Microsoft แจ้งเตือน Exchange 2016 และ 2019 จะ End of Support ในเดือนตุลาคม 2025

    Microsoft แจ้งเตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่มีการขยายเวลาออกมาในเดือนตุลาคม 2025 นี้ และแบ่งปันคำแนะนำสำหรับผู้ที่ต้องการเลิกใช้ Exchange Servers

    จริง ๆ แล้ว Exchange 2016 จะสิ้นสุดการสนับสนุนในเดือนตุลาคม 2020 ขณะที่ Exchange 2019 จะสิ้นสุดการสนับสนุนเมื่อวันที่ 9 มกราคม 2024 ที่ผ่านมา

  หลังจากวันที่ 14 ตุลาคม 2025 Microsoft จะไม่ให้การสนับสนุนทางเทคนิคสำหรับปัญหาที่เกิดกับ Exchange 2016 หรือ Exchange 2019 อีกต่อไป รวมถึงการสนับสนุนทางเทคนิค และการแก้ไขช่องโหว่สำหรับปัญหาที่เพิ่งค้นพบซึ่งอาจส่งผลกระทบต่อการใช้งาน และความเสถียรของ Exchange Servers ซึ่งอาจทำให้ Servers เสี่ยงต่อการถูกโจมตีจากช่องโหว่

อัปเกรดเป็น Exchange Online หรือ Exchange Server SE

    Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปยัง Exchange Online (ในรูปแบบ Office 365 subscription หรือ stand-alone service) หรือเตรียมอัปเกรดเป็น Exchange Server Subscription Edition (SE) เมื่อมีการเปิดตัวในช่วงครึ่งหลังของปี 2025

    โดยผู้ดูแลระบบสามารถดำเนินการอัปเกรดจาก Exchange Server 2019 เป็น Exchange Server SE ซึ่งเหมือนกับการติดตั้ง Cumulative Update (CU)

    ทั้งนี้ทีมงาน Exchange ได้ระบุว่าเพื่อให้สามารถอัปเกรด Exchange Server 2019 ได้อย่างรวดเร็ว และง่ายขึ้น จึงได้เพิ่มฟีเจอร์ใหม่เข้ามาใน Exchange Server 2019 CU15 และจะส่งฟีเจอร์เหล่านั้นไปที่ Exchange Server SE CU1 หรือรุ่นที่ใหม่กว่า โดยปล่อยให้ Exchange SE RTM เป็นการอัปเดต branding ที่นำเสนอ lifecycle และ support policies แบบใหม่

    การย้ายไปยัง Exchange Server SE RTM จะทำให้ Server อยู่ในเส้นทางที่รองรับการอัปเดตไปยัง Exchange SE CU1 เมื่อ Exchange SE CU1 พร้อมใช้งาน เวอร์ชันเก่าทั้งหมดจะไม่รองรับอีกต่อไป

Microsoft ได้ออกเอกสารคำแนะนำโดยละเอียดสำหรับ global admin เกี่ยวกับการย้ายไปยัง Microsoft 365 และการย้ายไปยัง Exchange Online

Ref : bleepingcomputer.com

Microsoft ออกแพตซ์อัปเดต Exchange อีกครั้ง ภายหลังจากการแก้ไขปัญหาการส่งอีเมล

    Microsoft ออกแพตช์อัปเดตของเดือนพฤศจิกายน 2024 สำหรับ Exchange Server อีกครั้ง หลังจากถอนการอัปเดตดังกล่าวออกมาเมื่อต้นเดือนนี้ เนื่องจากเกิดปัญหาการส่งอีเมลบนเซิร์ฟเวอร์ที่ใช้รูปแบบการจัดการอีเมลแบบ Custom

    บริษัทประกาศว่าได้ถอนการอัปเดตเหล่านี้ออกจาก Download Center และ Windows Update หลังจากได้รับรายงานจำนวนมากจากผู้ดูแลระบบว่าอีเมลไม่สามารถส่งได้

    ปัญหานี้ส่งผลกระทบต่อผู้ใช้ที่ใช้ transport (mail flow) rules หรือ data loss protection (DLP) rules ซึ่งจะหยุดการทำงานเป็นระยะ ๆ หลังจากติดตั้งอัปเดตด้านความปลอดภัยสำหรับ Exchange Server 2016 และ Exchange Server 2019 ในเดือนพฤศจิกายน

