Microsoft จะหยุดการให้บริการ TLS 1.0 และ 1.1 ใน Office 365 ภายในวันที่ 15 ตุลาคม 2020

Microsoft ได้ประกาศหยุดการให้บริการสำหรับโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.0 และเวอร์ชั่น 1.1 ที่ใช้ในผลิตภัณฑ์ Office 365 โดยจะเริ่มต้นตั้งแต่วันที่ 15 ตุลาคม 2020 เป็นต้นไป โดยการหยุดให้บริการนั้นถูกประกาศใน MC218794 Microsoft 365 admin center ของ Microsoft

Microsoft ได้เเจ้งว่าพวกเขากำลังจะย้ายบริการออนไลน์ทั้งหมดไปยังโปรโตคอล Transport Layer Security (TLS) เวอร์ชั่น 1.2+ ซึ่ง Microsoft กำลังผลักดันการยกเลิกใช้โปรโตคอล TLS 1.0 เฉกเช่นเดียวกับผู้ให้บริการเบราว์เซอร์รายใหญ่ทั้งหมดเช่น Google , Apple และ Mozilla

Microsoft ยังกล่าวอีกว่าสำหรับผู้ใช้งานที่ได้รับผลกระทบและจะได้รับการเเจ้งเตือนคำแนะนำให้ทำการอัปเดต TLS เป็นเวอร์ชั่นล่าสุดนั้นมีดังนี้

Android เวอร์ชั่น 4.3 และรุ่นก่อนหน้า
Firefox เวอร์ชั่น 5.0 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 8-10 บน Windows 7 และรุ่นก่อนหน้า
Internet Explorer เวอร์ชั่น 10 บน Windows Phone 8
Safari เวอร์ชั่น 6.0.4
OS X เวอร์ชั่น 10.8.4 และรุ่นก่อนหน้า

ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบไอทีสามารถใช้เอกสาร KB4057306 อย่างเป็นทางการของ Microsoft เพื่อเตรียมความพร้อมสำหรับการอัปเกรด TLS 1.2 ใน Office 365 และ Office 365 GCC ได้ที่นี่: https://docs.

New Settings Let Hackers Easily Pentest Facebook, Instagram Mobile Apps

Fecebook เปิดตัวการตั้งค่าใหม่ "Whitehat Settings" ช่วยชีวิต Penetester ง่ายขึ้นเยอะ!

Facebook เปิดตัวการตั้งค่าใหม่ภายใต้ชื่อ Whitehat Settings ซึ่งการตั้งค่านี้มีส่วนช่วยให้การทดสอบความปลอดภัยเป็นไปได้ง่ายโดยอนุญาตให้ผู้ทดสอบสามารถข้ามผ่านกระบวนการรักษาความปลอดภัยในบางกรณีได้เมื่อทดสอบกับแอปภายใต้บริการของ Facebook (รวมไปถึง Instagram และ Messenger)

การตั้งค่า Whitehat Settings นี้อนุญาตให้ผู้ทดสอบปิดการใช้งานโปรโตคอล TLS 1.3, ตั้งค่า Proxy สำหรับรีเควสต์ที่เกี่ยวข้องกับ Platform API รวมไปถึงติดตั้งใบรับรอง (certificate) เองได้

ความจำเป็นหนึ่งของการที่ต้องปิดการใช้งานโปรโตคอล TLS 1.3 และกลับมาไปใช้งาน TLS 1.2 ส่วนหนึ่งเนื่องจากโปรแกรมยอดนิยม อาทิ Burp Suite และ Carles นั้นยังไม่รองรับการใช้งานโปรโตคอล TLS 1.3

การตั้งค่า Whitehat Settings จะไม่ถูกเปิดเป็นค่าเริ่มต้น หากต้องการใช้งานการตั้งค่านี้ ผู้ใช้งานจะต้องเข้าไปเปิดการใช้งานฟีเจอร์นี้ในเว็บของ Facebook เองหลังจากนั้นจึงตัวเลือก Whitehat Settings จึงจะปรากฎในหน้าส่วน Setting ของแอป ทั้งนี้แอปจะมีการแสดงแบนเนอร์เพื่อแจ้งให้กับผู้ใช้งานเมื่อมีการใช้งานฟีเจอร์นี้อยู่ด้วย

ที่มา : thehackernews

Chrome, Firefox, Edge and Safari Plans to Disable TLS 1.0 and 1.1 in 2020

เว็บเบราเซอร์หลักๆ ทั้ง Google Chrome, Apple Safari, Microsoft Edge, Internet Explorer และ Mozilla Firefox ประกาศยกเลิกการสนับสนุนโปรโตคอลการเข้ารหัสข้อมูล TLS 1.0 และ TLS 1.1 ในเร็วๆ นี้

Transport Layer Security (TLS) เป็นโปรโตคอลการเข้ารหัสที่ใช้เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยและการเข้ารหัสระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ ซึ่งในขณะนี้มี 4 เวอร์ชัน คือ TLS 1.0, 1.1, 1.2 และ 1.3 (เวอร์ชันล่าสุด) แต่เวอร์ชันเก่ากว่า 1.0 และ 1.1 เป็นที่รู้กันว่ามีความเสี่ยงต่อการโจมตีที่สำคัญ เช่น POODLE และ BEAST

