Microsoft แนะนำวิธีการแก้ไขเบื้องต้นสำหรับช่องโหว่ zero-day ของ Office 365 ที่กำลังถูกโจมตีในช่วงนี้

Microsoft ได้ออกมาแนะนำวิธีการรับมือเบื้องต้นสำหรับช่องโหว่ การรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution) ที่ถูกใช้งานในการโจมตี Office 365 และ Office 2019 บน Windows 10

ช่องโหว่นี้เกิดขึ้นที่ MSHTML ซึ่งเป็น Browser Rendering Engine ที่ถูกใช้โดยเอกสาร Microsoft Office

โดยการโจมตี Office 365 นี้ ถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-40444 ซึ่งมีผลกระทบกับ Windows Server เวอร์ชัน 2008 จนถึง 2019 และ Windows 8.1 จนถึง Windows 10 โดยมีระดับความรุนแรงที่ 8.8 จากระดับสูงสุด 10

Microsoft พบว่าผู้ที่ใช้ช่องโหว่นี้จะทำการส่งไฟล์เอกสาร Microsoft Office ที่ถูกสร้างขึ้นเป็นพิเศษไปให้เหยื่อ

“ผู้โจมตีจะสร้าง ActiveX ที่มีโค้ดอันตราย ซึ่งจะถูกเรียกใช้ผ่านเอกสาร Microsoft Office ที่ใช้งาน Browser Rendering Engine อีกที โดยผู้โจมตีจะพยายามโน้มน้าวเหยื่อให้เปิดไฟล์เอกสารเพื่อให้โค้ดอันตรายที่ถูกฝังไว้ทำงาน” - Microsoft กล่าว

อย่างไรก็ตาม การโจมตีจะไม่สำเร็จหาก Microsoft Office ตั้งค่าที่เป็นค่าเริ่มต้น ซึ่งจะทำให้เอกสารที่เปิดจากเว็บนั้นถูกเปิดในโหมด Protected View หรือในผู้ใช้งานมีการใช้ Application Guard for Office 365 การโจมตีจะไม่สำเร็จเช่นกัน

Protected View เป็นโหมดอ่านอย่างเดียว (Read-Only) ที่จะทำให้ฟังก์ชันสำหรับการแก้ไขเอกสารถูกปิดไว้ ในขณะที่ Application Guard นั้นจะแยกไฟล์เอกสารที่ไม่น่าเชื่อถือไว้ ไม่ให้สามารถเข้าถึงระบบภายในขององค์กรได้

ระบบที่มีการเปิดใช้งาน Microsoft Defender Antivirus และ Defender for Endpoint (build 1.349.22.0 เป็นต้นไป) จะได้รับการป้องกันจากช่องโหว่ CVE-2021-40444 โดยแพลตฟอร์ม Microsoft's enterprise security จะแจ้งเตือนการโจมตีด้วยช่องโหว่นี้ด้วยชื่อ "Suspicious Cpl File Execution.

Microsoft เผยแคมเปญฟิชชิ่ง Office 365 ใหม่ที่หาทางหลบหลีก sandbox

Microsoft ได้เผยถึงแคมเปญฟิชชิ่ง Office 365 ซึ่งผู้ประสงค์ร้ายได้ใช้วิธีที่มีความซับซ้อนและหลากหลายในการหลบเลี่ยงการป้องกัน,การวิเคราะห์และการตรวจจับอัตโนมัติ เช่น การใช้ sandbox

หนึ่งในกลยุทธ์การหลบเลี่ยงการตรวจจับที่ถูกใช้ในการโจมตีขโมย credential ขององค์กรที่เป็นเป้าหมายคือการรีไดเร็ค URL โดยกลยุทธ์การที่ผู้ประสงค์ร้ายใช้คือ เมื่อผู้ใช้ทำการคลิก URL อันตราย แล้วมีการป้องกันด้วยการนำ URL ดังกล่าวไปทดลองรันใน sandbox เมื่อผู้ประสงค์ร้ายตรวจพบการเชื่อมต่อกับ sandbox ผู้ประสงค์ร้ายจะทำการรีไดเร็คการเชื่อมต่อของ sandbox ไปที่ปลายทางที่ถูกต้องและไม่เป็นอันตราย ในขณะที่ถ้าตรวจพบว่าเป็นผู้คลิกเป็นบุคคลจริงๆ ถึงจะรีไดเร็คการเชื่อมต่อของเหยื่อไปยังหน้า Landing Page ที่เป็นหน้าเพจฟิชชิ่ง ด้วยวิธีการนี้จะทำให้การตรวจจับและการวิเคราะห์โดยอัตโนมัติใด ๆ ถูกมองว่าผู้ใช้ได้ทำการคลิกไปยังเว็บไซต์ที่ถูกต้อง ซึ่งจะช่วยลดโอกาสในการถูกบล็อกการโจมตีได้อย่างมากและเพิ่มโอกาสที่ผู้ที่ตกเป็นเหยื่อจริงๆ จะถูกล่อลวงมายังไซต์ฟิชชิ่งของผู้ประสงค์ร้าย

ในส่วนของกลยุทธ์นี้ยังมีการสร้าง subdomains ที่เฉพาะเจาะจงกับเหยื่อเพื่อใช้กับเว็บไซต์ที่จะทำการรีไดเร็ค URL เพื่อเป็นวิธีการทำให้ URL ฟิชชิ่งน่าเชื่อถือมากขึ้นในสายตาของเป้าหมายและจะช่วยเพิ่มอัตราความสำเร็จของการโจมตี โดย URL ของฟิชชิงมักมีชื่อของเหยื่อและองค์กรของเหยื่อ โดยส่วนมากจะมีจุดพิเศษคือด้านหลัง โดเมนระดับบนสุด (TLD) จะตามด้วย Email address ที่ถูก endcode เป็น Base64 ของผู้รับ

รูปแบบหัวอีเมลที่แสดงเช่น "Password Update", "Exchange protection", "Helpdesk-#", "SharePoint" และ "Projects_communications" ยังสามารถถูกใช้เป็นตัวล่อในด้าน social engineering เพื่อเพิ่มความน่าสนใจที่เป้าหมายจะทำการคลิกลิงก์ฟิชชิง URL ที่ฝังอยู่ในอีเมลแต่ละฉบับ

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

SANS Institute เปิดเผยการรายละเอียดการ Phishing ส่งเมลเอกสารหลอกติดตั้งปลั๊กอิน Office 365 ฟอร์เวิร์ดเมลออก

อ้างอิงจากข่าวการรั่วไหลข้อมูลของ SANS Institute จากการโจมตีในลักษณะ Phishing ที่ไอ-ซีเคียวได้นำเสนอข่าวไปก่อนหน้า (ดูเพิ่มเติม https://www.

Microsoft จะเปิดให้ผู้ใช้งาน Office 365 สามารถทำการจัดการและจำลองการโจมตีฟิชชิ่งเมลได้

Microsoft จะเปิดฟีเจอร์ให้ผู้ใช้งาน Office 365 สามารถอนุญาตกำหนดให้อีเมลที่มี URL หรือไฟล์แนบที่เป็นอันตรายเข้าถึงอินบ็อกของผู้ใช้เพื่อทำการจำลองการโจมตีด้วยฟิชชิ่งเมล โดยฟีเจอร์นี้จะทำให้ผู้ใช้งานสามารถเลือกรายการที่อาจมีภัยคุกคามและอนุญาตให้เข้าถึงกล่องอินบ็อกของผู้รับหลังจากผ่านเลเยอร์การของการฟิลเตอร์ด้วย Office 365 Exchange Online Protection (EOP)

