พบช่องโหว่ใน Azure ทำให้สามารถเข้าถึงเครื่อง host ได้ผ่าน serverless function

สรุปรายละเอียดของช่องโหว่

Privilege escape เป็นสิทธ์ Root ได้ใน container
Container มีสิทธ์ CAP_SYS_ADMIN ซึ่งไม่เป็นไปตาม best practice จึงทำให้สามารถเข้าถึงเครื่อง Host ได้
Host เป็น single-tenant จึงทำให้สามารถเข้าถึงได้แค่ container ใน tenant

Escalating Privileges

นักวิจัยจาก Unit42 พบว่าใน container ของ Azure function จะมี service "init" ที่สามารถ Mount disk ใน container ได้ แต่ว่าตัว service มีช่องโหว่เรื่องการ validate input นักวิจัยจึงใช้ช่องโหว่นี้สร้าง shadow ไฟล์ขึ้นมาโดยใช้ password ของตัวเองแล้ว mount ไปที่ /etc/shadow ทำให้สามารถเปลี่ยน user เป็น root ได้โดยใช้ password ที่ถูกสร้างขึ้นมาใหม่

Escape to Host

เนื่องจาก container ของ Azure function มีการกำหนดสิทธิ์ Linux Capabilities มาไม่ได้ตามมาตรฐาน (Best Practice) ทำให้มีสิทธิ์หลายอย่างเข้าเงื่อนไขของ Container escape technique ที่ชื่อว่า "notify_on_release escape" ดังนี้

มีสิทธ์ root
มี SYS_ADMIN capability
สามารถใช้ mount syscall
container ต้องอ่าน และเขียน cgroup v1 virtual filesystem ได้

หลังจากที่นักวิจัยเข้าถึงเครื่อง Host ได้แล้ว พบว่าเครื่อง Host เป็น HyperV ที่จะถูกใช้งานแค่ tenant เดียว จึงทำให้ไม่มีความเสียงที่จะเข้าถึง Container ที่อยู่ใน tenant อื่นได้ นอกเหนือว่าจะมีช่องโหว่ที่ตัว HyperV นักวิจัยจึงหยุดการทดสอบ และรายงานช่องโหว่ไปที่ Microsoft

วิธีการแก้ไข 

Microsoft ได้ patch service ที่ใช้ในการ mount โดยเพิ่มการ Validate Input โดยที่ลูกค้าไม่ต้องดำเนินการใด ๆ เพิ่มเติม

ที่มา : unit42

พบช่องโหว่ Unauthenticated user บน Azure Cosmos DB Notebook ซึ่งอาจให้ทำเกิดการโจมตีแบบ RCE ได้

นักวิจัยจาก Orca security พบว่า Cosmos DB Notebook endpoint ไม่มีการตรวจสอบ Authorization Header ทำให้ใครก็ตามทีรู้ session id สามารถเขียน หรืออ่านไฟล์ที่อยู่ใน Jupyter notebook container ได้

นักวิจัยจึงสามารถ overwrite kernelspec.

พบช่องโหว่ RCE ระดับ Critical บน Azure Synapse ทำให้เข้าถึงข้อมูล tenant ของผู้ใช้งานรายอื่นได้

Tzah Pahima นักวิจัยจาก Orca พบช่องโหว่ Remote Code Execution (RCE) ระดับ Critical บน Azure Synapse Analytics ที่ทำให้ผู้โจมตีสามารถเข้าถึง tenant ของผู้ใช้งานรายอื่นได้ และอื่นๆดังนี้

สามารถขโมย credentials จาก Azure Synapse จาก accounts ของผู้ใช้งานรายอื่น
สามารถเข้าควบคุม Azure Synapse workspaces ได้
สั่งรันโค้ดที่เป็นอันตรายบนเครื่องของผู้ใช้งานรายอื่นภายใน Azure Synapse Analytics service
สามารถขโมย credentials external data sources ของผู้ใช้งานรายอื่น

