พบช่องโหว่ Zero-Days บน Microsoft Exchange จำนวน 4 รายการ ที่ทำให้ ผู้ไม่ประสงค์ดีสามารถโจมตีจากภายนอกเพื่อเรียกใช้ หรือเปิดเผยข้อมูลที่มีความสำคัญบน Microsoft Exchange ที่ได้รับผลกระทบ ซึ่งถูกรายงานโดย Zero Day Initiative (ZDI) ของ Trend Micro ซึ่งรายงานช่องโหว่เหล่านี้ไปยัง Microsoft ในวันที่ 7 และ 8 กันยายน 2023
แม้ว่า Microsoft จะรับทราบรายงานดังกล่าวแล้ว แต่วิศวกรด้านความปลอดภัยก็ตัดสินใจว่าช่องโหว่ดังกล่าวไม่ได้รุนแรงพอที่ออกแพตซ์เพื่อแก้ไขในทันที โดยเลื่อนการแก้ไขออกไปในภายหลัง ZDI ไม่เห็นด้วยกับการตอบรับดังกล่าว และตัดสินใจเผยแพร่ช่องโหว่ภายใต้รหัสของตนเองเพื่อแจ้งเตือนผู้ดูแลระบบ Exchange เกี่ยวกับความเสี่ยงด้านความปลอดภัย
ช่องโหว่ Zero-Days ที่พบ :
- ZDI-23-1578 – ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ใน 'ChainedSerializationBinder' class ซึ่งเกิดจากการที่ข้อมูลของผู้ใช้งานไม่ได้รับการตรวจสอบอย่างเพียงพอ ทำให้ผู้โจมตีสามารถ deserialize untrusted data ได้ โดยหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถรันโค้ดได้ตามที่ต้องการด้วยสิทธิ์ 'SYSTEM' ซึ่งเป็นสิทธิ์ระดับสูงสุดบน Windows
- ZDI-23-1579 – ช่องโหว่นี้อยู่ใน 'DownloadDataFromUri' method ซึ่งเกิดจากการตรวจสอบ URI ไม่เพียงพอก่อนการเข้าถึงทรัพยากร อาจทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงข้อมูลที่มีความสำคัญบนเซิร์ฟเวอร์ Exchange ได้
- ZDI-23-1580 – ช่องโหว่นี้อยู่ใน 'DownloadDataFromOfficeMarketPlace' method ซึ่งเกิดจากการตรวจสอบ URI ที่ไม่เหมาะสม ซึ่งอาจนำไปสู่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
- ZDI-23-1581 – ช่องโหว่นี้อยู่ใน CreateAttachmentFromUri method โดยช่องโหว่คล้ายกับช่องโหว่ก่อนหน้านี้ที่มีการตรวจสอบ URI ที่ไม่เหมาะสม ซึ่งเสี่ยงต่อการเปิดเผยข้อมูลที่มีความสำคัญ
ช่องโหว่ทั้งหมดนี้จำเป็นต้องผ่านการ authentication ก่อน สำหรับการโจมตี ซึ่งทำให้ระดับความรุนแรง CVSS ลดลงเหลือระหว่าง 7.1 ถึง 7.5 ทั้งนี้การต้องมี authentication ก่อน อาจเป็นสาเหตุว่าทำไม Microsoft จึงไม่เร่งรีบในการแก้ไขช่องโหว่ดังกล่าว
อย่างไรก็ตาม ผู้ไม่ประสงค์ดีมีหลายวิธีในการเข้าถึง Exchange credentials เช่น การ brute-forcing ไปยังรหัสผ่านที่คาดเดาได้ง่าย, การโจมตีแบบ phishing, การซื้อรหัสผ่านจาก ตลาดมืด(DarkWeb) และการใช้รหัสผ่านที่ขโมยมาจาก log ของระบบ
ทั้งนี้ทางนักวิจัย Zero Day Initiative (ZDI) ของ Trend Micro ได้แนะนำให้เปิดใช้งาน multi-factor authentication เพื่อไม่ให้ ผู้ไม่ประสงค์ดีสามารถเข้าถึง Exchange instance ได้ ถึงแม้ว่าข้อมูล credentials จะถูกเข้าถึงได้แล้วก็ตาม
แต่เมื่อ วันที่ 4 พฤษศจิกายน 2023 - โฆษกของ Microsoft ได้ให้ข้อมูลกับ BleepingComputer เพิ่มเติมแล้วดังนี้
Microsoft ได้ตรวจสอบรายงานช่องโหว่เหล่านี้แล้ว และพบว่าบางส่วนได้มีการแก้ไขแล้ว หรือไม่ตรงตามเกณฑ์สำหรับการออกแพตซ์อัปเดตทันที ภายใต้แนวทางการจัดประเภทความรุนแรงของช่องโหว่จาก Microsoft จะตรวจสอบจัดการกับช่องโหว่เหล่านี้ในเวอร์ชันผลิตภัณฑ์ และการอัปเดตในอนาคตตามความเหมาะสม
Microsoft ยังให้ข้อมูลเพิ่มเติมด้านล่างเกี่ยวกับช่องโหว่ที่ถูกพบดังนี้:
- ZDI-23-1578: ลูกค้าที่ได้อัปเดตความปลอดภัยในเดือนสิงหาคมได้รับการแก้ไขช่องโหว่เรียบร้อยแล้ว
- ZDI-23-1581: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน และไม่มีหลักฐานใดที่แสดงให้เห็นว่าสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ได้
- ZDI-23-1579: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน
- ZDI-23-1580: เทคนิคที่อธิบายไว้กำหนดให้ ผู้ไม่ประสงค์ดีต้องมีสิทธิ์เข้าถึง email credentials ก่อน และไม่มีหลักฐานใดที่แสดงให้เห็นว่าสามารถใช้เพื่อเข้าถึงข้อมูลลูกค้าที่มีความสำคัญได้
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น