Alex Weinert ผู้อำนวยการฝ่าย Identity Security จากไมโครซอฟต์ ได้มีการพูดถึงแนวทางการเลือกใช้ Multi-factor authentication (MFA) ในบล็อกล่าสุดของเขาว่า หากเป็นไปได้นั้น ผู้ใช้ทุกคนควรหยุดใช้งานโซลูชันของ MFA ที่ต้องพึ่งการส่งข้อมูลทางเครือข่ายโทรศัพท์ ไม่ว่าจะเป็นข้อความ OTP หรือการโทรเข้ามา และเปลี่ยนไปใช้แอปพลิเคชันหรือ security key

ปัญหาของความปลอดภัยในเครือข่ายโทรศัพท์ที่ทำให้กระทบต่อความปลอดภัยของ MFA เป็นที่ทราบกันดีอยู่แล้ว Weinert ระบุว่าทั้ง SMS และพูดคุยกันในเครือข่ายโทรศัพท์นั้นเป็นรูปแบบของการส่งข้อมูลที่ไม่ถูกเข้ารหัส ส่งให้ผู้ข้อมูลในลักษณะดังกล่าวสามารถถูกดับจับได้โดยเทคนิคการโจมตีผ่าน SDR, FEMTO cell และการโจมตีเครือข่าย SS7 ได้ ลักษณะของการยืนยันตัวตนทางเครือข่ายโทรศัพท์ยังมีความเสี่ยงต่อการโจมตีในลักษณะ SIM swapping ซึ่งเทคนิคการโจมตีแบบวิศวกรรมทางสังคมด้วย

Weinert กล่าวย้ำว่า การยืนยันตัวตนผ่านทางเครือข่ายโทรศัพท์ทั้งในรูปแบบของ SMS หรือสัญญาณเสียงนั้นเป็นวิธีการยืนยันตัวตนที่มีความปลอดภัยต่ำที่สุด สิ่งที่ผู้ใช้งานควรปฏิบัติคือการเปลี่ยนไปใช้โซลูชัน MFA อย่างเช่นแอปพลิเคชันหรือใช้ security key ที่มีความปลอดภัยกว่าแทน

เราขอแนะนำให้ผู้ใช้งานเปิดใช้ฟีเจอร์ MFA เสมอ และหากเป็นไปได้ให้เลือกวิธีการ MFA ที่ปลอดภัยที่สุด แม้วิธีการอย่าง SMS หรือสัญญาณเสียงจะไม่ปลอดภัยภันเท่าที่ควร แต่การมีการป้องกันเอาไว้ก็ยังดีกว่าไม่มีการป้องกันใด ๆ เลย

ที่มา: zdnet.

บริษัทด้านความปลอดภัย WMC Global เปิดเผยการค้นพบเทคนิคใหม่ซึ่งเว็บไซต์ Phishing จะมีการใช้เพื่อหลบเลี่ยงการถูกตรวจจับในลักษณะของการสแกนหน้าตาและอ็อบเจกต์บนเว็บไซต์ปลอม โดยอาศัยการเปลี่ยนสีรูปภาพให้กลายเป็นสีตรงข้าม (invert color) หลังจากนั้นใช้ CSS เปลี่ยนกลับเมื่อผู้ใช้งานเข้าถึงหน้าเว็บเพจ

หนึ่งในวิธีการระบุหา Phishing ในปัจจุบันนั้นคือการเปรียบเทียบออบเจ็กต์ อาทิ รูปภาพหรือวีดิโอ เพื่อระบุหาความคล้ายคลึงโดยบางครั้งอาจทำโดยการเปรียบเทียบค่าแฮชของรูปภาพที่แสดงบนเว็บไซต์ และเชื่อมโยงไปหาฐานข้อมูลเว็บไซต์ของจริงว่าตรงกับผู้ให้บริการหรือเซอร์วิสไหนบ้าง วิธีการเปลี่ยนสีรูปภาพให้เป็นสีตรงข้ามจะทำให้ค่าแฮชของรูปภาพเปลี่ยนแปลงและทำให้ไม่สามารถเชื่อมโยงด้วยวิธีการนี้ได้

WMC Global รายงานว่าพบการใช้เทคนิคดังกล่าวแล้วกับหน้าเข้าสู่ระบบของบริการ Microsoft ขอให้ผู้ใช้เพิ่มความระมัดระวังและตรวจสอบความผิดปกติของเว็บไซต์อยู่เสมอเพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อในการหลอกลวง

ที่มา: bleepingcomputer.

