ผู้โจมตีได้มุ่งเป้าโจมตีระบบ Production environments ของ Microsoft 365 และ Azure โดยกำลังขโมยข้อมูลผ่านการโจมตีในรูปแบบแอปพลิเคชัน และฟีเจอร์ administration ที่ถูกต้องตามปกติ (more…)

ชุดเครื่องมือ Phishing Tycoon2FA ในปัจจุบัน รองรับการโจมตีแบบ Device-Code แล้ว และมีการใช้ประโยชน์จาก URL ติดตามการคลิกของ Trustifi เพื่อแฮ็กบัญชี Microsoft 365 (more…)

Microsoft แก้ไข 3 ช่องโหว่ระดับ Critical บน Microsoft 365 Copilot ที่อาจทำให้ข้อมูลสำคัญรั่วไหลได้

Microsoft ได้เปิดเผย และแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical จำนวน 3 รายการ ที่ส่งผลกระทบโดยตรงต่อ Microsoft 365 Copilot และ Copilot Chat ใน Microsoft Edge โดยช่องโหว่ทั้งหมดได้รับการแก้ไขเรียบร้อยแล้วเมื่อวันที่ 7 พฤษภาคม 2026 ซึ่งผู้ใช้งานทั่วไป และผู้ดูแลระบบ ไม่จำเป็นต้องดำเนินการใด ๆ เพิ่มเติม (more…)

ผู้ไม่หวังดีหลายกลุ่มกำลังโจมตีบัญชี Microsoft 365 ผ่านการโจมตีแบบ phishing ที่อาศัยกลไกการยืนยันตัวตนด้วย Device code ของ OAuth (OAuth device code authorization) (more…)

Microsoft วางแผนที่จะเพิ่มความปลอดภัยให้กับระบบ Entra ID authentication จากการโจมตีในรูปแบบ script injection จากภายนอก โดยจะเริ่มดำเนินการในช่วงกลางถึงปลายเดือนตุลาคม 2026 (more…)

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ชื่อ Quantum Route Redirect กำลังใช้โดเมนจำนวนกว่า 1,000 โดเมนเพื่อขโมยข้อมูล credentials ของผู้ใช้ Microsoft 365

(more…)

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบในการยกระดับความปลอดภัยให้กับ Microsoft Exchange Server บนเครือข่ายของตนเพื่อป้องกันการโจมตี

แนวทางปฏิบัติที่แนะนำ ได้แก่ การยกระดับความปลอดภัยของการ authentication และการเข้าถึงของผู้ใช้, การลด surfaces การโจมตีของแอปพลิเคชัน และการสร้างความแข็งแกร่งของ network encryption

หน่วยงานทั้งสองยังแนะนำให้ผู้ดูแลระบบยุติการใช้งาน Exchange servers แบบ on-premises หรือแบบ hybrid ที่ end-of-life หลังจากเปลี่ยนไปใช้ Microsoft 365 แล้ว เนื่องจากการคง Exchange servers ตัวสุดท้ายไว้ในระบบโดยที่ไม่ได้อัปเดต อาจทำให้องค์กรตกเป็นเป้าของการโจมตี และเพิ่มความเสี่ยงต่อการละเมิดความปลอดภัยอย่างมีนัยสำคัญ

นอกจากนี้ แม้ว่าจะไม่ได้กล่าวถึงในคำแนะนำของ CISA และ NSA แต่การเฝ้าระวังกิจกรรมที่เป็นอันตราย หรือน่าสงสัย และการวางแผนรับมือเหตุการณ์ที่อาจเกิดขึ้น และการกู้คืนข้อมูล ก็มีความสำคัญอย่างยิ่งเช่นกัน ในการลดความเสี่ยงที่เกี่ยวข้องกับ Exchange servers ภายในองค์กร

หน่วยงานทั้งสองกล่าวสรุปในรายงาน โดยมีศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลีย (ACSC) และศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งแคนาดา (Cyber Centre) เข้าร่วมด้วย โดยระบุว่า "ด้วยการจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ, การใช้การยืนยันตัวตนแบบหลายปัจจัย, การบังคับใช้การกำหนดค่าความปลอดภัยการรับส่งข้อมูลที่เข้มงวด และการนำหลักการความปลอดภัยแบบ Zero Trust (ZT) มาใช้ โดยองค์กรต่าง ๆ จะสามารถเสริมสร้างการป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างมาก"

"นอกจากนี้ เนื่องจาก Exchange Server บางเวอร์ชันเพิ่งสิ้นสุดอายุการใช้งาน (EOL) หน่วยงานฯ จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ ดำเนินมาตรการเชิงรุกเพื่อลดความเสี่ยง และป้องกันกิจกรรมที่เป็นอันตราย"