สำหรับ EOP คือบริการฟิลเตอร์บนคลาวด์ที่จะสแกนและบล็อกสแปมและอีเมลที่มีไฟล์แนบที่เป็นอันตรายไม่ให้เข้ามาภายในกล่องอินบ็อกของ Exchange Online ซึ่ง Microsoft จะเพิ่มความสามารถให้ผู้ดูแลระบบสามารถอนุญาตให้อีเมลที่มี URL หรือไฟล์แนบที่เป็นอันตรายเข้าถึงอินบ็อกของผู้ใช้ได้ผ่านหน้า Tenant Allow/Block list โดย Microsoft วางแผนจะเปิดตัว Tenant Allow/Block list ใหม่นี้ในช่วงไตรมาสที่ 3 ปี 2020

ในปัจจุบันนี้ องค์กรที่ใช้ Office 365 Advanced Threat Protection Plan 2 จะสามารถใช้เครื่องมือ Attack Simulator ที่อนุญาตให้ผู้ดูแลระบบรักษาความปลอดภัยสามารถจำลองการโจมตีในรูปแบบ Spear phishing, Password spray และการโจมตีแบบ Brute force ภายในองค์กรของผู้ใช้ได้ สามารถศึกษาเพิ่มเติมได้จาก https://docs.

Microsoft จะหยุดการให้บริการ TLS 1.0 และ 1.1 ใน Office 365 ภายในวันที่ 15 ตุลาคม 2020

Microsoft ได้ประกาศหยุดการให้บริการสำหรับโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.0 และเวอร์ชั่น 1.1 ที่ใช้ในผลิตภัณฑ์ Office 365 โดยจะเริ่มต้นตั้งแต่วันที่ 15 ตุลาคม 2020 เป็นต้นไป โดยการหยุดให้บริการนั้นถูกประกาศใน MC218794 Microsoft 365 admin center ของ Microsoft

Microsoft ได้เเจ้งว่าพวกเขากำลังจะย้ายบริการออนไลน์ทั้งหมดไปยังโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.2+ ซึ่ง Microsoft กำลังผลักดันการยกเลิกใช้โปรโตคอล TLS 1.0 เฉกเช่นเดียวกับผู้ให้บริการเบราว์เซอร์รายใหญ่ทั้งหมดเช่น Google , Apple และ Mozilla

Microsoft ยังกล่าวอีกว่าสำหรับผู้ใช้งานที่ได้รับผลกระทบและจะได้รับการเเจ้งเตือนคำแนะนำให้ทำการอัปเดต TLS เป็นเวอร์ชั่นล่าสุดนั้นมีดังนี้

Android เวอร์ชั่น 4.3 และรุ่นก่อนหน้า
Firefox เวอร์ชั่น 5.0 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 8-10 บน Windows 7 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 10 บน Windows Phone 8
Safari เวอร์ชั่น 6.0.4
OS X เวอร์ชั่น 10.8.4 และรุ่นก่อนหน้า

ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบไอทีสามารถใช้เอกสาร KB4057306 อย่างเป็นทางการของ Microsoft เพื่อเตรียมความพร้อมสำหรับการอัปเกรด TLS 1.2 ใน Office 365 และ Office 365 GCC ได้ที่นี่: https://docs.

