Microsoft ได้เผยแพร่ out-of-band แพตซ์อัปเดตด้านความปลอดภัย สำหรับช่องโหว่ information disclosure บน 'Memory Mapped I/O Stale Data (MMIO)' ใน CPU Intel

Intel เปิดเผยช่องโหว่ใน Mapped I/O side-channel เมื่อวันที่ 14 มิถุนายน 2022 โดยแจ้งเตือนว่าช่องโหว่ดังกล่าวอาจทำให้ process ที่ทำงานใน virtual machine สามารถเข้าถึงข้อมูลบน virtual machine เครื่องอื่นได้

ช่องโหว่มีหมายเลข CVE ดังต่อไปนี้:

CVE-2022-21123 - Shared Buffer Data Read (SBDR)
CVE-2022-21125 - Shared Buffer Data Sampling (SBDS)
CVE-2022-21127 - Special Register Buffer Data Sampling Update (SRBDS Update)
CVE-2022-21166 - Device Register Partial Write (DRPW)

Microsoft ยังได้เผยแพร่ Security Update Guide ADV220002 พร้อมข้อมูลเกี่ยวกับประเภทของสถานการณ์ที่อาจส่งผลกระทบจากช่องโหว่ ซึงทำให้ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่สามารถเข้าถึงข้อมูลที่มีความสำคัญได้

ในระบบที่มีการแชร์ resource เช่น กำหนดค่าบริการคลาวด์บางอย่าง ช่องโหว่นี้อาจทำให้ virtual machine เครื่องหนึ่งสามารถเข้าถึงข้อมูลจากอีกเครื่องหนึ่งได้

โดยผู้โจมตีจะต้องเข้าถึงระบบให้ได้ก่อน หรือสามารถเรียกใช้แอปพลิเคชันที่สร้างขึ้นมาเป็นพิเศษบนระบบเป้าหมาย เพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้

Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Windows 10, Windows 11 และ Windows Server เพื่อแก้ไขช่องโหว่เหล่านี้

การอัปเดตใน Microsoft Update Catalog ดังนี้ :

KB5019180 - Windows 10, version 20H2, 21H2, and 22H2
KB5019177 - Windows 11, version 21H2
KB5019178 - Windows 11, version 22H2
KB5019182 - Windows Server 2016
KB5019181 - Windows Server 2019
KB5019106 - Windows Server 2022

โดยมีแนวโน้มว่าแพตซ์เหล่านี้จะถูกปล่อยให้เป็นการอัปเดตด้วยตนเอง เนื่องจากการอัปเดตแพตซ์แก้ไขช่องโหว่เหล่านี้อาจทำให้เกิดปัญหาด้านประสิทธิภาพ และช่องโหว่อาจยังไม่ได้รับการแก้ไขอย่างสมบูรณ์หากไม่ปิดใช้งาน Intel Hyper-Threading Technology (Intel HT Technology) ในบางสถานการณ์

ดังนั้นแนะนำให้อ่านคำแนะนำของทั้ง Intel และ Microsoft ก่อนการอัปเดตแพตซ์เหล่านี้

 

ที่มา : bleepingcomputer

Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง

Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018

โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์

ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone

หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย

โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory

Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

 

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ ค้นพบการโจมตีที่ใช้ Microsoft Visual Studio Tools for Office (VSTO) เพื่อแฝงตัว และเรียกใช้คำสั่งที่เป็นอันตรายบนเครื่องเป้าหมาย ผ่าน Add-in ของ Microsoft Office เข้าไปใน VBA macros ของไฟล์เอกสารเพื่อดาวน์โหลดมัลแวร์

นับตั้งแต่ Microsoft ได้ประกาศ Block การทำงานของ macro VBA และ XL4 เป็นค่าเริ่มต้น (default) เหล่า Hackers จึงต้องปรับเปลี่ยนวิธีการโจมตีเป้าหมายใหม่ ไม่ว่าจะเป็น ไฟล์ .ZIP, .ISO และ .LNK เพื่อแพร่กระจายมัลแวร์ รวมไปถึงการใช้ VSTO ในการสร้างมัลแวร์ที่ใช้ .NET และฝังลงใน Add-in ของ Microsoft Office

การโจมตีด้วย VSTO

Microsoft Visual Studio Tools for Office (VSTO) เป็นชุดพัฒนาซอฟต์แวร์ซึ่งเป็นส่วนหนึ่งของ Visual Studio IDE ของ Microsoft ซึ่งใช้ในการสร้างโปรแกรมเสริม และเป็นส่วนขยายสำหรับแอปพลิเคชัน Microsoft Office ที่สามารถสั่งรันโค้ดบนเครื่องได้

โดย Add-in เหล่านี้สามารถรวมเข้ากับไฟล์เอกสาร หรือดาวน์โหลดจากภายนอก และเริ่มการทำงานเมื่อเปิดใช้เอกสารด้วยเอป Microsoft Office ที่เกี่ยวข้องเช่น Word, Excel ซึ่ง Hacker จะใช้วิธีการ local VSTO ทำให้ไม่ต้องทำการหลบเลี่ยงการตรวจจับด้านความปลอดภัยเพื่อเรียกใช้คำสั่งเพิ่มเติม

นอกจากนี้นักวิจัยยังได้พบการโจมตีโดยใช้ VSTO add-ins จากภายนอกอีกด้วย โดยค้นพบจากพารามิเตอร์ "custom.

Microsoft ได้เปิดเผยการดำเนินการปิดใช้งานของบัญชี Microsoft Partner Network (MPN) ปลอม ที่ใช้สำหรับสร้างแอปพลิเคชัน OAuth ที่เป็นอันตราย ซึ่งถูกใช้ในแคมเปญ Phishing ที่มุ่งเป้าไปยังระบบคลาวด์ขององค์กรเพื่อขโมยอีเมล โดยการลอกเลียนแบบแอปยอดนิยมและหลอกให้เหยื่อกดยินยอมอนุญาตให้เข้าถึงสิทธิต่าง ๆ ซึ่งแอปปลอมเหล่านี้ได้ลงทะเบียนกับ OAuth ที่สร้างขึ้นใน Azure AD (more…)

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

Orca บริษัทด้านความปลอดภัยไซเบอร์ได้ค้นพบช่องโหว่ที่เกี่ยวข้องกับบริการ Microsoft Azure โดยช่องโหว่ดังกล่าวถูกพบในช่วงระหว่างวันที่ 8 ตุลาคม 2022 ถึง 2 ธันวาคม 2022 ซึ่งส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins me ซึ่งทำให้ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และเข้าถึงข้อมูลบนเครื่องปลายทางได้

โดยปัจจุบันทาง Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้ว

ช่องโหว่บนบริการ Microsoft Azure มีดังนี้

ช่องโหว่ Unauthenticated SSRF บน Azure Digital Twins Explore โดยช่องโหว่อยู่ใน /proxy/blob endpoint ทำให้มีความเสี่ยงถูกโจมตีเพื่อรับ response จากบริการใดๆก็ตามที่ต่อท้ายด้วย "blob.

Azure Cognitive Search (ACS) เป็น full-text search engine service ของ Azure โดยนักวิจัยจาก mnemonic พบช่องโหว่ในฟีเจอร์ใหม่ของหน้า ACS portal ที่ทำให้สามารถ search ข้อมูลจาก portal ได้โดยตรง โดยไม่ผ่าน Network firewall ของ ACS instance

การทำงานของฟีเจอร์ 'Allow access from Portal' จะใช้การ Whitelist portal proxy แทนที่จะเป็น IP แล้วให้ตัว portal proxy ทำการ authentication โดยใช้ Access token แต่ว่าไม่มีการตรวจสอบว่า Access token นั้นมาจาก tenant ไหน จึงทำให้ Private ACS instance สามารถถูกเข้าถึงได้จาก tenant ไหนก็ได้ขอแค่มีการเปิดใช้งานฟีเจอร์ 'Allow access from Portal'

วิธีการแก้ไข

Microsoft ได้ทำการแก้ไขช่องโหว่โดยการลบฟีเจอร์ 'Allow access from Portal' ออก และใช้การ Whitelist IP แทนการใช้ portal proxy เรียบร้อยแล้ว

ที่มา : mnemonic

Microsoft ได้เพิกถอนบัญชี Windows Hardware Developer หลายบัญชีหลังจากที่ไดรเวอร์ ที่ signed ผ่านโปรไฟล์ของพวกเขาถูกนำมาใช้ในการโจมตีทางไซเบอร์ รวมถึงการโจมตีจาก ransomware

ข้อมูลดังกล่าวถูกเปิดเผยจากรายงานร่วมกันของ Mandiant, Sophos และ SentinelOne โดยนักวิจัยระบุว่าผู้โจมตีกำลังใช้ไดรเวอร์ hardware kernel-mode ที่เป็นอันตราย ซึ่งผ่านการตรวจสอบความน่าเชื่อถือด้วย Authenticode จากโปรแกรม Windows Hardware Developer ของ Microsoft

Microsoft ระบุว่าได้รับแจ้งจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant, SentinelOne และ Sophos เมื่อวันที่ 19 ตุลาคม 2565 ว่าไดรเวอร์ที่ certified โดย Windows Hardware Developer ของ Microsoft ถูกนำไปใช้ในการโจมตี ซึ่งจากพฤติกรรมในการโจมตีครั้งนี้ ผู้โจมตีได้รับสิทธิ์ระดับผู้ดูแลระบบบนระบบที่ถูกโจมตีไปก่อนแล้วที่จะมีการใช้งานไดรเวอร์ดังกล่าว

โดยจากการตรวจสอบเพิ่มเติมพบว่าบัญชีนักพัฒนาหลายบัญชีสำหรับ Microsoft Partner Center มีส่วนร่วมในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) จาก Microsoft และความพยายามในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) ล่าสุดเมื่อวันที่ 29 กันยายน 2565 จึงนำไปสู่การระงับบัญชีของนักพัฒนาหลายรายในช่วงต้นเดือนตุลาคม

เมื่อมีการโหลดไดรเวอร์ hardware ใน kernel-mode บน Windows ไดรเวอร์จะได้รับสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ รวมถึงสิทธิ์ในการอนุญาตให้ไดรเวอร์สามารถดำเนินการที่เป็นอันตรายต่าง ๆ ได้ ซึ่งโดยปกติแล้วจะไม่อนุญาตในแอปพลิเคชันของ user-mode ซึ่งสิทธิ์ดังกล่าวรวมไปถึงการสามารถหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย การลบไฟล์ที่ได้รับการป้องกัน และการทำตัวเป็น rootkits เพื่อซ่อนพฤติกรรมของ process อื่น ๆ

โดยตั้งแต่ Windows 10 เป็นต้นมา Microsoft ได้กำหนดให้ไดรเวอร์ฮาร์ดแวร์ใน kernel-mode ต้อง signed ผ่านโปรแกรม Windows Hardware Developer ของ Microsoft เท่านั้น

เนื่องจากนักพัฒนาจำเป็นต้องซื้อใบรับรองสำหรับ Extended Validation (EV) ซึ่งต้องผ่านกระบวนการระบุตัวตน และส่งไดรเวอร์มาผ่านการตรวจสอบจาก Microsoft ด้วย จึงทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวนมากจึงเชื่อถือไดรเวอร์ที่ signed โดย Microsoft ผ่านโปรแกรมนี้โดยอัตโนมัติ

เครื่องมือที่ถูกนำมาใช้ในการหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย

นักวิจัยระบุว่าพบเครื่องมือที่ชื่อว่า STONESTOP (loader) และ POORTRY (kernel-mode driver) ที่ถูกนำมาใช้ในการโจมตีแบบที่เรียกว่า "Bring your vulnerable ไดรเวอร์" (BYOVD) ในครั้งนี้

STONESTOP เป็นแอพพลิเคชั่นแบบ user-mode ที่พยายามหยุดการทำงานซอฟต์แวร์รักษาความปลอดภัยบนอุปกรณ์ รวมถึงความสามารถในการเขียนทับ และลบไฟล์ และทำหน้าที่เป็นทั้งตัวโหลด/ตัวติดตั้งสำหรับ POORTRY

ransomware และ SIM swapper

โดย Sophos พบพฤติกรรมที่ผู้โจมตีซึ่งมีความเกี่ยวข้องกับกลุ่ม Cuba ransomware ใช้ BURNTCIGAR loader utility เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งถูก signed โดย Microsoft

