Tags:
Node Thumbnail

ตกเป็นประเด็นร้อนของวงการซีเคียวริตี้ในช่วงสัปดาห์นี้กับเหตุการณ์ที่ Christy Philip Mathew นักวิจัยจากแล็บของ The Hacker News พบช่องโหว่ที่ผู้โจมตีสามารถนำเข้าคุกกี้ของเหยื่อที่จะออกจากระบบไปแล้ว มาใช้ในการสวมรอยเพื่อเข้าสู่ระบบใหม่ได้ ซึ่งทำให้ผู้โจมตีสามารถอ่านอีเมลรวมไปถึงข้อมูลต่างๆ ภายในบัญชีของเหยื่อได้

จากปกติเมื่อเราทำการออกจากระบบนั้นเซสชันปัจจุบันก็จะถูกปิดไปด้วย แต่ในกรณีนี้นั้นเมื่อเราทำการส่งออกคุกกี้ตอนที่อยู่ในระบบ แล้วนำเข้าคุกกี้นี้อีกครั้งแม้จะออกจากระบบไปแล้ว ก็ยังสามารถใช้คุกกี้นั้นเข้าระบบได้ตลอดเวลา (ดูวีดีโอเพิ่มเติม)

แต่เรื่องนี้ไม่ได้จบเพียงแค่ค้นพบช่องโหว่ครับ ปกติการเจอช่องโหว่ที่กระทบต่อผู้ใช้งานก็จะมีการแจ้งไปยังผู้ให้บริการหรือ vender ก่อนเพื่อทำการแพตซ์ช่องโหว่ก่อนจะนำช่องโหว่เหล่านี้มาเผยแพร่ต่อสาธารณะ ซึ่งช่องโหว่นี้ตัวนี้ก็ได้มีการแจ้งไปยัง Microsoft Security Team เรียบร้อยแล้ว แต่กลับได้รับเมลตอบกลับด้วยเนื้อหาที่ดูเหมือนจะไม่ได้ตรงจุดของช่องโหว่นี้ซักเท่าไหร่นัก โดยได้บอกว่าช่องโหว่นี้ไม่ได้ทำให้เกิดการสูญเสียรหัสผ่าน ซึ่งอันที่จริงการที่มีคนมาแอบอ่านอีเมลของเราได้นั้นก็ถือว่าเป็นข้อผิดพลาดที่ร้ายแรงแล้ว (รูปประกอบอีเมลดังกล่าว) ทาง THN จึงตัดสินใจประกาศเรื่องนี้ออกสู่สาธารณะโดยอ้างว่าไมโครซอฟท์ยังไม่เข้าใจประเด็นนี้

ทาง THN ได้ทำการกล่าวถึงสถานการณ์ต่างๆ ที่ผู้โจมตีจะได้คุกกี้เหล่านี้หากช่องโหว่ยังมีอยู่ รวมถึงไทม์ไลน์ที่ช่วงเวลาที่ค้นพบช่องโหว่ด้วย มาดูกันต่อไปครับว่าเรื่องนี้จะจบอย่างไร

ที่มา - The Hacker News

Get latest news from Blognone

Comments

By: Charin Tapang
ContributorAndroidRed HatUbuntu
on 18 December 2012 - 00:03 #519834
Charin Tapang's picture

วีดีโอไม่มีครับมันบอกว่า ขออภัย เราไม่พบหน้าที่คุณขอ โปรดลองค้นหาอย่างอื่น

By: pe3z
Writer
on 18 December 2012 - 00:08 #519837 Reply to:519834

แก้ไขให้แล้วครับ ขอบคุณครับ

By: lingjaidee
ContributoriPhoneAndroid
on 18 December 2012 - 00:06 #519836
lingjaidee's picture

คุกกี้กับการหลงป่า เอ๊ย หลงประเด็นของ MS นี่น่ากลัวมาก ..


my blog

By: pd2002 on 18 December 2012 - 00:10 #519838 Reply to:519836

มุขนี้เล่นได้เรื่อยๆจริงๆ ฮา

By: saratlim
ContributorAndroid
on 18 December 2012 - 07:54 #519872 Reply to:519838
saratlim's picture

อยากรู้จริงความจริงเป็นอย่างไร หลงจริงป่างฟระ //นอกเรื่อง


blog

By: BonBon
iPhone
on 18 December 2012 - 00:39 #519843

ปกติก็เป็นแบบนี้นี่

  1. เพราะ cookie ไม่ได้อิงตาม ip
  2. เพื่อ save password ไม่ต้อง login อีกครั้ง
By: redmaster
Contributor
on 18 December 2012 - 01:01 #519848 Reply to:519843
redmaster's picture

เข้าใจว่าพอเราออกจากระบบจะมีการเดสทอร์ยคุ๊กกี้ออกไปด้วยนะครับถึงจะสมบูรณ์ แต่นี่ออกแล้วไม่ลบให้จากตัวระบบ(ลบแค่ที่เครื่องเรา) ทำให้ใครที่มีคุ๊กกี้ของเราเอาไปใช้ได้

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 18 December 2012 - 01:05 #519850
PaPaSEK's picture

รอดูคนโดนหวายเฆี่ยน ... หึหึ ตอบมาได้ยังไง "เปลี่ยนพาสเวิร์ด"

By: anu
Contributor
on 18 December 2012 - 02:27 #519860 Reply to:519850

หมายถึงจะเปลี่ยนพาสต้องใช้พาสครับ ซึ่งฟังแล้วยิ่งแย่กว่าเดิม แปลว่าเข้าไปดูได้แต่เปลี่ยนพาสไม่ได้?

