พบการเผยแพร่ชุดสาธิตการโจมตี Proof-of-concept (PoC) สำหรับช่องโหว่ Remote Registry client ใน Microsoft ซึ่งสามารถใช้เพื่อควบคุม Windows domain ได้โดยการลดระดับความปลอดภัยของกระบวนการ authentication (more…)

Microsoft ออกมาแจ้งเตือนลูกค้ากลุ่มองค์กรว่า บริษัทพบ bug ที่อยู่มาเป็นเวลานานเกือบหนึ่งเดือนที่อาจทำให้ข้อมูล critical logs บางส่วนสูญหาย ซึ่งส่งผลให้บริษัทที่ใช้ข้อมูลเหล่านี้เพื่อตรวจจับพฤติกรรมที่ผิดปกติตกอยู่ในความเสี่ยง

ปัญหานี้ถูกรายงานครั้งแรกโดย Business Insider เมื่อต้นเดือนตุลาคมนี้ โดยมีรายงานว่า Microsoft ได้เริ่มแจ้งลูกค้าว่าข้อมูล logging data ของพวกเขาไม่ได้ถูกเก็บอย่างต่อเนื่องระหว่างวันที่ 2 กันยายน ถึง 19 กันยายน 2024

Log data ที่สูญหายรวมถึงข้อมูลด้านความปลอดภัยที่มักใช้ในการตรวจสอบการรับส่งข้อมูล, การกระทำ และความพยายามในการเข้าสู่ระบบที่น่าสงสัยในเครือข่าย ซึ่งทำให้มีโอกาสมากขึ้นที่การโจมตีจะไม่ถูกตรวจพบ

การตรวจสอบเหตุการณ์เบื้องต้น (PIR) ที่ส่งถึงลูกค้า และแชร์โดย Microsoft MVP - Joao Ferreira ได้ชี้แจงถึงปัญหาเพิ่มเติม โดยระบุว่าปัญหาการ logging นั้นเกิดขึ้นกับบริการบางอย่าง และจะคงอยู่จนถึงวันที่ 3 ตุลาคม

การตรวจสอบของ Microsoft ระบุว่าบริการต่อไปนี้ได้รับผลกระทบ โดยแต่ละบริการมีระดับการหยุดชะงักของการ logging ข้อมูลที่แตกต่างกัน:

Microsoft Entra: sign-in logs และ activity logs อาจไม่สมบูรณ์ log data จาก Entra ที่ส่งผ่าน Azure Monitor ไปยังผลิตภัณฑ์ด้านความปลอดภัยของ Microsoft เช่น Microsoft Sentinel, Microsoft Purview และ Microsoft Defender for Cloud ก็ได้รับผลกระทบเช่นกัน
Azure Logic Apps: พบ gaps เป็นช่วง ๆ ใน telemetry data ใน Log Analytics, Resource Logs, และการตั้งค่าการวิเคราะห์จาก Logic Apps
Azure Healthcare APIs: log data การวิเคราะห์บางส่วนไม่สมบูรณ์
Microsoft Sentinel: มี gaps ที่อาจเกิดขึ้นใน logs หรือเหตุการณ์ที่เกี่ยวข้องด้านความปลอดภัย ส่งผลต่อความสามารถของลูกค้าในการวิเคราะห์ข้อมูล ตรวจจับภัยคุกคาม หรือสร้างการแจ้งเตือนด้านความปลอดภัย
Azure Monitor: พบ gaps หรือผลลัพธ์ที่ลดลงเมื่อทำการรันคำสั่งการค้นหาที่อ้างอิงจาก log data ของบริการที่ได้รับผลกระทบ ในกรณีที่ลูกค้าตั้งค่าการแจ้งเตือนโดยอ้างอิงจาก log data นี้ การแจ้งเตือนอาจได้รับผลกระทบ
Azure Trusted Signing: พบ log data SignTransaction และ SignHistory ไม่สมบูรณ์บางส่วน ทำให้ปริมาณ signing log ลดลง และการเรียกเก็บเงินต่ำกว่าความเป็นจริง
Azure Virtual Desktop: Application Insights ไม่สมบูรณ์บางส่วน การเชื่อมต่อ และฟังก์ชันหลักของ AVD ไม่ได้รับผลกระทบ
Power Platform: พบความคลาดเคลื่อนเล็กน้อยที่ส่งผลต่อข้อมูลในรายงานต่าง ๆ รวมถึงรายงาน Analytics ใน Portal Admin และ Maker, รายงานการอนุญาตให้ใช้สิทธิ์, การส่งออกข้อมูลไปยัง Data Lake, Application Insights และ Activity Logging

