กลุ่มผู้โจมตีได้ใช้บริการ link wrapping จากบริษัทเทคโนโลยีชื่อดัง เพื่อซ่อนลิงก์ที่เป็นอันตรายให้นำไปสู่หน้าเว็บไซต์ phishing ของ Microsoft 365 ซึ่งมีเป้าหมายเพื่อขโมยข้อมูลการล็อกอินของเหยื่อ (more…)

Microsoft ได้ประกาศแผนการที่จะลบไดรเวอร์รุ่นเก่าออกจาก catalog ของ Windows Update เป็นระยะ ๆ เพื่อลดความเสี่ยงด้านความปลอดภัย และความเข้ากันได้ของอุปกรณ์

Microsoft ระบุว่า "เหตุผลเบื้องหลังความคิดริเริ่มนี้ คือเพื่อให้แน่ใจว่ามีชุดไดรเวอร์ที่เหมาะสมที่สุดบน Windows Update ที่สามารถรองรับอุปกรณ์ hardware หลากหลายประเภททั่วทั้ง ecosystem ของ Windows ขณะเดียวกันก็ต้องมั่นใจว่าสถานะความปลอดภัยของ Microsoft Windows จะไม่ถูกลดทอนลงด้วยเช่นกัน"

"ความคิดริเริ่มนี้เกี่ยวข้องกับการ cleanup ไดรเวอร์ออกจาก Windows Update เป็นระยะ ๆ ซึ่งจะส่งผลให้ไดรเวอร์บางรายการจะไม่ถูกเสนอให้ติดตั้งกับอุปกรณ์ใด ๆ ใน ecosystem ของ Windows อีกต่อไป"

ตามที่ Microsoft ได้อธิบายเมื่อวันพฤหัสบดีที่ผ่านมาว่า ขั้นตอนแรกของกระบวนการ cleaning up นี้ จะเริ่มจากไดรเวอร์ที่มีเวอร์ชันใหม่กว่าที่ถูกเผยแพร่อยู่ใน Windows Update อยู่แล้ว

ในบริบทนี้ การ cleanup หมายถึง การทำให้ไดรเวอร์หมดอายุ โดยการลบความเชื่อมโยงของไดรเวอร์กับกลุ่มเป้าหมายใน Windows Update ออก ซึ่งจะทำให้ไดรเวอร์ดังกล่าวไม่ถูกนำเสนอให้ติดตั้งกับระบบ Windows ใด ๆ อีกต่อไป โดยกระบวนการนี้จะดำเนินการผ่านการลบการกำหนดกลุ่มเป้าหมายของไดรเวอร์ที่หมดอายุใน Hardware Development Center

Microsoft จะเริ่มจากการลบไดรเวอร์รุ่นเก่าออกก่อน และจะค่อย ๆ ขยายไปยังหมวดหมู่อื่น ๆ ที่สามารถลบได้เพื่อเพิ่มความปลอดภัย อย่างไรก็ตาม พาร์ทเนอร์ยังสามารถนำไดรเวอร์ที่ถูก Microsoft ลบออกในกระบวนการ clean-up นี้กลับมาเผยแพร่ใหม่ได้ หากพวกเขาสามารถให้เหตุผลทางธุรกิจที่สมเหตุสมผลได้

Microsoft ระบุเพิ่มเติมอีกว่า "การที่ Microsoft นำไดรเวอร์รุ่นเก่าออกจาก Windows Update เป็นมาตรการเชิงรุกเพื่อปกป้องความปลอดภัย และปรับปรุงคุณภาพของไดรเวอร์สำหรับผู้ใช้ Windows"

"จากนี้ไป คาดว่าการ cleanup นี้จะกลายเป็นแนวทางปฏิบัติที่เป็นกิจวัตรประจำ และเตรียมพบกับแนวทางการเผยแพร่ไดรเวอร์รูปแบบใหม่ ที่จะช่วยให้ผู้ใช้ Windows ทุกคนสามารถรักษาระบบของตนให้อยู่ในสถานะที่ปลอดภัย และเชื่อถือได้"

