นักวิจัยจาก Check Point Research ได้เผยแพร่รายงานการวิเคราะห์ Attack Vectors ที่อาจจะเกิดขึ้นกับช่องโหว่ล่าสุดใน Microsoft Outlook โดยช่องโหว่ดังกล่าว เกิดจากการที่ Outlook จัดการกับไฮเปอร์ลิงก์อย่างไม่เหมาะสม

ลักษณะการทำงานของไฮเปอร์ลิงก์บน Outlook คือ หากไฮเปอร์ลิงก์ขึ้นต้นด้วย “http://” หรือ “https://” Outlook ก็จะเรียกใช้งาน default เว็บเบราว์เซอร์บน Windows และเปิด URL ของเว็บไซต์นั้น ซึ่งเป็นพฤติกรรมปกติของ Outlook

แต่หากเป็นโปรโตคอลอื่นนอกเหนือจาก http, https เช่น หากลิงก์เริ่มต้นด้วยโปรโตคอล URL ของแอปพลิเคชัน และ Outlook คาดว่าโปรโตคอล URL นั้นอาจมีความเสี่ยงด้านความปลอดภัย ตัวอย่างเช่น โปรโตคอล URL "Skype" ในลักษณะนี้

*<a href="skype:SkypeName?call">Call me on Skype</a>*

หากผู้ใช้งานคลิกลิงก์ลักษณะดังกล่าวก็จะได้รับการเตือนว่าลิงก์อาจไม่ปลอดภัย

โดยหากลองใช้โปรโตคอล "file://" เพื่อชี้ไปที่ไฟล์ Word ที่อยู่ภายนอกในลักษณะนี้

*<a href="file:///\\10.10.111.111\test\test.

ช่องโหว่นี้มีหมายเลข CVE-2024-21413 และถูกค้นพบโดย Haifei Li นักวิจัยช่องโหว่ของ Check Point และได้ตั้งชื่อช่องโหว่ดังกล่าวว่า Moniker Link ซึ่งเป็นช่องโหว่ที่อยู่ใน API MkParseDisplayName ที่ใช้ใน Outlook ดังนั้นช่องโหว่ดังกล่าวอาจส่งผลกระทบต่อซอฟต์แวร์อื่น ๆ ที่ใช้งานด้วยเช่นกัน (more…)

พบช่องโหว่ด้านความปลอดภัยที่ได้รับการแก้ไขไปแล้วใน Microsoft Outlook ที่อาจถูกโจมตีเพื่อเข้าถึง hashed passwords ของ NT LAN Manager (NTLM) v2 เมื่อมีการเปิดไฟล์แนบที่ถูกสร้างขึ้นมาเป็นพิเศษ

ช่องโหว่นี้มีหมายเลข CVE-2023-35636 (คะแนน CVSS: 6.5) โดยได้รับการแก้ไขจาก Microsoft ไปแล้ว โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ประจำเดือนธันวาคม 2023 ที่ผ่านมา

 

ทีม Threat Intelligence ของ Microsoft ออกคำเตือนเมื่อวันที่ 4 ธันวาคม 2023 ที่ผ่านมา จากการพบกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซียในชื่อ APT28 ("Fancybear" หรือ "Strontium") ที่ได้ทำการโจมตีเป้าหมายโดยใช้ช่องโหว่ Outlook CVE-2023-23397 เพื่อขโมยบัญชี Microsoft Exchange และข้อมูลที่มีความสำคัญ โดยหน่วยงานที่ตกเป็นเป้าหมายในการโจมตีได้แก่ หน่วยงานรัฐบาล, หน่วยงานทางด้านพลังงาน, การขนส่ง และองค์กรสำคัญอื่น ๆ ในสหรัฐอเมริกา ยุโรป และตะวันออกกลาง รวมถึง Microsoft ยังพบการใช้ช่องโหว่อื่น ๆ ในการโจมตีด้วย เช่น CVE-2023-38831 ใน WinRAR และ CVE-2021-40444 ใน Windows MSHTML (more…)

แฮ็กเกอร์กำลังใช้เทคนิคใหม่ โดยการใช้ตัวอักษรฟอนต์ขนาดศูนย์ในอีเมล เพื่อทำให้อีเมลที่เป็นอันตรายดูเหมือนถูกสแกนอย่างปลอดภัยโดยเครื่องมือรักษาความปลอดภัยใน Microsoft Outlook

แม้ว่าเทคนิคการฟิชชิงแบบ ZeroFont จะเคยถูกใช้มาแล้วในอดีต แต่นี่เป็นครั้งแรกที่มีการบันทึกว่าถูกใช้ในรูปแบบนี้

