New Azure AD Bug Lets Hackers Brute-Force Passwords Without Getting Caught

 

 

 

 

 

 

 

 

ช่องโหว่ใหม่บน Azure AD ทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านจำนวนมากได้โดยที่ไม่ถูกตรวจจับ

นักวิจัย Secureworks Counter Threat Unit (CTU) พบช่องโหว่ที่เกิดขึ้นบน Microsoft Azure Active Directory ที่ยังไม่ได้รับการ Patch ทำให้ผู้ไม่หวังดีทำการโจมตีด้วยการ Brute-force attacks โดยระบุว่าช่องโหว่ดังกล่าวทำให้ผู้ไม่หวังดีสามารถเดารหัสผ่านได้เรื่อยๆด้วยวิธีการ Brute-force บน Microsoft Azure Active Directory โดยไม่ถูกตรวจจับได้จากพฤติกรรมการพยายามเข้าสู่ระบบหลายๆครั้ง

Azure Active Directory เป็น solution ในการจัดการการเข้าถึงข้อมูล และการเข้าถึงบนระบบ Cloud ของ Microsoft ซึ่งออกแบบมาให้เป็น การเข้าถึงแบบ single sing-on (SSO) และ แบบ multi-factor authentication นอกจากนี้ยังเป็นองค์ประกอบหลักของการใช้งาน Microsoft 365(Office 365) อีกด้วย

จุดอ่อนดังกล่าวเกิดขึ้นที่ระบบ Single Sign-On feature ที่อนุญาตให้ผู้ใช้งานเข้าใช้ได้อัตโนมัติ เมื่อใช้อุปกรณ์ขององค์กรที่เชื่อมต่อกับเครือข่ายภายในโดยไม่ต้องทำการใส่ Password เพื่อให้การโจมตีนี้สำเร็จจะต้องอาศัย Kerberos protocol เพื่อหา User Object บน Azure AD และ ticket-granting ticket (TGT) ที่อนุญาตให้เข้าถึงข้อมูลต่างๆในระบบ ผ่าน UserNameMixed ซึ่งเป็นส่วนสร้าง Token และ error code ของ User โดยที่ไม่มีการสร้างข้อมูลเพื่อเก็บการเข้าถึงแบบ Autologon's authentication

โดยทาง Microsoft ได้ออกมาแจ้งให้กับผู้ใช้งานทราบว่า รายละเอียดดังกล่าวที่นักวิจัยได้แจ้งมา ระบุไม่ได้เป็นช่องโหว่ในด้านความปลอดภัยและยืนยันว่าการเข้าถึงในลักษณะดังกล่าวมีการป้องกัน โดย Token ที่ถูกสร้างด้วย UserNameMixed API ไม่สามารถใช้ในการเข้าถึงข้อมูลได้ ซึ่ง Azure AD มีเงื่อนไขในการตรวจสอบบน Conditional Access, Azure AD Multi-Factor Authentication, Azure AD Identity Protection และจะต้องมีการบันทึกข้อมูลในการเข้าถึงเมื่อมีการเข้าสู่ระบบ

ที่มา : thehackernews

อัปเดตสถานการณ์ SolarWinds ส่งท้ายเดือนมกราคม 2021

Symantec ประกาศการค้นพบมัลแวร์ตัวที่ 4 ซึ่งเกี่ยวข้องกับ TEARDROP โดยมัลแวร์ตัวที่ 4 นั้นถูกเรียกว่า RAINDROP โดยมีจุดประสงค์ในการโหลดโค้ดมัลแวร์อื่น ๆ มาใช้งานในระบบที่ถูกโจมตีและยึดครองแล้ว
FireEye ออกรายงาน Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 ซึ่งอธิบายสรุปพฤติกรรมของผู้โจมตีและแนวทางในการเพิ่มความปลอดภัยให้กับ Microsoft 365 อ้างอิงจากพฤติกรรมของผู้โจมตีเพิ่มเติม รวมไปถึงชุดสคริปต์ Mandiant Azure AD Investigator สำหรับการตรวจสอบตามรายงานด้วย
Microsoft 365 Defender Research Team ออกรายงานการวิเคราะห์ส่วนการโจมตีที่สองซึ่งเป็นพฤติกรรมในช่วงที่ผู้โจมตีเข้าถึงระบบเป้าหมายผ่านมัลแวร์ SUNBURST และส่วนที่มีการติดตั้งมัลแวร์ TEARDROP, RAINDROP และมัลแวร์อื่น ๆ เพื่อใช้ทำ Lateral movement อ่านข้อมูลเพิ่มเติมในส่วนนี้ได้ที่ส่วน Attack Techniques
US-CERT ออกรายงาน Malware Analysis Report รหัส AR21-027A ซึ่งเป็นรายละเอียดเกี่ยวกับมัลแวร์ SUPERNOVA
CheckPoint ออกรายงานการจำลองพฤติกรรมของผู้โจมตีในส่วนของการ Lateral movement จากระบบแบบ On-premise ไปยังระบบคลาวด์ Microsoft 365
ตกเป็นเป้าหมาย+เหยื่อใหม่: MalwareBytes, Qualys, Mimecast, Fidelis, Texas IT และอีกกว่า 32% จาก 2,000 โดเมน C&C ในกลุ่มอุตสาหกรรม

