การโจมตีจากช่องโหว่การยกระดับสิทธิ์มากกว่า 50% มากจาก Insider Threat

การโจมตีจากช่องโหว่การยกระดับสิทธิ์มากกว่า 50% มากจาก Insider Threat

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) เป็นช่องโหว่ที่พบบ่อยที่สุด ที่บุคคลภายในองค์กรใช้เพื่อให้สามารถเข้าใช้งานบนเครือข่ายที่ไม่ได้รับอนุญาต ไม่ว่าจะเพื่อจุดประสงค์ที่เป็นอันตราย หรือโดยการดาวน์โหลดเครื่องมือที่มีความเสี่ยงในลักษณะที่เป็นอันตราย
(more…)

ผู้ไม่หวังดีสามารถดึงข้อมูลจาก Goolge Drive ได้โดยไม่มีการทิ้งร่องรอย

นักวิจัยจาก Mitiga ระบุว่า "Google Workspace หรือชื่อเดิม 'G Suite' มีจุดอ่อนจากการป้องกันไม่ให้บุคคลภายนอก หรือคนในที่เป็นอันตรายสามารถขโมยข้อมูลออกจาก Google Drive ได้"

Ariel Szarf และ Or Aspir จาก Mitiga อธิบายว่า "Google Workspace กำหนดให้การมองเห็นต่อข้อมูลบน Google Drive ของบริษัทโดยใช้ 'บันทึกการใช้งาน Drive' เพื่อติดตามการดำเนินการต่าง ๆ เช่น การลบ, การดาวน์โหลด, และการดูไฟล์ รวมถึงบันทึกเหตุการณ์ที่เกี่ยวข้องจากโดเมนภายนอกก็ได้รับการบันทึกไว้"

โดยค่าเริ่มต้นของผู้ใช้ Google Drive จะได้รับสิทธิ์ 'Cloud Identity Free' และจะได้รับการกำหนดสิทธิ์แบบเสียค่าใช้จ่าย เช่น Goolge Workspace Enterprise Plus จากผู้ดูแลระบบในองค์กร

นักวิจัยพบว่าเมื่อไม่ได้มีการกำหนดสิทธิ์ให้กับสิทธิ์แบบที่เสียค่าใช้จ่าย จะไม่มีบันทึกการกระทำในไดรฟ์ส่วนตัวของผู้ใช้ ซึ่งอาจทำให้องค์กรไม่ทราบถึงการดำเนินการ และการจัดการข้อมูล และการนำข้อมูลออกไปโดยผู้ใช้งาน หรือผู้โจมตีภายนอก

ตัวอย่างเช่น หากไม่ได้รับการกำหนดสิทธิ์แบบที่เสียค่าใช้จ่าย หรือสิทธิ์ถูกยกเลิกก่อนที่บัญชี Google จะถูกลบ พนักงานที่ออกจากบริษัทอาจใช้ช่องโหว่นี้เพื่อนำข้อมูลที่สำคัญออกไปโดยไม่ทิ้งหลักฐานใด ๆ

ผู้ใช้สามารถคัดลอกไฟล์ทั้งหมดจากไดรฟ์ที่ถูกแชร์ขององค์กรไปยังไดรฟ์ส่วนตัว และดาวน์โหลดไฟล์ ซึ่งการดาวน์โหลดจะไม่ได้รับการบันทึกไว้ และการคัดลอกจะได้รับการบันทึกเพียงบางส่วนเท่านั้น (จะบันทึกใน 'source_copy' แต่ไม่ได้บันทึกใน 'copy')

ผู้โจมตีภายนอกอาจดำเนินการด้วยวิธีเดียวกัน ถ้าหากสามารถโจมตีบัญชีของผู้ใช้งานที่ไม่มีสิทธิ์แบบที่เสียค่าใช้จ่าย หรือบัญชีของผู้ดูแลระบบ

นักวิจัยได้อธิบายว่า "ผู้ไม่หวังดีที่สามารถเข้าถึงบัญชีผู้ดูแลระบบได้ สามารถเพิกถอนสิทธิ์ของผู้ใช้งาน, ดาวน์โหลดไฟล์ส่วนตัวทั้งหมด และกำหนดสิทธิ์ใหม่ บันทึกการกระทำที่ถูกสร้างขึ้น ในกรณีนี้เป็นบันทึกเพียงเท่าที่เกี่ยวข้องกับการเพิกถอน และกำหนดสิทธิ์ (ภายใต้ 'กิจกรรมบันทึกของผู้ดูแลระบบ')"

การตรวจสอบการนำข้อมูลออกจาก Goolge Drive

คำแนะนำของนักวิจัยสำหรับองค์กรคือ ควรดำเนินการตรวจสอบความเสี่ยงใน Google Workspace เป็นประจำ และค้นหาเหตุการณ์การกำหนด และเพิกถอนสิทธิ์ที่น่าสงสัย และตรวจสอบบันทึก 'source_copy' เพื่อตรวจสอบการคัดลอกไฟล์ของบริษัทที่น่าสงสัย

อ้างอิง : https://www.

วุฒิสมาชิกเรียกร้องให้มีการใช้ DMARC เพื่อจัดการกับ PHISHING

ข้อมูลในจดหมายซึ่งถูกส่งไปที่กรมความมั่นคงแห่งมาตุภูมิ โดย Sen. Ron Wyden (D-OR) เมื่อวันอังคารที่ 18 July 2017 ที่ผ่านมาระบุว่าได้มีการเรียกร้องหน่วยงานรัฐบาลกลางให้ทำการพัฒนาวิธีการควบคุมเรื่อง e-mail ให้รัดกุมมากขึ้นเพื่อป้องกัน hacker จากการแอบอ้างตัวเองว่าเป็นคนจากหน่วยงานรัฐ Wyden เรียกการใช้ email protocol นี้ว่า Domain-based Message Authentication, Reporting and Conformance (DMARC) ซึ่งสามารถใช้ในการ filter หรือ block พวก spoofed email ซึ่งใช้ domain จริงในการส่ง แต่ว่าถูกส่งมาจากบุคคลที่สาม หรือจาก attacker
DMARC จะคอยปัด email spoofing ทิ้ง ซึ่งพวกนี้จะเป็นศูนย์กลางสำหรับการโจมตี Phishing อยู่แล้ว หลักการทำงานของ DMARC คือจะคอยตรวจเช็ค email กับ Domain Keys Identified Mail และกับ Sender Policy Framework validation systems ถ้าการตรวจสอบดังกล่าวผ่านทุกเงื่อนไข email ก็จะถูกปล่อยให้ผ่านไปยังผู้รับ แต่หากไม่ผ่านเงื่อนไข email นั้นจะถูกกักไว้ หรืออาจถูก blocked Phishing ยังคงเป็นภัยคุกคามที่ถูกใช้งานอย่างแพร่หลาย ไม่ใช่เพียงแค่จาก cybercriminals ซึ่งสนใจในเรื่องของการโกง และอาชญากรรมทางการเงินต่างๆ แต่ถูกใช้ในการโจมตีโดย nation-state attackers ด้วยเช่นกัน

ที่มา : threatpost