Microsoft เปิดตัว Security Copilot ซึ่ง AI ที่มีความสามารถคล้ายกับ ChatGPT ที่สามารถช่วยตอบสนองต่อภัยคุกคาม หรือการโจมตี รวมถึงค้นหาภัยคุกคาม และการรายงานด้านความปลอดภัย โดยใช้ประโยชน์จาก Threat Intelligence ของ Microsoft (more…)

Microsoft ได้ออกอัปเดตแพตซ์ด้านความปลอดภัยฉุกเฉินสำหรับ Windows 10 และ Windows 11 เพื่อแก้ไขช่องโหว่ Acropalypse ที่ส่งผลต่อรูปภาพที่มีการแก้ไขใน Windows Snipping Tool

CVE-2023-28303 (คะแนน CVSS 3.1/10 ความรุนแรงต่ำ) ช่องโหว่ในชื่อ Acropalypse ซึ่งเกิดจากโปรแกรมแก้ไขรูปภาพที่ไม่ได้ลบข้อมูลรูปภาพที่ถูก crop ตัดอย่างถูกต้องเมื่อเขียนทับไฟล์ต้นฉบับ ทำให้มีความเสี่ยงที่จะโดนกู้คืนภาพที่ถูกแก้ไขไปแล้วได้ ซึ่งอาจทำให้ถูกเปิดเผยข้อมูลที่ (more…)

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

Microsoft อธิบายการแจ้งเตือน LSA protection ที่ผิดพลาด ภายหลังจากการอัปเดต KB5007651 Microsoft Defender Antivirus ซึ่งส่งผลให้เกิดความผิดพลากในการแจ้งเตือนที่ระบุว่า Local Security Authority (LSA) Protection ปิดอยู่ ถึงแม้จะเปิดอยู่ก็ตาม

LSA Protection หรือ Local Security Authority (LSA) Protection เป็นคุณลักษณะด้านความปลอดภัยที่ปกป้องข้อมูลที่มีความสำคัญของ Windows จาก Process Local Security Authority Subsystem Service (LSASS) เช่น การป้องกันข้อมูลประจำตัวถูกขโมยออกไปด้วยการบล็อก LSA code injection และการทำ process memory dumping (more…)

Abel นักวิจัยด้านความปลอดภัยได้เปิดเผยการพบการเปลี่ยนวิธีการโจมตีของ Emotet โดยหันมาใช้ Microsoft OneNote แทนการใช้ Microsoft Word และ Excel ในการแนบไฟล์อันตรายเพื่อโจมตี และหลบหลีกการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

Emotet เป็น malware botnet ที่มีชื่อเสียง ซึ่งในอดีตใช้การโจมตีผ่านทาง Microsoft Word และ Excel โดยการฝัง macro ที่เป็นอันตราย ซึ่งหากผู้ใช้งานเปิดไฟล์แนบ และเปิดใช้งาน macro จะส่งผลให้ถูกดาวน์โหลด และติดตั้งมัลแวร์ Emotet บนอุปกรณ์เป้าหมาย รวมถึงดาวน์โหลดเพย์โหลดอันตรายอื่น ๆ และเข้าถึงเครือข่ายภายในขององค์กร (more…)

นักวิจัยจาก MDSec บริษัทที่ปรึกษาด้านความปลอดภัย ออกมาเปิดเผยเทคนิคสำหรับการโจมตี Proof of Concept (PoC) ช่องโหว่ของ Microsoft Outlook ที่มีความรุนแรงระดับ Critical (CVE-2023-23397) ซึ่งทำให้ Hacker สามารถขโมย Hash Password ได้ เพียงแค่เหยื่อทำการเปิดอีเมล

CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability Exploiting (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) โดยเป็นช่องโหว่ใน Windows NTLM ทำให้ Hacker สามารถยกระดับสิทธิ และขโมย NTLM credential ได้ เพียงแค่ส่งอีเมลที่เป็นอันตรายไปยังเป้าหมาย ขณะที่เป้าหมายใช้งาน Microsoft Outlook อยู่ก็สามารถทำการโจมตีได้ทันที ซึ่งช่องโหว่นี้ได้ส่งผลกระทบต่อ Microsoft Outlook ทุกเวอร์ชันบน Windows

Windows New technology LAN Manager (NTLM) เป็นวิธีการตรวจสอบความถูกต้องที่ใช้ในการเข้าสู่ระบบโดเมน Windows โดยใช้การเข้าสู่ระบบแบบ Hash credentials

ขณะนี้ Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว แต่พบว่าช่องโหว่ดังกล่าวได้ถูกใช้ในการโจมตีแบบ Zero Day NTLM-relay มาตั้งแต่เดือนเมษายน 2022