ส่วน SentinelOne พบชุดเครื่องมือที่ signed โดย Microsoft ซึ่งถูกนำมาใช้ในการโจมตีธุรกิจโทรคมนาคม, BPO, MSSP และธุรกิจบริการทางการเงิน และถูกใช้โดยการดำเนินการของ Hive Ransomware กับบริษัทในอุตสาหกรรมการแพทย์ ซึ่งแฮ็กเกอร์หลายรายที่สามารถเข้าถึงเครื่องมือในลักษณะที่คล้ายกันได้

ทางด้าน Mandiant พบกลุ่ม UNC3944 ซึ่งเป็นกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน มีการใช้มัลแวร์ที่ได้รับการ signed โดย Microsoft เช่นเดียวกัน

โดย Mandiant ยังสามารถระบุรายชื่อองค์กรที่ถูกใช้ในการส่งไดรเวอร์ไปเพื่อขอรับการรับรอง (signed) จาก Microsoft ได้ดังนี้

 

 

 

 

 

Microsoft response

Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อเพิกถอน certificates ที่ใช้ไฟล์ที่เป็นอันตราย และได้ระงับบัญชีที่ใช้ในการส่งไดรเวอร์
Microsoft Defender เวอร์ชันใหม่ signatures (1.377.987.0) จะสามารถตรวจหาไดรเวอร์ที่ถึงแม้จะถูก signed อย่างถูกต้อง แต่มีส่วนเกี่ยวข้องกับการโจมตี
Microsoft Partner Center กำลังทำโซลูชันระยะยาวเพื่อจัดการกับพฤติกรรมเหล่านี้ และป้องกันผลกระทบของผู้ใช้งานในอนาคต

ที่มา : bleepingcomputer

Microsoft รายงานถึงการเพิ่มขึ้นของการโจมตีจากการใช้ประโยชน์จากช่องโหว่ Zero-Day โดยมีเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก และแนะนำให้องค์กรที่ได้รับผลกระทบแก้ไขช่องโหว่ดังกล่าวโดยทันที ซึ่งการโจมตีรูปแบบนี้สอดคล้องกับคำแนะนำจากหน่วยงานความมั่นคงไซเบอร์ของสหรัฐอเมริกา (CISA) ที่ได้ระบุไว้ในเดือนเมษายนที่ผ่านมา ซึ่งพบว่าผู้ไม่หวังดีมุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายทั่วโลก เพื่อขโมยทรัพย์สินของเป้าหมาย

Microsoft พบว่ากลุ่มแฮ็กเกอร์ใช้เวลาโดยเฉลี่ย 14 วัน ในการโจมตีช่องโหว่หลังจากที่ได้มีการประกาศสู่สาธารณะ โดยปกติช่องโหว่ระดับ Zero-day จะเกิดขึ้นกับอุปกรณ์ใดอุปกรณ์หนึ่งแบบเฉพาะเจาะจง และมีแนวโน้มที่จะถูกนำไปใช้ในการโจมตีจริง เนื่องจากส่วนใหญ่จะยังไม่มีแพตช์สำหรับแก้ไขออกมา

รายละเอียดช่องโหว่ที่ถูกรายงานโดย Microsoft มีดังต่อไปนี้

CVE-2021-35211 (CVSS score: 10.0) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ SolarWinds Serv-U Managed File Transfer Server และ Serv-U Secure FTP software
CVE-2021-40539 (CVSS score: 9.8) - ช่องโหว่ bypass การตรวจสอบสิทธิ์ใน Zoho ManageEngine ADSelfService Plus
CVE-2021-44077 (CVSS score: 9.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์ใน Zoho ManageEngine ServiceDesk Plus
CVE-2021-42321 (CVSS score: 8.8) - ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Microsoft Exchange Server
CVE-2022-26134 (CVSS score: 9.8) - ช่องโหว่ Object-Graph Navigation Language (OGNL) ใน Atlassian Confluence

Microsoft เตือนให้ทุกองค์กรรีบอัปเดตแพตช์เพื่อแก้ไขช่องโหว่โดยทันทีหลังจากที่ผู้ให้บริการปล่อยออกมา

 

ที่มา : thehackernews

นักวิจัยจาก Orca security พบว่า Cosmos DB Notebook endpoint ไม่มีการตรวจสอบ Authorization Header ทำให้ใครก็ตามทีรู้ session id สามารถเขียน หรืออ่านไฟล์ที่อยู่ใน Jupyter notebook container ได้

นักวิจัยจึงสามารถ overwrite kernelspec.