By: PaPaSEK
ContributorAndroidWindowsIn Love
on 18 December 2012 - 08:46 #519884 Reply to:519860
PaPaSEK's picture

ผมอ่านข่าวแล้วเข้าใจว่าเอาคุกกี้มาทำได้ทุกอย่างเลยนะครับ (รวมถึงเปลี่ยนพาสเวิร์ด) เสมือนว่ายังไม่ได้ออกจากระบบ หรือจะเอาคุกกี้ไปลงเครื่องอื่นก็ได้

ซึ่งตรงนี้ไม่เกี่ยวอะไรกับการเปลี่ยนพาสเวิร์ดเลย แต่ทางฝ่ายความปลอดภัยดันบอกว่า "อ๋อ เปลี่ยนพาสเวิร์ดสิจ๊ะ" ... คงเข้าใจว่าเมล์ถูกแฮกด้วยวิธีฟิชชิ่งมั้งครับ (ฟิชชิ่งแบบไม่เปลี่ยนพาวเวิร์ด)

อันนี้จากเนื้อข่าวส่วนที่ทำให้ผมเข้าใจแบบนั้นครับ

แต่ในกรณีนี้นั้นเมื่อเราทำการส่งออกคุกกี้ตอนที่อยู่ในระบบ แล้วนำเข้าคุกกี้นี้อีกครั้งแม้จะออกจากระบบไปแล้ว ก็ยังสามารถใช้คุกกี้นั้นเข้าระบบได้ตลอดเวลา

By: hisoft
ContributorWindows PhoneWindows
on 18 December 2012 - 10:16 #519912 Reply to:519884
hisoft's picture

ฝ่ายความปลอดภัยของไมโครซอฟท์บอกว่า "one cannot change account passwords as this requires re-authentication" แปลว่าไม่สามารถเปลี่ยนรหัสผ่านได้เพราะมันต้อง re-authentication ครับ เพราะงั้นทำได้ทุกอย่างเหมือนไปนั่งเล่นหน้าเครื่องซึ่ง "ไม่" สามารถเปลี่ยนรหัสได้ครับ และคุกกี้เองถูกแยกการจัดการทั้งยังใช้ SSL ในการส่ง เหมือนจะสื่อว่าไม่ต้องกลัวว่าจะถูกดักเอากลางอากาศไปเปลี่ยนรหัส ส่วนประโยคแรกสุดผมยังอ่านไม่ชัดเจนว่าตกลงเค้ากำลังแก้ปัญหาเรื่องนี้อยู่หรือเปล่า

ผมอ่านจากรูปเมลที่เดียวนะ ไม่แน่ใจว่ามีตรงอื่นอีกหรือเปล่าครับ

ส่วนคนที่ฟ้องก็บอกว่า "But I didn't get one thing, either Microsoft team didn't understand the impact factor or they don't want to ? Why one need to change the password, if he can access mails, can delete, send, backup with just cookies!" "เค้าสงสัยว่าไมโครซอฟท์ไม่เข้าใจประเด็นหรือพวกเขาไม่ต้องการ ทำไมคน (attacker ที่ได้คุกกี้ไป) ถึงจะต้องการเปลี่ยนรหัส ในเมื่อเขาเข้าถึงเมล แล้วยังลบ ส่ง สำรองทุกอย่างได้ด้วยคุกกี้นั้น"

เพราะงั้นในเนื้อข่าว "ที่นี่" เองผมว่าชี้ผิดประเด็นตรงนี้ครับ

แต่กลับได้รับเมลตอบกลับด้วยเนื้อหาที่ค่อนข้างผิดประเด็นไปในเรื่องการเปลี่ยนรหัสผ่านแทนที่จะเป็นประเด็นของการแอบอ่านอีเมลและเรื่องของคุกกี้

เมลตอบกลับไม่ผิดประเด็นครับ ไมโครซอฟท์บอกว่ามันไม่ร้ายแรงขนาดจะสูญเสียบัญชีผู้ใช้จากการเปลี่ยนรหัสผ่าน ขณะที่คนแจ้งบอกว่าแค่ถูกเข้าถึงทุกอย่างได้ก็ร้ายแรงพอแล้ว

By: pe3z
Writer
on 18 December 2012 - 18:59 #520191 Reply to:519912

แก้ไขแล้วครับ ขอบคุณครับ

By: diamondza
iPhoneAndroidRed HatUbuntu
on 18 December 2012 - 01:32 #519857
diamondza's picture

เจอแบบนี้หันกลับไปคบกับ Gmail ดีกว่า

By: -Rookies-
ContributorAndroidWindowsIn Love
on 18 December 2012 - 10:08 #519908

"วงการซีเคียวริตี้" - เอ่อ อ่านแล้วแว่บแรกนึกถึงยามเลยครับ ทำไมไม่แปลว่าวงการความปลอดภัยไปเลยล่ะครับ


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: Perl
ContributoriPhoneUbuntu
on 18 December 2012 - 11:26 #519941 Reply to:519908
Perl's picture

ปกติเขาก็เรียกกันแบบนี้ครับ เติมคำว่า Network หรือ System เอาไว้ข้างหน้าดูสิครับ