หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกประกาศแจ้งเตือนเกี่ยวกับการโจมตีของแฮกเกอร์ต่อระบบ cloud service ขององค์กรต่าง ๆ โดยการโจมตีนั้นใช้เทคนิคที่หลากหลาย เช่น phishing, brute force login และ pass-the-cookie attack และในเหตุการณ์การโจมตีในหลาย ๆ ครั้ง มีอย่างน้อยหนึ่งเหตุการณ์ที่แฮกเกอร์สามารถ sign in เข้าไปยังบัญชีผู้ใช้งานโดยที่บัญชีนั้นมีการใช้งาน MFA authentication ด้วย

CISA เชื่อว่าการที่แฮกเกอร์สามารถจัดการกับ MFA authentication protocols ได้เป็นเพราะเทคนิค pass-the-cookie attack ที่จะขโมย authenticated session ที่ผ่านการตรวจสอบสิทธิแล้วและใช้ session cookies เพื่อเข้าสู่ online services หรือ web apps ส่วนกรณีอื่นๆ นั้น แฮกเกอร์จะใช้เทคนิค phishing attack ในการขโมย user credential หลังจากโจมตีสำเร็จแฮกเกอร์ก็จะพยายามโจมตีไปยังบัญชีของผู้ใช้งานอื่น ๆ ที่อยู่ในองค์กรเดียวกันต่อไปอีก โดยจะสร้าง mailbox rules ใหม่เพื่อส่ง phishing email ไป RSS feed หรือ RSS folder เพื่อหลบเลี่ยงการแจ้งเตือนโดยผู้ตรวจสอบ

นอกจากนั้น CISA ยังให้ข้อมูลเพิ่มเติมว่าแฮกเกอร์จะพุ่งเป้าโจมตีไปยังพนักงานที่ใช้อุปกรณ์ของหน่วยงานหรือใช้อุปกรณ์ส่วนตัวในการเข้าถึง cloud service ขององค์กรจากที่บ้าน อีกทั้งจุดอ่อนด้าน cyber hygiene practices ขององค์กรยังเป็นปัจจัยหลักที่ทำให้การโจมตีของแฮกเกอร์ทำได้สำเร็จอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/



เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