การโจมตีโดยใช้ NTLM

Microsoft อธิบายว่า Hacker สามารถใช้ CVE-2023-23397 เพื่อขโมย NTLM hash ของเป้าหมาย ด้วยการส่ง MAPI property และ UNC path ไปยัง SMB (TCP 445) เพื่อเชื่อมต่อกลับไปยัง Server ของ Hacker โดยการเชื่อมต่อผ่าน SMB ออกไปยังเซิร์ฟเวอร์ภายนอกจะส่งข้อมูล NTLM negotiation message ของผู้ใช้งานออกไป ซึ่งจะสามารถทำให้ผู้โจมตีสามารถส่งต่อการ authentication กับระบบอื่น ๆ ที่รองรับการใช้งาน NTLM

ทาง Microsoft และ MDSec ได้ทำการตรวจสอบรายการข้อความใน Exchange เพื่อค้นหาร่องรอยการโจมตี โดยได้พบกับสคริปต์ “PidLidReminderFileParameter” ภายในรายการจดหมายที่ได้รับใน Exchange ซึ่งมีความสามารถในการทำให้ Microsoft Outlook เรียกไปยัง UNC path ที่อันตราย ทำให้สามารถสร้างอีเมล Outlook (.MSG) ที่เป็นอันตรายพร้อมการนัดหมายในปฏิทิน รวมไปถึงใช้ Microsoft Outlook Tasks และ Notes เพื่อโจมตีช่องโหว่ และส่ง NTLM hash ของเป้าหมาย ไปยัง Server ของ Hacker หลังจากนั้น Hacker จะนำ NTLM hash ดังกล่าวที่ขโมยมา ไปใช้ในการเข้าถึงระบบของเป้าหมายอีกครั้งหนึ่ง เมื่อเข้าถึงระบบได้แล้วก็จะทำการใช้ Impacket และ PowerShell Empire open-source framework เพื่อแพร่กระจายไปในระบบของเป้าหมายเพื่อรวบรวมข้อมูล

นอกจากนี้ยังพบว่า Hacker ได้ใช้ช่องโหว่ CVE-2023-23397 เพื่อหลีกเลี่ยงการตรวจสอบสิทธิเพื่อเชื่อมต่อออกไปยัง IP address ที่อยู่นอก Intranet Zone หรือ Trust Site อีกด้วย

การโจมตีแบบ Zero-day ที่เกี่ยวข้องกับ Hacker ชาวรัสเซีย

ช่องโหว่ CVE-2023-23397 ถูกค้นพบ และรายงานไปยัง Microsoft โดย Computer Emergency Response Team (CERT-UA) ของยูเครน โดยได้ค้นพบหลังจากการถูก Hacker ชาวรัสเซีย โจมตีด้วยช่องโหว่ดังกล่าว โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปยังองค์กรในยุโรปหลายแห่งในภาครัฐบาล การขนส่ง พลังงาน และการทหาร

โดยทาง CERT-UA เชื่อว่ากลุ่ม Hacker ที่อยู่เบื้องหลังการโจมตีในครั้งนี้ คือกลุ่ม APT28 (ในชื่อ Strontium, Fancy Bear, Sednit, Sofacy) ซึ่งมีความเชื่อมโยงกับหน่วยงาน General Staff of the Armed Forces of the Russian Federation (GRU) ซึ่งได้คาดการณ์ว่ามีองค์กรมากถึง 15 แห่งที่ตกเป็นเป้าหมายการโจมตีโดยใช้ CVE-2023-23397 โดยพบการโจมตีครั้งล่าสุดในเดือนธันวาคม 2023

Microsoft ได้แจ้งเตือนให้ผู้ดูแลระบบให้เร่งทำการอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าว รวมไปถึงทำการตรวจสอบรายการข้อความใน Exchange ว่ามาพร้อมกับ UNC path ผ่าน SMB (TCP 445) หรือไม่ เพื่อค้นหาร่องรอยการถูกโจมตี

 

ที่มา : bleepingcomputer

Microsoft ได้เผยแพร่ out-of-band แพตซ์อัปเดตด้านความปลอดภัย สำหรับช่องโหว่ information disclosure บน 'Memory Mapped I/O Stale Data (MMIO)' ใน CPU Intel

Intel เปิดเผยช่องโหว่ใน Mapped I/O side-channel เมื่อวันที่ 14 มิถุนายน 2022 โดยแจ้งเตือนว่าช่องโหว่ดังกล่าวอาจทำให้ process ที่ทำงานใน virtual machine สามารถเข้าถึงข้อมูลบน virtual machine เครื่องอื่นได้

ช่องโหว่มีหมายเลข CVE ดังต่อไปนี้:

CVE-2022-21123 - Shared Buffer Data Read (SBDR)
CVE-2022-21125 - Shared Buffer Data Sampling (SBDS)
CVE-2022-21127 - Special Register Buffer Data Sampling Update (SRBDS Update)
CVE-2022-21166 - Device Register Partial Write (DRPW)

Microsoft ยังได้เผยแพร่ Security Update Guide ADV220002 พร้อมข้อมูลเกี่ยวกับประเภทของสถานการณ์ที่อาจส่งผลกระทบจากช่องโหว่ ซึงทำให้ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่สามารถเข้าถึงข้อมูลที่มีความสำคัญได้

