“แฮกเกอร์ใช้ช่องโหว่ OAuth เจาะระบบคลาวด์ – เปลี่ยนรหัสผ่านก็ไม่ช่วย!”
นักวิจัยจาก Proofpoint ออกมาเตือนว่า ตอนนี้แฮกเกอร์กำลังใช้ช่องโหว่ในระบบ OAuth เพื่อเจาะเข้าระบบคลาวด์ขององค์กรต่าง ๆ และที่น่ากลัวคือ แม้จะเปลี่ยนรหัสผ่านหรือเปิดใช้ MFA (Multi-Factor Authentication) ก็ยังไม่สามารถไล่แฮกเกอร์ออกจากระบบได้!
วิธีการคือ แฮกเกอร์จะใช้บัญชีที่ถูกเจาะเข้าไปสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูลต่าง ๆ เช่น ไฟล์ อีเมล หรือระบบสื่อสาร แล้วอนุมัติแอปนั้นให้ทำงานได้อย่างถาวร แม้บัญชีผู้ใช้จะถูกเปลี่ยนรหัสหรือปิดการใช้งาน แอปที่ถูกสร้างไว้ก็ยังคงทำงานอยู่ ทำให้แฮกเกอร์สามารถเข้าถึงระบบได้ต่อเนื่อง
มีกรณีตัวอย่างที่นักวิจัยพบว่า หลังจากผู้ใช้เปลี่ยนรหัสผ่านแล้ว ยังมีการพยายามล็อกอินจาก IP ในไนจีเรีย ซึ่งคาดว่าเป็นต้นทางของแฮกเกอร์ แต่แอปที่ถูกสร้างไว้ยังคงทำงานได้ตามปกติ
ช่องโหว่นี้ไม่ใช่แค่ทฤษฎี เพราะมีการใช้งานจริงแล้วในหลายกรณี และอาจนำไปสู่การขโมยข้อมูล การแฝงตัวในระบบ และการโจมตีต่อเนื่องแบบเงียบ ๆ โดยที่องค์กรไม่รู้ตัว
วิธีการโจมตีผ่าน OAuth
แฮกเกอร์ใช้บัญชีที่ถูกเจาะสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูล
แอปได้รับการอนุมัติให้ทำงานอย่างถาวร
แม้เปลี่ยนรหัสผ่านหรือเปิด MFA แอปยังคงทำงานได้
แอปสามารถเข้าถึงไฟล์ อีเมล และระบบสื่อสารภายใน
เป็นการโจมตีแบบ “Adversary-in-the-middle” ที่แฝงตัวในระบบ
กรณีตัวอย่างจาก Proofpoint
พบการล็อกอินจาก IP ในไนจีเรียหลังเปลี่ยนรหัสผ่าน
แอปยังคงทำงานได้แม้บัญชีถูกเปลี่ยน
เป็นการโจมตีที่เกิดขึ้นจริง ไม่ใช่แค่ทฤษฎี
นักวิจัยสร้างเครื่องมือจำลองการโจมตีเพื่อศึกษารูปแบบ
แนวทางป้องกันและคำแนะนำ
ต้องตรวจสอบสิทธิ์ของแอปภายในอย่างสม่ำเสมอ
ควรมีระบบตรวจสอบและแจ้งเตือนเมื่อมีการสร้างแอปใหม่
การลบสิทธิ์ของแอปเป็นวิธีเดียวที่จะหยุดการเข้าถึง
แอปที่ได้รับสิทธิ์จะมี credential ที่ใช้ได้นานถึง 2 ปี
https://www.techradar.com/pro/security/hackers-are-exploiting-oauth-loophole-for-persistent-access-and-resetting-your-password-wont-save-you
นักวิจัยจาก Proofpoint ออกมาเตือนว่า ตอนนี้แฮกเกอร์กำลังใช้ช่องโหว่ในระบบ OAuth เพื่อเจาะเข้าระบบคลาวด์ขององค์กรต่าง ๆ และที่น่ากลัวคือ แม้จะเปลี่ยนรหัสผ่านหรือเปิดใช้ MFA (Multi-Factor Authentication) ก็ยังไม่สามารถไล่แฮกเกอร์ออกจากระบบได้!