Azure Synapse Analytics คืออะไร

Azure Synapse Analytics ทำหน้าที่ import และประมวลผลข้อมูลจาก data sources ของผู้ใช้งานเช่น CosmosDB, Azure Data Lake, หรือ external sources Amazon S3 แต่ละ Synapse instance จะถูกเรียกว่า workspace เพื่อที่จะ import data จาก external data source ผู้ใช้งานต้องใส่ credentials และเชือมต่อไปที่ data source ผ่าน Integration Runtimes (เครื่องที่ทำหน้าเชือมต่อ data sources จากหลายๆที่) Integration Runtimes สามารถใช้เป็น self-hosted (on-premise) หรือ hosted บน Azure cloud (Azure Integration Runtimes) ก็ได้

ช่องโหว่ Remote Code Execution (RCE)

ในเครื่อง integration runtimes (self-hosted) นักวิจัยพบช่องโหว่ shell injection RCE (CVE-2022-29972) ใน Magnitude Simba Redshift ODBC connector ที่ถูกใช้โดย Microsoft
โดยที่ shell injection นั้นถูกพบใน SAML authentication plugin ของ connector ซึ่ง code ในส่วนที่มีช่องโหวทำหน้าที่ไว้เปิด browser แต่ผู้โจมตีสามารถ inject shell command ลงไปได้

รวมถึงยังพบช่องโหว่ที่คล้ายกันใน Magnitude Simba:

Amazon Athena ODBC Driver (CVE-2022-29971)
Amazon Redshift JDBC Driver (CVE-2022-30240)
Amazon Athena JDBC Driver (CVE-2022-30239)

การเจาะเข้าเครื่อง shared integration runtime

integration runtime ที่ host บน azure (Azure IR) โดยไม่มี Managed Virtual Network จะเป็นเครื่องที่ถูก share กับผู้ใช้งานหลายราย นักวิจัยพบว่าช่องโหว่ RCE ที่พบบนเครื่อง self-hosted ก็สามารถใช้ได้กับ Azure IR และ Permission ที่ใช้ Run app ก็ได้สิทธิ์เป็น Authority\SYSTEM

หลังจากที่นักวิจัยสามารถเข้าควมคุมเครื่อง Azure IR ได้แล้วยังพบว่าภายในเครื่องยังมี client certificate ที่ใช้ authentication เข้า internal management server ได้อีกด้วย
management server API สามารถ query integration runtimes และ workspace อื่นๆ ที่เป็นของผู้ใช้งานรายอื่น ทำให้นักวิจัยสามารถจะทำอะไรก็ได้กับ workspace ของผู้ใช้งานรวมถึงใช้ช่องโหว่ remote เข้าไปยัง integration runtime ของผู้ใช้งานรายอื่น

วิธีแก้ไข:

สำหรับลูกค้าที่ใช้ Azure Integration Runtime (Cloud) หรือ self-hosted แล้วเปิด auto-updates ไว้แล้ว ไม่ต้องดำเนินการใดๆ
หากยังไม่ได้อัปเดตแนะนำให้อัปเดต Self-hosted Integration Runtimes (SHIRs) เป็น version 5.17.8154.2

ที่มา : orca.

ช่องโหว่ Azure OMI agent ทำให้สามารถยกระดับสิทธ์ user บน Linux ได้

Open Management Infrastructure (OMI) Agent จะถูกติดตั้งมาโดยอัตโนมัติบน Azure cloud ทุกเครื่องที่เป็นระบบปฏิบัติการ Linux โดยล่าสุดพบว่ามีช่องโหว่ privilege escalation (CVE-2022-29149) และมี CVSS: 7.8 ซึ่งทำให้สามารถยกระดับสิทธ์ของ user บน Linux ได้

บริการบน Azure ที่ได้รับผลกระทบ:

Azure Automation, Azure Diagnostics, Azure HDInsight, Azure Stack Hub, Azure DSC, SCOM, Azure OMS, Azure Security Center (ASC) , Container Monitoring Solution, Sentinel

วิธีแก้ไข:

หากมีการใช้งาน Azure service ที่มีการติดตั้ง OMI ไว้อยู่แล้ว ผู้ใช้งานต้องทำการอัปเดตด้วยตนเอง สามารถดูวิธีการ update patch ได้ที่ https://github.