Phishers Target Office 365 Admins with Fake Admin Alerts

มีแนวโน้มว่าผู้ไม่หวังดีจะเน้นหลอกลวงผู้ดูแลระบบอีเมลขององค์กร

การโจมตีบัญชีอีเมลของผู้ดูแลระบบคือเป้าหมายหลักของแฮกเกอร์ เพราะจะทำให้ได้สิทธิ์ที่สามารถเข้าถึงบัญชีผู้ใช้งานอื่น หรือสร้างบัญชีผู้ใช้งานใหม่ได้ จากรายงานพบว่ามีการสร้างแคมเปญฟิตชิ่งเพื่อหลอกลวงว่าเป็นการแจ้งเตือนจาก Office 365 ไปยังผู้ดูแลระบบในองค์กร โดยเนื้อหาในอีเมลอาจจะมีเนื้อหาที่เร่งให้ผู้ดูแลระบบต้องรับดำเนินการโดยทันที เพื่อให้ผู้ดูแลระบบขาดความระมัดระวังในการตรวจสอบ เช่น ปลอมเป็นอีเมลที่แจ้งว่า Office 365 ขององค์กรหมดอายุ จากนั้นจะเปิดหน้าเว็บไซต์หลอกลวงให้ลงชื่อเข้าใช้งานเพื่อตรวจสอบข้อมูลการชำระเงิน อีกตัวอย่างเป็นการอ้างว่าเป็นการแจ้งเตือนผู้ดูแลระบบว่ามีคนเข้าถึงบัญชีอีเมลของผู้ใช้คนใดคนหนึ่ง และหลอกให้ผู้ดูแลระบบลงชื่อเข้าใช้งานเพื่อตรวจสอบปัญหา

ผู้ดูแลระบบควรตรวจสอบความถูกต้องของ URL ก่อนกรอกข้อมูลเพื่อเข้าสู่ระบบ หากไม่แน่ใจแนะนำให้ทำการพิมพ์ URL เพื่อเข้าสู่ระบบด้วยตนเอง ไม่ควรกดผ่านลิงก์ที่แนบมาในอีเมลแจ้งเตือน

ที่มา:bleepingcomputer

Phishing Attack Pretends to be a Office 365 Non-Delivery Email

แจ้งเตือนผู้ใช้งาน Office 365 พบภัยคุกคามประเภทฟิชชิ่งที่แอบอ้างว่าเป็นระบบแจ้งเตือน non-delivery จาก Office 365 ซึ่งเมื่อผู้ใช้คลิกระบบแจ้งเตือนดังกล้าวจะทำให้เชื่อมต่อไปยังหน้าเว็บที่พยายามขโมยข้อมูลของผู้ใช้ทันทีที่ทำการ login เข้าในหน้า Office 365 ปลอมที่ผู้ไม่ประสงค์ดีได้ทำไว้

ฟิชชิ่งแบบใหม่นี้ได้ถูกค้นพบโดย ISC Handler Xavier Mertens จะมีเนื้อหาอีเมล (Subject) ระบุว่า "Microsoft found Several Undelivered Messages" เพื่อแจ้งให้เหยื่อคลิกที่ลิงก์ "Send Again" เพื่อลองส่งอีเมลอีกครั้ง หากผู้ใช้หลงเชื่อและคลิกที่ลิงก์เพื่อพยายามส่งอีเมลอีกครั้ง จะทำให้เชื่อมต่อไปยังหน้า login ของ Office 365 ที่เป็นหน้าปลอมเพื่อหลอกขโมยข้อมูลจากผู้ใช้งาน Office 365

เมื่อผู้ใช้ป้อนรหัสผ่านฟังก์ชัน JavaScript ที่ชื่อ sendmails() จะทำงาน เพื่อส่งอีเมลและรหัสผ่านที่ป้อนไปยังสคริปต์บน sendx.

Devilishly Clever KnockKnock Attack Tries to Break Into System Email Accounts

แจ้งเตือนการโจมตีระบบ Office 365 รูปแบบใหม่ "KnockKnock" เน้นเงียบแต่ได้ผล

นักวิจัยด้านความปลอดภัยจาก SkyHigh "Sandeep Chandana" ได้ออกมาเผยแพร่ถึงวิธีการโจมตี Office 365 รูปแบบใหม่โดยบ็อตเน็ตที่พึ่งมีการตรวจพบภายใต้ชื่อการโจมตี "KnockKnock" ที่เน้นไปที่การโจมตีระบบที่อยู่ข้างหลังที่มักจะขาดการป้องกันที่เหมาะสม เพื่อนำข้อมูลกลับมาใช้ในการเข้าถึงระบบที่ต้องการโจมตีต่อไป

