Microsoft ระบุว่ายังไม่ทราบว่าแฮ็กเกอร์ชาวจีนอาศัยช่องโหว่อะไรในการขโมย Microsoft account (MSA) consumer signing key ที่ไม่ได้ใช้งาน เพื่อใช้ในการเข้าถึงบัญชี Exchange Online และ Azure AD ใน 24 องค์กร รวมถึงหน่วยงานของรัฐบาลก่อนหน้านี้Microsoft ได้ยอมรับในคำแนะนำใหม่ที่เผยแพร่ในวันนี้ว่า การสืบสวนวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง signing key ดังกล่าวกำลังอยู่ในระหว่างการดำเนินการเหตุการณ์นี้ถูกรายงานโดยเจ้าหน้าที่ของรัฐบาลสหรัฐฯ ภายหลังจากการพบการเข้าถึงที่ไม่ได้รับอนุญาตเข้าถึงบริการอีเมล Exchange Online ของหลายหน่วยงานของรัฐบาล

Microsoft เริ่มต้นสืบสวนการโจมตีในวันที่ 16 มิถุนายน และพบว่ากลุ่มผู้โจมตีชาวจีนที่ชื่อ Storm-0558 สามารถเข้าถึงบัญชีอีเมลของหน่วยงานราว 25 องค์กร (โดยรายงานว่ารวมถึงกรมรัฐธรรมนูญ และพาณิชย์ของสหรัฐฯ)ผู้โจมตีใช้ signing key เข้าสู่ระบบ Azure AD ขององค์กรที่ถูกโจมตีเพื่อปลอมโทเค็นในการตรวจสอบข้อมูล (auth tokens) ใหม่โดยการใช้ช่องโหว่ของ GetAccessTokenForResource API เพื่อให้สามารถเข้าถึงอีเมลองค์กรของเป้าหมายได้Storm-0558 สามารถใช้สคริปต์ PowerShell และ Python เพื่อสร้างโทเค็นใหม่ผ่านการเรียกใช้ REST API ต่อกับบริการ OWA Exchange Store เพื่อขโมยอีเมล และไฟล์แนบ อย่างไรก็ตาม Microsoft ยังไม่ได้ยืนยันว่าพวกเขาใช้วิธีการนี้ในการโจมตีในการขโมยข้อมูล Exchange Online ในเดือนที่ผ่านมา

Microsoft ระบุเพิ่มเติมในวันนี้ว่า "ข้อมูลตามการวิเคราะห์ และการสืบสวนชี้ว่า การโจมตีถูกจำกัดไว้ที่แค่การเข้าถึงอีเมล และการนำข้อมูลออกจากผู้ใช้ที่เป็นเป้าหมายเท่านั้น"ทางบริษัทได้บล็อกการใช้ private signing key ที่ถูกขโมยสำหรับผู้ใช้งานที่ได้รับผลกระทบทั้งหมดในวันที่ 3 กรกฎาคม และ token replay infrastructure ของผู้โจมตีได้ถูกปิดใช้งานลงในวันถัดไป

MSA signing keys ได้ถูกยกเลิกเพื่อบล็อกการปลอมโทเค็น Azure AD
ในวันที่ 27 มิถุนายน Microsoft ยังได้ทำการยกเลิก MSA signing keys ทั้งหมดเพื่อบล็อกการพยายามสร้างโทเค็นการเข้าถึงใหม่ และย้ายโทเค็นที่สร้างขึ้นใหม่ไปยัง key store ที่ใช้สำหรับระบบองค์กร

Microsoft ระบุว่า "ไม่พบพฤติกรรมที่เกี่ยวข้องกับ signing keys จากผู้โจมตีอีก ตั้งแต่ Microsoft ได้ยกเลิก MSA signing keys ที่ผู้โจมตีได้รับมา"อย่างไรก็ตาม แม้ว่า Microsoft จะไม่พบพฤติกรรมที่เกี่ยวข้องกับคีย์ของ Storm-0558 หลังจากยกเลิก MSA signing keys ที่ใช้งานอยู่ และแก้ไขช่องโหว่ของ API ที่เปิดให้ใช้งาน แต่คำแนะนำในวันนี้ระบุว่าผู้โจมตีกำลังเปลี่ยนไปใช้เทคนิคอื่นในการโจมตีในวันอังคารที่ผ่านมา Microsoft พึ่งระบุว่ากลุ่มผู้โจมตี RomCom ที่เกี่ยวข้องกับกลุ่มอาชญากรทางไซเบอร์ของรัสเซียใช้ช่องโหว่ zero-day ใน Office ที่ยังไม่ได้รับการแก้ไขในการโจมตีแบบฟิชชิ่งต่อองค์กรที่เข้าร่วมการประชุมสุดยอดของกลุ่มนาโต้ ในเมืองวิลนีอุสในประเทศลิทัวเนียโดยปฏิบัติการของกลุ่ม RomCom ได้ใช้เอกสารที่เป็นอันตรายโดยปลอมตัวเป็นองค์กร Ukrainian World Congress เพื่อที่จะติดตั้ง payloads ของมัลแวร์ เช่น MagicSpell loader และ RomCom backdoor

