หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

ที่มา : bleepingcomputer

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer

 

Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)

นักวิจัยพบกลุ่ม Hacker ที่เกี่ยวข้องกับรัฐบาลรัสเซีย เกาหลีเหนือ อิหร่าน และจีน กำลังทดลองใช้ปัญญาประดิษฐ์ (AI) และแบบจำลองภาษาขนาดใหญ่ (LLM) เพื่อเสริมการโจมตีทางไซเบอร์ที่กำลังดำเนินอยู่

(more…)

Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์

Microsoft เตรียมนำฟีเจอร์ ‘sudo’ จาก ระบบปฏิบัติการ Linux มาใช้งานใน Windows เซิร์ฟเวอร์ 2025 ซึ่งจะเพิ่มวิธีการใหม่ที่ทำให้แอดมิน สามารถยกระดับสิทธิ์บน Console Application ได้ (more…)

 

นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.

Microsoft ประกาศกำหนดสิ้นสุดการสนับสนุนสำหรับซอฟแวร์ Exchange Server 2019 on-premises ในวันที่ 9 มกราคม 2024

ตั้งแต่วันที่ 9 มกราคม 2024 เป็นต้นไป Microsoft จะไม่รับคำขอแก้ไข Bug และคำขอเปลี่ยนแปลงการออกแบบ Design Change Requests (DCR) อีกต่อไป แต่จะยังคงออกแพตช์เพื่อแก้ไขปัญหาด้านความปลอดภัย หรือช่องโหว่ที่ถูกพบต่อไป

(more…)

Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows

(more…)

Microsoft ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม ซึ่งได้อัปเดตช่องโหว่ด้านความปลอดภัยทั้งหมด 34 รายการ และช่องโหว่ Zero-Day ของ CPU AMD 1 รายการ

โดยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) 8 รายการที่ได้รับการแก้ไขนั้น มีเพียง 3 รายการที่ Microsoft จัดว่าอยู่ในระดับ Critical แต่รวมแล้วในเดือนนี้มีช่องโหว่ที่มีระดับความรุนแรง Critical ทั้งหมด 4 รายการ ได้แก่ ช่องโหว่ใน Power Platform (Spoofing) 1 รายการ, ช่องโหว่ ใน Internet Connection Sharing (RCE) 2 รายการ และช่องโหว่ใน Windows MSHTML Platform (RCE) 1 รายการ
(more…)

Microsoft แจ้งเตือนการพบกลุ่มผู้โจมตีที่มีเป้าหมายทางด้านการเงิน กำลังใช้งานระบบยืนยันตัวตน และตรวจสอบสิทธิ์มาตรฐาน (Open Authorization - OAuth) ในการโจมตีผ่านทางอีเมลในรูปแบบ Business Email Compromised - BEC และทำการฟิชชิ่ง สแปม รวมไปถึงสร้าง Virtual Machines สำหรับขุดคริปโตแบบอัตโนมัติ

โดย OAuth คือระบบยืนยันตัวตน (Authentication) และตรวจสอบสิทธิ์ (Authorization) เพื่อให้ผู้ใช้งานสามารถอนุญาตให้แอปพลิเคชันเข้าถึงข้อมูลผู้ใช้งานที่มีอยู่บนฐานข้อมูลอีกเว็บไซต์ หรือแอปพลิเคชันอีกหลายแห่ง ผ่านรูปแบบโทเคนโดยไม่ต้องเปิดเผยรหัสผ่าน

หลังจากการตรวจสอบเหตุการณ์ที่เกิดขึ้น ทีมผู้เชี่ยวชาญภัยคุกคามทางไซเบอร์ของ Microsoft (Microsoft Threat Intelligence) เปิดเผยว่า กลุ่มผู้โจมตีมุ่งเป้าไปที่ผู้ใช้งานที่มีความหละหลวมในการใช้งานระบบยืนยันตัวตนในการป้องกันการฟิชชิ่ง หรือ password-spraying เช่น ไม่ได้เปิดระบบการยืนยันตัวตนหลายขั้นตอน (Multifactor Authentication - MFA) เป็นต้น และโดยเฉพาะอย่างยิ่งเป้าหมายที่มีสิทธิ์ในการสร้าง หรือแก้ไข OAuth ในแอปพลิเคชันได้

แอคเคาท์ที่ถูกยึดโดยกลุ่มผู้โจมตีได้แล้วนั้น จะถูกนำมาใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ เพื่อให้สามารถยกระดับสิทธิ์ที่สูงขึ้นให้แก่กลุ่มผู้โจมตีได้ ซึ่งจะสามารถทำให้การกระทำต่าง ๆ ของกลุ่มผู้โจมตีนี้ไม่ถูกพบว่าเป็นการกระทำที่ต้องสงสัย ถึงขนาดที่ว่าแอคเคาน์ที่ถูกยึดนั้นถูกลบไป ก็จะไม่ส่งผลต่อ OAuth ที่สร้างขึ้นใหม่เช่นกัน ซึ่งระบบ OAuth ที่มีสิทธิ์ระดับสูงนี้ สามารถนำมาใช้งานได้อย่างหลากหลายมาก ตั้งแต่สร้าง Virtual Machines เพื่อขุดคริปโตโดยเฉพาะ ทำให้ผู้โจมตีสามารถเข้าระบบได้ตลอดเวลาเพื่อดำเนินการโจมตีผ่านทางอีเมลในรูปแบบ BEC ไปจนถึงการสร้างสแปมแคมเปญเพื่อโจมตีโดเมนขององค์กรที่ถูกผู้โจมตีบุกรุกเข้ามาแล้วได้

