มีการเผยแพร่ PoC (Proof-of-Concept) สำหรับช่องโหว่ Remote Code Execution (RCE) แบบ Zero-Click ใน Microsoft Outlook ที่เกิดจากฟังก์ชัน Windows Object Linking and Embedding (OLE) ซึ่งมีหมายเลข CVE-2025-21298 (more…)
พบการเผยแพร่ PoC Exploit สำหรับช่องโหว่ Zero-Click RCE ของ Microsoft Outlook (CVE-2025-21298)
ข้อผิดพลาดใน Microsoft Outlook ทำให้ไม่สามารถเข้าสู่ระบบอีเมลได้ และทำให้แอปพลิเคชันหยุดทำงาน
Microsoft กำลังตรวจสอบข้อผิดพลาดใน Outlook ที่ทำให้แอปพลิเคชันบนเดสก์ท็อปเกิดการขัดข้อง, ใช้ทรัพยากรระบบสูง และทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบบัญชีของตนได้ (more…)
Microsoft แก้ไขปัญหาการส่งอีเมลบน Outlook สำหรับผู้ใช้ที่มีโฟลเดอร์จำนวนมาก
Microsoft ได้แก้ไขปัญหาที่ส่งผลต่อผู้ใช้ Outlook for Microsoft 365 ที่ทำให้เกิดปัญหาในการส่งอีเมลสำหรับผู้ที่มีโฟลเดอร์ซ้อนกันมากเกินไป
Microsoft พบปัญหาดังกล่าวครั้งแรกในเดือนธันวาคม 2023 โดยปัญหาดังกล่าวเกี่ยวข้องกับ mailbox ที่มี shared folder มากกว่า 500 โฟลเดอร์ ซึ่งข้อจำกัดดังกล่าวได้ถูกยกเลิกไปในปี 2019 โดยยกเลิกข้อจำกัด 500 โฟลเดอร์ใน Outlook อย่างไรก็ตามเชื่อว่าปัญหาดังกล่าวยังส่งผลต่อผู้ใช้ที่มีโฟลเดอร์จำนวนใกล้เคียงกันในกล่องจดหมายหลักของตนด้วย
Microsoft ระบุว่า ผู้ใช้งานที่พยายามส่งอีเมลจาก Outlook desktop app อาจได้รับรายงานการแจ้งเตือน Non-Delivery Report (NDR) พร้อม error code 0x80040305
โดยผู้ใช้ที่ได้รับผลกระทบจะได้รับการแจ้งเตือนด้วยว่าอีเมลของตนส่งไปไม่ถึงผู้รับบางส่วน หรือทั้งหมด โดยข้อความ NDR จะแนะนำให้ส่งใหม่อีกครั้งในภายหลังหรือติดต่อ network administrator
Outlook Team ได้พัฒนาวิธีแก้ไขปัญหา ซึ่งจะเผยแพร่ในช่วงเดือนตุลาคม หรือในเดือนธันวาคม 2024
Beta Channel : เวอร์ชัน 2410 (Build 18127.15020) คาดว่าจะออกในช่วงต้นเดือนตุลาคม 2024
Current Channel Preview : เวอร์ชัน 2410 (Build 18129.20000) คาดว่าจะออกในวันที่ 9 ตุลาคม 2024
Current Channel : เวอร์ชัน 2410 (บิลด์ 20000) คาดว่าจะออกในวันที่ 29 ตุลาคม 2024
Monthly Enterprise Channel : เวอร์ชัน 2410 (บิลด์ 20000) คาดว่าจะออกในวันที่ 10 ธันวาคม 2024
แนวทางการแก้ไข
ในระหว่างที่รอการแก้ไข ทาง Microsoft ได้แนะนำแนวทางแก้ไขปัญหาชั่วคราว โดยกำหนดให้ลดจำนวนโฟลเดอร์ที่มีโฟลเดอร์ย่อยให้ต่ำกว่า 500 โฟลเดอร์ โดยตั้งเป้าไว้ที่ 450 โฟลเดอร์ที่ซ้อนกัน และอีกวิธี คือการยุบโฟลเดอร์กล่องจดหมายทั้งหมดแทนที่จะขยาย
