ช่องโหว่ระดับ Critical ใน Microsoft Teams ซึ่งเป็นแพลตฟอร์มศูนย์กลางการสื่อสารในที่มีผู้ใช้งานกว่า 320 ล้านคนทั่วโลก ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้บริหาร และแก้ไขข้อความได้

ช่องโหว่เหล่านี้ (ปัจจุบัน Microsoft ได้แก้ไขไปแล้ว) สามารถทำให้ทั้งบุคคลภายนอก และบุคคลภายในสามารถปลอมแปลงตัวตนในการแชท, การแจ้งเตือน และการโทร ซึ่งอาจนำไปสู่การฉ้อโกง, การแพร่กระจายมัลแวร์ และการเผยแพร่ข้อมูลเท็จได้

Check Point ได้เปิดเผยช่องโหว่นี้ต่อ Microsoft ในเดือนมีนาคม 2024 ซึ่งปัญหาเหล่านี้แสดงให้เห็นว่าความไว้วางใจในเครื่องมือที่ใช้ในการทำงานร่วมกัน สามารถถูกใช้เป็นอาวุธโดยผู้โจมตี ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานสำหรับการทำงานจากระยะไกล

Teams ซึ่งเปิดตัวในปี 2017 ในฐานะส่วนหนึ่งของ Microsoft 365 ได้ผสานรวมการแชท, การประชุมทางวิดีโอ, การแชร์ไฟล์ และแอปพลิเคชันต่าง ๆ เข้าไว้ด้วยกัน ทำให้กลายเป็นเครื่องมือที่ขาดไม่ได้สำหรับธุรกิจตั้งแต่ระดับสตาร์ทอัพไปจนถึงบริษัทในกลุ่ม Fortune 500

การตรวจสอบของ Check Point มุ่งเน้นไปที่สถาปัตยกรรมแบบ JSON ของเวอร์ชันเว็บ ซึ่งข้อความประกอบด้วยพารามิเตอร์ต่าง ๆ เช่น content, messagetype, clientmessageid และ imdisplayname

ผู้โจมตีใช้ประโยชน์จากสิ่งเหล่านี้ในการแก้ไขข้อความโดยไม่ปรากฏ label กำกับว่า “Edited” ด้วยการใช้ clientmessageid ซ้ำ ซึ่งเปรียบเสมือนการเขียนข้อความใหม่โดยไม่ทิ้งร่องรอย

ส่วนการแจ้งเตือนก็สามารถถูกปลอมแปลงได้โดยการแก้ไขค่า imdisplayname ทำให้การแจ้งเตือนดูเหมือนว่าส่งมาจากผู้บริหารระดับสูง เช่น CEO ซึ่งเป็นการใช้ประโยชน์จากความไว้วางใจโดยสัญชาตญาณของผู้ใช้ที่มีต่อการส่งข้อความด่วน

ในการแชทส่วนตัว การแก้ไขหัวข้อการสนทนาผ่าน PUT endpoint จะเปลี่ยน displayName ซึ่งทำให้ผู้เข้าร่วมเข้าใจผิดเกี่ยวกับตัวตนของผู้ส่ง ดังที่แสดงในภาพหน้าจอก่อนและหลังของอินเทอร์เฟซที่ถูกเปลี่ยนแปลงไป

การเริ่มต้นการโทรผ่าน POST /api/v2/epconv ทำให้สามารถปลอมแปลง displayName ในส่วนรายชื่อผู้เข้าร่วม ซึ่งเป็นการปลอมแปลงตัวตนของผู้โทรระหว่างการสนทนาด้วยเสียง หรือวิดีโอ

หนึ่งในช่องโหว่คือการปลอมแปลงการแจ้งเตือน ซึ่งมีหมายเลข CVE-2024-38197 โดยเป็นช่องโหว่ที่มีความรุนแรงระดับปานกลาง (CVSS 6.5) ซึ่งส่งผลกระทบต่อ iOS เวอร์ชัน 6.19.2 และเวอร์ชันต่ำกว่า ซึ่งช่องข้อมูลผู้ส่งขาดการตรวจสอบความถูกต้องอย่างเหมาะสม

สถานการณ์การโจมตีช่องโหว่ Microsoft Teams

ช่องโหว่เหล่านี้ทำลายความไว้วางใจที่มีต่อ Teams และทำให้มันกลายเป็นช่องทางในการหลอกลวงสำหรับกลุ่ม APTs, ผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ และอาชญากรไซเบอร์