Microsoft ระบุว่า ความล้มเหลวในการ logging เกิดจาก bug ที่เกิดขึ้นจากการแก้ไขปัญหาอื่นใน log collection service ของบริษัท

"การเปลี่ยนแปลงครั้งแรกถูกออกแบบมาเพื่อแก้ไขข้อจำกัดใน logging service แต่เมื่อถูกนำไปใช้งาน กลับไไปทำให้เกิดสภาวะ deadlock โดยไม่ได้ตั้งใจเมื่อ agent ถูกสั่งให้เปลี่ยนปลายทางการอัปโหลดข้อมูลระยะไกลอย่างรวดเร็วในขณะที่มีการส่งข้อมูลไปยังปลายทางแรกอยู่ ซึ่งส่งผลให้เกิด deadlock ของเธรดในส่วนประกอบการส่งข้อมูลทีละน้อย ทำให้โปรแกรมตัวแทนไม่สามารถอัปโหลดข้อมูลระยะไกลได้ สภาวะ deadlock นี้ส่งผลกระทบเฉพาะกลไกการส่งข้อมูลภายใน agent เท่านั้น แต่ฟังก์ชันอื่น ๆ ยังคงทำงานได้ตามปกติ เช่น การเก็บรวบรวม และบันทึกข้อมูลไปยังที่เก็บข้อมูลถาวรภายในของ agent การรีสตาร์ท agent หรือระบบปฏิบัติการ สามารถแก้ไขสภาวะ deadlock ได้ และเมื่อ agent เริ่มทำงานอีกครั้ง โดยจะอัปโหลดข้อมูลที่เก็บอยู่ในหน่วยความจำถาวรภายใน อย่างไรก็ตาม มีบางสถานการณ์ที่ปริมาณ log data ที่ agent รวบรวมได้มีขนาดใหญ่เกินขีดจำกัดของที่เก็บข้อมูลภายในก่อนที่จะเกิดการรีสตาร์ท ในกรณีเหล่านี้ agent จะเขียนทับข้อมูลที่เก่าที่สุดในที่เก็บข้อมูล (เป็นการทำงานแบบ buffer retaining ที่เก็บข้อมูลล่าสุดจนถึงขนาดที่กำหนด) log data ที่เกินขีดจำกัดของหน่วยความจำไม่สามารถกู้คืนได้"

Microsoft ระบุว่า ถึงแม้ว่าจะแก้ไข bug ตามแนวทางที่ปลอดภัยแล้วก็ตาม แต่ก็ไม่สามารถระบุปัญหาใหม่ได้ และต้องใช้เวลาสองสามวันจึงจะตรวจพบ

John Sheehan รองประธานฝ่ายองค์กรของ Microsoft ได้แถลงต่อ TechCrunch ว่า ขณะนี้ bug ได้รับการแก้ไขแล้ว และได้แจ้งลูกค้าทุกคนให้ทราบแล้ว

อย่างไรก็ตาม Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ระบุว่า เขาทราบว่ามีอย่างน้อย 2 บริษัทที่มี log data ที่สูญหายแต่ไม่ได้รับการแจ้งเตือน

เหตุการณ์นี้เกิดขึ้นหนึ่งปีหลังจากที่ Microsoft ถูกวิจารณ์จาก CISA และฝ่ายนิติบัญญัติในสหรัฐฯ เนื่องจากไม่ให้ log data ที่เพียงพอเพื่อใช้ในการตรวจจับการละเมิดความปลอดภัยฟรี แต่กลับเรียกเก็บเงินจากลูกค้าเพื่อเข้าถึงข้อมูลเหล่านี้