อ่านเพิ่มเติม: i-secure

New Microsoft 365 sign-in pages already spoofed for phishing

แคมเปญฟิชชิงที่ปลอมแปลงหน้าลงชื่อเข้าใช้ Microsoft 365

ATP Office 365 ได้เปิดเผยถึงข้อมูลแคมเปญฟิชชิงที่ผู้ไม่หวังดีเริ่มทำการปลอมแปลงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 รูปแบบใหม่หลังจาก Microsoft ได้ทำการอัปเดตหน้าลงชื่อเข้าใช้ใหม่ประมาณสามเดือนที่ผ่านมา

การปรับปรุงหน้าลงชื่อเข้าใช้ของ Microsoft นั้นต้องการลดความต้องการแบนด์วิดท์ที่จำเป็นสำหรับการโหลดหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365 และหวังให้ผู้ใช้เห็นความเเตกต่างจากเว็บไซต์ฟิชชิ่งที่ไม่ได้ทำการปรับปรุงหน้าชื่อเข้าใช้

เเต่จากการเปิดเผยข้อมูลของ ATP Office 365 นั้นพบว่าผู้โจมตีที่ได้ทำการปรับปรุงหน้าลงชื่อเข้าใช้ของ Azure AD และ Microsoft 365 เป็นรูปแบบใหม่ด้วย นั้นทำให้ผู้โจมตีมีความน่าเชื่อถือมากขึ้น โดยทำให้ผู้โจมตีสามารถหลอกล่อเหยื่อให้การเปิดไฟล์ที่แนบและทำให้สามารถรีไดเร็คไปหน้า Landing Page ฟิชชิ่งที่ทำการลอกเลียนแบบหน้าลงชื่อเข้าใช้ Azure AD และ Microsoft 365

Microsoft ได้เเนะนำให้ผู้ใช้ทำการตรวจสอบเเหล่งที่มาของอีเมลที่เปิดอ่านและทำการตรวจสอบทุกครั้งที่เปิดหน้า Landing Page ลงชื่อเข้าใช้เพื่อป้องกันการฟิชชิงข้อมูลของผู้ใช้

ที่มา : bleepingcomputer

คำแนะนำในการรักษาความปลอดภัยให้ Microsoft 365 จาก US-CERT

US-CERT ออกคำแนะนำในการรักษาความปลอดภัยให้กับการใช้งาน Microsoft 365 โดยแนะนำให้ปฏิบัติดังต่อไปนี้

เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีผู้ดูแลระบบ [1]
ใช้หลัก Least Privilege เพื่อป้องกันไม่ให้ Global Administrator ถูกโจมตีด้วยการสร้างบัญชีอื่นๆ แยกออกมาโดยให้สิทธิ์ที่จำเป็นเท่านั้น [2],[3]
เปิดการใช้งาน Audit Log โดย Audit Log จะเก็บเหตุการณ์ที่เกิดจากผลิตภัณฑ์ต่างๆ ในเครือ Microsoft 365 เช่น Exchange Online, SharePoint Online, OneDrive เป็นต้น [4]
ปิดการใช้งานอีเมลโปรโตคอลที่ล้าสมัยอย่าง POP3, IMAP หรือ SMTP [5]
เปิดการใช้งานการยืนยันตัวตนหลายปัจจัยให้กับบัญชีการใช้งานทั้งหมด
เปิดการใช้งานการแจ้งเตือนเหตุการณ์ผิดปกติ [6]
ส่ง log ของ Microsoft 365 ไปยัง SIEM ของค์กรเพื่อช่วยในการตรวจจับ [7]

ที่มา: https://www.