CISA, NSA และพันธมิตร ได้แชร์คำแนะนำด้านความปลอดภัยที่สำคัญกว่า 10 ข้อ สำหรับผู้ดูแลระบบเครือข่าย ซึ่งรวมถึงการอัปเดตเซิร์ฟเวอร์ให้เป็นปัจจุบันอยู่เสมอ, การย้ายระบบจาก Exchange เวอร์ชันที่ไม่รองรับ, การเปิดใช้งานบริการบรรเทาผลกระทบฉุกเฉิน, การเปิดใช้งานฟีเจอร์ป้องกันสแปม และมัลแวร์ในตัว, การจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเฉพาะจากส่วนการทำงานที่ได้รับอนุญาต และการใช้มาตรฐานความปลอดภัยพื้นฐาน สำหรับทั้งระบบ Exchange Server และ Windows

หน่วยงานต่าง ๆ ยังแนะนำให้เสริมความแข็งแกร่งของการยืนยันตัวตนด้วยการเปิดใช้งาน MFA, Modern Auth, การใช้ประโยชน์จาก OAuth 2.0, การใช้ Kerberos และ SMB แทน NTLM เพื่อรักษาความปลอดภัยกระบวนการยืนยันตัวตน และการกำหนดค่า Transport Layer Security เพื่อปกป้องความสมบูรณ์ของข้อมูล และ Extended Protection เพื่อป้องกันการโจมตีแบบ Adversary-in-the-Middle (AitM), การโจมตีแบบ relay และ forwarding

องค์กรต่าง ๆ ควรเปิดใช้งาน certificate-based signing สำหรับ Exchange Management Shell และใช้ HTTP Strict Transport Security (HSTS) เพื่อให้มั่นใจว่าการเชื่อมต่อเบราว์เซอร์มีความปลอดภัย นอกจากนี้ องค์กรควรใช้ role-based access control เพื่อจัดการสิทธิ์ของผู้ใช้ และผู้ดูแลระบบ, กำหนดค่า Download Domains เพื่อบล็อกการโจมตีแบบ Cross-Site Request Forgery (CSRF) และเฝ้าระวังความพยายามในการแก้ไข P2 FROM header เพื่อป้องกันการ spoofing sender

คำแนะนำร่วมฉบับนี้ เป็นการต่อยอดจากคำสั่งฉุกเฉิน (ED 25-02) ที่ CISA ออกเมื่อเดือนสิงหาคม 2025 ซึ่งสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) รักษาความปลอดภัยระบบของตนจากช่องโหว่ระดับความรุนแรงสูงของ Microsoft Exchange แบบ hybrid (CVE-2025-53786) ภายใน 4 วัน

ตามที่ Microsoft เตือนไว้ในขณะนั้น ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Exchange Server 2016, 2019 และ Subscription Edition โดยเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบของ Exchange Server แบบ on-premises สามารถโจมตีต่อไปยังระบบ Cloud ของ Microsoft ได้ ซึ่งอาจนำไปสู่การโจมตีโดเมนทั้งหมด

เพียงไม่กี่วันหลังจากที่ CISA สั่งการให้หน่วยงานรัฐบาลกลางอัปเดตแพตช์เซิร์ฟเวอร์ของตน Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังทางอินเทอร์เน็ต พบว่ายังมีเซิร์ฟเวอร์ Exchange กว่า 29,000 เครื่อง ที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-53786

ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มที่มีแรงจูงใจทางด้านการเงิน ได้ใช้ประโยชน์จากช่องโหว่ความปลอดภัยของ Exchange หลายรายการเพื่อเจาะระบบเซิร์ฟเวอร์ รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyShell และ ProxyLogon ตัวอย่างเช่น ในเดือนมีนาคม 2021 มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มที่ใช้ประโยชน์จากช่องโหว่ ProxyLogon ซึ่งรวมถึงกลุ่ม Silk Typhoon ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน

ที่มา : bleepingcomputer

แพลตฟอร์ม Phishing-as-a-Service (PhaaS) ตัวใหม่ที่ชื่อ “VoidProxy” กำลังมุ่งเป้าการโจมตีไปที่ผู้ใช้บัญชี Microsoft 365 และ Google รวมถึงบัญชีที่ได้รับการป้องกันแบบ Single Sign-On (SSO) จากผู้ให้บริการภายนอกอย่าง Okta

แพลตฟอร์มดังกล่าวใช้วิธีการโจมตีแบบ Adversary-in-the-Middle (AitM) เพื่อขโมยข้อมูล Credentials, Multi-factor authentication (MFA) และ Session Cookies ของเหยื่อ โดยสามารถขโมยได้แบบ real time

