ช่องโหว่ระดับ Critical ใน Microsoft Teams ซึ่งเป็นแพลตฟอร์มศูนย์กลางการสื่อสารในที่มีผู้ใช้งานกว่า 320 ล้านคนทั่วโลก ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้บริหาร และแก้ไขข้อความได้

ช่องโหว่เหล่านี้ (ปัจจุบัน Microsoft ได้แก้ไขไปแล้ว) สามารถทำให้ทั้งบุคคลภายนอก และบุคคลภายในสามารถปลอมแปลงตัวตนในการแชท, การแจ้งเตือน และการโทร ซึ่งอาจนำไปสู่การฉ้อโกง, การแพร่กระจายมัลแวร์ และการเผยแพร่ข้อมูลเท็จได้

Check Point ได้เปิดเผยช่องโหว่นี้ต่อ Microsoft ในเดือนมีนาคม 2024 ซึ่งปัญหาเหล่านี้แสดงให้เห็นว่าความไว้วางใจในเครื่องมือที่ใช้ในการทำงานร่วมกัน สามารถถูกใช้เป็นอาวุธโดยผู้โจมตี ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำหรับการทำงานจากระยะไกล

Teams ซึ่งเปิดตัวในปี 2017 ในฐานะส่วนหนึ่งของ Microsoft 365 ได้ผสานรวมการแชท, การประชุมทางวิดีโอ, การแชร์ไฟล์ และแอปพลิเคชันต่าง ๆ เข้าไว้ด้วยกัน ทำให้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจตั้งแต่ระดับสตาร์ทอัพไปจนถึงบริษัทในกลุ่ม Fortune 500

การตรวจสอบของ Check Point มุ่งเน้นไปที่สถาปัตยกรรมแบบ JSON ของเวอร์ชันเว็บ ซึ่งข้อความประกอบด้วยพารามิเตอร์ต่าง ๆ เช่น content, messagetype, clientmessageid และ imdisplayname

ผู้โจมตีใช้ประโยชน์จากสิ่งเหล่านี้ในการแก้ไขข้อความโดยไม่ปรากฏ label กำกับว่า “Edited” ด้วยการใช้ clientmessageid ซ้ำ ซึ่งเปรียบเสมือนการเขียนข้อความใหม่โดยไม่ทิ้งร่องรอย

ส่วนการแจ้งเตือนก็สามารถถูกปลอมแปลงได้โดยการแก้ไขค่า imdisplayname ทำให้การแจ้งเตือนดูเหมือนว่าส่งมาจากผู้บริหารระดับสูง เช่น CEO ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจโดยสัญชาตญาณของผู้ใช้ที่มีต่อการส่งข้อความด่วน

ในการแชทส่วนตัว การแก้ไขหัวข้อการสนทนาผ่าน PUT endpoint จะเปลี่ยน displayName ซึ่งทำให้ผู้เข้าร่วมเข้าใจผิดเกี่ยวกับตัวตนของผู้ส่ง ดังที่แสดงในภาพหน้าจอก่อนและหลังของอินเทอร์เฟซที่ถูกเปลี่ยนแปลงไป

การเริ่มต้นการโทรผ่าน POST /api/v2/epconv ทำให้สามารถปลอมแปลง displayName ในส่วนรายชื่อผู้เข้าร่วม ซึ่งเป็นการปลอมแปลงตัวตนของผู้โทรระหว่างการสนทนาด้วยเสียง หรือวิดีโอ

หนึ่งในช่องโหว่คือการปลอมแปลงการแจ้งเตือน ซึ่งมีหมายเลข CVE-2024-38197 โดยเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) ซึ่งส่งผลกระทบต่อ iOS เวอร์ชัน 6.19.2 และเวอร์ชันต่ำกว่า ซึ่งช่องข้อมูลผู้ส่งขาดการตรวจสอบความถูกต้องอย่างเหมาะสม

สถานการณ์การโจมตีช่องโหว่ Microsoft Teams

ช่องโหว่เหล่านี้ทำลายความไว้วางใจที่มีต่อ Teams และทำให้มันกลายเป็นช่องทางในการหลอกลวงสำหรับกลุ่ม APTs, ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ และอาชญากรไซเบอร์

บุคคลภายนอกสามารถแทรกซึมเข้ามาในฐานะบุคคลภายใน โดยปลอมตัวเป็นหัวหน้าฝ่ายการเงินเพื่อขโมยข้อมูลยืนยันตัวตน หรือส่งลิงก์ที่มีมัลแวร์ปลอมแปลงมาในรูปแบบคำสั่งจากผู้บริหาร

