EDR, Email, and SASE Miss This Entire Class of Browser Attacks

บทความนี้ชี้ให้เห็นถึงช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่สำคัญ โดยระบุว่าเครื่องมือรักษาความปลอดภัยแบบดั้งเดิม เช่น EDR, ระบบรักษาความปลอดภัยอีเมล และ SASE ไม่สามารถตรวจจับการโจมตีทางไซเบอร์สมัยใหม่ที่เกิดขึ้นภายในเบราว์เซอร์ได้ ซึ่งรวมถึงการโจมตีที่มุ่งเป้าไปที่การทำงานบนเว็บแอปพลิเคชัน SaaS, ผู้ให้บริการระบุตัวตน, คอนโซลผู้ดูแลระบบ และเครื่องมือ AI การโจมตีเหล่านี้ดำเนินการทั้งหมดภายในสภาพแวดล้อมของเบราว์เซอร์ ทำให้เหลือหลักฐานเพียงเล็กน้อยสำหรับการตรวจสอบโดยเครื่องมือรักษาความปลอดภัยทั่วไป การเพิ่มขึ้นของเครื่องมือ AI ยังทำให้ปัญหานี้แย่ลง โดยทำให้การเคลื่อนย้ายข้อมูลที่ละเอียดอ่อนภายในเบราว์เซอร์เป็นเรื่องปกติ บทความเน้นย้ำถึงความจำเป็นในการมองเห็นระดับเบราว์เซอร์เพื่อการป้องกันที่แม่นยำยิ่งขึ้น การตรวจจับที่ดีขึ้น และนโยบายความปลอดภัยที่ปรับเปลี่ยนได้

Severity: สูง

System Impact:

• เว็บเบราว์เซอร์ (Browser)
• แอปพลิเคชัน SaaS
• ระบบยืนยันตัวตน (Identity Providers)
• คอนโซลผู้ดูแลระบบ (Admin Consoles)
• เครื่องมือปัญญาประดิษฐ์ (AI Tools)
• Endpoint Detection and Response (EDR)
• Email Security Gateways
• Secure Access Service Edge (SASE)

Technical Attack Steps:

1. **ClickFix และ UI-Driven Social Engineering:** ผู้โจมตีหลอกให้ผู้ใช้ดำเนินการคัดลอก, วาง หรือส่งข้อมูลที่ละเอียดอ่อนด้วยตนเอง ผ่านข้อความหรือคำแนะนำปลอมในเบราว์เซอร์ โดยไม่มีการส่งมัลแวร์หรือใช้ช่องโหว่ทางเทคนิคใดๆ
2. **Malicious Extensions:** ส่วนขยายเบราว์เซอร์ที่ดูเหมือนถูกกฎหมายถูกติดตั้งโดยผู้ใช้ จากนั้นจะแอบสังเกตเนื้อหาหน้าเว็บ, ดักจับข้อมูลที่ผู้ใช้กรอก หรือส่งข้อมูลออกไป โดยที่เครื่องมือ EDR หรือระบบเครือข่ายมองเห็นเป็นการทำงานปกติของเบราว์เซอร์
3. **Man-in-the-Browser (MitB) Attacks:** การโจมตีเหล่านี้ใช้ประโยชน์จากเซสชันเบราว์เซอร์ที่ถูกต้อง ข้อมูลประจำตัวจะถูกป้อนอย่างถูกต้อง, การอนุมัติ MFA ก็ผ่านไปได้ และกิจกรรมดูเหมือนจะได้รับอนุญาต บันทึกแสดงว่าเป็นผู้ใช้จริงและเซสชันจริง แต่ไม่มีข้อมูลว่าการโต้ตอบในเบราว์เซอร์ถูกบิดเบือนหรือเล่นซ้ำหรือไม่
4. **HTML Smuggling:** เนื้อหาที่เป็นอันตรายถูกประกอบขึ้นโดยตรงภายในเบราว์เซอร์โดยใช้ JavaScript หลีกเลี่ยงจุดตรวจจับและตรวจสอบการดาวน์โหลดแบบดั้งเดิม เบราว์เซอร์แสดงผลเนื้อหาตามปกติ แต่ขั้นตอนที่สำคัญที่สุดของการโจมตีไม่ปรากฏเป็นเหตุการณ์ความปลอดภัยระดับสูง
5. **การโจมตีที่อาศัยเครื่องมือ AI:** เครื่องมือ AI เช่น ChatGPT, Claude และ Gemini ทำให้การคัดลอก, วาง, อัปโหลด และสรุปข้อมูลที่ละเอียดอ่อนโดยตรงในเบราว์เซอร์เป็นเรื่องปกติ ซึ่งทำให้ยากต่อการแยกแยะระหว่างการเคลื่อนย้ายข้อมูลที่ถูกต้องและเป็นอันตราย

Recommendations:

Short Term:

• ใช้โซลูชันการตรวจสอบระดับเบราว์เซอร์ (Browser-level Observability) เพื่อให้เห็นภาพรวมการโต้ตอบของผู้ใช้ภายในเบราว์เซอร์
• ทบทวนและอัปเดตนโยบายความปลอดภัยที่เกี่ยวข้องกับส่วนขยายเบราว์เซอร์และการผสานรวมกับบุคคลที่สาม โดยเฉพาะอย่างยิ่งกับเครื่องมือ AI
• ให้ความรู้แก่พนักงานเกี่ยวกับเทคนิค Social Engineering ขั้นสูงที่เฉพาะเจาะจงกับการโต้ตอบในเบราว์เซอร์ (เช่น ClickFix)

Long Term:

• ผสานรวมข้อมูลระดับเบราว์เซอร์เข้ากับสถาปัตยกรรมความปลอดภัยที่มีอยู่ (EDR, SIEM) เพื่อบริบทที่ครอบคลุม
• ปรับปรุงนโยบายความปลอดภัยอย่างต่อเนื่องโดยอิงจากการใช้งานเบราว์เซอร์ในโลกแห่งความเป็นจริงและพฤติกรรมที่สังเกตได้
• ลงทุนในโซลูชันที่สามารถบล็อกพฤติกรรมเบราว์เซอร์ที่มีความเสี่ยงได้แบบเรียลไทม์ โดยอิงจากความเข้าใจตามบริบท
• พัฒนาการควบคุมที่ปรับเปลี่ยนได้ซึ่งสามารถพัฒนาตามเวิร์กโฟลว์ใหม่ๆ ที่ใช้เบราว์เซอร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับ AI

Source: BleepingComputer: https://www.bleepingcomputer.com/news/security/edr-email-and-sase-miss-this-entire-class-of-browser-attacks/