ในเดือนกรกฎาคม 2023 แฮ็กเกอร์ชาวจีนได้ขโมย signing key ของ Microsoft ซึ่งทำให้พวกเขาสามารถเจาะบัญชีขององค์กร และรัฐบาลที่ใช้ Microsoft Exchange และ Microsoft 365 และขโมยข้อมูลอีเมลได้

แม้ว่า Microsoft ยังไม่สามารถระบุได้ว่า key นั้นถูกขโมยไปได้อย่างไร รัฐบาลสหรัฐฯ ตรวจพบการโจมตีครั้งนี้เป็นครั้งแรกโดยใช้ advanced logging data ของ Microsoft

อย่างไรก็ตาม ความสามารถของ advanced logging data นี้มีให้เฉพาะลูกค้าของ Microsoft ที่ชำระเงินสำหรับฟีเจอร์ Purview Audit (Premium) logging เท่านั้น

ด้วยเหตุนี้ Microsoft จึงถูกวิจารณ์อย่างหนักที่ไม่ให้บริการ log data เพิ่มเติมนี้ฟรี ซึ่งจะช่วยให้องค์กรตรวจจับการโจมตีระดับสูงได้อย่างรวดเร็ว

Microsoft ได้ขยายความสามารถในการ logging ข้อมูลฟรีให้กับลูกค้า Purview Audit ทั้งหมดในเดือนกุมภาพันธ์ 2024 โดยทำงานร่วมกับ CISA สำนักงานบริหารจัดการ และงบประมาณ (OMB) และสำนักงานผู้อำนวยการไซเบอร์แห่งชาติ (ONCD)

ที่มา : https://www.

กลุ่มแฮ็กเกอร์จากอิหร่านที่รู้จักกันในชื่อ OilRig ถูกพบว่ากำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ที่ได้รับการแก้ไขแล้ว ซึ่งส่งผลกระทบต่อ Windows Kernel โดยการโจมตีดังกล่าวจะมุ่งเป้าไปที่สหรัฐอาหรับเอมิเรตส์ (U.A.E.) และกลุ่มประเทศอาหรับ (more…)

Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)

บริษัท Microsoft และกระทรวงยุติธรรมได้ยึดโดเมนมากกว่า 100 โดเมนที่กลุ่มแฮ็กเกอร์ชาวรัสเซีย ColdRiver ใช้การโจมตีแบบฟิชชิ่ง ทำการโจมตีหน่วยงานของรัฐบาลสหรัฐฯ และองค์กรที่ไม่แสวงหากำไรทั่วโลก (more…)

Microsoft ได้แก้ไขปัญหาที่ส่งผลต่อผู้ใช้ Outlook for Microsoft 365 ที่ทำให้เกิดปัญหาในการส่งอีเมลสำหรับผู้ที่มีโฟลเดอร์ซ้อนกันมากเกินไป

Microsoft พบปัญหาดังกล่าวครั้งแรกในเดือนธันวาคม 2023 โดยปัญหาดังกล่าวเกี่ยวข้องกับ mailbox ที่มี shared folder มากกว่า 500 โฟลเดอร์ ซึ่งข้อจำกัดดังกล่าวได้ถูกยกเลิกไปในปี 2019 โดยยกเลิกข้อจำกัด 500 โฟลเดอร์ใน Outlook อย่างไรก็ตามเชื่อว่าปัญหาดังกล่าวยังส่งผลต่อผู้ใช้ที่มีโฟลเดอร์จำนวนใกล้เคียงกันในกล่องจดหมายหลักของตนด้วย

Microsoft ระบุว่า ผู้ใช้งานที่พยายามส่งอีเมลจาก Outlook desktop app อาจได้รับรายงานการแจ้งเตือน Non-Delivery Report (NDR) พร้อม error code 0x80040305