บุคคลภายในอาจขัดขวางการบรรยายสรุปด้วยการปลอมแปลงการโทร, สร้างความสับสนในการสนทนาที่ละเอียดอ่อน หรือเปิดช่องให้เกิดแผนการหลอกลวงทางอีเมล (BEC)

ความเสี่ยงที่เกิดขึ้นจริง ได้แก่ การฉ้อโกงทางการเงิน โดยที่การแจ้งเตือนปลอมจาก CEO ที่สามารถหลอกให้เกิดการโอนเงิน, การละเมิดความเป็นส่วนตัวจากการสนทนาที่ถูกปลอมแปลงขึ้น และการจารกรรมข้อมูลผ่านประวัติการสนทนาที่ถูกแก้ไขในการโจมตีแบบ Supply Chain

ผู้โจมตี รวมถึงกลุ่มต่าง ๆ อย่าง Lazarus ได้มุ่งเป้าโจมตีแพลตฟอร์มเหล่านี้ด้วยวิธี social engineering มาอย่างยาวนาน ดังที่เห็นในรายงานล่าสุดเกี่ยวกับการโจมตีผ่าน Teams ด้วย ransomware และการขโมยข้อมูล

ความง่ายดายในการใช้ช่องโหว่นี้ต่อเนื่องกัน เช่น การปลอมแปลงการแจ้งเตือนตามด้วยการโทรปลอม ยิ่งเพิ่มความอันตราย ซึ่งอาจหลอกลวงผู้ใช้ให้เปิดเผยความลับ หรือดำเนินการที่เป็นอันตราย

Check Point ได้เปิดเผยช่องโหว่เมื่อวันที่ 23 มีนาคม 2024 โดย Microsoft รับทราบปัญหาในวันที่ 25 มีนาคม และยืนยันการแก้ไขตามลำดับ

ช่องโหว่การแก้ไขข้อความได้รับการแก้ไขภายในวันที่ 8 พฤษภาคม 2024, ช่องโหว่การแก้ไขแชทส่วนตัวภายในวันที่ 31 กรกฎาคม, ช่องโหว่การแจ้งเตือน (CVE-2024-38197) ภายในวันที่ 13 กันยายน หลังจากแพตซ์อัปเดตในเดือนสิงหาคม และช่องโหว่การปลอมแปลงสายภายในเดือนตุลาคม 2025

ปัจจุบันช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว โดยผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ นอกจากการอัปเดต อย่างไรก็ตาม องค์กรควรมีการป้องกันหลายชั้น, ใช้การตรวจสอบแบบ zero-trust สำหรับข้อมูล identities และอุปกรณ์, ใช้ระบบป้องกันภัยคุกคามขั้นสูงเพื่อสแกน payloads ใน Teams, บังคับใช้นโยบายการป้องกันข้อมูลรั่วไหล (DLP) และฝึกอบรมพนักงานเกี่ยวกับการตรวจสอบแบบ out-of-band สำหรับคำขอที่มาจากผู้บริหารระดับสูง

การคิดแบบ Critical thinking ยังคงเป็นกุญแจสำคัญในการตรวจสอบการสื่อสารที่น่าสงสัยเสมอ แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะที่เครื่องมือการทำงานร่วมกันพัฒนาขึ้น การรักษาความไว้วางใจของมนุษย์ก็มีความสำคัญเทียบเท่ากับการแก้ไขโค้ดเช่นเดียวกัน

ที่มา : cybersecuritynews

แฮ็กเกอร์ใช้เทคนิค SEO poisoning และโฆษณาบนเครื่องมือค้นหา เพื่อหลอกผู้ใช้ให้ดาวน์โหลดโปรแกรมติดตั้ง Microsoft Teams ปลอม ซึ่งโปรแกรมดังกล่าวจะติดตั้งมัลแวร์ Oyster ซึ่งเป็น backdoor บนระบบ Windows ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายขององค์กรในเบื้องต้นได้

(more…)

ล่าสุด Microsoft ได้เปิดเผยว่ากำลังปรับปรุงความสามารถในการป้องกัน file types และ URL ที่เป็นอันตราย ในการแชท และ channels ของ Teams

(more…)

พบวิธีการหลบเลี่ยงการตรวจจับ command-and-control (C2) หลังการโจมตีรูปแบบใหม่ที่ชื่อว่า "Ghost Calls" โดยมีการใช้ประโยชน์จาก TURN servers ซึ่งถูกใช้โดยแอป Zoom และ Microsoft Teams เพื่อส่งข้อมูลผ่านระบบที่ดูน่าเชื่อถือ (more…)