    วันนี้ (27 พฤศจิกายน 2024) ทีมงาน Exchange ได้แนะนำผู้ดูแลระบบที่ติดตั้งการอัปเดตด้านความปลอดภัยเวอร์ชันแรกของเดือนพฤศจิกายน 2024 (Nov 2024 SUv1) ให้ติดตั้งการอัปเดตที่ออกใหม่อีกครั้งในเดือนพฤศจิกายน 2024 (Nov 2024 SUv2) ซึ่งมีการแก้ไขปัญหาการส่งอีเมลใน environments ที่ได้รับผลกระทบแล้ว

    ทั้งนี้ บริษัทได้แชร์ตารางดังต่อไปนี้ ซึ่งให้ข้อมูลโดยละเอียดเกี่ยวกับการดำเนินการที่ผู้ดูแลระบบต้องทำตามใน environment ของตนเอง

    Microsoft ยังแนะนำให้ผู้ดูแลระบบเรียกใช้สคริปต์ Exchange Health Checker หลังจากติดตั้งการอัปเดตด้านความปลอดภัย เพื่อช่วยตรวจสอบปัญหาการกำหนดค่า ซึ่งอาจส่งผลต่อประสิทธิภาพ และตรวจสอบว่ามีขั้นตอนเพิ่มเติมที่จำเป็นหรือไม่

    Microsoft ระบุเพิ่มเติมเมื่อวันอังคารว่า "เซิร์ฟเวอร์ที่ได้รับการอัปเดตอัตโนมัติจาก Windows Update จะพบแพตซ์ Nov 2024 SUv2 ของเดือนพฤศจิกายน 2024 ให้ใช้งาน"

    Microsoft ระบุเพิ่มเติมว่า "เราได้เลื่อนการปล่อย Nov 2024 SUv2 บน Microsoft / Windows Update ออกไปจนถึงเดือนธันวาคม เพื่อป้องกันไม่ให้เซิร์ฟเวอร์ติดตั้ง Nov 2024 SUv2 อัตโนมัติในช่วงวันหยุด Thanksgiving ของสหรัฐอเมริกา"

    โดยแพ็กเกจ Nov 2024 SUv2 ได้เพิ่มการตรวจสอบที่ละเอียดมากขึ้นในการตรวจจับ P2 FROM header ที่ไม่เป็นไปตามมาตรฐาน RFC ซึ่งถูกออกแบบมาเพื่อแจ้งเตือนอีเมลที่เป็นอันตราย ที่ต้องสงสัยว่ามีการโจมตีผ่านช่องโหว่ Exchange Server (CVE-2024-49040) ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถปลอมแปลงผู้ส่งให้ดูมีความน่าเชื่อถือเพื่อทำให้อีเมลที่อันตรายมีประสิทธิภาพมากขึ้น

    Microsoft ระบุว่าการตรวจจับการโจมตีจากช่องโหว่ CVE-2024-49040 และการแจ้งเตือนทางอีเมลจะถูกเปิดใช้งานเป็นค่า default ในเซิร์ฟเวอร์ทั้งหมดที่ผู้ดูแลระบบเปิดการตั้งค่าแบบ secure by default

Ref : bleepingcomputer.com

Microsoft แจ้งอัปเดต Hotfixes Exchange แก้ปัญหาการอัปเดตความปลอดภัย

ในเดือนเมษายน 2567 Microsoft ได้ออกการอัปเดต  Hotfixes  เพื่อแก้ไขปัญหาที่เกิดขึ้นจากการอัปเดตความปลอดภัย Exchange ในเดือนมีนาคม 2567

ปัญหาดังกล่าวรวมถึงโดเมนการดาวน์โหลดไม่ทำงานรูปภาพแบบอินไลน์ไม่แสดงผลและไฟล์แนบไม่สามารถดาวน์โหลดได้ใน  Outlook  on  the  Web  (OWA)

            การอัปเดต  Hotfixes เป็นแบบเลือก แต่แนะนำให้ติดตั้งสำหรับผู้ใช้งาน Exchange Server ทุกคน

            การอัปเดต  Hotfixes  ยังรวมถึงการปรับปรุงความปลอดภัยเพิ่มเติม  เช่น การรองรับใบรับรอง ECC และ HMA สำหรับ OWA/ECP

