Microsoft เตรียมจะเพิ่มฟีเจอร์ป้องกันการฉ้อโกงใหม่ในการโทรผ่าน Teams เพื่อแจ้งเตือนผู้ใช้เกี่ยวกับผู้โทรจากภายนอกที่พยายามแอบอ้างเป็นองค์กรที่น่าเชื่อถือ ซึ่งเป็นรูปแบบหนึ่งของการโจมตีแบบ Social Engineering
ฟีเจอร์ความปลอดภัยใหม่นี้มีชื่อว่า "Brand Impersonation Protection" โดยจะเริ่มทยอยปล่อยอัปเดตให้กับกลุ่มผู้ใช้งานแบบ Targeted Release ในช่วงกลางเดือนกุมภาพันธ์ และจะถูกเปิดใช้งานเป็นค่าเริ่มต้น (more…)
ช่องโหว่ระดับ Critical ใน Microsoft Teams ซึ่งเป็นแพลตฟอร์มศูนย์กลางการสื่อสารในที่มีผู้ใช้งานกว่า 320 ล้านคนทั่วโลก ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้บริหาร และแก้ไขข้อความได้
ช่องโหว่เหล่านี้ (ปัจจุบัน Microsoft ได้แก้ไขไปแล้ว) สามารถทำให้ทั้งบุคคลภายนอก และบุคคลภายในสามารถปลอมแปลงตัวตนในการแชท, การแจ้งเตือน และการโทร ซึ่งอาจนำไปสู่การฉ้อโกง, การแพร่กระจายมัลแวร์ และการเผยแพร่ข้อมูลเท็จได้
Check Point ได้เปิดเผยช่องโหว่นี้ต่อ Microsoft ในเดือนมีนาคม 2024 ซึ่งปัญหาเหล่านี้แสดงให้เห็นว่าความไว้วางใจในเครื่องมือที่ใช้ในการทำงานร่วมกัน สามารถถูกใช้เป็นอาวุธโดยผู้โจมตี ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำหรับการทำงานจากระยะไกล
Teams ซึ่งเปิดตัวในปี 2017 ในฐานะส่วนหนึ่งของ Microsoft 365 ได้ผสานรวมการแชท, การประชุมทางวิดีโอ, การแชร์ไฟล์ และแอปพลิเคชันต่าง ๆ เข้าไว้ด้วยกัน ทำให้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจตั้งแต่ระดับสตาร์ทอัพไปจนถึงบริษัทในกลุ่ม Fortune 500
การตรวจสอบของ Check Point มุ่งเน้นไปที่สถาปัตยกรรมแบบ JSON ของเวอร์ชันเว็บ ซึ่งข้อความประกอบด้วยพารามิเตอร์ต่าง ๆ เช่น content, messagetype, clientmessageid และ imdisplayname
ผู้โจมตีใช้ประโยชน์จากสิ่งเหล่านี้ในการแก้ไขข้อความโดยไม่ปรากฏ label กำกับว่า “Edited” ด้วยการใช้ clientmessageid ซ้ำ ซึ่งเปรียบเสมือนการเขียนข้อความใหม่โดยไม่ทิ้งร่องรอย
ส่วนการแจ้งเตือนก็สามารถถูกปลอมแปลงได้โดยการแก้ไขค่า imdisplayname ทำให้การแจ้งเตือนดูเหมือนว่าส่งมาจากผู้บริหารระดับสูง เช่น CEO ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจโดยสัญชาตญาณของผู้ใช้ที่มีต่อการส่งข้อความด่วน
ในการแชทส่วนตัว การแก้ไขหัวข้อการสนทนาผ่าน PUT endpoint จะเปลี่ยน displayName ซึ่งทำให้ผู้เข้าร่วมเข้าใจผิดเกี่ยวกับตัวตนของผู้ส่ง ดังที่แสดงในภาพหน้าจอก่อนและหลังของอินเทอร์เฟซที่ถูกเปลี่ยนแปลงไป
การเริ่มต้นการโทรผ่าน POST /api/v2/epconv ทำให้สามารถปลอมแปลง displayName ในส่วนรายชื่อผู้เข้าร่วม ซึ่งเป็นการปลอมแปลงตัวตนของผู้โทรระหว่างการสนทนาด้วยเสียง หรือวิดีโอ
หนึ่งในช่องโหว่คือการปลอมแปลงการแจ้งเตือน ซึ่งมีหมายเลข CVE-2024-38197 โดยเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) ซึ่งส่งผลกระทบต่อ iOS เวอร์ชัน 6.19.2 และเวอร์ชันต่ำกว่า ซึ่งช่องข้อมูลผู้ส่งขาดการตรวจสอบความถูกต้องอย่างเหมาะสม
สถานการณ์การโจมตีช่องโหว่ Microsoft Teams
ช่องโหว่เหล่านี้ทำลายความไว้วางใจที่มีต่อ Teams และทำให้มันกลายเป็นช่องทางในการหลอกลวงสำหรับกลุ่ม APTs, ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ และอาชญากรไซเบอร์
บุคคลภายนอกสามารถแทรกซึมเข้ามาในฐานะบุคคลภายใน โดยปลอมตัวเป็นหัวหน้าฝ่ายการเงินเพื่อขโมยข้อมูลยืนยันตัวตน หรือส่งลิงก์ที่มีมัลแวร์ปลอมแปลงมาในรูปแบบคำสั่งจากผู้บริหาร
บุคคลภายในอาจขัดขวางการบรรยายสรุปด้วยการปลอมแปลงการโทร, สร้างความสับสนในการสนทนาที่ละเอียดอ่อน หรือเปิดช่องให้เกิดแผนการหลอกลวงทางอีเมล (BEC)
ความเสี่ยงที่เกิดขึ้นจริง ได้แก่ การฉ้อโกงทางการเงิน โดยที่การแจ้งเตือนปลอมจาก CEO ที่สามารถหลอกให้เกิดการโอนเงิน, การละเมิดความเป็นส่วนตัวจากการสนทนาที่ถูกปลอมแปลงขึ้น และการจารกรรมข้อมูลผ่านประวัติการสนทนาที่ถูกแก้ไขในการโจมตีแบบ Supply Chain