VoidProxy ถูกพบโดยนักวิจัยจาก Okta Threat Intelligence ซึ่งระบุว่า แพลตฟอร์มดังกล่าวมีความสามารถในการ Scalable, หลบเลี่ยงการตรวจจับได้ดี และมีความซับซ้อนสูง

การโจมตีจะเริ่มต้นจากอีเมลที่ส่งมาจากบัญชีที่ถูกแฮ็กบนแพลตฟอร์มของผู้ให้บริการส่งอีเมล เช่น Constant Contact, Active Campaign และ NotifyVisitors โดยอีเมลเหล่านี้จะมี Shortened Links ที่จะส่งผู้รับไปยังเว็บไซต์ phishing หลังจากถูกเปลี่ยนเส้นทางหลายครั้ง

เว็บไซต์อันตรายเหล่านี้จะ Host จะอยู่บนโดเมนราคาถูก เช่น .icu, .sbs, .cfd, .xyz, .top และ .home โดยใช้ Cloudflare เพื่อซ่อน IP Address ที่แท้จริงของเซิร์ฟเวอร์ไว้

เมื่อผู้ใช้เข้าสู่เว็บไซต์ จะพบกับ CAPTCHA ของ Cloudflare เพื่อกรองบอทออกไป และช่วยเพิ่มความน่าเชื่อถือ ในขณะเดียวกัน ก็ใช้สภาพแวดล้อมของ Cloudflare Workers เพื่อ filter traffic และโหลดหน้าเว็บต่าง ๆ ที่ใช้ในการโจมตี

โดยเป้าหมายที่ถูกเลือกจะเจอหน้าเว็บที่เลียนแบบหน้าการล็อกอินของ Microsoft หรือ Google ส่วนผู้ใช้งานรายอื่น ๆ จะถูกส่งไปยังหน้าเว็บทั่วไปที่ขึ้นข้อความว่า “Welcome” ซึ่งไม่มีอันตรายใด ๆ

หากมีการกรอกข้อมูล Credentials ลงใน Phishing form, Requests จะถูกส่งผ่าน Proxy ด้วยเทคนิคการโจมตีแบบ AitM ของ VoidProxy ไปยังเซิร์ฟเวอร์ของ Google หรือ Microsoft โดยตรง

สำหรับบัญชีแบบ Federated ที่ใช้ Okta ในการ SSO จะถูกเปลี่ยนเส้นทางไปยังหน้าถัดไปของเว็บ Phishing ซึ่งจะทำเลียนแบบเป็นหน้าขั้นตอน SSO ของ Microsoft 365 หรือ Google ที่ทำงานร่วมกับ Okta โดย Requests เหล่านี้จะถูกส่งผ่าน Proxy ไปยังเซิร์ฟเวอร์ของ Okta

Proxy Server ของบริการนี้จะทำหน้าที่รับ-ส่ง traffic ระหว่างเหยื่อกับ Microsoft หรือ Google ขณะเดียวกันก็จะดักจับข้อมูลชื่อผู้ใช้, รหัสผ่าน, และรหัส MFA ในระหว่างการส่งข้อมูล

เมื่อ Microsoft หรือ Google ออก Session Cookie เพื่อยืนยันการเข้าระบบ, VoidProxy จะดักจับคุกกี้นั้นไว้ และสร้าง Copy ขึ้นมา จากนั้นจะถูกส่งไปให้ผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงผ่าน Admin Panel ของแพลตฟอร์มได้

Okta ระบุว่า ผู้ใช้งานที่ลงทะเบียนใช้การยืนยันตัวตนแบบ Phishing-resistant เช่น Okta FastPass จะได้รับการป้องกันจากขั้นตอนการโจมตีของ VoidProxy และจะได้รับการแจ้งเตือนว่าบัญชีของพวกเขากำลังถูกโจมตี

นักวิจัยได้ให้คำแนะนำเพื่อป้องกันการโจมตีในลักษณะนี้ ได้แก่ :

จำกัดการเข้าถึงแอปพลิเคชันที่สำคัญให้ใช้ได้เฉพาะ Managed Devices เท่านั้น
บังคับใช้นโยบาย Risk-based Access Controls
ใช้ IP Session Binding สำหรับ administrative apps
บังคับให้มีการ Re-authentication เมื่อผู้ดูแลระบบพยายามดำเนินการในส่วนที่มีความสำคัญ

ที่มา : bleepingcomputer

นักวิจัยได้ขัดขวางการโจมตีที่เชื่อมโยงกับกลุ่มผู้โจมตี Midnight Blizzard ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย โดยกลุ่มดังกล่าวพยายามเข้าถึงบัญชี และข้อมูลใน Microsoft 365 (more…)

