Home > Medias & Articles > Microsoft Office 365 โดนเเฮกเกอร์หัวหมอ! อาศัยช่องโหว่ในฟีเจอร์ เรียกค่าไถ่จากไฟล์ของผู้ใช้ที่อยู่บน Cloud
Back
June 18, 2022

Microsoft Office 365 โดนเเฮกเกอร์หัวหมอ! อาศัยช่องโหว่ในฟีเจอร์ เรียกค่าไถ่จากไฟล์ของผู้ใช้ที่อยู่บน Cloud

Wannakorn Bangpisuttikul

เมื่อไม่นานมานี้ Proofpoint ผู้ให้บริการโซลูชันด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยว่ามีการค้นพบฟีเจอร์หนึ่งของ Microsoft 365 ที่อาจเป็นช่องโหว่ให้อาชญากรเข้าถึงไฟล์และล็อกไฟล์ใน Cloud ของ Microsoft เช่น SharePoint และ OneDrive เพื่อเรียกค่าไถ่ได้ โดยที่แฮกเกอร์อาจเข้าถึงโครงสร้างพื้นฐานของ Cloud เหล่านั้น และสามารถปล่อย Malware ที่สามารถล็อกรหัสไฟล์ เข้าไปจัดการล็อกไฟล์ที่จัดเก็บอยู่บน Cloud ทำให้ไฟล์เหล่านั้นไม่สามารถใช้งานได้ หากเหยื่อไม่จ่ายค่าไถ่แลกกับรหัสปลดล็อก

หัวใจสำคัญที่ทำให้การเรียกค่าไถ่สมบูรณ์ อยู่ที่ฟีเจอร์หนึ่งของ Microsoft 365 เอง ฟีเจอร์ที่ว่านี้คือฟีเจอร์ AutoSave ซึ่งเป็นฟีเจอร์ที่จะสร้างสำเนาของไฟล์ดั้งเดิมไว้ทุกครั้งที่ใช้งานทำการแก้ไขหรือเปลี่ยนแปลงไฟล์ที่จัดเก็บไว้บน OneDrive หรือ SharePoint Online

ในตอนแรกเริ่ม แฮกเกอร์จะหาทางเข้าถึงบัญชีของผู้ใช้ด้วยการหลอกขโมยข้อมูลด้วยการโจมตีแบบ Phishing หลอกให้เหยื่อเผลอให้ข้อมูลสำคัญทางลิงก์ปลอมที่ส่งทางอีเมล หรือการใช้โปรแกรมสุ่มเดารหัสผ่านแบบ Brute-force attacks หรือหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันที่ให้ผู้ใช้ยินยอมให้สิทธิ์เข้าถึงข้อมูล (OAuth application) หรือ หรือใช้วิธีการควบคุม Web session ของผู้ใช้เพื่อให้เข้าถึงข้อมูลไฟล์บน Cloud ได้

แต่สิ่งหนึ่งที่ทำให้การเรียกค่าไถ่รูปแบบนี้แตกต่างไปคือ การใช้ประโยชน์จากฟังก์ชัน AutoSave ของ Microsoft กล่าวคือในระบบของ Microsoft มีสิ่งที่เรียกว่า Versioning limit เป็นลิมิตที่กำหนดว่าระบบจะบันทึกหรือทำสำเนาของไฟล์เวอร์ชันเก่าไว้สำรองไม่เกินกี่เวอร์ชัน เช่น ถ้าเราแก้ไขไฟล์มาจนถึงเวอร์ชันที่ 100 ไฟล์เวอร์ชันที่ 1 จะหายไป เพราะระบบจำกัดให้บันทึกอัตโนมัติได้แค่ 100 เวอร์ชัน

หลังจากเข้าถึงบัญชีของผู้ใช้ได้แล้ว แฮกเกอร์ก็จะทำการสร้างไฟล์เวอร์ชันใหม่ ๆ ซ้ำ ๆ จนเกินลิมิต หรืออาจจะไปตั้งค่า Document library ซึ่งเป็นที่เก็บไฟล์ทั้งหมดของ Micorsoft และลดจำนวนลิมิตให้เหลือแค่ 1 เวอร์ชันก็ได้ทั้งคู่ จากนั้นก็ทำการเข้ารหัสไฟล์ที่เหลืออยู่ทั้งหมด เพียงเท่านี้ ไฟล์ทุกเวอร์ชันที่ผู้ใช้กู้คืนได้ก็จะหายไปหมด เหลือเพียงไฟล์ที่แฮกเกอร์เข้ารหัสไว้ ทำให้ไม่มีทางเลือกนอกจากยอมจ่ายค่าไถ่ไปโดยปริยาย

Microsoft ได้ออกมาประกาศว่าไฟล์ที่ถูกลบไปจากลิมิตอาจจะถูกเก็บสำรองไว้ให้ทาง Microsoft support กู้คืนได้ภายใน 14 วัน แต่ Proofpoint ก็พบว่าวิธีดังกล่าวไม่ประสบความสำเร็จ

ตัวแทน Microsoft ได้ออกมาเตือนภัยว่าภัยนี้ตั้งแต่ขั้นตอนแรกจะต้องอาศัยการทำให้เหยื่อหลงกลการโจมตีทางไซเบอร์ก่อน จึงจะเปิดโอกาสให้แฮกเกอร์สามารถเข้าถึงบัญชีผู้ใช้ได้ ดังนั้นจึงย้ำเตือนผู้ใช้ให้ระมัดระวังในการใช้งาน ไม่ว่าจะเป็นการกรอกข้อมูลตามเว็บไซต์ต่าง ๆ การเปิดไฟล์แนบ การคลิกลิงก์แปลกปลอม หรือการดาวน์โหลดไฟล์ต่าง ๆ รวมถึงตั้งรหัสผ่านให้รัดกุมและเปลี่ยนรหัสผ่านสม่ำเสมอ ติดตั้งระบบยืนยันตัวตนแบบหลายขั้นตอน รวมถึงสำรองไฟล์ข้อมูลสำคัญไว้ในอุปกรณ์อื่นเสมอ

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

Reference:

Lakshmanan, R., 2022. A Microsoft Office 365 Feature Could Help Ransomware Hackers Hold Cloud Files Hostage [online] The Hacker News. Available at: <https://thehackernews.com/…/a-microsoft-office-365…> [Accessed 17 June 2022] .