ตามข่าวที่เผยแพร่ จากบริษัท 4 แห่ง Google, Microsoft, Apple และ Mozilla วางแผนที่จะยกเลิกการรองรับ TLS 1.0 และ 1.1 โดยเริ่มต้นในช่วงครึ่งปีแรกของปี 2020 ทั้งนี้ตามมาตรฐาน PCI DSS ได้มีการกำหนดให้เว็บไซต์ต้องหยุดการใช้งาน SSL / TLS 1.0 ตั้งแต่วันที่ 30 มิถุนายน ที่ผ่านมา นอกจากนี้ Gitlab ยังประกาศยกเลิกการสนับสนุน TLS 1.0 และ TLS 1.1 บนเว็บไซต์และ API ภายในปลายปี 2018

ผู้ใช้สามารถปิดใช้งาน TLS เวอร์ชันเก่าบน Google Chrome ด้วยตนเองได้ โดยไปที่
Settings → Advanced Setting → Open proxy settings →คลิกแท็บ 'Advanced ' →ในส่วน ' Security ' ให้เลือก TLS 1.0 และ 1.1 ออก และกด Save

ที่มา: thehackernews

ช่องโหว่ DROWN เปิดทางให้แฮกเกอร์ถอดรหัสการเชื่อมต่อ TLS ในเซิร์ฟเวอร์ที่รับ SSLv2

ทีมวิจัยรายงานการโจมตี DROWN ที่สามารถถอดรหัสการเชื่อมต่อ TLS รุ่นใหม่ๆ (ทดสอบใน TLS 1.2) ได้สำเร็จ โดยกระบวนการนี้มีแม้จะอันตรายมากแต่ก็มีเงื่อนไขหลายอย่าง ได้แก่

แฮกเกอร์ต้องดักฟังการเชื่อมต่อ TLS ที่จะโจมตีไว้ล่วงหน้า ประมาณ 1,000 การเชื่อมต่อ (ไม่นับการใช้การเชื่อมต่อ TLS ซ้ำ)
เซิร์ฟเวอร์ต้องรองรับ SSLv2 โดยใช้ใบรับรองใบเดียวกับที่ใช้ TLS
แฮกเกอร์ต้องสามารถเชื่อมต่อ SSLv2 ได้จำนวนมากๆ ประมาณ 40,000 ครั้ง
เซิร์ฟเวอร์ SSLv2 จะต้องรองรับการเชื่อมต่อที่อ่อนแอ (export grade)

แฮกเกอร์มีพลังประมวลผลเหลือเฟือ สามารถคำนวณหากุญแจความซับซ้อนระดับ 2^50 ได้ ค่าใช้จ่ายใน EC2 ประมาณ 440 ดอลลาร์

ทีมวิจัยอาศัยช่องโหว่ padding oracle ของ SSLv2 เพื่อคำนวณหาค่าที่จำเป็นจากการเชื่อมต่อ SSLv2 จำนวนมาก แล้วใช้ค่าเหล่านั้นมาถอดรหัสการเชื่อมต่อ TLS อันใดอันหนึ่งจากที่ดักฟังมา 1,000 การเชื่อมต่อได้ หากเป็นการเชื่อมต่อเว็บ แฮกเกอร์ต้องการถอดรหัสเพียงการเชื่อมต่อเดียวเพื่อจะโมย cookie ไปสวมรอยบัญชี

SSLv2 ไม่ได้รับความนิยมนัก โดยเฉพาะเว็บเซิร์ฟเวอร์ แต่เซิร์ฟเวอร์จำนวนมากก็ใช้ใบรับรองเดียวกันระหว่างเว็บเซิร์ฟเวอร์กับบริการอื่นๆ ที่อาจจะคอนฟิกไว้หละหลวมกว่าเช่นเมลเซิร์ฟเวอร์ ทีมงานพบว่ามีเว็บเซิร์ฟเวอร์ที่ยังรองรับ SSLv2 อยู่ 16% แต่มีการใช้ใบรับรองซ้ำในบริการอื่นที่รองรับ SSLv2 อยู่อีก 17% ทำให้เซิร์ฟเวอร์ที่มีความเสี่ยงรวมเป็น 33%

ทางแก้ที่ตรงไปตรงมาคือการปิดการรองรับ SSLv2 ทุกบริการเสีย ทางด้าน OpenSSL ออกแพตช์มาแล้วในรุ่น 1.0.2g และ 1.0.1s โดยปิดการทำงานการเข้ารหัสในกลุ่ม EXPORT และ LOW ออกทั้งหมดเป็นค่าเริ่มต้น

ช่องโหว่นี้มีคะแนน CVSS ระดับ 5.8 จัดอยู่ในช่องโหว่ระดับสำคัญ ทาง Red Hat นั้นกระทบตั้งแต่ RHEL 5/6/7 ส่วน IIS ของไมโครซอฟท์ระบุว่าเวอร์ชั่นที่ซัพพอร์ตอยู่ตอนนี้ปิด SSLv2 ไปทั้งหมดแล้ว

ที่มา : blognone

The POODLE bites again

หลังจากได้เกิดการโจมตีโดยใช้ช่องโหว่ SSLv3 ที่ชื่อว่า “POODLE” ทาง Chrome ได้ถอดฟังก์ชั่นซัพพอรท์ของ SSLv3 ออกจาก Chrome 39 และ Chrome 40 ซึ่งนอกจาก Chrome แล้ว Firefox ก็ได้ถอดฟังก์ชั่นนี้ออกจาก Firefox 34 เช่นกัน

This POODLE bites: exploiting the SSL 3.0 fallback

กูเกิลประกาศพบบั๊กร้ายแรงในสเปกของโพรโทคอล SSL 3.0 ที่ส่งผลให้การเชื่อมต่อ SSL อาจถูกเจาะและไม่ปลอดภัยอย่างที่แล้วๆ มา โดยกูเกิลให้ชื่อบั๊กนี้ว่า POODLE