วิธีการคือ แฮกเกอร์จะใช้บัญชีที่ถูกเจาะเข้าไปสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูลต่าง ๆ เช่น ไฟล์ อีเมล หรือระบบสื่อสาร แล้วอนุมัติแอปนั้นให้ทำงานได้อย่างถาวร แม้บัญชีผู้ใช้จะถูกเปลี่ยนรหัสหรือปิดการใช้งาน แอปที่ถูกสร้างไว้ก็ยังคงทำงานอยู่ ทำให้แฮกเกอร์สามารถเข้าถึงระบบได้ต่อเนื่อง
มีกรณีตัวอย่างที่นักวิจัยพบว่า หลังจากผู้ใช้เปลี่ยนรหัสผ่านแล้ว ยังมีการพยายามล็อกอินจาก IP ในไนจีเรีย ซึ่งคาดว่าเป็นต้นทางของแฮกเกอร์ แต่แอปที่ถูกสร้างไว้ยังคงทำงานได้ตามปกติ
ช่องโหว่นี้ไม่ใช่แค่ทฤษฎี เพราะมีการใช้งานจริงแล้วในหลายกรณี และอาจนำไปสู่การขโมยข้อมูล การแฝงตัวในระบบ และการโจมตีต่อเนื่องแบบเงียบ ๆ โดยที่องค์กรไม่รู้ตัว
วิธีการโจมตีผ่าน OAuth
แฮกเกอร์ใช้บัญชีที่ถูกเจาะสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูล
แอปได้รับการอนุมัติให้ทำงานอย่างถาวร
แม้เปลี่ยนรหัสผ่านหรือเปิด MFA แอปยังคงทำงานได้
แอปสามารถเข้าถึงไฟล์ อีเมล และระบบสื่อสารภายใน
เป็นการโจมตีแบบ “Adversary-in-the-middle” ที่แฝงตัวในระบบ
กรณีตัวอย่างจาก Proofpoint
พบการล็อกอินจาก IP ในไนจีเรียหลังเปลี่ยนรหัสผ่าน
แอปยังคงทำงานได้แม้บัญชีถูกเปลี่ยน
เป็นการโจมตีที่เกิดขึ้นจริง ไม่ใช่แค่ทฤษฎี
นักวิจัยสร้างเครื่องมือจำลองการโจมตีเพื่อศึกษารูปแบบ
แนวทางป้องกันและคำแนะนำ
ต้องตรวจสอบสิทธิ์ของแอปภายในอย่างสม่ำเสมอ
ควรมีระบบตรวจสอบและแจ้งเตือนเมื่อมีการสร้างแอปใหม่
การลบสิทธิ์ของแอปเป็นวิธีเดียวที่จะหยุดการเข้าถึง
แอปที่ได้รับสิทธิ์จะมี credential ที่ใช้ได้นานถึง 2 ปี
https://www.techradar.com/pro/security/hackers-are-exploiting-oauth-loophole-for-persistent-access-and-resetting-your-password-wont-save-you
🕵️♂️ “แฮกเกอร์ใช้ช่องโหว่ OAuth เจาะระบบคลาวด์ – เปลี่ยนรหัสผ่านก็ไม่ช่วย!”
นักวิจัยจาก Proofpoint ออกมาเตือนว่า ตอนนี้แฮกเกอร์กำลังใช้ช่องโหว่ในระบบ OAuth เพื่อเจาะเข้าระบบคลาวด์ขององค์กรต่าง ๆ และที่น่ากลัวคือ แม้จะเปลี่ยนรหัสผ่านหรือเปิดใช้ MFA (Multi-Factor Authentication) ก็ยังไม่สามารถไล่แฮกเกอร์ออกจากระบบได้!
วิธีการคือ แฮกเกอร์จะใช้บัญชีที่ถูกเจาะเข้าไปสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูลต่าง ๆ เช่น ไฟล์ อีเมล หรือระบบสื่อสาร แล้วอนุมัติแอปนั้นให้ทำงานได้อย่างถาวร แม้บัญชีผู้ใช้จะถูกเปลี่ยนรหัสหรือปิดการใช้งาน แอปที่ถูกสร้างไว้ก็ยังคงทำงานอยู่ ทำให้แฮกเกอร์สามารถเข้าถึงระบบได้ต่อเนื่อง
มีกรณีตัวอย่างที่นักวิจัยพบว่า หลังจากผู้ใช้เปลี่ยนรหัสผ่านแล้ว ยังมีการพยายามล็อกอินจาก IP ในไนจีเรีย ซึ่งคาดว่าเป็นต้นทางของแฮกเกอร์ แต่แอปที่ถูกสร้างไว้ยังคงทำงานได้ตามปกติ
ช่องโหว่นี้ไม่ใช่แค่ทฤษฎี เพราะมีการใช้งานจริงแล้วในหลายกรณี และอาจนำไปสู่การขโมยข้อมูล การแฝงตัวในระบบ และการโจมตีต่อเนื่องแบบเงียบ ๆ โดยที่องค์กรไม่รู้ตัว
✅ วิธีการโจมตีผ่าน OAuth
➡️ แฮกเกอร์ใช้บัญชีที่ถูกเจาะสร้างแอปภายในที่มีสิทธิ์เข้าถึงข้อมูล
➡️ แอปได้รับการอนุมัติให้ทำงานอย่างถาวร
➡️ แม้เปลี่ยนรหัสผ่านหรือเปิด MFA แอปยังคงทำงานได้
➡️ แอปสามารถเข้าถึงไฟล์ อีเมล และระบบสื่อสารภายใน
➡️ เป็นการโจมตีแบบ “Adversary-in-the-middle” ที่แฝงตัวในระบบ
✅ กรณีตัวอย่างจาก Proofpoint
➡️ พบการล็อกอินจาก IP ในไนจีเรียหลังเปลี่ยนรหัสผ่าน
➡️ แอปยังคงทำงานได้แม้บัญชีถูกเปลี่ยน
➡️ เป็นการโจมตีที่เกิดขึ้นจริง ไม่ใช่แค่ทฤษฎี
➡️ นักวิจัยสร้างเครื่องมือจำลองการโจมตีเพื่อศึกษารูปแบบ
✅ แนวทางป้องกันและคำแนะนำ
➡️ ต้องตรวจสอบสิทธิ์ของแอปภายในอย่างสม่ำเสมอ
➡️ ควรมีระบบตรวจสอบและแจ้งเตือนเมื่อมีการสร้างแอปใหม่
➡️ การลบสิทธิ์ของแอปเป็นวิธีเดียวที่จะหยุดการเข้าถึง
➡️ แอปที่ได้รับสิทธิ์จะมี credential ที่ใช้ได้นานถึง 2 ปี
https://www.techradar.com/pro/security/hackers-are-exploiting-oauth-loophole-for-persistent-access-and-resetting-your-password-wont-save-you
0 ความคิดเห็น
0 การแบ่งปัน
13 มุมมอง
0 รีวิว
English