โดยผู้ใช้ที่ได้รับผลกระทบจะได้รับการแจ้งเตือนด้วยว่าอีเมลของตนส่งไปไม่ถึงผู้รับบางส่วน หรือทั้งหมด โดยข้อความ NDR จะแนะนำให้ส่งใหม่อีกครั้งในภายหลังหรือติดต่อ network administrator

Outlook Team ได้พัฒนาวิธีแก้ไขปัญหา ซึ่งจะเผยแพร่ในช่วงเดือนตุลาคม หรือในเดือนธันวาคม 2024

Beta Channel : เวอร์ชัน 2410 (Build 18127.15020) คาดว่าจะออกในช่วงต้นเดือนตุลาคม 2024
Current Channel Preview : เวอร์ชัน 2410 (Build 18129.20000) คาดว่าจะออกในวันที่ 9 ตุลาคม 2024
Current Channel : เวอร์ชัน 2410 (บิลด์ 20000) คาดว่าจะออกในวันที่ 29 ตุลาคม 2024
Monthly Enterprise Channel : เวอร์ชัน 2410 (บิลด์ 20000) คาดว่าจะออกในวันที่ 10 ธันวาคม 2024

แนวทางการแก้ไข

ในระหว่างที่รอการแก้ไข ทาง Microsoft ได้แนะนำแนวทางแก้ไขปัญหาชั่วคราว โดยกำหนดให้ลดจำนวนโฟลเดอร์ที่มีโฟลเดอร์ย่อยให้ต่ำกว่า 500 โฟลเดอร์ โดยตั้งเป้าไว้ที่ 450 โฟลเดอร์ที่ซ้อนกัน และอีกวิธี คือการยุบโฟลเดอร์กล่องจดหมายทั้งหมดแทนที่จะขยาย

ซึ่งหากไม่สามารถดำเนินการอย่างใดอย่างหนึ่งข้างต้นได้ ให้หลีกเลี่ยงการดำเนินการออนไลน์ใน Outlook การดำเนินการดังกล่าวรวมถึงการใช้ปุ่ม 'View on Server' และ ' Click here to view more on Microsoft Exchange' หรือการใช้ ' Include older results' เมื่อค้นหา รวมถึงหากใช้บริการเหล่านี้ควรรีสตาร์ท Outlook ทันทีเพื่อประสิทธิภาพในการใช้งาน

ในเดือนกันยายน 2024 Microsoft ได้แก้ไขช่องโหว่ที่ทำให้ Microsoft 365 apps เช่น Outlook, Word, Excel และ OneNote หยุดทำงานขณะพิมพ์ หรือตรวจสอบการสะกดข้อความ รวมถึงในเดือนสิงหาคม 2024 ได้แบ่งปันแนวทางแก้ปัญหาชั่วคราวสำหรับปัญหาการลงชื่อเข้าใช้ Gmail สำหรับผู้ใช้ Outlook แบบคลาสสิก และทำให้ Outlook หยุดทำงานหลังจากเปิดใช้งาน

ที่มา : bleepingcomputer

Microsoft ได้เปิดตัว Publish API สำหรับนักพัฒนา Edge extension เวอร์ชันอัปเดต ที่ช่วยเพิ่มความปลอดภัยให้กับบัญชีนักพัฒนา และการอัปเดต extension ของเบราว์เซอร์

เมื่อมีการเผยแพร่ extension เบราว์เซอร์ใน Microsoft Edge ใหม่เป็นครั้งแรก นักพัฒนาจะต้องส่ง extension ดังกล่าวผ่าน Partner Center เมื่อได้รับการอนุมัติแล้ว การอัปเดตจะดำเนินการผ่าน Partner Center หรือ Publish API

ในส่วนของ Microsoft's Secure Future Initiative ทาง Microsoft กำลังเพิ่มระดับความปลอดภัยให้กับกลุ่มผลิตภัณฑ์ทั้งหมด รวมทั้งกระบวนการ browser extension publishing เพื่อป้องกันไม่ให้ extensions ถูกฝังด้วยโค้ดที่เป็นอันตราย