บุคคลภายนอกสามารถแทรกซึมเข้ามาในฐานะบุคคลภายใน โดยปลอมตัวเป็นหัวหน้าฝ่ายการเงินเพื่อขโมยข้อมูลยืนยันตัวตน หรือส่งลิงก์ที่มีมัลแวร์ปลอมแปลงมาในรูปแบบคำสั่งจากผู้บริหาร

บุคคลภายในอาจขัดขวางการบรรยายสรุปด้วยการปลอมแปลงการโทร, สร้างความสับสนในการสนทนาที่ละเอียดอ่อน หรือเปิดช่องให้เกิดแผนการหลอกลวงทางอีเมล (BEC)

ความเสี่ยงที่เกิดขึ้นจริง ได้แก่ การฉ้อโกงทางการเงิน โดยที่การแจ้งเตือนปลอมจาก CEO ที่สามารถหลอกให้เกิดการโอนเงิน, การละเมิดความเป็นส่วนตัวจากการสนทนาที่ถูกปลอมแปลงขึ้น และการจารกรรมข้อมูลผ่านประวัติการสนทนาที่ถูกแก้ไขในการโจมตีแบบ Supply Chain

ผู้โจมตี รวมถึงกลุ่มต่าง ๆ อย่าง Lazarus ได้มุ่งเป้าโจมตีแพลตฟอร์มเหล่านี้ด้วยวิธี social engineering มาอย่างยาวนาน ดังที่เห็นในรายงานล่าสุดเกี่ยวกับการโจมตีผ่าน Teams ด้วย ransomware และการขโมยข้อมูล

ความง่ายดายในการใช้ช่องโหว่นี้ต่อเนื่องกัน เช่น การปลอมแปลงการแจ้งเตือนตามด้วยการโทรปลอม ยิ่งเพิ่มความอันตราย ซึ่งอาจหลอกลวงผู้ใช้ให้เปิดเผยความลับ หรือดำเนินการที่เป็นอันตราย

Check Point ได้เปิดเผยช่องโหว่เมื่อวันที่ 23 มีนาคม 2024 โดย Microsoft รับทราบปัญหาในวันที่ 25 มีนาคม และยืนยันการแก้ไขตามลำดับ

ช่องโหว่การแก้ไขข้อความได้รับการแก้ไขภายในวันที่ 8 พฤษภาคม 2024, ช่องโหว่การแก้ไขแชทส่วนตัวภายในวันที่ 31 กรกฎาคม, ช่องโหว่การแจ้งเตือน (CVE-2024-38197) ภายในวันที่ 13 กันยายน หลังจากแพตซ์อัปเดตในเดือนสิงหาคม และช่องโหว่การปลอมแปลงสายภายในเดือนตุลาคม 2025

ปัจจุบันช่องโหว่ทั้งหมดได้รับการแก้ไขแล้ว โดยผู้ใช้ไม่จำเป็นต้องดำเนินการใด ๆ นอกจากการอัปเดต อย่างไรก็ตาม องค์กรควรมีการป้องกันหลายชั้น, ใช้การตรวจสอบแบบ zero-trust สำหรับข้อมูล identities และอุปกรณ์, ใช้ระบบป้องกันภัยคุกคามขั้นสูงเพื่อสแกน payloads ใน Teams, บังคับใช้นโยบายการป้องกันข้อมูลรั่วไหล (DLP) และฝึกอบรมพนักงานเกี่ยวกับการตรวจสอบแบบ out-of-band สำหรับคำขอที่มาจากผู้บริหารระดับสูง

การคิดแบบ Critical thinking ยังคงเป็นกุญแจสำคัญในการตรวจสอบการสื่อสารที่น่าสงสัยเสมอ แม้ว่าจะมาจากแหล่งที่ดูน่าเชื่อถือก็ตาม ในขณะที่เครื่องมือการทำงานร่วมกันพัฒนาขึ้น การรักษาความไว้วางใจของมนุษย์ก็มีความสำคัญเทียบเท่ากับการแก้ไขโค้ดเช่นเดียวกัน

ที่มา : cybersecuritynews

Natalie Silvanovich นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ในแอปพลิเคชัน Signal, Google Duo, Facebook Messenger, JioChat และ Mocha ซึ่งจะทำให้ผู้โทรสามารถรับฟังเสียงสภาพแวดล้อมที่อยู่รอบ ๆ ตัวของผู้รับได้โดยไม่ได้รับอนุญาตก่อนที่ผู้รับจะรับสาย โดยช่องโหว่ดังกล่าวได้รับการแก้ไขทั้งหมดแล้ว