ในรายงานใหม่ของนักวิเคราะห์จาก ISC Sans ชื่อ Jan Kopriva นักวิจัยเตือนว่าเทคนิคนี้อาจมีผลต่อประสิทธิภาพในการดำเนินการการโจมตีฟิชชิงอย่างมาก และผู้ใช้ควรรับรู้ถึงวิธีการดังกล่าว และการใช้งานในการโจมตีจริง

การโจมตีแบบ ZeroFont

วิธีการโจมตี ZeroFont ซึ่งจัดทำเอกสารโดย Avanan ในปี 2018 เป็นเทคนิคการฟิชชิงที่ใช้ประโยชน์จากช่องโหว่ที่ใช้ AI และnatural language processing (NLP) ในแพลตฟอร์มความปลอดภัยของอีเมล

วิธีการโจมตีนี้เกี่ยวข้องกับการแทรกคำ หรืออักขระที่ซ่อนอยู่ในอีเมลโดยการตั้งค่าขนาดฟอนต์เป็นศูนย์ ซึ่งทำให้เป้าหมายไม่สามารถมองเห็นข้อความนั้นได้ แต่ยังคงอ่านได้ด้วย NLP algorithms

การโจมตีนี้มุ่งเน้นการหลีกเลี่ยงอุปกรณ์ตรวจสอบด้านความปลอดภัยโดยการแทรกคำ หรือข้อความที่ไม่เป็นอันตราย แต่เป็นคำศัพท์ที่มองไม่เห็นลงในเนื้อหาที่เป็นข้อความที่มองเห็นได้ ซึ่งส่งผลให้ AI ตีความเนื้อหา และตรวจสอบความปลอดภัยผิดพลาด

ในรายงานปี 2018 Avanan เตือนว่า ZeroFont สามารถหลีกเลี่ยง Advanced Threat Protection (ATP) ของ Microsoft Office 365 ได้ แม้ว่าอีเมลจะมีคำที่เป็นอันตรายก็ตาม

การซ่อนการสแกนไวรัสปลอม

ในอีเมลฟิชชิ่งตัวใหม่ที่ Kopriva พบ ผู้โจมตีใช้การโจมตีแบบ ZeroFont เพื่อปรับแต่งการแสดงตัวอย่างข้อความบนโปรแกรมอีเมลที่ใช้กันอย่างแพร่หลาย เช่น Microsoft Outlook

อีเมลที่ระบุถึงนั้น แสดงข้อความที่เป็นอันตรายปรากฏขึ้นเป็นข้อความปกติในอีเมลของ Outlook แต่มีเนื้อหาที่แตกต่างกันเมื่อดูตัวอย่างอีเมล

หน้าต่างรายการอีเมลจะแสดงข้อความ 'Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM' ในขณะที่ส่วนเริ่มต้นของอีเมลในมุมมองการดูตัวอย่าง/อ่าน แสดงข้อความว่า 'Job Offer | Employment Opportunity.

Microsoft ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย Outlook zero-click เพิ่มเติม เนื่องจากพบว่า Hacker สามารถ bypass แพตซ์อัปเดตของช่องโหว่ Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397) ได้

โดยช่องโหว่ zero-click bypass มีชื่อว่า Windows MSHTML Platform Security Feature Bypass Vulnerability หรือ CVE-2023-29324 (คะแนนCVSS 6.5/10 ระดับความรุนแรงปานกลาง) โดยส่งผลกระทบต่อ Outlook client ใน Windows รุ่นที่รองรับทั้งหมด (more…)

Microsoft เผยแพร่คำแนะนำเพื่อช่วยให้ผู้ใช้งานสามารถตรวจจับ หรือค้นหาสัญญาณของการโจมตีจากช่องโหว่ใน Microsoft Outlook

CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ใน Outlook client for Windows ทำให้สามารถขโมย NTLM Hash โดยที่ผู้ (more…)

เมื่อสัปดาห์ที่ผ่านมา ผู้เชี่ยวชาญจาก AhnLab Security Emergency Response Center (ASEC) ได้รายงานถึงการค้นพบ Backdoor ที่มีชื่อว่า SmokeLoader ซึ่งมันจะทำหน้าที่ติดตั้งมัลแวร์ที่มีชื่อว่า Amadey สำหรับขโมยข้อมูลของเป้าหมาย