Microsoft แจ้งเตือนผู้ดูแลระบบ Microsoft 365 ว่าฟีเจอร์ใหม่ในการป้องกันการปลอมแปลงแบรนด์สำหรับ Teams Chat จะพร้อมใช้งานสำหรับลูกค้าทุกคนภายในกลางเดือนกุมภาพันธ์ 2025

เมื่อเปิดใช้งาน ฟีเจอร์นี้จะแสดงการแจ้งเตือนเมื่อตรวจพบการโจมตีฟิชชิ่งที่มุ่งเป้าไปยังองค์กรที่เปิดใช้งานการเข้าถึง Teams จากภายนอก (ซึ่งอนุญาตให้ผู้ไม่หวังดีส่งข้อความหาผู้ใช้จากโดเมนภายนอก) (more…)

 

นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.

Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows

(more…)

นักวิจัยที่ Truesec บริษัทด้านความปลอดภัย พบแคมเปญการโจมตี phishing รูปแบบใหม่ ที่ใช้ Microsoft Teams messages ในการส่งไฟล์แนบที่เป็นอันตรายซึ่งติดตั้งมัลแวร์ DarkGate Loader เอาไว้ โดยพบว่าแคมเปญดังกล่าวได้เริ่มการโจมตีในเดือนสิงหาคม 2023 หลังจากที่พบข้อความฟิชชิ่งของ Microsoft Teams ถูกส่งโดยบัญชี external Office 365 accounts สองบัญชีไปยังองค์กรอื่น เพื่อให้ดาวน์โหลด และเปิดไฟล์ ZIP อันตราย (more…)

มัลแวร์ Blackmamba ถูกใช้ทำหน้าที่เป็น keylogger โดยสามารถส่งข้อมูล credentials ที่ถูกขโมยออกไปผ่านทาง Microsoft Teams ซึ่งมัลแวร์สามารถโจมตีได้ทั้งอุปกรณ์ Windows, macOS และ Linux

Jeff Sims นักวิจัยจากสถาบัน HYAS และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เป็นผู้พัฒนามัลแวร์ด้วย ChatGPT ชื่อ Blackmamba ซึ่งสามารถ bypass Endpoint Detection and Response (EDR) ได้ (more…)

นักวิเคราะห์ด้านความปลอดภัยได้พบช่องโหว่ใน Microsoft Teams Application ที่ใช้งานกับ Desktop ทำให้ผู้โจมตีสามารถเข้าถึง Authentication Token และบัญชีที่เปิดใช้งาน Multi-Factor (MFA) ได้

Microsoft Teams เป็นแพลตฟอร์มการสื่อสารที่อยู่ในตระกูลผลิตภัณฑ์ 365 ซึ่งมีผู้ใช้งานมากกว่า 270 ล้านคนในการประชุมทางวิดีโอ และการจัดเก็บไฟล์

ปัญหานี้มีผลกระทบต่อ Application version ที่ใช้บน Windows, Linux และ Mac เนื่องจาก Authentication Token ของผู้ใช้งานใน Microsoft Teams จะถูกจัดเก็บเป็น clear text โดยไม่มีการป้องกันการเข้าถึง เพราะเหตุนี้จึงทำให้ผู้โจมตีสามารถขโมย Tokens แล้วใช้เพื่อเข้าสู่ระบบของเหยื่อได้

นักวิจัยระบุว่า "การเข้าควบคุมบัญชีที่สำคัญขององค์กร เช่น หัวหน้าฝ่ายวิศวกรรม CEO หรือ CFO" อาจส่งผลให้เกิดความเสียหายต่อองค์กรได้

นักวิจัยของ Vectra พบปัญหานี้ในเดือนสิงหาคม 2022 และรายงานไปยัง Microsoft แต่ Microsoft ไม่เห็นด้วย และยังระบุว่าไม่ตรงตามเกณฑ์ที่จำเป็นต้องทำการแก้ไข

รายละเอียดปัญหา

Microsoft Teams เป็นแอปในลักษณะ Electron ที่ทำงานในเบราว์เซอร์ พร้อมด้วยองค์ประกอบที่จำเป็นสำหรับหน้าเว็บปกติ (cookies, session strings, logs อื่นๆ)

ซึ่ง Electron ไม่รองรับการเข้ารหัส หรือการป้องกันการเข้าถึงไฟล์ ดังนั้นแม้ว่าเฟรมเวิร์กซอฟต์แวร์จะใช้งานได้หลากหลาย และใช้งานได้ง่าย แต่ก็ถือว่าความปลอดภัยไม่เพียงพอสำหรับการพัฒนาผลิตภัณฑ์ที่มีความสำคัญ เว้นแต่จะมีการปรับแต่งให้ครอบคลุมมากยิ่งขึ้น

