Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ
Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ
(more…)
Microsoft ประกาศเลิกใช้การ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM
New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol
โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate
เนื่องจาก NTLM มักถูก Hacker นำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น
ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึง Hacker ยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ
Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า
การเลิกใช้งาน NTLM
ทั้งนี้ NTLM จะยังคงมีการใช้งานใน Windows Server รุ่นถัดไป อย่างไรก็ตามผู้ใช้ และนักพัฒนาแอปพลิเคชันควรเปลี่ยนไปใช้ 'Negotiate' ซึ่งจะพยายามตรวจสอบสิทธิ์กับ Kerberos ก่อน และกลับไปใช้ NTLM เมื่อจำเป็นเท่านั้น
Microsoft แนะนำให้ผู้ดูแลระบบใช้เครื่องมือตรวจสอบการใช้งาน NTLM บนระบบของตน และระบุ instance ทั้งหมดที่ต้องพิจารณาในการกำหนดแผนการเปลี่ยนแปลงดังกล่าว
สำหรับแอปพลิเคชันส่วนใหญ่ การเปลี่ยนจาก NTLM เป็น Negotiate สามารถทำได้โดยการเปลี่ยนแปลงค่าใน 'AcquireCredentialsHandle' request ที่ไปยัง Security Support Provider Interface (SSPI) อย่างไรก็ตาม อาจมีข้อยกเว้นที่จำเป็นต้องทำการเปลี่ยนแปลงค่าเพิ่มเติม
โดย Negotiate มี built-in fallback สำหรับ NTLM ในตัว เพื่อลดปัญหา compatibility ในช่วงการเปลี่ยนแปลง ซึ่งผู้ดูแลระบบที่ติดปัญหาการ authentication สามารถดูวิธีแก้ปัญหาจากคู่มือการแก้ไขปัญหา Kerberos ของ Microsoft
ที่มา : bleepingcomputer.
ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน
(more…)
Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)
หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย
คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง
CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ
การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง
Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล
ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024
ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024
หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :
ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024
Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย
แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams
รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย
การโจมตี Microsoft ของกลุ่ม APT 29
ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ
หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท
กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้
ที่มา : bleepingcomputer
หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ
ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต
ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ
สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก
BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง
BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย
BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย
เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด
Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)
BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง
นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ
ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection
ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)
Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้
ที่มา : bleepingcomputer
Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)
นักวิจัยพบกลุ่ม Hacker ที่เกี่ยวข้องกับรัฐบาลรัสเซีย เกาหลีเหนือ อิหร่าน และจีน กำลังทดลองใช้ปัญญาประดิษฐ์ (AI) และแบบจำลองภาษาขนาดใหญ่ (LLM) เพื่อเสริมการโจมตีทางไซเบอร์ที่กำลังดำเนินอยู่
(more…)
Microsoft เตรียมนำคำสั่ง sudo บน Linux มาใช้งานบน Windows เซิร์ฟเวอร์
Microsoft เตรียมนำฟีเจอร์ ‘sudo’ จาก ระบบปฏิบัติการ Linux มาใช้งานใน Windows เซิร์ฟเวอร์ 2025 ซึ่งจะเพิ่มวิธีการใหม่ที่ทำให้แอดมิน สามารถยกระดับสิทธิ์บน Console Application ได้ (more…)
นักวิจัยจาก AT&T พบการโจมตี phishing ที่ใช้ 'chat group' ของ Microsoft Teams เพื่อแพร่กระจายมัลแวร์ DarkGate ไปยังระบบของเหยื่อ โดยผู้โจมตีใช้ Domain '.onmicrosoft.