ที่มา : bleepingcomputer

Microsoft ออกแพตซ์อัปเดตด้านความปลอดภัยประจำเดือนกรกฎาคม 2023 โดยแก้ไขช่องโหว่กว่า 132 รายการ ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 37 รายการ รวมถึงยังเป็นช่องโหว่ zero-days 6 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย (more…)

ทีมข่าวกรองภัยคุกคามของ Microsoft รายงานว่าเหตุการณ์การโจมตีโดยใช้ช่องโหว่ MOVEit Transfer Zero Day (CVE-2023-34362) ไปยัง Lace Tempest มีความเกี่ยวข้องกับกลุ่ม Clop ransomware

BleepingComputer ได้รับรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าวจากกลุ่ม Hacker เพื่อขโมย (more…)

Microsoft ออกแพตซ์อัปเดตสำหรับเดือนพฤษภาคม 2023 เพื่อแก้ไขช่องโหว่ 38 รายการ รวมถึงช่องโหว่ Zero-day ที่พบว่ากำลังถูกนำมาใช้ในการโจมตี โดยจากช่องโหว่ทั้งหมด 38 รายการ มี 6 รายการที่ได้รับการจัดอยู่ในระดับ Critical อีก 32 รายการที่อยู่ในระดับอื่น ๆ ซึ่งมีช่องโหว่ 8 รายการที่มีแนวโน้มว่ากำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบัน

เดือนพฤษภาคมนี้ Microsoft ได้แก้ไขช่องโหว่เหล่านี้บนเบราว์เซอร์ Chromium-based Edge หลังจากที่พึ่งมีการออกอัปเดต Patch Tuesday ในเดือนเมษายนที่ผ่านมา

ช่องโหว่ที่น่าสนใจในรอบนี้ คือ CVE-2023-29336 (คะแนน CVSS: 7.8) เป็นช่องโหว่ที่สามารถทำการเพิ่มสิทธิ์ใน Win32k แต่ยังไม่มีข้อมูลที่แน่ชัดว่ามีขอบเขตของการโจมตีกว้างแค่ไหน

Microsoft ให้เครดิตกับนักวิจัย Avast Jan VojtŞshek, Milánek และ Luigino Camastra เป็นผู้รายงานรายงานช่องโหว่นี้ ซึ่งผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้ได้สำเร็จจะได้รับสิทธิ์ SYSTEM บนระบบ โดยสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา หรือ CISA ได้เพิ่มช่องโหว่ดังกล่าวเข้าสู่ Known Exploited Vulnerabilities (KEV) เพื่อแจ้งเตือนให้องค์กรต่าง ๆ ภายใต้การกำกับดูแล ให้รีบทำการอัปเดตทันที

นอกจากนี้ยังมีช่องโหว่ที่สำคัญอีก 2 ช่องโหว่ ซึ่งหนึ่งในนั้นคือช่องโหว่ remote code execution ที่ส่งผลกระทบต่อ Windows OLE (CVE-2023-29325, คะแนน CVSS: 8.1) ซึ่งอาจถูกโจมตีโดยการส่งอีเมลอันตรายที่ถูกสร้างขึ้นเป็นพิเศษไปยังเหยื่อ อีกหนึ่งช่องโหว่คือ CVE-2023-24932 (คะแนน CVSS:6.7) ซึ่งเป็นการ bypass ฟีเจอร์ Secure Boot security ของ BlackLotus UEFI เพื่อใช้ประโยชน์จาก CVE-2022-21894 (หรือที่เรียกว่า baton drop) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดในระดับ UEFI (unified extensible firmware interface) เมื่อเปิดใช้งาน Secure Boot

