ตกเป็นประเด็นร้อนของวงการซีเคียวริตี้ในช่วงสัปดาห์นี้กับเหตุการณ์ที่ Christy Philip Mathew นักวิจัยจากแล็บของ The Hacker News พบช่องโหว่ที่ผู้โจมตีสามารถนำเข้าคุกกี้ของเหยื่อที่จะออกจากระบบไปแล้ว มาใช้ในการสวมรอยเพื่อเข้าสู่ระบบใหม่ได้ ซึ่งทำให้ผู้โจมตีสามารถอ่านอีเมลรวมไปถึงข้อมูลต่างๆ ภายในบัญชีของเหยื่อได้
จากปกติเมื่อเราทำการออกจากระบบนั้นเซสชันปัจจุบันก็จะถูกปิดไปด้วย แต่ในกรณีนี้นั้นเมื่อเราทำการส่งออกคุกกี้ตอนที่อยู่ในระบบ แล้วนำเข้าคุกกี้นี้อีกครั้งแม้จะออกจากระบบไปแล้ว ก็ยังสามารถใช้คุกกี้นั้นเข้าระบบได้ตลอดเวลา (ดูวีดีโอเพิ่มเติม)
แต่เรื่องนี้ไม่ได้จบเพียงแค่ค้นพบช่องโหว่ครับ ปกติการเจอช่องโหว่ที่กระทบต่อผู้ใช้งานก็จะมีการแจ้งไปยังผู้ให้บริการหรือ vender ก่อนเพื่อทำการแพตซ์ช่องโหว่ก่อนจะนำช่องโหว่เหล่านี้มาเผยแพร่ต่อสาธารณะ ซึ่งช่องโหว่นี้ตัวนี้ก็ได้มีการแจ้งไปยัง Microsoft Security Team เรียบร้อยแล้ว แต่กลับได้รับเมลตอบกลับด้วยเนื้อหาที่ดูเหมือนจะไม่ได้ตรงจุดของช่องโหว่นี้ซักเท่าไหร่นัก โดยได้บอกว่าช่องโหว่นี้ไม่ได้ทำให้เกิดการสูญเสียรหัสผ่าน ซึ่งอันที่จริงการที่มีคนมาแอบอ่านอีเมลของเราได้นั้นก็ถือว่าเป็นข้อผิดพลาดที่ร้ายแรงแล้ว (รูปประกอบอีเมลดังกล่าว) ทาง THN จึงตัดสินใจประกาศเรื่องนี้ออกสู่สาธารณะโดยอ้างว่าไมโครซอฟท์ยังไม่เข้าใจประเด็นนี้
ทาง THN ได้ทำการกล่าวถึงสถานการณ์ต่างๆ ที่ผู้โจมตีจะได้คุกกี้เหล่านี้หากช่องโหว่ยังมีอยู่ รวมถึงไทม์ไลน์ที่ช่วงเวลาที่ค้นพบช่องโหว่ด้วย มาดูกันต่อไปครับว่าเรื่องนี้จะจบอย่างไร
ที่มา - The Hacker News
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Urgent Jobs
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
วีดีโอไม่มีครับมันบอกว่า ขออภัย เราไม่พบหน้าที่คุณขอ โปรดลองค้นหาอย่างอื่น
แก้ไขให้แล้วครับ ขอบคุณครับ
คุกกี้กับการหลงป่า เอ๊ย หลงประเด็นของ MS นี่น่ากลัวมาก ..
my blog
มุขนี้เล่นได้เรื่อยๆจริงๆ ฮา
อยากรู้จริงความจริงเป็นอย่างไร หลงจริงป่างฟระ //นอกเรื่อง
blog
ปกติก็เป็นแบบนี้นี่
เข้าใจว่าพอเราออกจากระบบจะมีการเดสทอร์ยคุ๊กกี้ออกไปด้วยนะครับถึงจะสมบูรณ์ แต่นี่ออกแล้วไม่ลบให้จากตัวระบบ(ลบแค่ที่เครื่องเรา) ทำให้ใครที่มีคุ๊กกี้ของเราเอาไปใช้ได้
รอดูคนโดนหวายเฆี่ยน ... หึหึ ตอบมาได้ยังไง "เปลี่ยนพาสเวิร์ด"
หมายถึงจะเปลี่ยนพาสต้องใช้พาสครับ ซึ่งฟังแล้วยิ่งแย่กว่าเดิม แปลว่าเข้าไปดูได้แต่เปลี่ยนพาสไม่ได้?