ซึ่งหากไม่สามารถดำเนินการอย่างใดอย่างหนึ่งข้างต้นได้ ให้หลีกเลี่ยงการดำเนินการออนไลน์ใน Outlook การดำเนินการดังกล่าวรวมถึงการใช้ปุ่ม 'View on Server' และ ' Click here to view more on Microsoft Exchange' หรือการใช้ ' Include older results' เมื่อค้นหา รวมถึงหากใช้บริการเหล่านี้ควรรีสตาร์ท Outlook ทันทีเพื่อประสิทธิภาพในการใช้งาน
ในเดือนกันยายน 2024 Microsoft ได้แก้ไขช่องโหว่ที่ทำให้ Microsoft 365 apps เช่น Outlook, Word, Excel และ OneNote หยุดทำงานขณะพิมพ์ หรือตรวจสอบการสะกดข้อความ รวมถึงในเดือนสิงหาคม 2024 ได้แบ่งปันแนวทางแก้ปัญหาชั่วคราวสำหรับปัญหาการลงชื่อเข้าใช้ Gmail สำหรับผู้ใช้ Outlook แบบคลาสสิก และทำให้ Outlook หยุดทำงานหลังจากเปิดใช้งาน
ที่มา : bleepingcomputer
พบองค์กรกว่า 100 แห่งในสหรัฐอเมริกา และสหภาพยุโรป ตกเป็นเป้าการโจมตีของมัลแวร์ StrelaStealer
พบแคมเปญมัลแวร์ StrelaStealer กำลังมุ่งเป้าโจมตีเพื่อขโมยข้อมูลบัญชีอีเมล โดยส่งผลกระทบต่อองค์กรกว่า 100 แห่งทั่วสหรัฐอเมริกา และยุโรป
StrelaStealer ถูกพบครั้งแรกในเดือนพฤศจิกายน 2022 โดยเป็นมัลแวร์สำหรับขโมยข้อมูลตัวใหม่ที่มีความสามารถในการขโมยข้อมูลบัญชีอีเมลจาก Outlook และ Thunderbird โดยมีความสามารถเด่น คือการใช้วิธีการติดมัลแวร์แบบ polyglot file (การรวมรูปแบบไฟล์สองรูปแบบขึ้นไปเข้าด้วยกันในลักษณะที่แต่ละรูปแบบสามารถทำงานได้โดยไม่มีข้อผิดพลาด เช่นไฟล์ JAR และ MSI) เพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัย
ในช่วงแรกมัลแวร์ StrelaStealer มุ่งเป้าหมายการโจมตีไปยังผู้ใช้งานชาวสเปนเป็นส่วนใหญ่
ต่อมาตามรายงานล่าสุดโดย Unit42 ของ Palo Alto Networks พบว่ามัลแวร์ StrelaStealer ได้เปลี่ยนแปลงเป้าหมายการโจมตีไปยังผู้ใช้งานจากสหรัฐอเมริกาและยุโรปแทน
รวมถึงพบว่า StrelaStealer ได้เผยแพร่ผ่านทางแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างมากในเดือนพฤศจิกายน 2023 โดยพบว่าได้มีการกำหนดเป้าหมายไปที่องค์กรมากกว่า 250 แห่ง จนถึง 500 แห่งในสหรัฐอเมริกา รวมถึงพบการกำหนดเป้าหมายอย่างน้อย 100 แห่งในยุโรป ซึ่งปริมาณการโจมตีผ่านแคมเปญฟิชชิ่งเพิ่มขึ้นอย่างต่อเนื่องจนถึงปี 2024 ตามข้อมูลการบันทึกกิจกรรมระหว่างปลายเดือนมกราคม 2024 ถึงต้นเดือนกุมภาพันธ์ 2024 ของนักวิเคราะห์ของ Unit42 ซึ่ง StrelaStealer ใช้ภาษาอังกฤษ และภาษายุโรปอื่น ๆ เพื่อปรับใช้ตามการโจมตีเป้าหมาย