เมื่อเดือนพฤษภาคมที่ผ่านมา Microsoft ยังได้ประกาศการเปลี่ยนแปลงเกี่ยวกับการรับรองไดรเวอร์ในเวอร์ชันทดสอบ (pre-production) ซึ่งเป็นผลมาจากการที่ Certificate Authorities - CAs บางรายกำลังจะหมดอายุในเดือนกรกฎาคมที่จะถึงนี้ รวมถึงการยุติให้บริการ Windows Metadata and Internet Services (WMIS) และ Metadata ของอุปกรณ์

นอกจากนี้ เมื่อต้นสัปดาห์ที่ผ่านมา Microsoft ยังได้เปิดตัวการตั้งค่าความปลอดภัยเริ่มต้นใหม่สำหรับ Windows 365 Cloud PC และจะอัปเดตค่าความปลอดภัยเริ่มต้นสำหรับผู้ใช้ Microsoft 365 ทั้งหมดในเดือนกรกฎาคมที่จะถึงนี้ เพื่อบล็อกการเข้าถึงไฟล์ใน SharePoint, OneDrive และ Office โดยใช้โปรโตคอลการยืนยันตัวตนแบบเก่า (legacy authentication protocols) อีกด้วย

 

ที่มา : bleepingcomputer.

 

Microsoft ประกาศปรับปรุงนโยบายความปลอดภัยใน Outlook Web และ Outlook เวอร์ชันใหม่สำหรับ Windows โดยตั้งแต่เดือนกรกฎาคม 2025 ไฟล์แนบประเภท .library-ms และ .search-ms จะถูกเพิ่มเข้าในรายการ BlockedFileTypes ตามการอัปเดตใน Microsoft 365 Message Center โดยอัตโนมัติ (more…)

กลุ่มแฮ็กเกอร์จากรัสเซีย ใช้ช่องโหว่ OAuth 2.0 authentication เพื่อแฮ็กบัญชี Microsoft 365 ของพนักงานในองค์กรที่เกี่ยวข้องกับยูเครน และองค์กรด้านสิทธิมนุษยชน

ผู้โจมตีแอบอ้างตัวเป็นเจ้าหน้าที่จากประเทศในยุโรป และติดต่อเป้าหมายผ่านแอปส่งข้อความอย่าง WhatsApp และ Signal โดยเป้าหมายคือการโน้มน้าวให้เหยื่อใส่รหัส authorization codes สำหรับ Microsoft หรือทำการคลิกลิงก์อันตราย เพื่อเก็บข้อมูลการล็อกอิน และรหัสผ่านแบบ One-Time Codes

บริษัทด้านความปลอดภัยทางไซเบอร์ Volexity สังเกตเห็นพฤติกรรมนี้ตั้งแต่ช่วงต้นเดือนมีนาคม 2025 หลังจากที่เคยเกิดเหตุการณ์ในลักษณะเดียวกันนี้ในเดือนกุมภาพันธ์ ซึ่งเคยถูกรายงานโดย Volexity และ Microsoft โดยในครั้งนั้นผู้โจมตีใช้เทคนิคฟิชชิงผ่าน Device Code Authentication เพื่อขโมยบัญชี Microsoft 365

Volexity ได้ติดตามกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีทั้งสองแคมเปญในชื่อ UTA0352 และ UTA0355 และประเมินด้วยความมั่นใจในระดับปานกลางว่าทั้งสองกลุ่มเป็นชาวรัสเซีย

ลำดับการโจมตี

ในรายงานที่เผยแพร่วันที่ 25 เมษายน 2025 นักวิจัยได้อธิบายว่า การโจมตีเริ่มต้นจากการส่งข้อความผ่านแอปพลิเคชัน Signal หรือ WhatsApp