ลักษณะการทำงาน

SmokeLoader ทำงานโดยปลอมตัวมันเองเป็น Software Crack ต่าง ๆ หลอกให้ผู้ใช้งานดาวน์โหลด
เมื่อผู้ใช้งานทำการติดตั้ง มันจะพยายามแฝงตัวอยู่บนระบบของเหยื่อให้ได้นานที่สุด โดยใช้วิธีการต่าง ๆ เช่น สร้าง Schedule Task, Registry รวมไปถึง Startup Folder
จากนั้น SmokeLoader มันจะทำการดาวน์โหลด Malware ขโมยข้อมูลที่ชื่อว่า Amadey ซึ่ง Amadey ถูกพบครั้งแรกเมื่อประมาณเดือนตุลาคม 2018 บนฟอรัมใต้ดินของรัสเซียในราคา 600$ ซึ่งถูกใช้งานเพื่อดูข้อมูลประจำตัว จับภาพหน้าจอ ข้อมูลของระบบ รวมไปถึงข้อมูลเกี่ยวกับอุปกรณ์ป้องกันไวรัสบนเครื่องเป้าหมาย

แต่ช่วงปลายเดือนกรกฎาคมที่ผ่านมา ผู้เชี่ยวชาญจาก Walmart Global Tech ได้พบว่า Amadey ได้ทำการอัปเดตตัวเองครั้งใหญ่ ซึ่งคราวนี้ได้เพิ่มฟังก์ชันต่าง ๆ ให้สามารถขโมยข้อมูลจากระบบอื่นด้วย เช่น ข้อมูลจากเราเตอร์ Mikrotik และ Microsoft Outlook โดยชุดเครื่องมือดังกล่าวได้รับการอัปเกรดให้สามารถรวบรวมข้อมูลจาก FileZilla, Pidgin, Total Commander FTP Client, RealVNC, TightVNC, TigerVNC และ WinSCP

อย่างไรก็ตาม เป้าหมายหลักของมันคือการติดตั้งปลั๊กอินที่เป็นอันตรายเพิ่มเติม และติดตั้งโทรจันเพื่อเข้าถึงจากระยะไกล เช่น Remcos RAT และ RedLine Stealer ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมในภายหลังได้มากขึ้น

แนวทางการป้องกัน

แนะนำให้ผู้ใช้อัปเกรดอุปกรณ์เป็นระบบปฏิบัติการเวอร์ชันล่าสุด และอัปเดตเว็บเบราว์เซอร์ เพื่อลดโอกาสการติดมัลแวร์ที่อาจเกิดขึ้น และหลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์

ที่มา: thehackernews

แฮกเกอร์สามารถเข้าถึงบัญชีพนักงานของ Microsoft Support ส่งผลให้เข้าถึงบัญชีอีเมล Outlook ของผู้ใช้งานได้

หากมีการใช้บริการอีเมล Microsoft Outlook เป็นไปได้ว่าข้อมูลในบัญชีอาจจะถูกเข้าถึงโดยแฮกเกอร์ที่ยังไม่ทราบกลุ่ม เมื่อต้นปีที่ผ่านมาแฮกเกอร์ได้มีพยายามเปิดเผยข้อมูลที่อยู่ในส่วนของ Microsoft's customer support และข้อมูลบัญชีอีเมลบางรายที่มีการลงทะเบียนกับ Outlook เอาไว้

เมื่อวันที่ 12 เมษายนที่ผ่านมามีผู้ใช้งานได้ทำการเปิดเผยข้อมูลบน Reddit ว่าตนเองได้รับอีเมลแจ้งเตือนจาก Outlook ว่าบัญชีอีเมลที่ใช้งานอยู่ถูกเข้าถึงโดยกลุ่มผู้ไม่หวังดีที่ยังระบุตัวตนไม่ได้ หลังจากนั้นก็มีผู้ใช้งานอื่นๆ มาแสดงความเห็นว่าตนเองก็ได้รับอีเมลแจ้งเตือนในลักษณะเดียวกัน โดยเนื้อหามีการระบุว่า บริษัทตรวจพบว่ามีกลุ่มผู้ไม่หวังดีสามารถเข้าถึงบัญชีผู้ใช้งานของพนักงานผู้ให้บริการ ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลเกี่ยวกับบัญชีผู้ใช้งานอีเมลบางราย เช่น อีเมลแอดเดรส, ชื่อโฟลเดอร์, หัวข้ออีเมล และอีเมลแอดเดรสของผู้รับที่เคยมีการติดต่อด้วย แต่ไม่สามารถเข้าถึงเนื้อหาของอีเมล และไฟล์แนบได้

ในขณะนี้ยังไม่แน่ชัดว่าผู้โจมตีสามารถเข้าถึงบัญชีพนักงานของ Microsoft ได้อย่างไร แต่บริษัทยืนยันว่าได้นำข้อมูล credential ที่ถูกขโมยออก และเริ่มแจ้งลูกค้าที่ได้รับผลกระทบทั้งหมด แต่ยังไม่มีการเปิดเผยจำนวนบัญชีผู้ใช้งานทั้งหมดที่ได้รับผลกระทบ

ที่มา: thehackernews