การโจมตี KnockKnock ถูกตรวจพบในเดือนพฤษภาคม 2017 และยังคงมีการใช้วิธีการนี้ในการโจมตีอยู่ โดยมีแหล่งที่มาของการโจมตีจากกว่า 15 ประเทศทั่วโลก

ลักษณะการโจมตีแบบ KnockKnock มักมีคุณลักษณะพิเศษอยู่ 2 อย่างคือ การโจมตีที่มีกลุ่มเป้าหมายค่อนข้างเล็กโดย SkyHigh ระบุว่ามักจะเป็น 2% ของบัญชีผู่ใช้งานทั้งหมด และการโจมตี KnockKnock นั้นจะไม่ใช่การโจมตีแบบ bruteforce แต่จะเป็นการโจมตีเพื่อคาดเดารหัสผ่านเพียง 3-5 ครั้งต่อบัญชีเพื่อไม่ให้สามารถตรวจจับได้ ซึ่งโดยมากจะเป็นการโจมตีแบบ phishing เป็นส่วนใหญ่ เมื่อโจมตีระบบใดระบบหนึ่งได้แล้ว ผู้โจมตีจึงจะใช้ข้อมูลที่ได้จากการโจมตีไปโจมตีระบบอื่นๆ ต่อ

เป้าหมายของบริการที่ KnockKnock โจมตีนั้นจะมุ่งไปที่ระบบที่มักมีการใช้ร่วมกัน มีการใช้งานอยู่เบื่องหลังองค์กรและมักจะมีการป้องกันที่ไม่ดีพอ อาทิ ระบบสำหรับ provision, ระบบสำหรับจัดการศูนย์ข้อมูล, ระบบจัดการการขาย, JIRA, Jenkin หรือ GitHub เป็นต้น ระบบเหล่านี้นั้นมักจะไม่มีฟังก์ชันอย่าง 2 factor authentication หรือ Single-Sign-On ทำให้การโจมตีเป็นไปได้โดยง่าย

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบเพื่อความระมัดระวังและกวดขันความปลอดภัยในระบบเหล่านี้เพื่อป้องกันการโจมตีในลักษณะดังกล่าว การตอบโต้ที่ง่ายที่สุดในการจัดการกับการโจมตี KnockKnock คือการเปิดใช้งาน 2FA สำหรับบัญชีพนักงานและบัญชีระบบ รวมถึงใช้รหัสผ่านที่ปลอดภัยและควรตั้งรหัสผ่านของแต่ละบัญชีไม่ให้ซ้ำกัน

ที่มา: bleepingcomputer

Ransomware scum target corporate Office 365 users in 0-day campaign

Avanan ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยบนคลาวด์ได้ตรวจพบการระดมโจมตีด้วย ransomware ที่ถูกเรียกว่า Cerber ไปยังกลุ่มลูกค้าองค์กรที่ใช้ Office 365 โดยอาศัยช่องโหว่ของซอฟต์แวร์ เมื่อวันที่ 22 มิถุนายนที่ผ่านมา

นอกจากการแจ้งเตือนเป็นป๊อปอัพหรือตัวอักษรแบบทั่วไปแล้ว Cerber ยังแจ้งเตือนผู้ใช้เป็นไฟล์เสียงด้วยว่า ไฟล์ในเครื่องถูกเข้ารหัสเอาไว้ทั้งหมดแล้ว พร้อมเรียกค่าไถ่เพื่อปลดล็อกไฟล์ในเครื่องเป็นจำนวน 1.24 BTC ก่อนที่ทางไมโครซอฟท์จะตรวจพบการโจมตีและบล็อกไฟล์ที่มี ransomware แนบมาด้วย

Avanan คาดว่ามีองค์กรราว 57% ที่ใช้ Office 365 ได้รับไฟล์ที่ฝังมัลแวร์ผ่านทางอีเมล์ขององค์กรอย่างน้อย 1 ไฟล์

ที่มา: theregister