โดย Volexity ระบุว่า ในบางกรณี ข้อความดังกล่าวถูกส่งมาจากบัญชีของรัฐบาลยูเครนที่ถูกโจมตี

โดยผู้โจมตีจะแอบอ้างเป็นเจ้าหน้าที่ทางการเมืองของยุโรป หรือเจ้าหน้าที่การทูตของยูเครน และหลอกเป้าหมายด้วยคำเชิญให้เข้าร่วมการประชุมวิดีโอส่วนตัวเพื่อหารือเกี่ยวกับประเด็นที่เกี่ยวข้องกับยูเครน

เมื่อสามารถสร้างช่องทางการสื่อสารกับเป้าหมายได้แล้ว ผู้โจมตีจะส่ง phishing URL ในรูปแบบ OAuth โดยอ้างว่าเป็นลิงก์ที่จำเป็นสำหรับเข้าร่วมการประชุม

กลุ่ม UTA0352 อาจส่งคำแนะนำในการเข้าร่วมประชุมในรูปแบบไฟล์ PDF พร้อมกับลิงก์อันตรายที่ถูกออกแบบมาให้ใช้สำหรับล็อกอินเข้าสู่ระบบ Microsoft และแอปของ third-party ซึ่งใช้ในขั้นตอน OAuth ของ Microsoft 365

หลังจากเป้าหมายทำการยืนยันตัวตนเรียบร้อยแล้ว นักวิจัยระบุว่า จะมีการเปลี่ยนเส้นทางผู้ใช้ไปยัง Visual Studio Code เวอร์ชันในเบราว์เซอร์ ซึ่งโฮสต์อยู่ที่ insiders.

อาชญากรไซเบอร์กำลังโปรโมตแอป Microsoft OAuth ที่เป็นอันตราย โดยปลอมตัวเป็นแอปของ Adobe และ DocuSign เพื่อติดตั้งมัลแวร์ และขโมยข้อมูล credentials ของบัญชี Microsoft 365

แคมเปญเหล่านี้ถูกพบโดยนักวิจัยจาก Proofpoint ซึ่งโพสต์ผ่านบน X โดยระบุว่า การโจมตีนี้เป็น "highly targeted" อย่างชัดเจน

แอป OAuth ที่เป็นอันตรายในแคมเปญนี้จะปลอมตัวเป็น Adobe Drive, Adobe Drive X, Adobe Acrobat และ DocuSign

แอปเหล่านี้จะขอการเข้าถึงสิทธิ์แบบ less sensitive permissions เช่น profile, email และ openid เพื่อหลีกเลี่ยงการถูกตรวจจับ และสร้างความสงสัย

หากได้รับอนุญาตให้เข้าถึงสิทธิ์เหล่านี้ ผู้โจมตีจะสามารถเข้าถึงข้อมูลต่อไปนี้

Profile : ชื่อ-นามสกุล, User ID, รูปโปรไฟล์, Username
Email : Email address หลัก (แต่ไม่สามารถเข้าถึงกล่องจดหมายได้)
Openid : ช่วยให้สามารถยืนยันตัวตนของผู้ใช้ และดึงข้อมูลรายละเอียดบัญชี Microsoft ได้

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า แคมเปญฟิชชิ่งเหล่านี้ถูกส่งจากองค์กรการกุศล หรือบริษัทขนาดเล็กที่ถูกโจมตีบัญชีอีเมล ซึ่งน่าจะเป็นบัญชี Office 365

อีเมลฟิชชิ่งเหล่านี้มุ่งเป้าไปยังหลายอุตสาหกรรมในสหรัฐอเมริกา และยุโรป รวมไปถึง government, healthcare, supply chain และ retail โดยอีเมลบางฉบับที่ Proofpoint พบ มีการใช้เทคนิคหลอกล่อผู้ใช้งาน เช่น RFPs และ สัญญาทางธุรกิจ เพื่อหลอกให้ผู้รับคลิกลิงก์