ผู้โจมตีนิยมใช้วิธีนี้เป็นกลไกในการหลีกเลี่ยงการตรวจจับ การจะโจมตีได้สำเร็จผู้โจมตีต้องสามารถเข้าถึงอุปกรณ์เป้าหมาย หรือได้สิทธิ์ local admin ให้ได้ก่อน

Microsoft ระบุว่ากําลังใช้มาตรการด้านความปลอดภัยแบบค่อยเป็นค่อยไปเพื่อปิดกั้นการโจมตี เพื่อลดผลกระทบกับการใช้งาน และคาดว่ามาตรการดังกล่าวจะดําเนินต่อไปจนถึงไตรมาสแรกของปี 2024 ซึ่งบริษัทรักษาความปลอดภัยด้านเฟิร์มแวร์อย่าง Binary ระบุไว้เมื่อต้นเดือนมีนาคมนี้ว่า โซลูชัน Secure Boot ที่ใช้ UEFI มีความซับซ้อนมาก และไม่สามารถกำหนดค่าได้อย่างถูกต้อง กล่าวคืออาจจะยังพบการโจมตีกับ bootloader อยู่

ผู้ให้บริการรายอื่น ๆ

นอกจาก Microsoft แล้ว ยังมีผู้ให้บริการรายอื่น ๆ ได้ทำการอัปเดตด้านความปลอดภัยในช่วงไม่กี่สัปดาห์ที่ผ่านมาเพื่อแก้ไขช่องโหว่ ได้แก่

Adobe
AMD
Android
Apache Projects
Apple
Aruba Networks
Cisco
Citrix
Dell
Drupal
F5
Fortinet
GitLab
Google Chrome
Hitachi Energy
HP
IBM
Intel
Juniper Networks
Lenovo
Linux distributions Debian, Oracle Linux, Red Hat, SUSE, and Ubuntu
MediaTek
Mitsubishi Electric
Mozilla Firefox, Firefox ESR, and Thunderbird
NETGEAR
NVIDIA
Palo Alto Networks
Qualcomm
Samsung
SAP
Schneider Electric
Siemens
SolarWinds
Synology
Veritas
VMware
Zoho
Zyxel

 

ที่มา : thehackernews

กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง

จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ

Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023 (more…)

Microsoft เปิดเผยการค้นพบกลุ่ม Hacker ที่มีชื่อว่า FIN7 ปรากฎตัวอีกครั้งในเดือนเมษายน 2023 โดยพบความเชื่อมโยงกับการโจมตีที่ใช้เพย์โหลดของ Clop ransomware ในการโจมตีเครือข่ายเป้าหมาย หลักจากที่ไม่พบความเคลื่อนไหวมาเป็นเวลานานตั้งแต่ปลายปี 2021

FIN7 ถูกพบในปี 2013 เป็นกลุ่ม Hacker ที่มีแรงจูงใจทางการเงิน ซึ่งมุ่งเป้าหมายการโจมตีไปยังธนาคาร และอุปกรณ์ point-of-sale (PoS) ของบริษัทจากภาคอุตสาหกรรมต่าง ๆ ส่วนใหญ่เป็นร้านอาหาร คาสิโน และสถานพยาบาล ทั้งในยุโรป และสหรัฐอเมริกา โดยทาง FBI ยังพบการโจมตีด้วยการใช้อุปกรณ์ USB ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อติดตั้งแรนซัมแวร์ ซึ่งเป็นหนึ่งในวิธีการโจมตี (more…)

กลุ่มผู้ไม่หวังดีมุ่งเป้าโจมตี VSCode Marketplace ของ Microsoft โดยอัปโหลด extension Visual Studio ที่เป็นอันตราย 3 รายการ โดยมีนักพัฒนาบน Windows ดาวน์โหลดไปแล้วกว่า 46,600 ครั้ง

จากรายงานของ Check Point นักวิเคราะห์พบ extension ที่เป็นอันตราย และรายงานไปยัง Microsoft ว่า extension ดังกล่าวทำให้แฮ็กเกอร์สามารถขโมยข้อมูล credentials, ข้อมูลระบบ และสร้างช่องทาง remote shell บนเครื่องของเหยื่อ