Microsoft ออกรายงานการตรวจสอบภายในกรณี SolarWinds ฉบับสุดท้าย

ไมโครซอฟต์ประกาศการสิ้นสุดการตรวจสอบภายในกรณีการโจมตี SolarWinds และซอฟต์แวร์ SolarWinds Orion เพื่อแพร่กระจายมัลแวร์และบุกรุกเข้าองค์กรต่าง ๆ เมื่อกลางสัปดาห์ที่ผ่านมา พร้อมกับเผยแพร่ Final update หรือการอัปเดตฉบับสุดท้ายที่เป็นผลลัพธ์จากการตรวจสอบครั้งนี้

ทีมตอบสนองการโจมตีและภัยคุกคามจากไอ-ซีเคียว ขอสรุปสาระสำคัญในรายงานของไมโครซอฟต์ไว้ดังนี้

ไมโครซอฟต์พบพฤติกรรมผิดปกติตั้งแต่เดือนธันวาคม ช่วงเดียวกับที่ FireEye ออกมาประกาศการตรวจพบการโจมตี การตรวจสอบไม่พบหลักฐานซึ่งบ่งชี้ว่าระบบของไมโครซอฟต์ที่ได้รับผลกระทบจากการโจมตีนั้นถูกนำไปใช้ในการโจมตีระบบอื่น
ไมโครซอฟต์พบว่าผู้โจมตีมีการเข้าถึงและอ่านไฟล์ที่อยู่ในโครงการพัฒนาซอฟต์แวร์ภายใน และได้ดำเนินการกับบัญชีที่ถูกใช้เพื่อเข้าถึงซอร์สโค้ดดังกล่าวทันที
แม้จะมีการเข้าถึงโครงการพัฒนาซอฟต์แวร์ แต่โครงการพัฒนาซอฟต์แวร์ที่ได้รับผลกระทบนั้นถือเป็นแค่โครงการบางส่วนของผลิตภัณฑ์หรือบริการที่ไมโครซอฟต์ให้บริการ ไม่มีลักษณะการเข้าถึงโครงการพัฒนาซอฟต์แวร์เป็นจำนวนมาก และลักษณะการเข้าถึงโครงการซอฟต์แวร์ที่ได้รับผลกระทบนั้นก็เกิดขึ้นในลักษณะที่จำกัด เช่น เป็นผลลัพธ์จากการเสิร์ชคีย์เวิร์ดที่เกี่ยวข้อง secret ในซอร์สโค้ดแล้วเข้าดูเพียงบางไฟล์
หลังจากเข้าถึงแล้ว ผู้โจมตีมีการดาวน์โหลดซอร์สโค้ดบางส่วนออกไป ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบนั้นได้แก่โครงการบางส่วนของ Azure, Intune และ Exchange ซึ่งล้วนแล้วแต่เป็นส่วนน้อยของซอร์สโค้ดทั้งหมด
ด้วยมาตรการรักษาความปลอดภัยปัจจุบัน ผู้โจมตีไม่สามารถที่จะเข้าถึงข้อมูลสำหรับการยืนยันตัวตนของบัญชีที่มีสิทธิ์สูงในระบบ หรือมีการใช้เทคนิคที่เกี่ยวข้องกับ SAML กับโดเมนของไมโครซอฟต์ได้

ที่มา: msrc-blog

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

ไมโครซอฟต์เข้าขัดขวางปฏิบัติการของแฮกเกอร์จีน Gadolinium ในการใช้ Azure เป็นฐานในการโจมตี