แม้ว่าสิทธิ์ที่ได้รับจากแอป Microsoft OAuth จะให้ข้อมูลกับผู้โจมตีเพียงบางส่วน แต่ข้อมูลดังกล่าวก็สามารถนำไปใช้ในการโจมตีแบบ targeted attacks ได้

นอกจากนี้ เมื่อผู้ใช้ให้สิทธิ์แอป OAuth แล้ว ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Landing Page ซึ่งอาจแสดงแบบฟอร์มฟิชชิ่งเพื่อขโมย Microsoft 365 credentials หรือแพร่กระจายมัลแวร์

Proofpoint ให้ข้อมูลกับ BleepingComputer ว่า "เหยื่อจะถูก redirect หลายครั้ง และหลายขั้นตอนหลังจากการอนุญาตแอป O365 OAuth ก่อนที่จะถูกนำไปยังการติดมัลแวร์ หรือหน้าเว็บฟิชชิ่งที่อยู่เบื้องหลัง"

ในบางกรณี เหยื่อถูกเปลี่ยนเส้นทางไปยังหน้า "O365 login" ปลอม ซึ่งโฮสต์อยู่บนโดเมนที่เป็นอันตราย และภายในเวลาไม่ถึงนาทีหลังจากการอนุญาตแอป OAuth ทาง Proofpoint พบว่าจะมีการ Login เข้าสู่ระบบที่น่าสงสัยในบัญชีของเหยื่อ

Proofpoint ระบุว่า ไม่สามารถระบุได้ว่ามัลแวร์ที่ถูกแพร่กระจายเป็นมัลแวร์แบบใด แต่พบว่าผู้โจมตีใช้เทคนิค ClickFix ซึ่งเป็นเทคนิคหนึ่งในการโจมตีแบบ Social Engineering ที่ได้รับความนิยมอย่างมากในช่วงปีที่ผ่านมา

การโจมตีเหล่านี้คล้ายกับเหตุการณ์ที่เคยถูกรายงานเมื่อหลายปีก่อน แสดงให้เห็นว่าแอป OAuth ยังคงเป็นวิธีที่มีประสิทธิภาพในการเข้าควบคุมบัญชี Microsoft 365 โดยไม่ต้องขโมยข้อมูล credentials

ขอแนะนำให้ผู้ใช้งานระมัดระวัง permission requests จากแอป OAuth และตรวจสอบแหล่งที่มา รวมถึงความน่าเชื่อถือของแอปก่อนที่จะอนุมัติการให้สิทธิ์

หากต้องการตรวจสอบการอนุมัติที่มีอยู่แล้ว ให้ไปที่ 'My Apps' (myapplications.

Microsoft แจ้งเตือนผู้ดูแลระบบ Microsoft 365 ว่าฟีเจอร์ใหม่ในการป้องกันการปลอมแปลงแบรนด์สำหรับ Teams Chat จะพร้อมใช้งานสำหรับลูกค้าทุกคนภายในกลางเดือนกุมภาพันธ์ 2025

เมื่อเปิดใช้งาน ฟีเจอร์นี้จะแสดงการแจ้งเตือนเมื่อตรวจพบการโจมตีฟิชชิ่งที่มุ่งเป้าไปยังองค์กรที่เปิดใช้งานการเข้าถึง Teams จากภายนอก (ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งข้อความหาผู้ใช้จากโดเมนภายนอก) (more…)

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์ (more…)

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

แพลตฟอร์ม phishing-as-a-service (PhaaS) ที่เกิดขึ้นใหม่ชื่อว่า Mamba 2FA ถูกตรวจพบว่ากำลังมุ่งเป้าไปที่บัญชี Microsoft 365 ในการโจมตีแบบAiTM โดยใช้หน้าเข้าสู่ระบบที่ออกแบบมาอย่างดี (more…)

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer