ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

ไมโครซอฟท์ยอมรับ พบช่องโหว่แบบ XSS มากกว่า 900 ตัว ในหลายผลิตภัณฑ์ ตั้งแต่ร้ายแรงต่ำจนถึง Zero-Click

ไมโครซอฟท์ยอมรับ พบช่องโหว่แบบ XSS มากกว่า 900 ตัว ในหลายผลิตภัณฑ์ ตั้งแต่ร้ายแรงต่ำจนถึง Zero-Click
ภาพจาก : https://medium.com/%40nurlanisazade/real-world-examples-of-xss-with-source-code-and-exploits-83cd264ea260
เมื่อ :
|  ผู้เข้าชม : 834
เขียนโดย :
0 %E0%B9%84%E0%B8%A1%E0%B9%82%E0%B8%84%E0%B8%A3%E0%B8%8B%E0%B8%AD%E0%B8%9F%E0%B8%97%E0%B9%8C%E0%B8%A2%E0%B8%AD%E0%B8%A1%E0%B8%A3%E0%B8%B1%E0%B8%9A+%E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B9%81%E0%B8%9A%E0%B8%9A+XSS+%E0%B8%A1%E0%B8%B2%E0%B8%81%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+900+%E0%B8%95%E0%B8%B1%E0%B8%A7+%E0%B9%83%E0%B8%99%E0%B8%AB%E0%B8%A5%E0%B8%B2%E0%B8%A2%E0%B8%9C%E0%B8%A5%E0%B8%B4%E0%B8%95%E0%B8%A0%E0%B8%B1%E0%B8%93%E0%B8%91%E0%B9%8C+%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87%E0%B9%81%E0%B8%95%E0%B9%88%E0%B8%A3%E0%B9%89%E0%B8%B2%E0%B8%A2%E0%B9%81%E0%B8%A3%E0%B8%87%E0%B8%95%E0%B9%88%E0%B8%B3%E0%B8%88%E0%B8%99%E0%B8%96%E0%B8%B6%E0%B8%87+Zero-Click
A- A+
แชร์หน้าเว็บนี้ :

ช่องโหว่ความปลอดภัยนั้นเรียกได้ว่ามีมากมายหลากประเภท ซึ่งก็มีอยู่ประเภทหนึ่งที่เป็นที่นิยมมาตั้งแต่อดีต นั่นคือ ช่องโหว่แบบ XSS (Cross-Site Scripting) ซึ่งเป็นช่องโหว่ที่เปิดช่องให้แฮกเกอร์สามารถฝังสคริปท์อันตรายลงไปบนหน้าเว็บไซต์ที่มีช่องโหว่ ทำให้แฮกเกอร์สามารถโจมตีเหยื่อที่เข้าเยี่ยมชม และโหลดหน้าเพจดังนั้น ซึ่งในคราวนี้ทางไมโครซอฟท์ได้ออกมายืนยันถึงการมีอยู่ของช่องโหว่ดังกล่าวมากกว่า 900 ตัว

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทาง Microsoft Security Response Center (MSRC) ซึ่งเป็นหน่วยงานย่อยที่ทำงานเกี่ยวกับด้านความปลอดภัยระบบของทางไมโครซอฟท์นั้นรายงานถึงการมีอยู่ของช่องโหว่แบบ XSS ซึ่งจัดได้ว่าเป็นช่องโหว่ที่เก่าแก่ ซึ่งทางทีมได้ทำการจัดการกับเคสการใช้งานช่องโหว่ XSS ไปมากกว่า 970 เคส นับตั้งแต่เดือนมกราคม ค.ศ. 2024 (พ.ศ. 2567) ซ้ำยังได้กล่าวอีกว่า ช่องโหว่ตัวนี้ถึงแม้จะมีมานาน แต่ก็ไม่ได้จำกัดการมีอยู่แค่ในระบบเก่าแก่ (Legacy System) เท่านั้น แต่ยังครอบคลุมไปถึงระบบยุคใหม่ ๆ อย่างเช่น ระบบคลาวด์ อีกด้วย และถึงแม้จะใช้งานระบบรักษาความปลอดภัยบนเว็บไซต์ยุคปัจจุบันที่มีความสามารถระดับสูง เช่น การจัดการแบบ Library ต่อ Library และ ระบบควบคุมนโยบายความปลอดภัยคอนเทนต์ (Content Security Policies หรือ CSP) ก็ยากที่จะต่อกรกับการใช้งานช่องโหว่ในรูปแบบนี้

บทความเกี่ยวกับ Microsoft อื่นๆ

ทางทีมวิจัยยังได้เผยสถิติการทำงานตั้งแต่เดือน กรกฎาคม ค.ศ. 2024 (พ.ศ. 2567) ถึง เดือนกรกฎาคม ปีนี้ อีกว่า ในหมู่ช่องโหว่ทั้งหมดที่ทางทีมด้านความปลอดภัยได้เข้าไปจัดการมานั้น ช่องโหว่ที่ถูกจัดระดับว่า มีความสำคัญ (Important) และ ร้ายแรง (Critical) นั้น ช่องโหว่แบบ XSS มีจำนวนมากถึง 15% ของช่องโหว่ทั้งหมด ในช่องโหว่ XSS ทั้งหมด 265 เคสที่ถูกพบในช่วงเดือนดังกล่าวนั้น 263 เคสถูกจัดลำดับเป็น Important และ อีก 2 เคสถูกจัดลำดับเป็น Critical โดยทางไมโครซอฟท์ได้ทำจ่ายเงินรางวัลให้กับนักวิจัยที่ค้นพบ และรายงานช่องโหว่ XSS ทั้งหมดนี้เป็นจำนวนรวมแล้วมากถึง 912,300 ดอลลาร์สหรัฐ (29,487,360.14 บาท) โดยเงินรางวัลสูงสุดในรางวัลเดียวที่ทางนักวิจัยอิสระได้รับไปนั้น เป็นจำนวนเงินที่มากถึง 20,000 ดอลลาร์สหรัฐ (646,559.95 บาท) เพื่อตอบแทนในการค้นพบช่องโหว่ XSS ที่มีความร้ายแรงสูง เนื่องมาจากแฮกเกอร์สามารถใช้งานช่องโหว่นี้จัดการกับเหยื่อในรูปแบบ Zero-Click (เทคนิคการใช้งานช่องโหว่เพื่อปล่อยมัลแวร์หรือแฮกเข้าระบบ โดยที่เหยื่อไม่ต้องทำการคลิ๊ก หรือมีปฎิสัมพันธ์ใด ๆ กับแฮกเกอร์)

ไมโครซอฟท์ยอมรับ พบช่องโหว่แบบ XSS มากกว่า 900 ตัว ในหลายผลิตภัณฑ์ ตั้งแต่ร้ายแรงต่ำจนถึง Zero-Click
ภาพจาก : https://cybersecuritynews.com/microsoft-confirms-900-xss-vulnerabilities/

นอกจากนั้น ทางทีมความปลอดภัยยังได้เปิดเผยอีกว่า แม้แต่ผลิตภัณฑ์ของทางไมโครซอฟท์เองนั้น ช่องโหว่แบบ XSS ก็ถูกตรวจพบในแทบทุกผลิตภัณฑ์ ไม่ว่าจะเป็น Microsoft Copilot, Microsoft 365, Dynamics 365, Microsoft Identity, Microsoft Azure, หรือแม้แต่วิดีโอเกมคอนโซลอย่าง Xbox เอง ต่างก็ได้รับรายงานถึงการตรวจพบช่องโหว่แบบ XSS จากทั้งทางเหล่านักวิจัยด้านความปลอดภัยไซเบอร์ทั้งสิ้น โดยครอบคลุมการรายงานทั้งจากทางนักวิจัยของทางไมโครซอฟท์เอง และ นักวิจัยจากภายนอก

ทางทีม MSRC ยังได้ทำการจำแนกแจกแจงความร้ายแรงของช่องโหว่ XSS ไว้เป็น 3 ระดับด้วยกัน เพื่อให้เข้าใจง่ายอีกด้วย โดยความร้ายแรง 3 ระดับนั้น แบ่งออกเป็นดังนี้

  • Critical (ร้ายแรงสูง) - ช่องโหว่ XSS ที่สามารถถูกใช้งานแบบ Zero-Click ด้วย ซึ่งความร้ายแรงนั้นหลังถูกใช้งาน อาจทำให้เหยื่อสูญเสียข้อมูลสำคัญอย่างเช่น Session Token และ ไฟล์ Cookie ให้กับแฮกเกอร์ที่ใช้งานได้
  • Important (ต้องให้ความสำคัญ) - เป็นช่องโหว่ XSS ที่อาจต้องหลอกล่อให้เหยื่อทำการบางอย่างเพื่อให้ช่องโหว่ทำงานได้ ซึ่งจะส่งผลให้เหยื่ออาจสูญเสียข้อมูลสำคัญคล้ายกับในข้อแรก
  • Moderate / Low (ปานกลาง - ต่ำ) - เป็นช่องโหว่ XSS ที่อยู่บนหน้าเพจทั่วไปโดยไม่มีการเข้าถึงข้อมูลสำคัญ หรือ เป็นช่องโหว่ที่มีแต่ผู้ใช้งานสามารถใช้เพื่อโจมตีตัวเองได้เท่านั้น (Self-XSS) ทำให้ช่องโหว่ในหมวดนี้ถูกจัดเป็นช่องโหว่ที่มีความร้ายแรงปานกลาง - ต่ำ

ที่มา : cybersecuritynews.com

0 %E0%B9%84%E0%B8%A1%E0%B9%82%E0%B8%84%E0%B8%A3%E0%B8%8B%E0%B8%AD%E0%B8%9F%E0%B8%97%E0%B9%8C%E0%B8%A2%E0%B8%AD%E0%B8%A1%E0%B8%A3%E0%B8%B1%E0%B8%9A+%E0%B8%9E%E0%B8%9A%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88%E0%B9%81%E0%B8%9A%E0%B8%9A+XSS+%E0%B8%A1%E0%B8%B2%E0%B8%81%E0%B8%81%E0%B8%A7%E0%B9%88%E0%B8%B2+900+%E0%B8%95%E0%B8%B1%E0%B8%A7+%E0%B9%83%E0%B8%99%E0%B8%AB%E0%B8%A5%E0%B8%B2%E0%B8%A2%E0%B8%9C%E0%B8%A5%E0%B8%B4%E0%B8%95%E0%B8%A0%E0%B8%B1%E0%B8%93%E0%B8%91%E0%B9%8C+%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87%E0%B9%81%E0%B8%95%E0%B9%88%E0%B8%A3%E0%B9%89%E0%B8%B2%E0%B8%A2%E0%B9%81%E0%B8%A3%E0%B8%87%E0%B8%95%E0%B9%88%E0%B8%B3%E0%B8%88%E0%B8%99%E0%B8%96%E0%B8%B6%E0%B8%87+Zero-Click
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น