รายละเอียดเพิ่มเติม

            ปัญหา

                  ผู้ใช้งาน Exchange Server บางรายประสบปัญหาหลังจากติดตั้งการอัปเดตความปลอดภัยในเดือนมีนาคม 2567 ปัญหาดังกล่าวรวมถึง โดเมนการดาวน์โหลดไม่ทำงาน รูปภาพแบบอินไลน์ไม่แสดงผล และไฟล์แนบไม่สามารถดาวน์โหลดได้ใน OWA

            การแก้ไข

                    Microsoft  ได้ออกการอัปเดต  Hotfixes  เพื่อแก้ไขปัญหา การอัปเดต  Hotfixes  เป็นแบบเลือก แต่แนะนำให้ติดตั้งสำหรับผู้ใช้งาน Exchange Server ทุกคน

            การปรับปรุงความปลอดภัยเพิ่มเติม

                      การอัปเดต  Hotfixes  ยังรวมถึงการปรับปรุงความปลอดภัยเพิ่มเติม เช่น การรองรับใบรับรอง ECC และ HMA สำหรับ  OWA/ECP

            การติดตั้ง Hotfixes

                      ผู้ใช้งานและผู้ดูแลระบบสามารถดาวน์โหลดและติดตั้งการอัปเดต Hotfixes จากเว็บไซต์ Microsoft ได้

                      คู่มือการติดตั้งสามารถดูได้จากเว็บไซต์ Microsoft

 

Ref : BleepingComputer

Microsoft ประกาศสิ้นสุดการสนับสนุน Microsoft Exchange Server 2019

    Microsoft ประกาศกำหนดสิ้นสุดการสนับสนุนสำหรับซอฟแวร์ Exchange Server 2019 on-premises ในวันที่ 9 มกราคม 2024

    ตั้งแต่วันที่ 9 มกราคม 2024 เป็นต้นไป Microsoft จะไม่รับคำขอแก้ไข Bug และคำขอเปลี่ยนแปลงการออกแบบ Design Change Requests (DCR) อีกต่อไป แต่จะยังคงออกแพตช์เพื่อแก้ไขปัญหาด้านความปลอดภัย หรือช่องโหว่ที่ถูกพบต่อไป

    แม้ว่า Exchange Server 2019 จะมีการขยายการสนับสนุนจนถึงวันที่ 14 ตุลาคม 2025 ซึ่งในปี 2024 จะมีการออกอัปเดต 2 ครั้งคือ CU14 (H1 2024) ซึ่งจะเผยแพร่ในเดือนมกราคม 2024 และ CU15 (H2 2024) ในช่วงครึ่งหลังของปี 2024

    โดย CU14 จะมาพร้อมกับการรองรับ TLS 1.3, การแก้ไขการควบคุม S/MIME, Extended Protection ที่เปิดใช้งานตามค่าเริ่มต้น และอื่น ๆ อีกมากมาย

อนาคตของ Exchange Server

    ปัจจุบัน Microsoft ยังไม่ได้ให้คำแนะนำเพิ่มเติมเกี่ยวกับการสิ้นสุดการสนับสนุน Exchange 2019 รวมถึงการเปิดตัว Exchange Server on-premises mail server เวอร์ชันใหม่

• Exchange Server 2016 ยังอยู่ในการสนับสนุนเพิ่มเติมจนถึงเดือนตุลาคม 2025 หลังจากการประกาศสิ้นสุดการสนับสนุนในเดือนตุลาคม 2020
• Exchange Server 2013 ได้สิ้นสุดการขยายสิ้นสุดการสนับสนุน (EOS) ไปแล้วเมื่อวันที่ 11 เมษายน 2023

    ทั้งนี้ทาง Microsoft ได้แนะนำให้ผู้ดูแลระบบควรเปลี่ยนไปใช้ Exchange 2019 (จนถึงเดือนตุลาคม 2025) เพื่อให้สามารถอัปเดตสำหรับช่องโหว่ด้านความปลอดภัยใหม่ ๆ หรือย้ายไปยัง Exchange Online ของ Microsoft (Office 365 subscription หรือ stand-alone service) โดยทาง Microsoft ได้ทำเอกสารประกอบเพื่อแนะนำให้ผู้ดูแลระบบย้ายไปใช้งานบน Exchange Online แทน