Microsoft ประกาศออกเเพตซ์ฉุกเฉิน 2 รายการที่จะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

Microsoft ประกาศออกเเพตซ์ด้านความปลอดภัยฉุกเฉินสองรายการ เพื่อเเก้ปัญหาช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ที่พบว่าจะส่งผลกระทบต่อ Microsoft Windows Codecs Library และ Visual Studio Code

ช่องโหว่ CVE-2020-17022 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเกิดจากวิธีการที่ Microsoft Windows Codecs Library จัดการกับวัตถุในหน่วยความจำ ซึ่งการใช้ช่องโหว่ให้ประสบความสำเร็จนั้นผู้โจมตีจำเป็นต้องทำให้แอปพลิเคชันทำการประมวลผลไฟล์ภาพที่สร้างขึ้นเป็นพิเศษ โดยช่องโหว่จะมีผลต่ออุปกรณ์ทั้งหมดที่ใช้ Windows 10 เวอร์ชัน 1709 หรือใหม่กว่าและไลบรารีเวอร์ชันที่มีช่องโหว่ ทั้งนี้ช่องโหว่นี้ถูกค้นพบและรายงานโดย Dhanesh Kizhakkinan จาก FireEye

ช่องโหว่ CVE-2020-17023 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่อยู่ใน Visual Studio JSON โดยเมื่อผู้ใช้เปิดไฟล์ 'package.

 

 

 

 

 

 

Microsoft Defender team และกลุ่มพันธมิตรอันประกอบไปด้วย FS-ISAC, ESET, Lumen Black Lotus Labs, NTT และ Symantec ได้ประกาศถึงความพยายามในการประสานงานเพื่อทำการปิดโครงสร้างพื้นฐานที่เป็นแบ็กเอนด์ของบ็อตเน็ต TrickBot

การประสานความร่วมมือระหว่า Microsoft, ESET, Symantec และกลุ่มพันธมิตรอื่นๆ ที่ใช้เวลาหลายเดือนในการรวบรวมตัวอย่างมัลแวร์ TrickBot ที่มีจำนวนมากกว่า 125,000 ตัวอย่าง ซึ่งจากการวิเคราะห์เนื้อหา, การแยกข้อมูลและการจัดกลุ่มข้อมูลที่เกี่ยวกับการทำงานภายในของมัลแวร์รวมถึงเซิร์ฟเวอร์ทั้งหมดที่บ็อตเน็ตใช้ควบคุมคอมพิวเตอร์ที่ติดไวรัสและให้บริการโมดูลเพิ่มเติม เพื่อขออำนาจจากศาลในการเข้าควบคุมเซิร์ฟเวอร์บ็อตเน็ต TrickBot

ซึ่งด้วยหลักฐานทีทำการรวมรวมมานี้ศาลได้อนุมัติให้ Microsoft และกลุ่มพันธมิตรสามารถทำการปิดการใช้งาน IP addresses, ข้อมูลและเนื้อหาที่ถูกจัดเก็บไว้ใน C&C เซิร์ฟเวอร์และยังสามารถระงับการให้บริการเซิร์ฟเวอร์ทั้งหมดที่ทำการเชื่อมต่อไปยังบ็อตเน็ตจากผู้เช่าบริการเซิร์ฟเวอร์

บ็อตเน็ต TrickBot ถูกพบครั้งแรกในปี 2016 ในรูปแบบของ banking trojan ก่อนที่จะถูกพัฒนาไปเป็นมัลแวร์อเนกประสงค์ที่กลุ่มอาชญากรใช้ในการเเพร่กระจายและให้บริการในรูปที่เรียกว่า MaaS (Malware-as-a-Service) ซึ่งเป็นรูปแบบการให้บริการเช่ามัลแวร์เพื่อใช้ในการโจมตี นอกจากนี้บ็อตเน็ต TrickBot ยังมีความเชื่อมโยงกับกลุ่ม ransomware เช่น Ryuk และ Conti อีกด้วย

ที่มา: zdnet.

Microsoft ออกเเจ้งเตือนถึง Android ransomware สายพันธุ์ใหม่ที่ใช้กลไก "incoming call" หรือการแจ้งเตือนสายเรียกเข้าเพื่อหลอกผู้ใช้ให้กดรับสายและเพื่อเป็นการเปิดการทำงานในการล็อกหน้าจอบนอุปกรณ์ของผู้ใช้

แรนซัมแวร์ที่ถูกเเจ้งเตือนมีชื่อ AndroidOS/MalLocker.