Silvanovich ได้ค้นพบช่องโหว่ดังกล่าวในลอจิกของแอปพลิเคชันจากการตรวจสอบ State Machine ของแอปพลิเคชัน Video conference จำนวน 7 แอปและพบว่ามีจำนวน 5 แอปมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย

Silvanovich ได้ทำการเปิดเผยช่องโหว่ดังกล่าวและแอปพลิเคชัน Signal ซึ่งมีช่องโหว่การส่งเสียงกลับมาและได้ทำการแก้ไขช่องโหว่แล้วในเดือนกันยายน 2019 ส่วน Google Duo มีช่องโหว่การเปิดเผยแพ็กเกจวีดีโอถูกแก้ไขช่องโหว่แล้วในเดือนธันวาคม 2020 ที่ผ่านมา Facebook Messenger มีช่องโหว่ในการเชื่อมต่อเสียงก่อนผู้รับกดรับและถูกแก้ไขแล้วในเดือนพฤศจิกายน 2019 ส่วน JioChat และ Mocha messengers มีช่องโหว่การเปิดเผยทั้งเสียงและวีดีโอและถูกแก้ไขแล้วในเดือนกรกฎาคม 2020

ทั้งนี้ Silvanovich ยังได้มองหาช่องโหว่ที่คล้ายกันในแอปพลิเคชัน Video Conference อื่น ๆ รวมถึง Telegram และ Viber แต่ไม่พบปัญหาดังกล่าว

ที่มา: bleepingcomputer

เนื่องจากการระบาดของโรค Coronavirus หรือ COVID-19 แอปพลิเคชั่นการประชุมทางวิดีโอ Zoom ได้กลายเป็นแอปพลิเคชั่น ที่ได้รับความนิยมในการติดต่อสื่อสารกับเพื่อนและครอบครัว หรือแม้แต่การทำงานร่วมกับเพื่อนร่วมงานในองค์กรต่างๆ ทั่วโลก

ด้วยความนิยมซึ่งเพิ่มมากขึ้น การถูกนำมาใช้เพื่อแสวงหาผลประโยชน์และก่อกวนในรูปแบบต่างจึงเกิดขึ้นและมีจำนวนที่เพิ่มขึ้นตาม ตัวอย่างหนึ่งซึ่งเราได้เคยพูดถึงไปแล้วในข่าวคือการ Zoom-bombing ซึ่งมีจุดประสงค์ในการก่อกวนผู้เข้าร่วมการประชุมในรูปแบบต่างๆ เช่นภาพอนาจาร, ภาพที่น่าเกลียดหรือภาษาและคำพูดที่ไม่สุภาพเพื่อทำลายการประชุม

ในวันนี้ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัท ไอ-ซีเคียว จำกัด จะมาพูดถึงเช็คลิสต์ง่ายๆ ในการช่วยให้การประชุมออนไลน์ผ่านแอปพลิเคชัน Zoom หรือแอปพลิเคชันอื่นๆ มีความปลอดภัยมากยิ่งขึ้น

1. อย่าเปิดเผย Personal Meeting ID หรือ Meeting ID ให้ใครรู้
ผู้ใช้ Zoom ทุกคนจะได้รับ "Personal Meeting ID" (PMI) ที่เชื่อมโยงกับบัญชี ถ้าหากให้ PMI กับบุคคลอื่นๆ หรือ PMI หลุดไปสู่สาธารณะ ผู้ไม่หวังดีจะสามารถทำการตรวจสอบว่ามีการประชุมอยู่หรือไม่ และอาจเข้ามาร่วมประชุมหรือก่อกวนได้หากไม่ได้กำหนดรหัสผ่าน
2. ใส่รหัสผ่านในการประชุมทุกครั้ง
เมื่อทำสร้างการห้องประชุมใหม่ Zoom จะเปิดใช้งานการตั้งค่า "Require meeting password" โดยอัตโนมัติและกำหนดรหัสผ่านแบบสุ่ม 6 หลัก และไม่ควรยกเลิกการตั้งค่านี้เนื่องจากจะทำให้ทุกคนหรือผุ้ก่อกวนสามารถเข้าถึงการประชุมได้โดยไม่ได้รับอนุญาต
3. สร้างห้อง Waiting Room
Zoom สามารถเปิดใช้งานฟีเจอร์ Waiting Room เพื่อป้องกันผู้ใช้เข้าสู่การประชุมโดยไม่ได้รับการยอมรับจากโฮสต์ (ผู้ที่สร้างการประชุม) ก่อนได้รับอนุญาต
4. ไม่ควรอนุญาตให้มีการ Join Before Host
ผู้ที่สร้างการประชุมควรควบคุมและหมั่นตรวจสอบผู้ที่เข้าร่วมการประชุมอยู่เสมอว่าเป็นผู้ที่ได้รับอนุญาตจริงหรือไม่โดยเฉพาะอย่างยิ่งในการประชุมในเรื่องประเด็นที่ออนไหว การตั้งค่า Enable waiting room เป็นค่าเปิดจะส่งผลให้ผู้ที่เข้าถึงคนแรกกลายเป็นโฮสต์และมีสิทธิ์ในการควบคุมเรียกดูข้อมูลของผู้เข้าร่วมการประชุมโดยอัตโนมัติโดยอัตโนมัติ ดังนั้นตัวเลือกของ Enable waiting room จึงไม่เคยถูกเปิดใช้งานโดยไม่จำเป็น
5. ปิดการแชร์หน้าจอของผู้เข้าร่วม