Ref : bleepingcomputer

Microsoft ถอดอัปเดต Microsoft Exchange ล่าสุดออก หลังพบข้อผิดพลาดในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ

    Microsoft ได้ถอดการอัปเดตด้านความปลอดภัยในเดือนสิงหาคมของ Microsoft Exchange Server ออกจาก Windows Update หลังจากพบว่าตัวอัปเดต Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ มีข้อผิดพลาด

  การอัปเดตความปลอดภัยเหล่านี้ ได้แก้ไขช่องโหว่ 6 รายการ ได้แก่ ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 4 รายการ ช่องโหว่ด้านการยกระดับสิทธิ์ (Privilege Escalation) 1 รายการ และช่องโหว่การปลอมแปลง (Spoofing) 1 รายการที่สามารถใช้เพื่อโจมตีแบบ NTLM Relay Attack

  โดยผู้ใช้งานที่ทำการอัปเดตแพตซ์ Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ พบว่าหลังจากทำการอัปเดต Exchange Windows ไม่สามารถใช้งานได้ ซึ่งพบ Error Code 1603 ในขณะที่ทำการอัปเดต

ต่อมา Microsoft ได้อัปเดตข่าวการอัปเดตความปลอดภัยของ Exchange Server ในเดือนสิงหาคม 2023 ว่าได้ทำการลบตัวอัปเดตออกจาก Windows และ Microsoft Update ชั่วคราวในขณะที่กำลังตรวจสอบปัญหาที่เกิดขึ้น โดย Microsoft พบว่าเมื่อทำการอัปเดตแพตซ์ความปลอดภัย Microsoft Exchange Server 2019 หรือ 2016 บนระบบปฏิบัติการที่ไม่ใช่ภาษาอังกฤษ ตัวติดตั้งจะหยุด และย้อนกลับการเปลี่ยนแปลง และปล่อยให้บริการ Exchange Server Windows อยู่ในสถานะปิดใช้งาน

  รวมถึงได้แนะนำให้ผู้ใช้งาน Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษ งดเว้นการอัปเดตไปก่อน จนกว่าจะมีการแก้ไขที่ประกาศจาก Microsoft อีกครั้ง

  ทั้งนี้สำหรับผู้ใช้งานที่ได้รับผลกระทบจากการติดตั้ง Microsoft Exchange ที่ไม่ใช่ภาษาอังกฤษที่มีปัญหา ทาง Microsoft ได้แนะนำขั้นตอนเพื่อเปิดใช้งานเซิร์ฟเวอร์ Windows และเริ่ม Exchange Server ดังนี้ :

    1. หากได้ติดตั้ง SU แล้ว ให้ reset service ก่อนเรียกใช้การติดตั้งอีกครั้ง ซึ่งสามารถทำได้โดยการเรียกใช้ PowerShell script ต่อไปนี้ในหน้าต่าง PowerShell window :
เปลี่ยนเป็น directory ต่อไปนี้: \Exchange Server\V15\Bin
กด Enter .\ServiceControl.ps1 AfterPatch, แล้วกด Enter
Restart คอมพิวเตอร์

    2. ใน Active Directory (AD) ให้สร้างบัญชีที่มีชื่อเฉพาะที่ให้ไว้ในขั้นตอนนี้ โดยคำสั่งต่อไปนี้:
New-ADUser -Name "Network Service" -SurName "Network" -GivenName "Service" -DisplayName "Network Service" -Description "Dummy user to work around the Exchange August SU issue" -UserPrincipalName "Network Service@$((Get-ADForest).RootDomain)"

    3. รอการ AD replication (ประมาณ 15 นาที) และจากนั้น เริ่มการติดตั้ง Exchange Server SU ใหม่ ทั้งนี้การติดตั้งครั้งนี้ ควรที่จะทำงานได้

    4. หลังจากการติดตั้งเสร็จสิ้น ให้ใช้คำสั่งต่อไปนี้:
$acl = Get-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server"
$rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System. Security.Principal.SecurityIdentifier("S-1-5-20")), 983103, 3, 0, 0)
$acl.SetAccessRule($rule)
Set-Acl -Path "HKLM:\SOFTWARE\Microsoft\MSIPC\Server " -AclObject $acl

    5. ทำการ Restart Exchange server เพื่อให้การติดตั้งเสร็จสิ้น

    6. หลังจากอัปเดต Exchange server ทั้งหมดแล้ว คุณสามารถลบบัญชี AD ที่สร้างขึ้นในขั้นตอนที่ 2 ได้
เมื่อทำตามขั้นตอนเหล่านี้ และทำการ Restart Exchange server แล้ว Windows ควรที่จะสามารถทำงานได้อีกครั้ง และ Exchange จะถูก back up และ running

  สำหรับผู้ใช้งานที่ใช้ Windows ที่เป็นภาษาอังกฤษ Microsoft ได้แนะนำให้ดาวน์โหลด และติดตั้งการอัปเดตเพื่อป้องกันการโจมตีจากช่องโหว่ที่เกิดขึ้น

Ref : bleepingcomputer

Microsoft แจ้งเตือน ผู้ไม่ประสงค์ดีใช้ Exchange server เป็นเซิร์ฟเวอร์แพร่กระจายมัลแวร์

    Microsoft และทีม CERT ของยูเครน แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีในชื่อ Turla ซึ่งได้รับการสนับสนุนโดยรัฐบาลรัสเซีย ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมการป้องกันประเทศ โดยมุ่งเป้าโจมตีไปที่ Exchange server ด้วย malware backdoor ตัวใหม่ ในชื่อ 'DeliveryCheck' เพื่อเปลี่ยนให้เป็นเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์

   Turla หรือที่รู้จักในชื่อ Secret Blizzard, KRYPTON และ UAC-0003 เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มีความเกี่ยวข้องกับ Federal Security Service (FSB) ของรัสเซีย ซึ่งมีความเกี่ยวข้องกับการโจมตีเพื่อต่อต้านชาติตะวันตกในช่วงหลายปีที่ผ่านมา รวมถึง Snake cyber-espionage malware botnet ที่เพิ่งถูกขัดขวางในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ชื่อว่า Operation MEDUSA

การกำหนดเป้าหมายไปยัง Microsoft Exchange

ในที่เผยแพร่ของ CERT-UA และ Microsoft นักวิจัยได้สรุปขั้นตอนการโจมตีของ Turla ไว้ดังนี้

1. ผู้โจมตีเริ่มต้นจากการส่ง phishing email ที่มีการแนบไฟล์ Excel XLSM และ XSLT stylesheet ซึ่งมี macro อันตรายฝังอยู่ 
2. macro จะทำการเรียกคำสั่ง PowerShell เพื่อสร้าง scheduled task ที่เลียนแบบตัวอัปเดตเบราว์เซอร์ Firefox
3. ทำการดาวน์โหลด DeliveryCheck backdoor (หรือรียกว่า CapiBar และ GAMEDAY) และทำงานในหน่วยความจำ
4. เชื่อมต่อออกไปยัง command and control (C2) server ของ ผู้ไม่ประสงค์ดีและรอรับคำสั่งเพื่อดำเนินการ หรือติดตั้งเพย์โหลดมัลแวร์เพิ่มเติม
5. DeliveryCheck ยังสามารถเปลี่ยนให้ Exchange server กลายเป็น C2 server เพื่อแพร่กระจายมัลแวร์ได้อีกด้วย
   โดยหลังจากที่สามารถเข้าควบคุมเครื่อง Exchange server ได้แล้ว ผู้โจมตีจะใช้ backdoor เพื่อขโมยมูลในเครื่องโดยใช้ Rclone tool

    Microsoft ระบุว่าส่วนประกอบดังกล่าวได้รับการติดตั้งโดยใช้ Desired State Configuration ซึ่งเป็นโมดูล PowerShell ที่ช่วยให้ผู้ดูแลระบบสามารถสร้างการกำหนดค่าเซิร์ฟเวอร์มาตรฐาน และนำไปใช้กับอุปกรณ์ได้ รวมถึงสามารถใช้เพื่อกำหนดค่าอุปกรณ์หลายเครื่องด้วยการตั้งค่าเดียวกันได้โดยอัตโนมัติ ซึ่ง ผู้ไม่ประสงค์ดีจะใช้ DSC เพื่อโหลดโปรแกรมปฏิบัติการ Windows ที่เข้ารหัส base64 โดยอัตโนมัติ เพื่อเปลี่ยนให้ Exchange server กลายเป็น C2 server