โดย Publish API ใหม่ที่เป็นความลับจะถูกสร้างเป็นคีย์ API แบบไดนามิกสำหรับนักพัฒนาแต่ละคน ซึ่งช่วยลดความเสี่ยงที่ข้อมูล static credentials จะถูกเปิดเผยภายในโค้ด หรือถูกการละเมิดอื่น ๆ

ขณะนี้ API keys เหล่านี้จะถูกเก็บไว้ในฐานข้อมูลของ Microsoft ในรูปแบบ hashes แทนที่จะเป็น keys โดยตรง ซึ่งจะช่วยป้องกันไม่ให้ API keys รั่วไหลได้

เพื่อเพิ่มความปลอดภัยให้มากขึ้น access token URLs จะถูกสร้างขึ้นมา และไม่จำเป็นต้องมีการส่งข้อมูลออกไป ในกรณีที่นักพัฒนามีการอัปเดต extension วิธีนี้ช่วยเพิ่มความปลอดภัย โดยมีการจำกัดความเสี่ยงในการเปิดเผย URL ซึ่งอาจใช้ในการส่งการอัปเดต extension ที่เป็นอันตราย

API ที่มีการเผยแพร่ใหม่นี้ keys จะหมดอายุ ภายใน 72 วัน และเมื่อเทียบกับ 2 ปีก่อนหน้านี้ การ Rotating secrets บ่อยขึ้น จะป้องกันไม่ให้มีการใช้งานในทางที่ผิดในกรณีที่ข้อมูลจะถูกเปิดเผย

นักพัฒนา Edge สามารถลองใช้การจัดการ API key ตัวใหม่ใน Partner Center dashboard ของตนเองได้

ซึ่งนักพัฒนาจะต้องสร้าง ClientId และ secrets รวมไปถึงกำหนดค่าไปป์ไลน์ CI/CD ที่มีอยู่ใหม่

นักพัฒนาซอฟต์แวร์มักตกเป็นเป้าหมายของการโจมตีแบบฟิชชิง และการโจมตีด้วยมัลแวร์เพื่อขโมยข้อมูล credentials อยู่เสมอ

โดยข้อมูล credentials เหล่านี้จะถูกนำไปใช้เพื่อขโมยโค้ดต้นฉบับ หรือเพื่อโจมตีกระบวนการทำงานของระบบ

ในขณะนี้ทาง Microsoft กำลังจัดระเบียบ process ใหม่ในรูปแบบ opt-in เพื่อลดการหยุดชะงักในการย้ายไปใช้ Publish API ใหม่ แต่คงไม่น่าแปลกใจหาก Publish API ที่อัปเดตจะกลายเป็นระบบบังคับในอนาคต

Microsoft ระบุว่า เพื่อลดการหยุดชะงักในการย้ายไปยัง Publish API ใหม่ จำเป็นต้องมีการทำ opt-in experience ซึ่งจะช่วยให้สามารถเปลี่ยนไปใช้ new experience ของตนเองได้

หากจำเป็น ผู้ใช้ยังสามารถยกเลิก และกลับไปใช้วิธีการแบบเดิมได้ แม้ว่าจะมีการสนับสนุนให้ผู้พัฒนาเปลี่ยนไปใช้วิธีการใหม่เนื่องจากมีความปลอดภัยมากกว่าก็ตาม

การปรับปรุงด้านความปลอดภัยที่มาพร้อมกับ Publish API ใหม่จะช่วยป้องกัน extension ของผู้ใช้ และเสริมประสิทธิภาพของกระบวนการทำงานมากขึ้น

ที่มา : bleepingcomputer

Microsoft ได้ประกาศอย่างเป็นทางการว่าจะยกเลิกการใช้งาน และการพัฒนา Windows Server Update Services (WSUS) แต่ยังคงเปิดการใช้งานในเวอร์ชันปัจจุบัน และยังมีการอัปเดตด้านความปลอดภัย (more…)

CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และนักวิจัยด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง

(more…)

พบช่องโหว่ Windows MSHTML spoofing หมายเลข CVE-2024-43461 กำลังถูกกลุ่ม APT Void Banshee นำไปใช้ในการโจมตีแบบ Zero-Day attack (more…)