SecurityScorecard ได้รายงานว่าพบบอตเน็ตที่ประกอบไปด้วยอุปกรณ์ติดมัลแวร์กว่า 130,000 เครื่อง กำลังโจมตีบัญชีผู้ใช้งาน Microsoft 365 ทั่วโลก ผ่านช่องโหว่ของ Basic Authentication โดยใช้เทคนิค Password Spray เพื่อหลีกเลี่ยงการตรวจจับจากระบบยืนยันตัวตนหลายขั้นตอน (MFA) โดยไม่ต้องยืนยันตัวตนด้วยรหัส OTP หรือ Token
แม้ว่าองค์กรจะเปิดใช้งาน MFA เพื่อเพิ่มความปลอดภัยจากการเข้าถึงบัญชีที่ไม่ได้รับอนุญาต แต่การโจมตีนี้สามารถหลีกเลี่ยงการยืนยันตัวตนหลายขั้นตอนด้วยการเข้าสู่ระบบแบบ non-interactive ผ่าน Basic Authentication ซึ่งเป็นวิธีการพิสูจน์ตัวตนที่มีความไม่ปลอดภัย โดยส่งข้อมูลรหัสผ่านในรูปแบบ plaintext หรือ Base64 การเข้าสู่ระบบด้วยวิธีนี้จะทำให้ระบบไม่มีการแจ้งเตือนขอรหัสยืนยันแบบสองขั้นตอน ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีได้โดยไม่ต้องผ่านการยืนยันตัวตนหลายขั้นตอน
การโจมตีนี้ใช้ข้อมูลรหัสผ่านที่ถูกขโมยจาก Infostealer Malware ช่วยให้ผู้โจมตีสามารถพยายามเข้าสู่ระบบจากหลาย IP Address ต่าง ๆ โดยไม่ถูกตรวจจับว่าเป็นการโจมตี
Microsoft วางแผนที่จะยกเลิกการสนับสนุน Basic Authentication ภายในปี 2025 แต่ยังคงเปิดใช้งานในบางระบบ ซึ่งเป็นช่องทางที่ผู้โจมตีใช้ในการเข้าถึงบัญชี แม้ว่าจะมีการเปิดใช้งาน MFA แต่การเข้าสู่ระบบแบบ non-interactive ด้วย Basic Authentication ยังสามารถหลีกเลี่ยงระบบรักษาความปลอดภัยได้
คำแนะนำจาก SecurityScorecard:
- ปิดการใช้งาน Basic Authentication ใน Microsoft 365
- บล็อก IP Address ที่เกี่ยวข้องในรายงาน
- ใช้ Conditional Access Policies (CAP) เพื่อลดการพยายามเข้าสู่ระบบที่ไม่ได้รับอนุญาต
- เปิดใช้งาน MFA สำหรับทุกบัญชีในองค์กรเพื่อเพิ่มความปลอดภัย
ที่มา : bleepingcomputer
อ่านแล้วยังงงๆครับ ส่วนตัวผมเข้าใจ Basic Authentication หมายถึง การเข้าสู่ระบบแบบใช้แค่ username + password (ไม่มี MFA) ฉะนั้นถ้าเปิดใช้ MFA หรือ 2 factor ก็ไม่น่าจะได้รับผลกระทบจากการโจมตีนี้ไม่ใช่เหรอครับ?
คือบางองค์กร เขาไม่ได้ตั้ง MFA หรือ Modern Authentication ทุก Service ทำให้อาจจะมีช่องโหว่ในการโจมตีครับ
Basic Authentication คือมีแค่ username + password (ไม่มี MFA) เข้าใจถูกแล้วครับ
ข่าวนี้เขาแค่มาเตือนว่ามีคนโจมตีท่านี้ แล้วก็แนะให้เลิกใช้ Basic Authentication เปลี่ยนมาใช้ MFA ให้หมดประมาณนี้ครับ