Microsoft ได้ประกาศว่าแอป Microsoft 365 สำหรับ Windows จะเริ่มบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่าที่ไม่ปลอดภัยอย่าง FPRPC (FrontPage Remote Procedure Call) เป็นค่า default ตั้งแต่ช่วงปลายเดือนสิงหาคมนี้เป็นต้นไป

การเปลี่ยนแปลงดังกล่าวมีผลเฉพาะกับแอป Microsoft 365 สำหรับ Windows เท่านั้น และจะไม่มีผลกระทบต่อผู้ใช้งาน Microsoft Teams บนแพลตฟอร์ม Windows, Mac, เว็บ, iOS หรือ Android

Microsoft ระบุในข้อความประกาศใหม่บน Microsoft 365 Admin Center เมื่อวันพุธที่ผ่านมาว่า “แอป Microsoft 365 จะบล็อกโปรโตคอลการเปิดไฟล์ที่ไม่ปลอดภัย เช่น FPRPC เป็นค่า default เริ่มตั้งแต่เวอร์ชัน 2508 เป็นต้นไป พร้อมเพิ่มการตั้งค่าใหม่ใน Trust Center เพื่อจัดการโปรโตคอลเหล่านี้”

“การเปลี่ยนแปลงเหล่านี้ช่วยเพิ่มความปลอดภัยโดยลดความเสี่ยงจากการใช้เทคโนโลยีที่ล้าสมัย เช่น FrontPage Remote Procedure Call (FPRPC), FTP และ HTTP”

เริ่มตั้งแต่เวอร์ชัน 2508 ของแอป Microsoft 365 เป็นต้นไป การเปิดไฟล์โดยใช้โปรโตคอล FPRPC แบบเก่าจะถูกบล็อกเป็นค่า default และจะเปลี่ยนไปใช้โปรโตคอล fallback ที่มีความปลอดภัยมากกว่าแทน การเปลี่ยนแปลงนี้จะเริ่มทยอยเปิดให้ใช้งานโดยทั่วไปในช่วงปลายเดือนสิงหาคม 2025 นี้ และคาดว่าจะมีผลกับผู้เช่าทั้งหมดภายในปลายเดือนกันยายนนี้

การตั้งค่าใหม่ใน Trust Center จะช่วยให้ผู้ใช้สามารถเปิดใช้งาน FPRPC ได้อีกครั้ง เว้นแต่จะถูกควบคุมโดย Group Policy หรือ Cloud Policy Service (CPS) นอกจากนี้ ผู้ใช้ยังสามารถปิดการใช้งานการเปิดไฟล์ผ่าน FTP และ HTTP ได้ แม้ว่าจะยังถูกอนุญาตให้ใช้ได้โดยค่า default

ผู้ดูแลระบบสามารถจัดการการตั้งค่าโปรโตคอลการยืนยันตัวตนได้ผ่านบริการ Cloud Policy Service (CPS) ภายใต้การตั้งค่าของ Microsoft 365 Apps หากโปรโตคอลถูกปิดการใช้งานผ่าน CPS ผู้ใช้จะไม่สามารถเปิดใช้งานได้อีกจาก Trust Center

การเปลี่ยนแปลงครั้งนี้เกิดขึ้นหลังจากประกาศเมื่อเดือนมิถุนายนที่ผ่านมาว่า Microsoft จะเริ่มอัปเดตการตั้งค่าความปลอดภัยเริ่มต้นสำหรับ Microsoft 365 tenants ทั้งหมด เพื่อบล็อกการเข้าถึงไฟล์ผ่านโปรโตคอลการยืนยันตัวตนแบบเก่า เช่น RPS (Relying Party Suite) และ FPRPC (FrontPage Remote Procedure Call) และเพื่อป้องกันผู้ใช้จากการโจมตีแบบ brute-force และ phishing ที่อาศัยช่องโหว่จากวิธีการยืนยันตัวตนที่ล้าสมัยนี้

ตั้งแต่ต้นปีที่ผ่านมา Microsoft ยังได้เริ่มปิดการใช้งาน ActiveX controls ทั้งหมดในแอป Microsoft 365 และ Office 2024 เวอร์ชันสำหรับ Windows และยังได้เปิดเผยว่าในเดือนกรกฎาคมจะเปิดตัวฟีเจอร์ใหม่ใน Teams ที่ออกแบบมาเพื่อบล็อกการจับภาพหน้าจอระหว่างการประชุมอีกด้วย

และเมื่อไม่นานมานี้ Microsoft ยังได้ประกาศว่าจะเพิ่มไฟล์ประเภท .library-ms และ .search-ms เข้าไปในรายการไฟล์แนบที่ถูกบล็อกใน Outlook โดยเริ่มมีผลตั้งแต่เดือนกรกฎาคมที่ผ่านมา

 

ที่มา : bleepingcomputer.