Microsoft เผยแพร่คำแนะนำเพื่อช่วยให้ผู้ใช้งานสามารถตรวจจับ หรือค้นหาสัญญาณของการโจมตีจากช่องโหว่ใน Microsoft Outlook
CVE-2023-23397 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถยกระดับสิทธิ์ใน Outlook client for Windows และนำ NTLM Hash ไปใช้โดยที่ผู้ใช้งานไม่รู้ตัว โดยการส่งข้อความที่มีคุณสมบัติ extended MAPI ที่มี UNC path ไปยัง SMB share (445) ที่ถูกควบคุมจากผู้ไม่ประสงค์ดี โดยช่องโหว่ดังกล่าวส่งผลกระต่อระบบ Windows เท่านั้น
รายงานการตรวจจับการโจมตีจากช่องโหว่ CVE-2023-23397
Microsoft ได้เผยแพร่เทคนิคต่าง ๆ เพื่อค้นหาสัญญาณของการโจมตีช่องโหว่ใน Microsoft Outlook ดังกล่าว รวมไปถึงวิธีการป้องกันจากช่องโหว่ดังกล่าว ไม่ว่าจะเป็น Script ที่เอาไว้ตรวจสอบว่า Exchange Server ได้ถูกโจมตีอยู่หรือไม่ รวมถึง IOC ต่าง ๆ ในกรณีที่ ผู้ไม่ประสงค์ดี ได้ลบร่องรอยการโจมตีออกไปแล้ว
โดยแหล่งที่มาของ Indicators of Compromise (IOC) ที่บ่งชี้ถึงสัญญาณของการถูกโจมตีจากช่องโหว่ Outlook มาจากหลากหลายแหล่งเช่น firewall, proxy, VPN, RDP Gateway logs รวมถึงบันทึก Azure Active Directory sign-in logs for Exchange Online users และ IIS Logs for Exchange Server
นอกจากนี้ยังรวมไปถึงจาก security team เช่น Windows event log และ Alert จาก Endpoint Detection and Response (EDR) เนื่องจากในเหตุการณ์การโจมตีช่องโหว่ จะมี IOC ที่เชื่อมโยงกับการโจมตีผู้ใช้ Exchange EWS/OWA รวมถึงการเปลี่ยนแปลง permission ในโฟลเดอร์ mailbox ซึ่งจะทำให้ ผู้ไม่ประสงค์ดี สามารถเข้าถึงอีเมลของเป้าหมายได้อย่างต่อเนื่อง
คำแนะนำในการป้องกันช่องโหว่ CVE-2023-23397
นอกจากนี้ Microsoft ได้ให้คำแนะนำเกี่ยวกับวิธีการป้องกันการโจมตีจากช่องโหว่ดังกล่าว โดยแนะนำให้รีบทำการ Update Patch ด้านความปลอดภัยของ Outlook ทั้งใน Exchange Online, Exchange Server และ platform และ มาตรการอื่น ๆ ที่บริษัทสามารถใช้เพื่อป้องกันการโจมตีจากช่องโหว่ CVE-2023-23397 ได้ ดังนี้ :
- หากในบริษัทมีการใช้งาน Microsoft Exchange Server ภายในบริษัท ควรทำการอัปเดตด้านความปลอดภัยโดยด่วนเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว
- เมื่อพบเห็นการแจ้งเตือนที่น่าสงสัยหรือเป็นอันตราย ให้ทำการตรวจสอบให้แน่ใจว่าได้มีการใช้ Script เพื่อลบข้อความ หรือคุณสมบัติบางอย่างหรือไม่ รวมไปถึงเตรียมแผนการตอบสนองต่อเหตุการณ์ ในกรณีที่พบการโจมตี
- ให้ทำการรีเซ็ตรหัสผ่านของบัญชีใด ๆ ที่สามารถเข้าสู่ระบบคอมพิวเตอร์ สำหรับผู้ใช้งานที่มีการใช้งานที่ผิดปกติ หรือมีการแจ้งเตือนด้านความปลอดภัยของบัญชีผู้ใช้งานรายนั้น
- ใช้การตรวจสอบสิทธิ์แบบ multifactor authentication เพื่อลดผลกระทบของการโจมตี Net-NTLMv2 Relay (ใช้ในการป้องการโจมตีทางออนไลน์)
- ปิดservice ที่ไม่จำเป็นใน Exchange
- จำกัดการรับส่งข้อมูล SMB โดยบล็อกการเชื่อมต่อบนพอร์ต 135 และ 445 จากที่อยู่ IP ขาเข้าทั้งหมด ยกเว้นที่อยู่ในรายการที่อนุญาตให้ใช้งาน
- ปิดใช้งาน NTLM บนเครือข่าย
วิธีการในการตรวจสอบ techcommunity.microsoft
Ref bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น