CDIC 2023

Office365 มีปัญหาเพราะ false positive ของ SNORT บน Meraki

รายงานเคสกลุ่มแรกๆ ที่ไม่สามารถเข้าถึงการบริการของ Office356 ได้ มาจากภูมิภาคยุโรป ตะวันออกกลาง และเอเชีย (EMEA) Microsoft ได้ทำการตรวจสอบปัญหาที่ผู้ใช้บางรายในภูมิภาค EMEA ไม่สามารถเชื่อมต่อกับบริการ Microsoft Office365 บางรายการได้ ซึ่งทราบว่ามาจากกฎใหม่ของ SNORT เพื่อป้องกันการบุกรุก
Microsoft ทำงานร่วมกับเหล่าพันธมิตรด้านไฟร์วอลล์เพื่อตรวจสอบกฎ SNORT 1-60381 ซึ่งมีวิธีการช่วยเหลือผู้ใช้งานที่ได้รับผลกระทบในทันที คือ การปิดใช้กฎ SNORT 1-60381
 
ด้าน Meraki เห็นด้วยถึงปัญหาที่เกิดขึ้นว่ามาจากกฎใหม่ของ SNORT 1-60381 และรับทราบรายงานจาก Microsoft ถึงช่องโหว่ CVE-2022-35748 ที่ทำให้เกิดกฎ SNORT 1-60381 ซึ่งหลังจากผ่านไปเพียงแค่สามชั่วโมง Meraki แจ้งรายการว่าได้มีการแก้ไขปัญหาดังกล่าวโดยอัตโนมัติแล้วเมื่อเวลา 3:00 PM. (ตามเวลาท้องถิ่นของสหรัฐอเมริกา)
 
บริการที่ได้รับผลกระทบ:
  • Exchange Online
  • Microsoft Teams
  • Outlook desktop clients
  • OneDrive for Business
 
SNORT เป็นระบบตรวจจับการบุกรุกเครือข่ายโอเพนซอร์ส (IDS) และระบบป้องกันการบุกรุก (IPS) ที่สร้างขึ้นในปี 1998 โดย Martin Roesch ผู้ก่อตั้งและอดีต CTO ของ Sourcefire ขณะนี้ SNORT ได้รับการพัฒนาโดย Cisco จากการเข้าซื้อ Sourcefire ในปี 2013 https://en.wikipedia.org/wiki/Snort_(software)
 
อัปเดตล่าสุด กฎ SNORT 1-60381 การตรวจสอบการโจมตีแบบ open source signature-based ระหว่างผู้ใช้และบริการ ปัจจุบันได้ขึ้นสถานะ “DELETED” บนหน้าเว็บไซต์ https://www.snort.org/rule_docs/1-60381 แล้ว และแสดงข้อความว่า “กฎนี้ถูกลบไปแล้ว กฎถูกลบด้วยเหตุผลหลายประการ กฎที่ถูกลบจะไม่ส่งผลกระทบต่อลูกค้าและไม่ทำให้เกิดช่องว่างในในการครอบคลุม กฎที่ถูกลบจะแสดงสำหรับการอ้างอิงในอดีตและไม่ควรใช้”
 
 
 

About Pawarit Sornin

- จบการศึกษา ปริญญาตรี สาขาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยสวนดุสิต - เคยทำงานด้าน Business Development / Project Manager / Product Sales ดูแลผลิตภัณฑ์ด้าน Wireless Networking และ Mobility Enterprise ในประเทศ - ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …