SUSE by Ingram

CISA ออกเตือนพบคนร้ายสามารถ Bypass MFA เพื่อเข้าถึงบัญชี Cloud

CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้

Credit: Maksim Kabakou/ShutterStock

การออกเตือนของ CISA เป็นสิ่งที่สะสมมาจากเหตุการณ์ Incident ที่หน่วยงานพบเกี่ยวกับการโจมตีบัญชี Cloud โดยเฉพาะการทำงานผ่านทางไกลผ่านอุปกรณ์ของบริษัทหรือการใช้อุปกรณ์ส่วนตัวเข้าใช้ทำงานบนคลาวด์ ซึ่งเทคนิคการโจมตีที่ CISA พบมีดังนี้

  • แฮ็กเกอร์ได้ Credentials จากการทำ Phishing อีเมลจากเหยื่อรายหนึ่ง และขยายผลต่อไปยังเหยื่อรายอื่นในองค์กร
  • ในส่วนของการตั้งค่า Rule Forwarding ในอีเมลพบได้ 3 กรณีคือ 1.) แฮ็กเกอร์แก้ไข Rule เดิมของผู้ใช้ที่กรอง Sender และส่งต่อไปหาบัญชีส่วนตัว เปลี่ยนเป็นบัญชีของแฮ็กเกอร์แทน 2.) แก้ไข Rule คัดเฉพาะอีเมลที่มีคำที่น่าสนใจเช่นเกี่ยวกับเรื่องเงินให้ส่งต่อไปหาคนร้าย 3.) สร้าง Rule ใหม่เพื่อส่งการแจ้งเตือนไปหาคนร้ายไม่ให้ผู้ใช้งานรับทราบความผิดปกติ
  • มีการทำ Brute-force Attack
  • ในบาง Incident คนร้ายสามารถ Bypass การป้องกันของ MFA ด้วย ‘pass-the-cookie‘ หรือการขโมย Cookie ซึ่งผู้ใช้ได้ผ่านการพิสูจน์ตัวตนมาแล้ว

โดย CISA แนะวิธีการบรรเทาปัญหาไว้คร่าวๆ ดังนี้

  • ใช้ Conditional Access Policy โดยต้องสร้าง Baseline กิจกรรมการใช้งานปกติเสียก่อน
  • ตรวจสอบ Log อยู่เสมอ
  • เปิดใช้ MFA
  • รีวิวและตรวจสอบการตั้งค่า Email Forwarding Rule ของผู้ใช้และการแจ้งเตือนต่างๆ
  • ตรวจสอบระดับสิทธิ์การเข้าถึงอย่างเหมาะสม
  • ป้องกันการเข้าใช้ของอุปกรณ์ส่วนตัว อนุญาตต่อเมื่อหากจำเป็นจริง 
  • อนุญาตใช้เฉพาะแอปพลิเคชันที่องค์กรมั่นใจ
  • ปิดช่องทางการเข้าถึงของ RDP ในเครื่องบน Cloud ด้วย Public IP
  • เปิด Access Log ของการใช้งาน
  • ปิดการพิสูจน์ตัวตนด้วยโปรโตคอลที่ล้าสมัย
  • ให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามและเปิดให้รายงานแจ้งเหตุน่าสงสัยเข้ามาได้
  • การป้องกัน pass-the-cookie ไม่ตายตัวแต่ โดยเบื้องต้นคือต้องจัดการตั้งค่า Cookie ให้เหมาะสม
  • สำหรับองค์กรที่ใช้งาน Microsoft 365 ให้ปิดการรีโมตเข้า Exchange ด้วย PowerShell จากผู้ใช้ทั่วไป หรือจำกัดจำนวนครั้งที่ล้มเหลวในการล็อกอินเพื่อป้องกันการเดารหัสผ่าน เป็นต้น

ศึกษารายงานจาก CISA ได้ที่ https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a 

ที่มา : https://www.securityweek.com/cisa-warns-organizations-about-attacks-cloud-services และ https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] แคสเปอร์สกี้พร้อมผู้เชี่ยวชาญในวงการร่วมเสริมแกร่งกลยุทธ์การป้องกันทางไซเบอร์ของ APAC ในช่วงการแพร่ระบาดของโรคและหลังจากนี้เป็นต้นไป

“ความยุติธรรมจะมีชัยในโลกไซเบอร์ได้หรือไม่”  นี่คือคำถามหลักบนเวทีการประชุม ด้านนโนบาย “APAC Online Policy Forum II” ในหัวข้อ “Guardians of the Cyberspace: can justice …

ฝึกอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม ด้วยระบบ E-Learning สำหรับ Security Awareness จาก Terranova โดย nForce Secure

เมื่อเทคโนโลยีดิจิทัลกลายเป็นองค์ประกอบสำคัญในการดำเนินธุรกิจทุกวัน ภัยคุกคามหลากหลายรูปแบบก็กลายมาเป็นความเสี่ยงสำคัญที่ธุรกิจต้องรับมือให้ได้ การเสริมภูมิคุ้มกันให้กับพนักงานและผู้บริหารรู้เท่าทันและสามารถรับมือกับภัยเหล่านี้และไม่ตกเป็นเหยื่อของการโจมตีง่ายๆ ไม่ว่าจะเป็นการหลอกลวงในรูปแบบ Phishing หรือการเรียกค่าไถ่ด้วน Ransomware ไปจนถึงการโจมตีรูปแบบอื่นๆ จึงกลายเป็นอีกกิจกรรมที่จำเป็นจากทั้งในมุมของฝ่าย IT Security และ Human Resource (HR)