ไมโครซอฟต์รายงานผลการวิเคราะห์และขัดขวางปฏิบัติการของแฮกเกอร์จีนกลุ่ม Gadolinium หลังจากมีการตรวจพบ TTP ใหม่ซึ่งผู้โจมตีมีการย้ายมาใช้ประโยชน์ free-trial sรือ one-time payment (PayGo) ของบริการ Azure และการพัฒนาแอปใน Azure Active Directory มาใช้ในการโจมตี

Gadolinium เป็นกลุ่มแฮกเกอร์จากจีนซึ่งถูกตรวจพบพฤติกรรมครั้งแรกในปี 2016 โดยมีการเปลี่ยนพฤติกรรมการโจมตี เครื่องมือที่ใช้และเป้าหมายอยู่เรื่อยมา ในปี 2020 นั้น กลุ่ม Gadolinium มีวิธีการเข้าถึงและโจมตีอยู่โดยอาศัยการส่ง spear phishing ในอ้างอิงข้อมูลของ COVID-19 ซึ่งมีการสอดแทรกโค้ดอันตรายอยู่ข้างใน โดยหากมีการเปิดไฟล์แล้ว จะมีการดาวโหลด Payload ส่วนที่สองในลักษณะของไฟล์ PNG ที่มีโค้ด PowerShell จากบริการ Microsoft Graph API โดยโค้ด PowerShell ดังกล่าวถูกสร้างมาจากโครงการ PowerShell Empire

เป้าหมายส่วนหนึ่งของกลุ่ม Gadolinium ในปี 2020 นั้นคือการเข้าถึงใน Microsoft OneDrive Storage ซึ่งแฮกเกอร์มีการสร้าง Azure Active Directory เอาไว้ในการเข้าถึงและขโมยข้อมูลออกมา โดยในกรณีนี้ ไมโครซอฟต์มีการตรวจพบแอปกว่า 18 รายการที่เกี่ยวข้องกับการโจมตีและได้นำออกจากระบบเป็นที่เรียบร้อยแล้ว

เซอร์วิส Cloud กำลังจะกลายเป็นปัญหาในการตรวจจับและเฝ้าระวังภัยคุกคามใหม่ในเร็ววันนี้หากองค์กรไม่มีการขยับตัวตาม เราขอแนะนำให้ศึกษารายละเอียดพฤติกรรมการโจมตีเพื่อการสร้างความปลอดภัยที่เหมาะสมจากข้อมูลในแหล่งที่มา

ที่มา: microsoft.

RangeAmp attacks can take down websites and CDN servers

“RangeAmp” เทคนิคการโจมตี DoS รูปแบบใหม่ที่สามารถทำให้เว็บไซต์และเซิร์ฟเวอร์ CDN หยุดให้บริการ

กลุ่มนักวิจัยจากสถาบันการศึกษาของจีนได้เผยเเพร่การค้นพบเทคนิคการโจมตี Denial-of-Service (DoS) รูปแบบใหม่ที่ชื่อว่า “RangeAmp” โดยใช้ประโยชน์จากแอตทริบิวต์ HTTP "Range Requests" ทำการขยายแพ็คเก็ต HTTP Requests เพื่อเพิ่มปริมาณและใช้ในการโจมตีเว็บไซต์และเซิร์ฟเวอร์ CDN

HTTP Range Requests เป็นมาตรฐานของ HTTP ที่จะอนุญาตให้ไคลเอนต์สามารถร้องขอส่วนหนึ่งของไฟล์อย่างเฉพาะเจาะจง ซึ่งช่วยให้เกิดการหยุดการเชื่อมต่อหรือร้องขอให้การเชื่อมต่อกลับมาเมื่อต้องเผชิญกับความไม่เสถียรของการเชื่อมต่อเครือข่าย ด้วยเหตุนี้จึงมีการอิมพลีเมนต์และรองรับโดยเว็บเบราว์เซอร์และเซิร์ฟเวอร์ CDN

