ADPT

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้

Credit: Maksim Kabakou/ShutterStock

การออกเตือนของ CISA เป็นสิ่งที่สะสมมาจากเหตุการณ์ Incident ที่หน่วยงานพบเกี่ยวกับการโจมตีบัญชี Cloud โดยเฉพาะการทำงานผ่านทางไกลผ่านอุปกรณ์ของบริษัทหรือการใช้อุปกรณ์ส่วนตัวเข้าใช้ทำงานบนคลาวด์ ซึ่งเทคนิคการโจมตีที่ CISA พบมีดังนี้

  • แฮ็กเกอร์ได้ Credentials จากการทำ Phishing อีเมลจากเหยื่อรายหนึ่ง และขยายผลต่อไปยังเหยื่อรายอื่นในองค์กร
  • ในส่วนของการตั้งค่า Rule Forwarding ในอีเมลพบได้ 3 กรณีคือ 1.) แฮ็กเกอร์แก้ไข Rule เดิมของผู้ใช้ที่กรอง Sender และส่งต่อไปหาบัญชีส่วนตัว เปลี่ยนเป็นบัญชีของแฮ็กเกอร์แทน 2.) แก้ไข Rule คัดเฉพาะอีเมลที่มีคำที่น่าสนใจเช่นเกี่ยวกับเรื่องเงินให้ส่งต่อไปหาคนร้าย 3.) สร้าง Rule ใหม่เพื่อส่งการแจ้งเตือนไปหาคนร้ายไม่ให้ผู้ใช้งานรับทราบความผิดปกติ
  • มีการทำ Brute-force Attack
  • ในบาง Incident คนร้ายสามารถ Bypass การป้องกันของ MFA ด้วย ‘pass-the-cookie‘ หรือการขโมย Cookie ซึ่งผู้ใช้ได้ผ่านการพิสูจน์ตัวตนมาแล้ว

โดย CISA แนะวิธีการบรรเทาปัญหาไว้คร่าวๆ ดังนี้

  • ใช้ Conditional Access Policy โดยต้องสร้าง Baseline กิจกรรมการใช้งานปกติเสียก่อน
  • ตรวจสอบ Log อยู่เสมอ
  • เปิดใช้ MFA
  • รีวิวและตรวจสอบการตั้งค่า Email Forwarding Rule ของผู้ใช้และการแจ้งเตือนต่างๆ
  • ตรวจสอบระดับสิทธิ์การเข้าถึงอย่างเหมาะสม
  • ป้องกันการเข้าใช้ของอุปกรณ์ส่วนตัว อนุญาตต่อเมื่อหากจำเป็นจริง 
  • อนุญาตใช้เฉพาะแอปพลิเคชันที่องค์กรมั่นใจ
  • ปิดช่องทางการเข้าถึงของ RDP ในเครื่องบน Cloud ด้วย Public IP
  • เปิด Access Log ของการใช้งาน
  • ปิดการพิสูจน์ตัวตนด้วยโปรโตคอลที่ล้าสมัย
  • ให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามและเปิดให้รายงานแจ้งเหตุน่าสงสัยเข้ามาได้
  • การป้องกัน pass-the-cookie ไม่ตายตัวแต่ โดยเบื้องต้นคือต้องจัดการตั้งค่า Cookie ให้เหมาะสม
  • สำหรับองค์กรที่ใช้งาน Microsoft 365 ให้ปิดการรีโมตเข้า Exchange ด้วย PowerShell จากผู้ใช้ทั่วไป หรือจำกัดจำนวนครั้งที่ล้มเหลวในการล็อกอินเพื่อป้องกันการเดารหัสผ่าน เป็นต้น

ศึกษารายงานจาก CISA ได้ที่ https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a 

ที่มา : https://www.securityweek.com/cisa-warns-organizations-about-attacks-cloud-services และ https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Akamai, Imperva ยืนหนึ่งบน Gartner Magic Quadrant ทางด้าน Web Application and API Protection ปี 2021

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application and API Protection ฉบับใหม่ปี 2021 ผลปรากฏว่า Akamai …

รู้จักกับ FIDO2 มาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลกต่างเห็นตรงกันว่า Password เป็นการพิสูจน์ตัวตนที่ล้าสมัยและควรเก็บเข้ากรุได้แล้ว การดูแลรักษา Password เทียบกับประโยชน์ที่ได้จากการใช้งานในปัจจุบันห่างไกลจากความคุ้มค่ามากนัก และมักนำไปสู่เหตุ Credential Theft หรือถูกแฮ็กได้ ต่อให้เป็นรหัสผ่านที่แข็งแกร่งที่สุด ก็อาจตกเป็นเหยื่อของการถูก Phishing ได้เช่นกัน