03/10/2565

Microsoft confirms new Exchange zero-days are used in attacks

Microsoft ยืนยันพบ Exchange Zero-days ชนิดใหม่ออกอาละวาด

มีการออกมายืนยันจากทาง Microsoft แล้วว่า ตรวจพบ Zero-Days ที่เป้าหมายการโจมตีเป็น 
Microsoft Exchange Server 2013, 2016 และ 2019 ถึง 2 ช่องโหว่
  • ช่องโหว่ที่ 1 ถูกระบุให้เป็น CVE-2022-41040 เป็นช่องโหว่บน Server-Side Request Forgery (SSRF)
  • ช่องโหว่ที่ 2 ถูกระบุให้เป็น CVE-2022-41082 เป็นช่องโหว่ที่อนุญาตให้มีการเรียกรันคำสั่งจากระยะไกล เมื่อ PowerShell จากผู้ไม่ประสงค์ดีทาง
    Microsoft ยังกล่าวเสริมอีกว่าช่องโหว่ CVE-2022-41040 สามารถโจมตีได้ก็ต่อเมื่อมีการยืนยันสิทธิ์ในการเข้าถึงจากผู้ดูแลระบบเท่านั้นถึงจะเข้าใช้งานได้และในช่วงเวลานี้ขอยืนยันว่าทางผู้ใช้งานไม่ต้องทำการอันใดกับ Server เนื่องจากทาง Microsoft เองได้ดำเนินการหาทางแก้ไขและค่อยตรวจสอบตลอดเวลาและจะดำเนินการช่วยเหลือในกรณีที่เกิดเหตุขึ้นให้ได้มากที่สุด
  ตามรายงานที่พบของ GTSC หน่วยงานรักษาความปลอดภัยทางไซเบอร์ของประเทศเวียดนามตกเป็นเป้าหมายรายแรกของการโจมตีดังกล่าวโดยที่ Zero-Days นั้นแฝงใว้กับเว็บเชลล์ของจีน Chopper เพื่อการตรวจสอบเฝ้าสังเกตุพฤติกรรมของผู้ใช้จากผู้ไม่ประสงค์ดีโดยที่ GTSC ยังสันนิฐานว่าการโจมตีครั้งนี้มาจากประเทศจีนเพราะด้วยการเข้าระบบล็อกอินของ WebShell เป็นการใช้งานด้วย รูปแบบชุดอักษรจากทาง Microsoft ภาษาจีนโดยที่กลุ่มผู้ไม่ประสงค์ดีกลุ่มนี้ใช้งาน Open Source Antsword Chinese
   ทาง GTSC ได้รายงานข้อบกพร่องทั้งสองช่องให้ทาง Microsoft ผ่านทาง Zero Day Initiative โดยที่ผู้ใช้งาน Microsoft Exchangeในองค์กรของผู้ใช้ควรตรวจสอบและป้องกันการใช้งานตามคำแนะนำของทาง Microsoft ดังนี้
  • 1. Open the IIS Manager.
  • 2. Expand the Default Web Site.
  • 3. Select Autodiscover.
  • 4. In the Feature View, click URL Rewrite.
  • 5.In the Actions pane on the right-hand side, click Add Rules.
  • 6.Select Request Blocking and click OK.
  • 7. Add String “.*autodiscover\.json.*\@.*Powershell.*” (excluding quotes) and click OK.
  • 8. Expand the rule and select the rule with the Pattern ".*autodiscover\.json.*\@.*Powershell.*" and click Edit under Conditions.
  • 9. Change the condition input from {URL} to {REQUEST_URI}
และยังแนะนำให้ดำเนินการ ปิด Port ที่ใช้งาน Remote PowerShell ระยะไกลเพื่อป้องกันการโจมตีที่
  • HTTP: 5985
  • HTPPS: 5986
และให้ดำเนินการตรวจสอบ Exchange Server ของผู้ใช้งานตรวจสอบ Server ของตนเองโดยใช้คำสั่ง
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'

Ref: bleepingcomputer
ที่
ป้ายกำกับ: , , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)