ในระบบที่มีการแชร์ resource เช่น กำหนดค่าบริการคลาวด์บางอย่าง ช่องโหว่นี้อาจทำให้ virtual machine เครื่องหนึ่งสามารถเข้าถึงข้อมูลจากอีกเครื่องหนึ่งได้

โดยผู้โจมตีจะต้องเข้าถึงระบบให้ได้ก่อน หรือสามารถเรียกใช้แอปพลิเคชันที่สร้างขึ้นมาเป็นพิเศษบนระบบเป้าหมาย เพื่อใช้ประโยชน์จากช่องโหว่เหล่านี้

Microsoft ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ Windows 10, Windows 11 และ Windows Server เพื่อแก้ไขช่องโหว่เหล่านี้

การอัปเดตใน Microsoft Update Catalog ดังนี้ :

KB5019180 - Windows 10, version 20H2, 21H2, and 22H2
KB5019177 - Windows 11, version 21H2
KB5019178 - Windows 11, version 22H2
KB5019182 - Windows Server 2016
KB5019181 - Windows Server 2019
KB5019106 - Windows Server 2022

โดยมีแนวโน้มว่าแพตซ์เหล่านี้จะถูกปล่อยให้เป็นการอัปเดตด้วยตนเอง เนื่องจากการอัปเดตแพตซ์แก้ไขช่องโหว่เหล่านี้อาจทำให้เกิดปัญหาด้านประสิทธิภาพ และช่องโหว่อาจยังไม่ได้รับการแก้ไขอย่างสมบูรณ์หากไม่ปิดใช้งาน Intel Hyper-Threading Technology (Intel HT Technology) ในบางสถานการณ์

ดังนั้นแนะนำให้อ่านคำแนะนำของทั้ง Intel และ Microsoft ก่อนการอัปเดตแพตซ์เหล่านี้

 

ที่มา : bleepingcomputer

Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง

Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018

โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์

ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone

หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย

โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory

Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

 

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของ Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ ค้นพบการโจมตีที่ใช้ Microsoft Visual Studio Tools for Office (VSTO) เพื่อแฝงตัว และเรียกใช้คำสั่งที่เป็นอันตรายบนเครื่องเป้าหมาย ผ่าน Add-in ของ Microsoft Office เข้าไปใน VBA macros ของไฟล์เอกสารเพื่อดาวน์โหลดมัลแวร์

นับตั้งแต่ Microsoft ได้ประกาศ Block การทำงานของ macro VBA และ XL4 เป็นค่าเริ่มต้น (default) เหล่า Hackers จึงต้องปรับเปลี่ยนวิธีการโจมตีเป้าหมายใหม่ ไม่ว่าจะเป็น ไฟล์ .ZIP, .ISO และ .LNK เพื่อแพร่กระจายมัลแวร์ รวมไปถึงการใช้ VSTO ในการสร้างมัลแวร์ที่ใช้ .NET และฝังลงใน Add-in ของ Microsoft Office

การโจมตีด้วย VSTO

Microsoft Visual Studio Tools for Office (VSTO) เป็นชุดพัฒนาซอฟต์แวร์ซึ่งเป็นส่วนหนึ่งของ Visual Studio IDE ของ Microsoft ซึ่งใช้ในการสร้างโปรแกรมเสริม และเป็นส่วนขยายสำหรับแอปพลิเคชัน Microsoft Office ที่สามารถสั่งรันโค้ดบนเครื่องได้

โดย Add-in เหล่านี้สามารถรวมเข้ากับไฟล์เอกสาร หรือดาวน์โหลดจากภายนอก และเริ่มการทำงานเมื่อเปิดใช้เอกสารด้วยเอป Microsoft Office ที่เกี่ยวข้องเช่น Word, Excel ซึ่ง Hacker จะใช้วิธีการ local VSTO ทำให้ไม่ต้องทำการหลบเลี่ยงการตรวจจับด้านความปลอดภัยเพื่อเรียกใช้คำสั่งเพิ่มเติม

นอกจากนี้นักวิจัยยังได้พบการโจมตีโดยใช้ VSTO add-ins จากภายนอกอีกด้วย โดยค้นพบจากพารามิเตอร์ "custom.

Microsoft ได้เปิดเผยการดำเนินการปิดใช้งานของบัญชี Microsoft Partner Network (MPN) ปลอม ที่ใช้สำหรับสร้างแอปพลิเคชัน OAuth ที่เป็นอันตราย ซึ่งถูกใช้ในแคมเปญ Phishing ที่มุ่งเป้าไปยังระบบคลาวด์ขององค์กรเพื่อขโมยอีเมล โดยการลอกเลียนแบบแอปยอดนิยมและหลอกให้เหยื่อกดยินยอมอนุญาตให้เข้าถึงสิทธิต่าง ๆ ซึ่งแอปปลอมเหล่านี้ได้ลงทะเบียนกับ OAuth ที่สร้างขึ้นใน Azure AD (more…)