เพื่อป้องกันไม่ให้ผู้ไม่หวังดีก่อกวนและแย่งชิงการประชุม ควรป้องกันไม่ให้ผู้เข้าร่วมประชุมคนอื่นๆ นอกเหนือจากโฮสต์สามารถแชร์หน้าจอได้
6. ล็อคการประชุมเมื่อทุกคนเข้าร่วมเรียบร้อยแล้ว

หากทุกคนเข้าร่วมการประชุมครบแล้วและไม่ได้เชิญใครเข้าร่วมการประชุมเพิ่ม ควรล็อคการประชุมเพื่อไม่ให้มีใครสามารถเข้าร่วมการประชุม หรือเข้ามาก่อกวนได้
7. อย่าโพสต์รูปภาพการประชุม Zoom สู่สาธารณะ
ถ้าหากภาพถ่ายการประชุมผ่าน Zoom ถูกเปิดเผยต่อสาธารณะผู้ไม่หวังดีจะสามารถเห็น Meeting ID การประชุม จากนั้นผู้ไม่หวังดีสามารถทดลองเข้าร่วมการประชุมโดยใช้ Meeting ID การประชุมที่เปิดเผยต่อสาธารณะได้โดยไม่ต้องรับเชิญ

ตัวอย่างเช่น นายกรัฐมนตรีสหราชอาณาจักร บอริส จอห์นสัน ทวีตรูปภาพการประชุมของ "คณะรัฐมนตรี” และในภาพที่พบมีเลข Meeting ID ของการประชุมปรากฏอยู่ สิ่งนี้อาจจะถูกใช้โดยผู้โจมตีเพื่อพยายามเข้าถึงการประชุมโดยไม่ได้รับอนุญาต และสามารถเข้าร่วมได้ผ่าน Meeting ID ที่แสดงได้
8. อย่าโพสต์ลิงค์การประชุมในที่สาธารณะ
เมื่อสร้างห้องประชุมผ่าน Zoom ไม่ควรโพสต์ลิงก์ที่จะไปยังการประชุมสู่สาธารณะ การกระทำเช่นนั้นจะทำให้เครื่องมือค้นหาเช่น Google จัดทำบันทึกและเปิดให้ค้นหาลิงค์ดังกล่าว และทำให้ทุกคนที่สามารถค้นหาลิงก์การประชุมสามารถเข้าถึงการประชุมได้ เนื่องจากการตั้งค่าเริ่มต้นใน Zoom คือการฝังรหัสผ่านในลิงค์คำเชิญ
9. ระวังมัลแวร์ที่แฝงมาในไฟล์ติดตั้ง Zoom
เนื่องจากการระบาดของโรค Coronavirus ที่เพิ่มขึ้นอย่างรวดเร็วได้มีการเเอบแฝงมัลแวร์ โดยกระจายผ่านเว็บไซต์ฟิชชิ่ง, อีเมล์ฟิชชิ่งและการโจมตีอื่น ๆ ที่เกี่ยวข้องกับข่าวการระบาด โดยมัลแวร์ที่ถูกสร้างขึ้นและแฝงไปกับไฟล์การติดตั้งแอพพลิเคชั่น Zoom เพื่อความปลอดภัยโปรดตรวจสอบการดาวน์โหลดไคลเอนต์ แอพพลิเคชั่น Zoom ทุกครั้งที่ทำการดาวน์โหลด และดาวน์โหลดโดยตรงจากเว็บไซต์ https://zoom.