Vectra ระบุว่า ขณะที่พยายามหาวิธีลบบัญชีที่ไม่มีการใช้งานออกจากแอปบนไคลเอ็นต์ เค้าพบไฟล์ ldb ที่มี access tokens เป็น clear text "เมื่อตรวจสอบก็พบว่า access tokens เหล่านี้ยังสามารถใช้งานได้ และไม่ใช่การ Dump error โดยไม่ได้ตั้งใจ และ Tokens เหล่านี้จะสามารถใช้เพื่อเข้าถึง Outlook และ Skype APIs" - Vectra

นอกจากนี้ นักวิเคราะห์พบว่าโฟลเดอร์ "Cookie" ยังมี Authentication Tokens ที่ใช้งานได้ พร้อมด้วยข้อมูลบัญชี ข้อมูลเซสชัน และข้อมูลการใช้งานต่าง ๆ

สุดท้าย Vectra ได้พัฒนาเครื่องมือที่ใช้สำหรับทดสอบช่องโหว่ผ่านทางการเรียกใช้ API ซึ่งอนุญาตให้ส่งข้อความถึงตัวเองได้ โดยการใช้ engine SQLite เพื่ออ่านฐานข้อมูลใน Cookies ซึ่งปรากฏว่าได้รับ Authentication Tokens เป็นข้อความใน chat window ตามภาพ

ช่องโหว่นี้สามารถถูกโจมตีด้วยมัลแวร์สำหรับขโมยข้อมูลซึ่งเป็นหนึ่งใน Paylods ที่นิยมมากที่สุดในแคมเปญฟิชชิ่ง

การใช้มัลแวร์ประเภทนี้ ผู้โจมตีจะสามารถขโมย Authentication Tokens ของ Microsoft Teams และเข้าสู่ระบบจากระยะไกลในฐานะผู้ใช้ bypass MFA และเข้าถึงบัญชีได้อย่างสมบูรณ์

ซึ่งผู้โจมตีมีการโจมตีลักษณะนี้กับแอปพลิเคชันอื่น ๆ อยู่แล้ว เช่น Google Chrome, Microsoft Edge, Mozilla Firefox, Discord และอื่น ๆ อีกมากมาย

การลดความเสี่ยง

ด้วยเหตุที่ยังไม่มีแพตช์สำหรับแก้ไข คำแนะนำของ Vectra คือให้ผู้ใช้สลับไปใช้ Microsoft Teams ที่เป็น Browser version แทน ผ่านทาง Microsoft Edge ซึ่งผู้ใช้จะได้รับการป้องกันเพิ่มเติมเพื่อป้องกันการรั่วไหลของ Tokens

นักวิจัยแนะนำผู้ใช้งาน Linux ให้ย้ายไปใช้โปรแกรมสำหรับ Online meeting อื่น ๆ โดยเฉพาะอย่างยิ่งเมื่อ Microsoft ประกาศแผนการที่จะหยุดสนับสนุนแอปสำหรับแพลตฟอร์ม Linux ภายในเดือนธันวาคม

สำหรับผู้ที่ไม่สามารถย้ายไปยังโซลูชันอื่นได้ในทันที สามารถเฝ้าระวังการที่เข้าถึงไดเร็กทอรีต่อไปนี้:

[Windows] %AppData%\Microsoft\Teams\Cookies
[Windows] %AppData%\Microsoft\Teams\Local Storage\leveldb
[macOS] ~/Library/Application Support/Microsoft/Teams/Cookies
[macOS] ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb
[Linux] ~/.config/Microsoft/Microsoft Teams/Cookies
[Linux] ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb

BleepingComputer ได้ติดต่อ Microsoft เกี่ยวกับแผนที่จะแก้ไขปัญหาดังกล่าว โดยเมื่อวันที่ 14 กันยายน 2565 โฆษกของ Microsoft ระบุว่า

"เทคนิคที่ใช้ ยังไม่ตรงกับมาตรฐานที่ต้องรีบดำเนินการแก้ไข เนื่องจากผู้โจมตีต้องสามารถเข้าถึงเครือข่ายเป้าหมายให้ได้ก่อน

ขอขอบคุณ Vectra Protect ในการระบุ และเปิดเผยปัญหานี้อย่างมีความรับผิดชอบ และจะพิจารณาแก้ไขดังกล่าวต่อไปในอนาคต"

ที่มา : bleepingcomputer