Microsoft ได้ประกาศเผยแพร่แพตซ์การเเก้ไขความปลอดภัยประจำเดือนกันยายน 2020 หรือที่เรียกว่า Microsoft Patch Tuesday ซึ่งในเดือนกันยายนนี้ Microsoft ได้ทำการเเก้ไขช่องโหว่จำนวน 129 รายการในผลิตภัณฑ์ของ Microsoft โดยมีช่องโหว่ระดับ Critical 23 รายการ, ระดับ Important 105 รายการและระดับ Moderate 1 รายการ

Microsoft กล่าวว่าเเพตซ์ในเดือนกันยายนนี้ไม่พบช่องโหว่ Zero-day และยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตี แต่แพตซ์นี้ก็มีช่องโหว่ที่สามารถใช้ประโยชน์จากระยะไกลได้โดยมีรายละเอียดที่น่าสนใจดังนี้

CVE-2020-16875 ช่องโหว่ Memory Corruption ใน Microsoft Exchange ช่องโหว่จะสามารถทำให้ผู้โจมตีจากระยะไกลทำการเรียกใช้โค้ดจากระยะไกลได้โดยเพียงแค่ส่งอีเมลที่ออกแบบมาเป็นพิเศษไปยังเซิร์ฟเวอร์ Microsoft Exchange
CVE-2020-0922 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft COM ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังไซต์ที่มี JavaScript ที่เป็นอันตราย และเรียกใช้โค้ดได้จากระยะไกล
CVE-2020-0908 ช่องโหว่ Remote Code Execution (RCE) ใน Microsoft Windows Text Service ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่โดยการหลอกล่อผู้ใช้ไปยังเว็บไซต์ที่มีเนื้อหาหรือโฆษณาที่เป็นอันตรายของผู้โจมตีและเรียกใช้โค้ดได้จากระยะไกล

ผู้ใช้ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีผู้ใช้ ทั้งนี้ผู้ที่สนใจรายละเอียดเเพตซ์การเเก้ไขช่องโหว่เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: bleepingcomputer.

Microsoft จะเปิดฟีเจอร์ให้ผู้ใช้งาน Office 365 สามารถอนุญาตกำหนดให้อีเมลที่มี URL หรือไฟล์แนบที่เป็นอันตรายเข้าถึงอินบ็อกของผู้ใช้เพื่อทำการจำลองการโจมตีด้วยฟิชชิ่งเมล โดยฟีเจอร์นี้จะทำให้ผู้ใช้งานสามารถเลือกรายการที่อาจมีภัยคุกคามและอนุญาตให้เข้าถึงกล่องอินบ็อกของผู้รับหลังจากผ่านเลเยอร์การของการฟิลเตอร์ด้วย Office 365 Exchange Online Protection (EOP)

สำหรับ EOP คือบริการฟิลเตอร์บนคลาวด์ที่จะสแกนและบล็อกสแปมและอีเมลที่มีไฟล์แนบที่เป็นอันตรายไม่ให้เข้ามาภายในกล่องอินบ็อกของ Exchange Online ซึ่ง Microsoft จะเพิ่มความสามารถให้ผู้ดูแลระบบสามารถอนุญาตให้อีเมลที่มี URL หรือไฟล์แนบที่เป็นอันตรายเข้าถึงอินบ็อกของผู้ใช้ได้ผ่านหน้า Tenant Allow/Block list โดย Microsoft วางแผนจะเปิดตัว Tenant Allow/Block list ใหม่นี้ในช่วงไตรมาสที่ 3 ปี 2020

ในปัจจุบันนี้ องค์กรที่ใช้ Office 365 Advanced Threat Protection Plan 2 จะสามารถใช้เครื่องมือ Attack Simulator ที่อนุญาตให้ผู้ดูแลระบบรักษาความปลอดภัยสามารถจำลองการโจมตีในรูปแบบ Spear phishing, Password spray และการโจมตีแบบ Brute force ภายในองค์กรของผู้ใช้ได้ สามารถศึกษาเพิ่มเติมได้จาก https://docs.

ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนสิงหาคม 2020 แล้ว โดยในเดือนนี้นั้นมี 120 ช่องโหว่ที่ได้รับการแพตช์ มีช่องโหว่ระดับวิกฤติอยู่ทั้งสิ้น 17 ช่องโหว่ ครอบคลุมกลุ่มผลิตภัณฑ์ Microsoft Edge, Windows, SQL Server และ .NET Framework

จากช่องโหว่ที่ได้รับการแพตช์ในรอบนี้นั้น ไมโครซอฟต์รายงานถึงการใช้ช่องโหว่เพื่อโจมตีแล้ว 2 ช่องโหว่ได้แก่ CVE-2020-1380 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ RCE ใน Scripting Engine กระทบกับ Internet Explorer 11 และช่องโหว่ CVE-2020-1464 (CVSSv3 5.3/10) ซึ่งเป็นช่องโหว่ในกระบวนการตรวจสอบ digital signature ของ Windows โดยนักวิจัยจาก Kaspersky ซึ่งค้นพบการใช้ช่องโหว่นี้เชื่อว่าผู้อยู่เบื้องหลังการใช้ช่องโหว่นี้มีเป้าหมายโจมตีบริษัทในเกาหลีใต้

ไอ-ซีเคียวขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์ให้เป็นรุ่นล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยผู้ไม่ประสงค์ดี

ที่มา:

bleepingcomputer.

Microsoft ได้ประกาศหยุดการให้บริการสำหรับโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.0 และเวอร์ชั่น 1.1 ที่ใช้ในผลิตภัณฑ์ Office 365 โดยจะเริ่มต้นตั้งแต่วันที่ 15 ตุลาคม 2020 เป็นต้นไป โดยการหยุดให้บริการนั้นถูกประกาศใน MC218794 Microsoft 365 admin center ของ Microsoft

Microsoft ได้เเจ้งว่าพวกเขากำลังจะย้ายบริการออนไลน์ทั้งหมดไปยังโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.2+ ซึ่ง Microsoft กำลังผลักดันการยกเลิกใช้โปรโตคอล TLS 1.0 เฉกเช่นเดียวกับผู้ให้บริการเบราว์เซอร์รายใหญ่ทั้งหมดเช่น Google , Apple และ Mozilla

Microsoft ยังกล่าวอีกว่าสำหรับผู้ใช้งานที่ได้รับผลกระทบและจะได้รับการเเจ้งเตือนคำแนะนำให้ทำการอัปเดต TLS เป็นเวอร์ชั่นล่าสุดนั้นมีดังนี้

Android เวอร์ชั่น 4.3 และรุ่นก่อนหน้า
Firefox เวอร์ชั่น 5.0 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 8-10 บน Windows 7 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 10 บน Windows Phone 8
Safari เวอร์ชั่น 6.0.4
OS X เวอร์ชั่น 10.8.4 และรุ่นก่อนหน้า

ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบไอทีสามารถใช้เอกสาร KB4057306 อย่างเป็นทางการของ Microsoft เพื่อเตรียมความพร้อมสำหรับการอัปเกรด TLS 1.2 ใน Office 365 และ Office 365 GCC ได้ที่นี่: https://docs.

Microsoft ได้ออกเเพตซ์การปรับปรุงความปลอดภัยอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่จำนวน 2 รายการใน Microsoft Windows Codecs Library

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-1425 และ CVE-2020-1457 ช่องโหว่ทั้ง 2 เป็นช่องโหว่ที่อยู่ใน Microsoft Windows Codecs Library ซึ่งเป็น Library ในการจัดการกับเนื้อหามัลติมีเดียที่รับเข้ามา โดยผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้ทำการส่งรูปภาพที่สร้างขึ้นมาเป็นพิเศษให้ผู้ใช้ทำการประมวลผล ช่องโหว่จะส่งผลให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายและอาจทำให้ผู้โจมตีสามารถเข้ายึดเครื่องได้

Microsoft กล่าวว่าช่องโหว่ทั้ง 2 นั้นมีผลกระทบกับ Windows 10 และ Windows Server 2019 distribution

Microsoft ยังกล่าวอีกว่าแพตซ์การอัปเดตและเเก้ไขช่องโหว่นั้น Microsoft ได้ทำการจัดส่งการอัพเดต Windows Codecs Library ไว้ใน Windows Store app ทั้งนี้ผู้ใช้จะได้รับการอัปเดตอัตโนมัติผ่านทาง Windows Store app

ที่มา: zdnet.