Extension ถูกพบ และรายงานเมื่อวันที่ 4 พฤษภาคม 2023 และต่อมาก็ถูกลบออกจาก VSCode Marketplace ในวันที่ 14 พฤษภาคม 2023 (more…)

Microsoft ระบุว่ากำลังทำการตรวจสอบข้อผิดพลาดในการทำงานร่วมกันระหว่างฟีเจอร์ Windows Local Administrator Password Solution (LAPS) ที่เพิ่งถูกเพิ่มเข้ามา กับ LAPS Policy เดิม

Windows Local Administrator Password Solution (LAPS) เป็นฟีเจอร์ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการรหัสผ่านสำหรับบัญชี local administrator บนอุปกรณ์ที่เข้าร่วม Azure Active Directory หรืออุปกรณ์ที่เข้าร่วม Windows Server Active Directory ด้วยการหมุนเวียน และสำรองข้อมูลเหล่านั้นไปยัง AD domain controllers โดยอัตโนมัติ (more…)

Microsoft ได้ออกประกาศการป้องกันไฟล์แนบบน Microsoft OneNote โดยการบล็อก 120 นามสกุลไฟล์ที่เป็นอันตราย เพื่อป้องกันการโจมตีจากการโจมตีแบบ Phishing

ทาง Microsoft จะทำการปรับปรุง OneNote ให้มีระดับการรักษาความปลอดภัยที่สูงขึ้น ตามแผนงานของ Microsoft 365 ในวันที่ 10 มีนาคมที่ผ่านมา ภายหลังจากที่พบว่า OneNote ได้กลายเป็นเครื่องมือใหม่ของ Hacker ที่ใช้ในการโจมตีแบบฟิชชิ่งเพื่อแพร่กระจายมัลแวร์

โดย Microsoft เริ่มพบการโจมตีโดยการใช้ OneNote ในการฝังไฟล์ และสคริปต์ที่เป็นอันตราย และส่ง phishing email ไปหาเป้าหมาย ภายหลังจากที่ในเดือนธันวาคม 2022 Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ zero-day การ bypass MoTW ที่ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์ผ่านไฟล์ ISO และ ZIP รวมไปถึงการปิดใช้งาน macro ใน Word และ Excel เป็นค่าเริ่มต้น

การบล็อกนามสกุลไฟล์ที่เป็นอันตราย

Microsoft ได้เผยแพร่รายละเอียดเพิ่มเติมเกี่ยวกับนามสกุลไฟล์ที่จะถูกบล็อก หลังจากแพตซ์อัปเดตความปลอดภัยของ OneNote ใหม่เปิดตัว ทั้งนี้ยังรวมไปถึงไฟล์ที่ถูกบล็อกโดย Outlook, Word, Excel และ PowerPoint โดยประกอบด้วย 120 รายการตามเอกสารการสนับสนุนของ Microsoft 365 ดังนี้

ซึ่งก่อนหน้านี้ทาง OneNote จะมีการแจ้งเตือนด้านความปลอดภัยเมื่อมีการเปิดไฟล์ที่เป็นอันตรายจาก OneNote ว่าไฟล์แนบที่เปิดอาจเป็นไฟล์อันตราย แต่ผู้ใช้งานส่วนใหญ่ก็ยังกดเปิดอยู่ดี แต่หลังจากนี้ OneNote จะทำการบล็อกนามสกุลไฟล์ที่เป็นอันตรายโดยทันที โดยจะแจ้งว่า "Your administrator has blocked your ability to open this file type in OneNote.

Microsoft ประกาศเปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่บน Exchange Online ที่จะทำการตรวจสอบ, ควบคุมปริมาณ และทำการบล็อกโดยอัตโนมัติ สำหรับอีเมลที่ถูกส่งมาจาก Exchange server ที่มีความเสี่ยง หรือมีช่องโหว่ด้านความปลอดภัยต่อเนื่องเป็นเวลา 90 วัน หลังจากที่ผู้ดูแลระบบได้ทำการตั้งค่าเลือกเอาไว้ ซึ่งมีชื่อว่า "transport-based enforcement system"

Exchange server ที่มีความเสี่ยง หมายถึง Exchange server ที่อยู่ on-premises หรือ hybrid ที่มีการใช้งานซอฟต์แวร์ที่ไม่มีการซัปพอร์ตแล้ว (เช่น Exchange 2007, Exchange 2010 และ (more…)