Microsoft ยืนยันพบ Exchange Zero-days ชนิดใหม่ออกอาละวาด
มีการออกมายืนยันจากทาง Microsoft แล้วว่า ตรวจพบ Zero-Days ที่เป้าหมายการโจมตีเป็น
Microsoft Exchange Server 2013, 2016 และ 2019 ถึง 2 ช่องโหว่
- ช่องโหว่ที่ 1 ถูกระบุให้เป็น CVE-2022-41040 เป็นช่องโหว่บน Server-Side Request Forgery (SSRF)
- ช่องโหว่ที่ 2 ถูกระบุให้เป็น CVE-2022-41082 เป็นช่องโหว่ที่อนุญาตให้มีการเรียกรันคำสั่งจากระยะไกล เมื่อ PowerShell จากผู้ไม่ประสงค์ดีทาง
Microsoft ยังกล่าวเสริมอีกว่าช่องโหว่ CVE-2022-41040 สามารถโจมตีได้ก็ต่อเมื่อมีการยืนยันสิทธิ์ในการเข้าถึงจากผู้ดูแลระบบเท่านั้นถึงจะเข้าใช้งานได้และในช่วงเวลานี้ขอยืนยันว่าทางผู้ใช้งานไม่ต้องทำการอันใดกับ Server เนื่องจากทาง Microsoft เองได้ดำเนินการหาทางแก้ไขและค่อยตรวจสอบตลอดเวลาและจะดำเนินการช่วยเหลือในกรณีที่เกิดเหตุขึ้นให้ได้มากที่สุด
ตามรายงานที่พบของ GTSC หน่วยงานรักษาความปลอดภัยทางไซเบอร์ของประเทศเวียดนามตกเป็นเป้าหมายรายแรกของการโจมตีดังกล่าวโดยที่ Zero-Days นั้นแฝงใว้กับเว็บเชลล์ของจีน Chopper เพื่อการตรวจสอบเฝ้าสังเกตุพฤติกรรมของผู้ใช้จากผู้ไม่ประสงค์ดีโดยที่ GTSC ยังสันนิฐานว่าการโจมตีครั้งนี้มาจากประเทศจีนเพราะด้วยการเข้าระบบล็อกอินของ WebShell เป็นการใช้งานด้วย รูปแบบชุดอักษรจากทาง Microsoft ภาษาจีนโดยที่กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ใช้งาน Open Source Antsword Chinese
ทาง GTSC ได้รายงานข้อบกพร่องทั้งสองช่องให้ทาง Microsoft ผ่านทาง Zero Day Initiative โดยที่ผู้ใช้งาน Microsoft Exchangeในองค์กรของผู้ใช้ควรตรวจสอบและป้องกันการใช้งานตามคำแนะนำของทาง Microsoft ดังนี้
- 1. Open the IIS Manager.
- 2. Expand the Default Web Site.
- 3. Select Autodiscover.
- 4. In the Feature View, click URL Rewrite.
- 5.In the Actions pane on the right-hand side, click Add Rules.
- 6.Select Request Blocking and click OK.
- 7. Add String “.*autodiscover\.json.*\@.*Powershell.*” (excluding quotes) and click OK.
- 8. Expand the rule and select the rule with the Pattern ".*autodiscover\.json.*\@.*Powershell.*" and click Edit under Conditions.
- 9. Change the condition input from {URL} to {REQUEST_URI}
และยังแนะนำให้ดำเนินการ ปิด Port ที่ใช้งาน Remote PowerShell ระยะไกลเพื่อป้องกันการโจมตีที่
- HTTP: 5985
- HTPPS: 5986
และให้ดำเนินการตรวจสอบ Exchange Server ของผู้ใช้งานตรวจสอบ Server ของตนเองโดยใช้คำสั่ง
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Ref: bleepingcomputer
Ref: bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น