กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง

จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ

Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023 (more…)

Microsoft ระบุว่ากำลังทำการตรวจสอบข้อผิดพลาดในการทำงานร่วมกันระหว่างฟีเจอร์ Windows Local Administrator Password Solution (LAPS) ที่เพิ่งถูกเพิ่มเข้ามา กับ LAPS Policy เดิม

Windows Local Administrator Password Solution (LAPS) เป็นฟีเจอร์ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการรหัสผ่านสำหรับบัญชี local administrator บนอุปกรณ์ที่เข้าร่วม Azure Active Directory หรืออุปกรณ์ที่เข้าร่วม Windows Server Active Directory ด้วยการหมุนเวียน และสำรองข้อมูลเหล่านั้นไปยัง AD domain controllers โดยอัตโนมัติ (more…)

Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

Microsoft ประกาศเปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่บน Exchange Online ที่จะทำการตรวจสอบ, ควบคุมปริมาณ และทำการบล็อกโดยอัตโนมัติ สำหรับอีเมลที่ถูกส่งมาจาก Exchange server ที่มีความเสี่ยง หรือมีช่องโหว่ด้านความปลอดภัยต่อเนื่องเป็นเวลา 90 วัน หลังจากที่ผู้ดูแลระบบได้ทำการตั้งค่าเลือกเอาไว้ ซึ่งมีชื่อว่า "transport-based enforcement system"

Exchange server ที่มีความเสี่ยง หมายถึง Exchange server ที่อยู่ on-premises หรือ hybrid ที่มีการใช้งานซอฟต์แวร์ที่ไม่มีการซัปพอร์ตแล้ว (เช่น Exchange 2007, Exchange 2010 และ (more…)

Microsoft เปิดตัว Security Copilot ซึ่ง AI ที่มีความสามารถคล้ายกับ ChatGPT ที่สามารถช่วยตอบสนองต่อภัยคุกคาม หรือการโจมตี รวมถึงค้นหาภัยคุกคาม และการรายงานด้านความปลอดภัย โดยใช้ประโยชน์จาก Threat Intelligence ของ Microsoft (more…)

Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยฉุกเฉินสำหรับ Windows 10 และ Windows 11 เพื่อแก้ไขช่องโหว่ Acropalypse ที่ส่งผลต่อรูปภาพที่มีการแก้ไขใน Windows Snipping Tool

CVE-2023-28303 (คะแนน CVSS 3.1/10 ความรุนแรงต่ำ) ช่องโหว่ในชื่อ Acropalypse ซึ่งเกิดจากโปรแกรมแก้ไขรูปภาพที่ไม่ได้ลบข้อมูลรูปภาพที่ถูก crop ตัดอย่างถูกต้องเมื่อเขียนทับไฟล์ต้นฉบับ ทำให้มีความเสี่ยงที่จะโดนกู้คืนภาพที่ถูกแก้ไขไปแล้วได้ ซึ่งอาจทำให้ถูกเปิดเผยข้อมูลที่ (more…)

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus ซึ่งส่งผลให้เกิดความผิดพลากในการแจ้งเตือนที่ระบุว่า Local Security Authority (LSA) Protection ปิดอยู่ ถึงแม้จะเปิดอยู่ก็ตาม

LSA Protection หรือ Local Security Authority (LSA) Protection เป็นคุณลักษณะด้านความปลอดภัยที่ปกป้องข้อมูลที่มีความสำคัญของ Windows จาก Process Local Security Authority Subsystem Service (LSASS) เช่น การป้องกันข้อมูลประจำตัวถูกขโมยออกไปด้วยการบล็อก LSA code injection และการทำ process memory dumping (more…)

Abel นักวิจัยด้านความปลอดภัยได้เปิดเผยการพบการเปลี่ยนวิธีการโจมตีของ Emotet โดยหันมาใช้ Microsoft OneNote แทนการใช้ Microsoft Word และ Excel ในการแนบไฟล์อันตรายเพื่อโจมตี และหลบหลีกการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Emotet เป็น malware botnet ที่มีชื่อเสียง ซึ่งในอดีตใช้การโจมตีผ่านทาง Microsoft Word และ Excel โดยการฝัง macro ที่เป็นอันตราย ซึ่งหากผู้ใช้งานเปิดไฟล์แนบ และเปิดใช้งาน macro จะส่งผลให้ถูกดาวน์โหลด และติดตั้งมัลแวร์ Emotet บนอุปกรณ์เป้าหมาย รวมถึงดาวน์โหลดเพย์โหลดอันตรายอื่น ๆ และเข้าถึงเครือข่ายภายในขององค์กร (more…)

นักวิจัยจาก MDSec บริษัทที่ปรึกษาด้านความปลอดภัย ออกมาเปิดเผยเทคนิคสำหรับการโจมตี Proof of Concept (PoC) ช่องโหว่ของ Microsoft Outlook ที่มีความรุนแรงระดับ Critical (CVE-2023-23397) ซึ่งทำให้ Hacker สามารถขโมย Hash Password ได้ เพียงแค่เหยื่อทำการเปิดอีเมล

CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability Exploiting (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) โดยเป็นช่องโหว่ใน Windows NTLM ทำให้ Hacker สามารถยกระดับสิทธิ และขโมย NTLM credential ได้ เพียงแค่ส่งอีเมลที่เป็นอันตรายไปยังเป้าหมาย ขณะที่เป้าหมายใช้งาน Microsoft Outlook อยู่ก็สามารถทำการโจมตีได้ทันที ซึ่งช่องโหว่นี้ได้ส่งผลกระทบต่อ Microsoft Outlook ทุกเวอร์ชันบน Windows

Windows New technology LAN Manager (NTLM) เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ในการเข้าสู่ระบบโดเมน Windows โดยใช้การเข้าสู่ระบบแบบ Hash credentials

ขณะนี้ Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว แต่พบว่าช่องโหว่ดังกล่าวได้ถูกใช้ในการโจมตีแบบ Zero Day NTLM-relay มาตั้งแต่เดือนเมษายน 2022

การโจมตีโดยใช้ NTLM

Microsoft อธิบายว่า Hacker สามารถใช้ CVE-2023-23397 เพื่อขโมย NTLM hash ของเป้าหมาย ด้วยการส่ง MAPI property และ UNC path ไปยัง SMB (TCP 445) เพื่อเชื่อมต่อกลับไปยัง Server ของ Hacker โดยการเชื่อมต่อผ่าน SMB ออกไปยังเซิร์ฟเวอร์ภายนอกจะส่งข้อมูล NTLM negotiation message ของผู้ใช้งานออกไป ซึ่งจะสามารถทำให้ผู้โจมตีสามารถส่งต่อการ authentication กับระบบอื่น ๆ ที่รองรับการใช้งาน NTLM

ทาง Microsoft และ MDSec ได้ทำการตรวจสอบรายการข้อความใน Exchange เพื่อค้นหาร่องรอยการโจมตี โดยได้พบกับสคริปต์ “PidLidReminderFileParameter” ภายในรายการจดหมายที่ได้รับใน Exchange ซึ่งมีความสามารถในการทำให้ Microsoft Outlook เรียกไปยัง UNC path ที่อันตราย ทำให้สามารถสร้างอีเมล Outlook (.MSG) ที่เป็นอันตรายพร้อมการนัดหมายในปฏิทิน รวมไปถึงใช้ Microsoft Outlook Tasks และ Notes เพื่อโจมตีช่องโหว่ และส่ง NTLM hash ของเป้าหมาย ไปยัง Server ของ Hacker หลังจากนั้น Hacker จะนำ NTLM hash ดังกล่าวที่ขโมยมา ไปใช้ในการเข้าถึงระบบของเป้าหมายอีกครั้งหนึ่ง เมื่อเข้าถึงระบบได้แล้วก็จะทำการใช้ Impacket และ PowerShell Empire open-source framework เพื่อแพร่กระจายไปในระบบของเป้าหมายเพื่อรวบรวมข้อมูล

นอกจากนี้ยังพบว่า Hacker ได้ใช้ช่องโหว่ CVE-2023-23397 เพื่อหลีกเลี่ยงการตรวจสอบสิทธิเพื่อเชื่อมต่อออกไปยัง IP address ที่อยู่นอก Intranet Zone หรือ Trust Site อีกด้วย

การโจมตีแบบ Zero-day ที่เกี่ยวข้องกับ Hacker ชาวรัสเซีย

ช่องโหว่ CVE-2023-23397 ถูกค้นพบ และรายงานไปยัง Microsoft โดย Computer Emergency Response Team (CERT-UA) ของยูเครน โดยได้ค้นพบหลังจากการถูก Hacker ชาวรัสเซีย โจมตีด้วยช่องโหว่ดังกล่าว โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังองค์กรในยุโรปหลายแห่งในภาครัฐบาล การขนส่ง พลังงาน และการทหาร

โดยทาง CERT-UA เชื่อว่ากลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้ คือกลุ่ม APT28 (ในชื่อ Strontium, Fancy Bear, Sednit, Sofacy) ซึ่งมีความเชื่อมโยงกับหน่วยงาน General Staff of the Armed Forces of the Russian Federation (GRU) ซึ่งได้คาดการณ์ว่ามีองค์กรมากถึง 15 แห่งที่ตกเป็นเป้าหมายการโจมตีโดยใช้ CVE-2023-23397 โดยพบการโจมตีครั้งล่าสุดในเดือนธันวาคม 2023

Microsoft ได้แจ้งเตือนให้ผู้ดูแลระบบให้เร่งทำการอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าว รวมไปถึงทำการตรวจสอบรายการข้อความใน Exchange ว่ามาพร้อมกับ UNC path ผ่าน SMB (TCP 445) หรือไม่ เพื่อค้นหาร่องรอยการถูกโจมตี

 

ที่มา : bleepingcomputer