CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้

Credit: Maksim Kabakou/ShutterStock

การออกเตือนของ CISA เป็นสิ่งที่สะสมมาจากเหตุการณ์ Incident ที่หน่วยงานพบเกี่ยวกับการโจมตีบัญชี Cloud โดยเฉพาะการทำงานผ่านทางไกลผ่านอุปกรณ์ของบริษัทหรือการใช้อุปกรณ์ส่วนตัวเข้าใช้ทำงานบนคลาวด์ ซึ่งเทคนิคการโจมตีที่ CISA พบมีดังนี้

  • แฮ็กเกอร์ได้ Credentials จากการทำ Phishing อีเมลจากเหยื่อรายหนึ่ง และขยายผลต่อไปยังเหยื่อรายอื่นในองค์กร
  • ในส่วนของการตั้งค่า Rule Forwarding ในอีเมลพบได้ 3 กรณีคือ 1.) แฮ็กเกอร์แก้ไข Rule เดิมของผู้ใช้ที่กรอง Sender และส่งต่อไปหาบัญชีส่วนตัว เปลี่ยนเป็นบัญชีของแฮ็กเกอร์แทน 2.) แก้ไข Rule คัดเฉพาะอีเมลที่มีคำที่น่าสนใจเช่นเกี่ยวกับเรื่องเงินให้ส่งต่อไปหาคนร้าย 3.) สร้าง Rule ใหม่เพื่อส่งการแจ้งเตือนไปหาคนร้ายไม่ให้ผู้ใช้งานรับทราบความผิดปกติ
  • มีการทำ Brute-force Attack
  • ในบาง Incident คนร้ายสามารถ Bypass การป้องกันของ MFA ด้วย ‘pass-the-cookie‘ หรือการขโมย Cookie ซึ่งผู้ใช้ได้ผ่านการพิสูจน์ตัวตนมาแล้ว

โดย CISA แนะวิธีการบรรเทาปัญหาไว้คร่าวๆ ดังนี้

  • ใช้ Conditional Access Policy โดยต้องสร้าง Baseline กิจกรรมการใช้งานปกติเสียก่อน
  • ตรวจสอบ Log อยู่เสมอ
  • เปิดใช้ MFA
  • รีวิวและตรวจสอบการตั้งค่า Email Forwarding Rule ของผู้ใช้และการแจ้งเตือนต่างๆ
  • ตรวจสอบระดับสิทธิ์การเข้าถึงอย่างเหมาะสม
  • ป้องกันการเข้าใช้ของอุปกรณ์ส่วนตัว อนุญาตต่อเมื่อหากจำเป็นจริง 
  • อนุญาตใช้เฉพาะแอปพลิเคชันที่องค์กรมั่นใจ
  • ปิดช่องทางการเข้าถึงของ RDP ในเครื่องบน Cloud ด้วย Public IP
  • เปิด Access Log ของการใช้งาน
  • ปิดการพิสูจน์ตัวตนด้วยโปรโตคอลที่ล้าสมัย
  • ให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามและเปิดให้รายงานแจ้งเหตุน่าสงสัยเข้ามาได้
  • การป้องกัน pass-the-cookie ไม่ตายตัวแต่ โดยเบื้องต้นคือต้องจัดการตั้งค่า Cookie ให้เหมาะสม
  • สำหรับองค์กรที่ใช้งาน Microsoft 365 ให้ปิดการรีโมตเข้า Exchange ด้วย PowerShell จากผู้ใช้ทั่วไป หรือจำกัดจำนวนครั้งที่ล้มเหลวในการล็อกอินเพื่อป้องกันการเดารหัสผ่าน เป็นต้น

ศึกษารายงานจาก CISA ได้ที่ https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a 

ที่มา : https://www.securityweek.com/cisa-warns-organizations-about-attacks-cloud-services และ https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sophos Webinar: Getting Started With Threat Hunting

Sophos ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมงานสัมมนา Sophos Webinar เรื่อง "Getting Started With Threat Hunting" พร้อมแนะนำเครื่องมือ กรอบการทำงาน และแนวทางการค้นหาและไล่ล่าภัยคุกคามที่แฝงอยู่ในระบบเครือข่ายขององค์กร ในวันพุธที่ 24 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar

ห้ามพลาด PDPA WEBINAR: Consequences and Experiences after 3 months of PDPA come into effect [24.08.2022] ลงทะเบียนฟรี!

SSC IT Group ขอเชิญผู้ที่สนใจเข้าร่วมฟังสัมมนา PDPA WEBINAR: Consequences and Experiences after 3 months of PDPA come …