ซึ่งหน่วยงานเป้าหมายในการโจมตีส่วนใหญ่เป็นองค์กรทางด้านเทคโนโลยีขั้นสูง ตามด้วยภาคส่วนต่าง ๆ เช่น ภาคการเงิน บริการด้านกฎหมาย ภาคการผลิต รัฐบาล สาธารณูปโภคและพลังงาน ประกันภัย และการก่อสร้าง
วิธีการโจมตีรูปแบบใหม่
วิธีการติดมัลแวร์แบบเดิมของ StrelaStealer ตั้งแต่ปลายปี 2022 คือการส่งอีเมลที่แนบไฟล์ .ISO ที่มีไฟล์ .Lnk shortcut และไฟล์ HTML ซึ่งใช้หลายภาษาเพื่อเรียกใช้ 'rundll32.exe' และดำเนินการเพย์โหลดของมัลแวร์
ต่อมาได้เปลี่ยนมาใช้วิธีการโจมตีโดยใช้ไฟล์แนบ ZIP เพื่อวางไฟล์ JScript บนระบบของเหยื่อ ซึ่งเมื่อวางไฟล์สำเร็จ สคริปต์จะปล่อย batch file และ base64-encode ซึ่งจะถอดรหัสเป็นไฟล์ DLL และดำเนินการผ่าน rundll32.exe อีกครั้งเพื่อปรับใช้เพย์โหลด StrelaStealer รวมถึงยังใช้วิธีการโจมตีที่สร้างความสับสนในระหว่างการโจมตีเพื่อทำให้การวิเคราะห์การโจมตียากยิ่งขึ้น และลบ PDB string เพื่อหลบเลี่ยงการตรวจจับโดยเครื่องมือที่ใช้ signature ในการตรวจจับ โดยฟังก์ชันหลักของ StrelaStealer ยังคงเหมือนเดิม นั่นคือเพื่อขโมยข้อมูลการเข้าสู่ระบบอีเมลจากไคลเอนต์อีเมลยอดนิยม และส่งไปยัง command and control (C2) server ของ Hacker
ดังนั้นผู้ใช้งานจึงควรระมัดระวังเมื่อได้รับอีเมลไม่พึงประสงค์ที่อ้างว่าเกี่ยวข้องกับการชำระเงิน หรือใบแจ้งหนี้ และหลีกเลี่ยงการดาวน์โหลดไฟล์แนบจากผู้ส่งที่ไม่รู้จัก เพื่อป้องกันการโจมตี
ที่มา : bleepingcomputer
Hacker ใช้ไฟล์ปฏิบัติการของ Microsoft Office เพื่อดาวน์โหลดมัลแวร์
นักวิจัยด้านความปลอดภัยเผยแพร่การค้นพบ LOLBAS files ซึ่งเป็นไบนารี และสคริปต์ที่มีใช้งานอยู่ใน Windows อย่างถูกต้อง ซึ่งสามารถถูกนำไปใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายได้ โดยพบการเรียกใช้ไฟล์ executable ของ Microsoft’s Outlook email client และ Access database management system รวมไปถึง LOLBAS files สำหรับ Microsoft Publisher application และยังสามารถทำการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ภายนอกได้อีกด้วย (more…)
พบแคมเปญการโจมตีของ Horabot ที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย
Cisco Talos เปิดเผยรายงานการพบแคมเปญการโจมตีที่มุ่งเป้าหมายการโจมตีไปยังบัญชี Gmail, Outlook ของเป้าหมาย ซึ่งเกี่ยวข้องกับมัลแวร์บอตเน็ตที่ชื่อ Horabot ผ่านการใช้ banking trojan (more…)
Microsoft แจ้งเตือนช่องโหว่ใน Outlook กำลังถูกใช้ในการโจมตีจากแฮ็กเกอร์รัสเซียอยู่อย่างต่อเนื่อง
Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา
โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน
ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)
Microsoft แจ้งเตือนการใช้ Phishing Kits จำนวนมากเพื่อส่งอีเมลหลายล้านฉบับต่อวัน [EndUser]
เครื่องมือโอเพ่นซอร์สสำหรับการโจมตีแบบ adversary-in-the-middle (AiTM) ถูกพบกำลังถูกนำมาใช้โดยผู้โจมตี
Microsoft Threat Intelligence กำลังติดตามกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังการพัฒนาชุดเครื่องมือดังกล่าวภายใต้ชื่อ DEV -1101
การโจมตี AiTM phishing คือความพยายามในการขโมย และดักจับข้อมูลรหัสผ่าน และคุกกี้เซสชั่นของเป้าหมายโดยการติดตั้ง proxy เซิร์ฟเวอร์ระหว่างผู้ใช้กับเว็บไซต์ การโจมตีดังกล่าวมีประสิทธิภาพมาก เนื่องจากมีความสามารถในการหลีกเลี่ยงการป้องกันจาก multi-factor authentication (MFA)
DEV-1101 อยู่เบื้องหลัง Phishing Kits ที่กลุ่มผู้โจมตีรายอื่นสามารถซื้อ หรือเช่าไปใช้ได้ ซึ่งจะช่วยลดความยุ่งยากในการเริ่มการโจมตีด้วย Phishing ได้
เครื่องมือโอเพ่นซอร์สจาก DEV-1101 มาพร้อมกับฟีเจอร์ที่ทำให้สามารถตั้งค่าหน้า Landing Page ฟิชชิ่งที่เลียนแบบ Microsoft Office และ Outlook รวมถึงการจัดการการโจมตีได้จากอุปกรณ์พกพา และแม้แต่ใช้การตรวจสอบจาก CAPTCHA เพื่อหลีกเลี่ยงการตรวจจับ
นับตั้งแต่เปิดตัวบริการดังกล่าวในเดือนพฤษภาคม 2565 เครื่องมือมีการปรับปรุงหลายอย่าง ที่สำคัญที่สุดคือความสามารถในการจัดการเซิร์ฟเวอร์ผ่าน Telegram bot ซึ่งปัจจุบันมีราคา 300 ดอลลาร์สำหรับรายเดือนปกติ และ 1,000 ดอลลาร์สำหรับระดับ VIP
Microsoft ระบุว่าได้ตรวจพบแคมเปญฟิชชิ่งจํานวนมาก ซึ่งครอบคลุมอีเมลฟิชชิ่งนับล้านฉบับต่อวันจากหลากหลายกลุ่มที่ใช้ประโยชน์จากเครื่องมือดังกล่าว
ซึ่งรวมถึงกลุ่ม DEV-0928 ที่ Microsoft ระบุว่าเป็นหนึ่งในผู้สนับสนุนที่สำคัญของ DEV-1101 และเชื่อมโยงกับแคมเปญ Phishing ซึ่งประกอบด้วยอีเมลมากกว่าหนึ่งล้านฉบับตั้งแต่เดือนกันยายน 2565
ลำดับการโจมตีเริ่มต้นด้วยข้อความอีเมลในธีมเอกสารที่มีลิงก์ไปยังเอกสาร PDF ซึ่งเมื่อคลิกแล้ว จะนำผู้รับไปยังหน้าเข้าสู่ระบบที่ปลอมเป็น portal ลงชื่อเข้าใช้ของ Microsoft แต่ก่อนหน้านั้นจะมีการให้ผู้ใช้งานกรอกข้อมูล Captcha ก่อน การใส่หน้า CAPTCHA ลงไปทำให้สามารถป้องกันการถูกตรวจสอบจากระบบอัตโนมัติ แต่ทำให้มั่นใจได้ว่าเหยื่อเป็นผู้เข้าใช้งานเอง
ที่มา : thehackernews
RAT malware แคมเปญใหม่ ใช้ไฟล์หลากหลายภาษาในการหลีกเลี่ยงการตรวจจับ
Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ได้เผยแพร่การพบโทรจันการเข้าถึงจากระยะไกล (remote access trojans RAT) ของ StrRAT และ Ratty ได้ใช้แคมเปญใหม่โดยการใช้ไฟล์ polyglot MSI/JAR และ CAB/JAR เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และ Anti-Virus ซึ่งเป็นที่น่าสนใจมากขึ้น เนื่องจาก StrRAT และ Ratty เป็น RAT malware ที่เคยถูกพบมานานแล้ว
polyglot files คือ ไฟล์หลากหลายภาษารวมกันในรูปแบบไฟล์ตั้งแต่สองรูปแบบขึ้นไป ซึ่ง Hackers ได้ใช้ไฟล์หลายภาษาที่ฝังคำสั่งที่เป็นอันตราย เพื่อหลบเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย และเรียกใช้โดยแอปพลิเคชันที่แตกต่างกันหลายรายการได้โดยไม่มีข้อผิดพลาด โดยล่าสุดที่พบการใช้วิธีการนี้ในการโจมตีคือ มัลแวร์ StrelaStealer ที่กำหนดเป้าหมายไปยังบัญชีผู้ใช้งาน Outlook และ Thunderbird
วิธีการโจมตี
Deep Instinct ได้อธิบายวิธีการโจมตีไว้ว่า ด้วยการรวมรูปแบบ JAR และ MSI ไว้ในไฟล์เดียว โดยไฟล์ JAR เป็นไฟล์ archive ที่จะถูกระบุโดยบันทึกที่ส่วนท้าย ในขณะที่ใน MSI ตัวระบุประเภทไฟล์คือ "magic header" ที่จุดเริ่มต้นของไฟล์ รูปแบบทั้งคู่นี้ทำให้สามารถดำเนินการเป็น MSI ใน Windows และดำเนินการเป็นไฟล์ JAR โดย Java runtime (JAR ไม่ใช่ไฟล์เรียกทำงานจึงไม่ได้รับการตรวจสอบจาก Anti-Virus ทำให้สามารถซ่อนคำสั่งที่เป็นอันตรายได้) รวมไปถึงการใช้การรวมรูปแบบ CAB/JAR แทน MSI เนื่องจากพวกเขามี magic header สำหรับการตีความประเภทไฟล์เช่นกัน
โดยพบว่า แคมเปญนี้ถูกเผยแพร่โดย Sendgrid และ URL shortening เช่น Cutt.
มัลแวร์ StrelaStealer ขโมยข้อมูลบัญชี Outlook และ Thunderbird
มัลแวร์ที่มีความสามารถในการขโมยข้อมูลตัวใหม่ชื่อ 'StrelaStealer' กำลังถูกนำมาใช้เพื่อขโมยข้อมูล credential ของบัญชีอีเมลจาก Outlook และ Thunderbird อย่างแพร่หลายในปัจจุบัน โดยพฤติกรรมของมัลแวร์ตัวนี้จะพยายามขโมยข้อมูลจากแหล่งข้อมูลต่าง ๆ ทั้งเบราว์เซอร์, cryptocurrency wallet apps, แอพเกมบนคลาวด์ และคลิปบอร์ดอื่น ๆ นักวิเคราะห์จาก DCSO CyTec ซึ่งเป็นผู้ค้นพบมัลแวร์ดังกล่าวรายงานว่า พบพฤติกรรมของมัลแวร์ครั้งแรกเมื่อต้นเดือนพฤศจิกายน พ.ศ. 2565 โดยตัวมัลแวร์มีการกำหนดเป้าหมายไปยังผู้ใช้งานในประเทศสเปน
ไฟล์ที่เป็นอันตราย
StrelaStealer เข้าถึงระบบของเหยื่อผ่านทางอีเมลโดยจะแนบไฟล์ที่เป็นอันตรายมาด้วย ซึ่งส่วนใหญ่จะเป็นไฟล์ ISO และมีไฟล์ติดตั้ง 'msinfo32.exe' อยู่ภายใน หรือในบางกรณีจะมีไฟล์ LNK ('Factura.
- 1
- 2