  รวมถึงในระหว่างการโจมตีของ Turla ทาง Microsoft และ CERT-UA ได้พบการติดตั้ง KAZUAR backdoor ที่เอาไว้ใช้ขโมยข้อมูล โดยมัลแวร์ตัวนี้เป็นเครื่องมือขโมยข้อมูลทางไซเบอร์ ที่ช่วยให้ ผู้ไม่ประสงค์ดีเปิดใช้ javascript บนอุปกรณ์ เพื่อขโมยข้อมูลจาก event log, ขโมยข้อมูลเกี่ยวกับ systems file, และขโมย authentication token ที่ใช้ในการพิสูจน์ตัวตน, cookie และ credentials จากโปรแกรมต่าง ๆ มากมาย รวมถึงเบราว์เซอร์, FTP client, VPN software, KeePass, Azure, AWS และ Outlook

    โดย CERT-UA ได้แบ่งปันตัวอย่างมัลแวร์ DeliveryCheck ให้กับบริษัทด้านความปลอดภัยทางไซเบอร์เพื่อช่วยในการตรวจจับ ซึ่งจากการตรวจสอบใน VirusTotal พบว่ามีผู้ให้บริการเพียง 14 ราย จาก 70 ราย เท่านั้นที่รายงานว่า DeliveryCheck เป็นอันตราย ซึ่งคาดว่าจะมีการรายงานเพิ่มมากขึ้นหลังจากนี้

Ref : bleepingcomputer

Microsoft: แจ้งเตือน Exchange Server 2013 กำลังจะ end-of-support ภายในเดือนเมษายน 2023

   Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง

   Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018

โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์

 ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

 เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย

  โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory

  Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

bleepingcomputer

MS Exchange servers ที่มีช่องโหว่กว่า 60,000 เครื่อง เสี่ยงต่อการโจมตีจากช่องโหว่ ProxyNotShell พบมีประเทศไทยด้วย

    นักวิจัยด้านความปลอดภัยที่ Shadowserver Foundation ออกมาเปิดเผยว่า จากการสำรวจในวันที่ 2 มกราคม 2023 พบ MS Exchange servers ที่มีช่องโหว่ 60,865 เครื่อง ที่ยังไม่ได้รับการ Update โดยในรายงานพบ MS Exchange servers ที่มีช่องโหว่ตั้งอยู่ในประเทศไทยจำนวน 231 เครื่อง

    ซึ่งเสี่ยงต่อการโจมตีโดย ProxyNotShell โดยที่ปัจจุบันทาง Microsoft ได้ออก Update ด้านความปลอดภัยเพื่อปิดช่องโหว่ดังกล่าวไปก่อนหน้านี้แล้ว

    ProxyNotShell เป็นวิธีการโจมตีช่องโหว่ที่มีหมายเลข CVE-2022-41082 และ CVE-2022-41040 ซึ่งส่งผลกระทบต่อ Exchange Server 2013, 2016 และ 2019 หาก ผู้ไม่ประสงค์ดีสามารถโจมตีได้สำเร็จจะทำให้สามารถยกระดับสิทธิ์ (Privileges Escalate) และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) บนเครื่องที่ถูกโจมตีได้

การโจมตี ProxyShell และ ProxyLogon ที่เกิดขึ้นอย่างต่อเนื่อง

•     BleepingComputer พบข้อมูลว่าช่องโหว่ของ MS Exchange servers ได้ถูกกลุ่มผู้ไม่ประสงค์ดีนำมาใช้โจมตีอยู่เป็นประจำ เช่น
•     กลุ่ม Play ransomware ที่ใช้ ProxyNotShell ในการหลีกเลี่ยงการตรวจจับ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบน Outlook Web Access (OWA) ของ MS Exchange servers ที่มีช่องโหว่
•     กลุ่ม FIN7 ที่ได้สร้างแพลตฟอร์ม Checkmarks ที่สร้างขึ้นเพื่อใช้ในการโจมตี MS Exchange servers ที่มีช่องโหว่โดยเฉพาะ ซึ่งจะสแกนหา และใช้ประโยชน์จากช่องโหว่ในการยกระดับสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องที่สามารถโจมตีได้สำเร็จ
•     รวมถึง Shodan search ยังได้รายงานว่าพบ MS Exchange servers จำนวนมากที่พบว่ายังออนไลน์อยู่ แต่ยังไม่ได้รับการ Update เพื่อปิดช่องโหว่ ProxyShell และ ProxyLogon ซึ่งเป็นช่องโหว่ที่ถูกโจมตีสูงสุดในปี 2021