ผมอ่านข่าวแล้วเข้าใจว่าเอาคุกกี้มาทำได้ทุกอย่างเลยนะครับ (รวมถึงเปลี่ยนพาสเวิร์ด) เสมือนว่ายังไม่ได้ออกจากระบบ หรือจะเอาคุกกี้ไปลงเครื่องอื่นก็ได้
ซึ่งตรงนี้ไม่เกี่ยวอะไรกับการเปลี่ยนพาสเวิร์ดเลย แต่ทางฝ่ายความปลอดภัยดันบอกว่า "อ๋อ เปลี่ยนพาสเวิร์ดสิจ๊ะ" ... คงเข้าใจว่าเมล์ถูกแฮกด้วยวิธีฟิชชิ่งมั้งครับ (ฟิชชิ่งแบบไม่เปลี่ยนพาวเวิร์ด)
อันนี้จากเนื้อข่าวส่วนที่ทำให้ผมเข้าใจแบบนั้นครับ
ฝ่ายความปลอดภัยของไมโครซอฟท์บอกว่า "one cannot change account passwords as this requires re-authentication" แปลว่าไม่สามารถเปลี่ยนรหัสผ่านได้เพราะมันต้อง re-authentication ครับ เพราะงั้นทำได้ทุกอย่างเหมือนไปนั่งเล่นหน้าเครื่องซึ่ง "ไม่" สามารถเปลี่ยนรหัสได้ครับ และคุกกี้เองถูกแยกการจัดการทั้งยังใช้ SSL ในการส่ง เหมือนจะสื่อว่าไม่ต้องกลัวว่าจะถูกดักเอากลางอากาศไปเปลี่ยนรหัส ส่วนประโยคแรกสุดผมยังอ่านไม่ชัดเจนว่าตกลงเค้ากำลังแก้ปัญหาเรื่องนี้อยู่หรือเปล่า
ผมอ่านจากรูปเมลที่เดียวนะ ไม่แน่ใจว่ามีตรงอื่นอีกหรือเปล่าครับ
ส่วนคนที่ฟ้องก็บอกว่า "But I didn't get one thing, either Microsoft team didn't understand the impact factor or they don't want to ? Why one need to change the password, if he can access mails, can delete, send, backup with just cookies!" "เค้าสงสัยว่าไมโครซอฟท์ไม่เข้าใจประเด็นหรือพวกเขาไม่ต้องการ ทำไมคน (attacker ที่ได้คุกกี้ไป) ถึงจะต้องการเปลี่ยนรหัส ในเมื่อเขาเข้าถึงเมล แล้วยังลบ ส่ง สำรองทุกอย่างได้ด้วยคุกกี้นั้น"
เพราะงั้นในเนื้อข่าว "ที่นี่" เองผมว่าชี้ผิดประเด็นตรงนี้ครับ
เมลตอบกลับไม่ผิดประเด็นครับ ไมโครซอฟท์บอกว่ามันไม่ร้ายแรงขนาดจะสูญเสียบัญชีผู้ใช้จากการเปลี่ยนรหัสผ่าน ขณะที่คนแจ้งบอกว่าแค่ถูกเข้าถึงทุกอย่างได้ก็ร้ายแรงพอแล้ว
แก้ไขแล้วครับ ขอบคุณครับ
เจอแบบนี้หันกลับไปคบกับ Gmail ดีกว่า
"วงการซีเคียวริตี้" - เอ่อ อ่านแล้วแว่บแรกนึกถึงยามเลยครับ ทำไมไม่แปลว่าวงการความปลอดภัยไปเลยล่ะครับ
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ปกติเขาก็เรียกกันแบบนี้ครับ เติมคำว่า Network หรือ System เอาไว้ข้างหน้าดูสิครับ