ผู้โจมตี รวมถึงกลุ่มต่าง ๆ อย่าง Lazarus ได้มุ่งเป้าโจมตีแพลตฟอร์มเหล่านี้ด้วยวิธี social engineering มาอย่างยาวนาน ดังที่เห็นในรายงานล่าสุดเกี่ยวกับการโจมตีผ่าน Teams ด้วย ransomware และการขโมยข้อมูล
ความง่ายดายในการใช้ช่องโหว่นี้ต่อเนื่องกัน เช่น การปลอมแปลงการแจ้งเตือนตามด้วยการโทรปลอม ยิ่งเพิ่มความอันตราย ซึ่งอาจหลอกลวงผู้ใช้ให้เปิดเผยความลับ หรือดำเนินการที่เป็นอันตราย
Check Point ได้เปิดเผยช่องโหว่เมื่อวันที่ 23 มีนาคม 2024 โดย Microsoft รับทราบปัญหาในวันที่ 25 มีนาคม และยืนยันการแก้ไขตามลำดับ
ช่องโหว่การแก้ไขข้อความได้รับการแก้ไขภายในวันที่ 8 พฤษภาคม 2024, ช่องโหว่การแก้ไขแชทส่วนตัวภายในวันที่ 31 กรกฎาคม, ช่องโหว่การแจ้งเตือน (CVE-2024-38197) ภายในวันที่ 13 กันยายน หลังจากแพตซ์อัปเดตในเดือนสิงหาคม และช่องโหว่การปลอมแปลงสายภายในเดือนตุลาคม 2025
ปัจจุบันช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว โดยผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ นอกจากการอัปเดต อย่างไรก็ตาม องค์กรควรมีการป้องกันหลายชั้น, ใช้การตรวจสอบแบบ zero-trust สำหรับข้อมูล identities และอุปกรณ์, ใช้ระบบป้องกันภัยคุกคามขั้นสูงเพื่อสแกน payloads ใน Teams, บังคับใช้นโยบายการป้องกันข้อมูลรั่วไหล (DLP) และฝึกอบรมพนักงานเกี่ยวกับการตรวจสอบแบบ out-of-band สำหรับคำขอที่มาจากผู้บริหารระดับสูง
การคิดแบบ Critical thinking ยังคงเป็นกุญแจสำคัญในการตรวจสอบการสื่อสารที่น่าสงสัยเสมอ แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะที่เครื่องมือการทำงานร่วมกันพัฒนาขึ้น การรักษาความไว้วางใจของมนุษย์ก็มีความสำคัญเทียบเท่ากับการแก้ไขโค้ดเช่นเดียวกัน
ที่มา : cybersecuritynews
แฮ็กเกอร์ใช้เทคนิค SEO poisoning และโฆษณาบนเครื่องมือค้นหา เพื่อหลอกผู้ใช้ให้ดาวน์โหลดโปรแกรมติดตั้ง Microsoft Teams ปลอม ซึ่งโปรแกรมดังกล่าวจะติดตั้งมัลแวร์ Oyster ซึ่งเป็น backdoor บนระบบ Windows ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายขององค์กรในเบื้องต้นได้
(more…)
ล่าสุด Microsoft ได้เปิดเผยว่ากำลังปรับปรุงความสามารถในการป้องกัน file types และ URL ที่เป็นอันตราย ในการแชท และ channels ของ Teams
(more…)
พบวิธีการหลบเลี่ยงการตรวจจับ command-and-control (C2) หลังการโจมตีรูปแบบใหม่ที่ชื่อว่า "Ghost Calls" โดยมีการใช้ประโยชน์จาก TURN servers ซึ่งถูกใช้โดยแอป Zoom และ Microsoft Teams เพื่อส่งข้อมูลผ่านระบบที่ดูน่าเชื่อถือ (more…)
Microsoft แจ้งเตือนผู้ดูแลระบบ Microsoft 365 ว่าฟีเจอร์ใหม่ในการป้องกันการปลอมแปลงแบรนด์สำหรับ Teams Chat จะพร้อมใช้งานสำหรับลูกค้าทุกคนภายในกลางเดือนกุมภาพันธ์ 2025
เมื่อเปิดใช้งาน ฟีเจอร์นี้จะแสดงการแจ้งเตือนเมื่อตรวจพบการโจมตีฟิชชิ่งที่มุ่งเป้าไปยังองค์กรที่เปิดใช้งานการเข้าถึง Teams จากภายนอก (ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งข้อความหาผู้ใช้จากโดเมนภายนอก) (more…)
นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.
Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows
(more…)
นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย (more…)
มัลแวร์ Blackmamba ถูกใช้ทำหน้าที่เป็น keylogger โดยสามารถส่งข้อมูล credentials ที่ถูกขโมยออกไปผ่านทาง Microsoft Teams ซึ่งมัลแวร์สามารถโจมตีได้ทั้งอุปกรณ์ Windows, macOS และ Linux
Jeff Sims นักวิจัยจากสถาบัน HYAS และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นผู้พัฒนามัลแวร์ด้วย ChatGPT ชื่อ Blackmamba ซึ่งสามารถ bypass Endpoint Detection and Response (EDR) ได้ (more…)