วิธีแก้ไข

•     ทำการUpdateด้านความปลอดภัยบน MS Exchange servers 2013, 2016 และ 2019 ให้เป็นเวอร์ชันล่าสุด

Ref : bleepingcomputer

Microsoft: Exchange servers hacked via OAuth apps for phishing

Microsoft Exchange ถูกแฮ็กเพื่อส่ง Phishing Email ขโมยข้อมูลบัตรเครดิตของผู้ใช้งาน

    Microsoft ตรวจพบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ของผู้ใช้งานที่อยู่บนระบบคลาวด์ได้สำเร็จด้วยการโจมตีแบบ Credential Stuffing Attacks เป้าหมายในการโจมตีครั้งนี้คือ Deploy OAuth Application ที่เป็นอันตราย และส่ง Phishing Email เพื่อขโมยข้อมูลบัตรเครดิตของผู้ใช้ สาเหตุหลักๆที่ทำให้เกิดเหตุการณ์นี้คือบัญชี High Privileged บนระบบคลาวด์ไม่ได้เปิดใช้งาน Multi-factor Authentication (MFA) ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ Credential Stuffing Attack เป็นการโจมตีในรูปแบบการใช้ข้อมูลต่าง ๆ ที่เคยรั่วไหลออกมาก่อนหน้าจากเว็ปไซต์ หรือบริการต่าง ๆ เช่น E-Mail และ Password นำไปลองใช้เข้าสู่ระบบบนเว็บไซต์อื่น ๆ โดยสาเหตุที่ทำให้สามารถเข้าถึงข้อมูลได้เป็นจำนวนมาก เนื่องจากผู้ใช้งานส่วนใหญ่ตั้งบัญชีผู้ใช้ และรหัสผ่านเดียวกันในเว็ปไซต์ และบริการต่าง ๆ

ลักษณะการโจมตี

 เมื่อผู้โจมตีเข้าถึง Microsoft Exchange Server บนคลาวด์ได้สำเร็จแล้ว จะทำการสร้าง OAuth Application สำหรับเปิดการเชื่อมต่อที่เป็นอันตรายมายัง Exchange Server เมื่อเปิดการเชื่อมต่อถึงระบบ ผู้โจมตีจะอาศัยช่องทางนี้สร้าง Transport Rule ในการส่งข้อมูลเพื่อหลบการตรวจจับจากอุปกรณ์ต่าง ๆ จากนั้นจะส่ง Phishing Email ไปยัง Exchange Server เมื่อนำข้อมูลเข้า Exchange Server เรียบร้อยแล้ว มันจะทำการปิด Connection จากภายนอกทั้งหมด รวมถึงลบ Transport Rule ในการส่งข้อมูล เพื่อป้องกันไม่ให้ถูกตรวจพบ ในระหว่างนี้OAuth Application จะไม่มีการทำงานจนกว่าจะมีการนำเข้าข้อมูลใหม่อีกครั้ง

    การโจมตีเหล่านี้มีโครงสร้างพื้นฐานของการโจมตีมาจาก Amazon SES และ Mail Chimp ที่ใช้กันทั่วไปในการส่ง E-Mailหลังจากตรวจพบการโจมตี Microsoft ได้ลบ Application ทั้งหมดที่เชื่อมโยงกับการโจมตีนี้ มีการส่งการแจ้งเตือน และแนะนำมาตรการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด นอกจากนี้ยังพบว่าผู้โจมตียังมีการส่ง E-Mail Spam จำนวนมากภายในระยะเวลาอันสั้นด้วยวิธีการอื่น ๆ เช่น การเชื่อมต่อ Mail Server กับ IP อันตราย หรือการส่งโดยตรงจากระบบคลาวด์ที่มีการใช้งานอย่างถูกต้อง

Microsoft: Exchange servers hacked via OAuth apps for phishing