มีรายงานเหตุการณ์สำคัญที่ระบุว่าเกี่ยวข้องกับกลุ่มผู้โจมตีที่ชื่อ Storm-1283 ซึ่งเป็นผู้สร้าง OAuth แอปพลิเคชัน สำหรับการขุดคริปโตผ่าน Virtual Machines ส่งผลให้องค์กรได้รับความเสียหายตั้งแต่ $10,000 ไปจนถึง $1.5M ทั้งนี้ขึ้นอยู่กับระยะเวลาที่องค์กรถูกโจมตี โดยมีรายละเอียดการโจมตีดังภาพด้านล่าง

อีกหนึ่งเหตุการณ์คือผู้โจมตีใช้ประโยชน์จาก OAuth แอปพลิเคชัน โดยใช้บัญชีที่ถูกบุกรุกเพื่อแฝงตัวอยู่ในระบบ และดำเนินการส่งฟิชชิ่ง โดยใช้วิธีการ adversary in the middle

ผู้โจมตีกลุ่มเดียวกันนี้ยังใช้แอคเคาท์ที่ถูกบุกรุกในการเก็บรวบรวมข้อมูล (reconnaissance) เพื่อเตรียมโจมตีผ่านทางอีเมลในรูปแบบ BEC โดยใช้ Microsoft Outlook Web Application - OWA ในการค้นหาข้อมูลที่เกี่ยวข้องกับการชำระเงิน และใบแจ้งหนี้ต่าง ๆ

ในบางกรณี ผู้โจมตีได้สามารถสร้างอีกหลายโปรไฟล์ของ OAuth เพื่อให้สามารถดำเนินการต่อไปได้ยาวนานขึ้นก่อนที่จะถูกตรวจพบ โดยการเพิ่มแอคเคาท์ ชื่อผู้ใช้งาน และรหัสผ่าน รวมไปถึงการอ่านอีเมล และส่งอีเมลฟิชชิ่งผ่าน Microsoft Graph API

Microsoft ยังระบุเพิ่มเติมอีกว่า ขณะที่ทำการตรวจสอบ และวิเคราะห์หาข้อมูลเพิ่มเติมนั้น พบว่ากลุ่มผู้โจมตีได้สร้าง tenant OAuth แอปพลิเคชันออกมากว่า 17,000 multitenant ครอบคลุม tenant หลายแบบที่แตกต่างกัน โดยใช้แอคเคาท์จำนวนมากที่ยึดมาได้ และจากข้อมูลอีเมลทั่วโลกของ Microsoft ที่ได้รวบรวมมานั้น พบว่า OAuth แอปพลิเคชันที่ต้องสงสัย ส่งอีเมลฟิชชิ่งไปแล้วกว่า 927,000 อีเมล ทั้งนี้ทางไมโครซอฟท์ได้มีการกำจัด OAuth แอปพลิเคชันที่ต้องสงสัยที่เกี่ยวข้องกับแคมเปญนี้ในช่วงระยะเวลาตั้งแต่กรกฏาคม ถึง พฤศจิกายน 2023 ทั้งหมดแล้ว

1 ใน 3 ของเหตุการณ์ที่เกิดขึ้นพบว่าเป็นฝีมือของกลุ่ม Storm-1286 ที่บุกรุกบัญชีผู้ใช้งานที่ไม่ได้มีการเปิดการป้องกันด้วยระบบยืนยันตัวตนหลายขั้นตอน ซึ่งเกี่ยวข้องกับแคมเปญการโจมตีในรูปแบบ password-spraying โดยที่แอคเคาท์ที่ถูกยึดไปได้นั้น จะถูกนำไปใช้ในการสร้าง OAuth แอปพลิเคชันใหม่ในองค์กรที่เป็นเป้าหมาย ซึงจะทำให้ผู้ที่โจมตีเข้ามานั้น สามารถส่งสแปมอีเมลได้ตลอดเวลาตั้งแต่ไม่กี่วัน ไปถึงขั้นหลักเดือนเลยทีเดียว

ในการป้องกันกลุ่มผู้โจมตีที่ใช้ช่องโหว่ OAuth แอปพลิเคชันนี้นั้น ทาง Microsoft แนะนำให้ใช้งานระบบ MFA เพื่อขัดขวางการการโจมตีแบบฟิชชิ่ง และการโจมตีที่ขโมยข้อมูลสำคัญมาแล้วนำไปใช้งานในระบบอื่น ๆ ด้วยวิธีการ Credential stuffing

คำแนะนำ

Security teams ควรเปิดใช้งาน conditional access policies เพื่อป้องกันการโจมตีที่ใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกขโมย
ทำการตรวจสอบเงื่อนไขในการเข้าถึงข้อมูลอย่างสม่ำเสมอ เพื่อเพิกถอนการเข้าถึงของผู้ใช้โดยอัตโนมัติ หากตรงกับเงื่อนไขที่มีความเสี่ยงที่อาจเกิดขึ้น
ทำการตั้งค่า Azure Active Directory Security ให้มีการเปิดการใช้งานระบบ MFA เป็นค่าเริ่มต้น รวมไปถึงป้องกันการกระทำต่าง ๆ ที่ต้องใช้สิทธิ์ระดับสูง

ที่มา : bleepingcomputer