กลุ่มนักวิจัยกล่าว่า การเทคนิคการโจมตี “RangeAmp” นั้นมีรูปแบบอยู่ 2 รูปแบบที่ต่างกันคือ

เทคนิคโจมตี RangeAmp Small Byte Range (SBR) ผู้โจมตีจะส่งคำร้องขอช่วง HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ซึ่งจะเพิ่มปริมาณการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ปลายทางเพื่อทำให้เว็บไซต์เป้าหมายเสียหายและหยุดให้บริการ การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากแพ็คเก็ตการส่งปกติไปจนถึง 724 ถึง 43,330 เท่าของทราฟฟิกเดิม
เทคนิคโจมตี RangeAmp Overlapping Byte Ranges (OBR) ผู้โจมตีจะส่งคำขอ HTTP รูปแบบพิเศษไปยังผู้ให้บริการ CDN ทราฟฟิคจะเกิดการขยายขึ้นภายในเซิร์ฟเวอร์ CDN ซึงจะทำให้เกิดการโจมตี DoS ได้ทั้งเว็บไซต์ปลายทางและเซิร์ฟเวอร์ CDN การโจมตีด้วยเทคนิคนี้สามารถขยายทราฟฟิกจากการโจมตีได้ถึง 7,500 เท่าจากแพ็คเก็ตการส่งปกติ

นักวิจัยกล่าวว่าเทคนิคโจมตี “RangeAmp” นี้มีส่งผลต่อผู้ให้บริการเซิร์ฟเวอร์ CDN หลายเจ้าได้เเก่ Akamai, Alibaba Cloud, Azure, Cloudflare, CloudFront, CDNsun, CDN77, Fastly, Labs G-Core, Huawei Cloud, KeyCDN และ Tencent Cloud

ทั้งนี้ผู้ที่สนใจเทคนิคการโจมตี “RangeAmp” สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: liubaojun

ที่มา: zdnet

Hackers Exploit ‘Flash’ Vulnerability in Yahoo Ads

บริษัทความปลอดภัย Malwarebytes รายงานว่าในรอบสัปดาห์ที่ผ่านมา (นับตั้งแต่ 28 ก.ค.) มีแฮกเกอร์ใช้เครือข่ายโฆษณาของ Yahoo เผยแพร่มัลแวร์ครั้งใหญ่ที่สุดครั้งหนึ่งในประวัติศาสตร์วงการไอที
Malwarebytes ตรวจสอบพบว่าแฮกเกอร์รายนี้เช่าเซิร์ฟเวอร์ Azure บวกกับเซิร์ฟเวอร์ของตัวเอง แล้วลงโฆษณาผ่านระบบของ Yahoo ให้อยู่ในรูปไฟล์ Flash โดยฝังโค้ดประสงค์ร้ายไว้ในโฆษณา ถ้าหากผู้ใช้ที่โชคร้ายเปิดมาพบโฆษณาชุดนี้ และ Flash Player ในเครื่องไม่ได้อัพเดตเป็นเวอร์ชั่นล่าสุด ก็จะโดนเจาะผ่านช่องโหว่ของ Flash ทันที
ความร้ายแรงของการแพร่มัลแวร์รอบนี้อาศัยช่องโหว่ที่ผู้ใช้จำนวนมากไม่ยอมอัพเดต Flash บวกกับเครือข่ายโฆษณาของ Yahoo ที่เข้าถึงเว็บใหญ่ๆ เป็นจำนวนมาก ทำให้มีคนที่ได้รับผลกระทบในวงกว้าง
โฆษณาที่ว่านี้แสดงเป็นเวลานานประมาณ 1 สัปดาห์ หลังจากที่ Malwarebytes พบเข้าจึงแจ้งไปยัง Yahoo และบริษัทก็สั่งปิดโฆษณาทันที

ที่มา : The New York Times