่อเข้าใช้ด้วย Azure Active Directory (AD) ที่จะอนุญาตให้ผู้ใช้รับภาพรวมของการลงชื่อเข้าใช้ในอดีตและตรวจพบการเข้าสู่ระบบที่ผิดปกติได้อย่างรวดเร็ว

การมีภาพรวมของการพยายามในการเข้าสู่ระบบทั้งหมด ทำให้ผู้ใช้ Azure AD สามารถค้นพบการโจมตีด้วยรหัสผ่านได้ง่ายขึ้นและดำเนินการเพื่อจำกัดผลกระทบที่เป็นอันตราย

ประวัติการลงชื่อเข้าใช้บัญชี Azure AD สามารถเข้าถึงได้ผ่าน https://mysignins.