fbpx Skip to content

ช่องโหว่ Zero-day ของ Microsoft Exchange ถูกใช้โจมตีรัฐบาลท้องถิ่นสหรัฐฯ

 217 views

จากการตรวจสอบช่องโหว่ Zero-day* ของ Microsoft Exchange เมื่อเร็ว ๆ นี้ พบช่องโหว่ 4 ช่องที่ถูกนำไปใช้ในการโจมตีหน่วยงานรัฐบาลท้องถิ่นของสหรัฐฯ โดยเมื่อวันที่ 2 มีนาคม Microsoft เตือนว่ามีช่องโหว่ Zero-day 4 ตัวที่ถูกติดตามจากผู้ไม่หวังดี คือ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065

 

ทั้งนี้หากใช้ช่องโหว่นี้ในทางที่ผิด เซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์ Exchange Server ปี 2013, 2016 และ 2019 ก็สามารถถูกบุกรุกได้ง่าย ๆ อย่างไรก็ตาม Microsoft ได้แนะนำให้ลูกค้านำแพตช์มาแก้ไขช่องโหว่นี้ในทันที และการเปิดเผยช่องโหว่ Zero-days นี้ ก็ยิ่งทำให้ cyberattackers โจมตีได้ทันทีเช่นเดียวกัน

 

Web Shell

 

ผู้ร้ายใช้ช่องโหว่นี้เพื่อเข้าไปปรับ Web Shell

 

จากรายงานของ Cybersecurity team ของ FireEye* พบว่ามีการติดตามการโจมตีสถานที่ต่าง ๆ ที่ละเมิดข้อบกพร่องด้านความปลอดภัยของ Exchange อยู่หลายครั้ง ซึ่งในบรรดาเหยื่อรายล่าสุด ได้แก่ หน่วยงานรัฐบาลท้องถิ่น มหาวิทยาลัย บริษัทวิศวกรรม และผู้ค้าปลีกในสหรัฐอเมริกา

 

อีกทั้งในเดือนนี้ได้มีการสังเกตเห็นว่า cyberattacker รายหนึ่งได้ใช้ช่องโหว่นี้เพื่อเข้าไปปรับ web shell* บนเซิร์ฟเวอร์ของ Exchange ที่มีช่องโหว่ และเพื่อ “establish persistence และ secondary access” โดยที่ cyberattackers รายนั้นก็พยายามที่จะลบ administrator accounts บนเซิร์ฟเวอร์ของ Exchange อีกด้วย

 

Exchange Server

 

ผู้ร้ายอาจใช้ช่องโหว่ Exchange Server เข้าถึงกลไกต่าง ๆ

 

นอกจากนี้การขโมยข้อมูล การบีบอัดข้อมูล และการใช้ PowerShell* เพื่อขโมย email inboxes ทั้งหมดก็ถูกบันทึกไปด้วยเช่นกัน อีกทั้งยังมีการใช้เครื่องมือ Covenant, Nishang และ PowerCat เพื่อทำการ remote access เข้ามาด้วย FireEye เสริมว่าหน่วยงานรัฐบาลของเอเชียตะวันออกเฉียงใต้ และบริษัทโทรคมนาคมในเอเชียกลางอาจเกี่ยวข้องกับแคมเปญนี้ พร้อมบ่งชี้ว่าผู้คุกคามเหล่านี้มีแนวโน้มที่จะใช้ช่องโหว่ของ Exchange Server เพื่อเข้าถึงกลไกต่าง ๆ

 

ผู้ใช้ Microsoft Exchange ควรอัปเดตซอฟต์แวร์ทันที

 

ก่อนหน้านี้ Microsoft ได้อ้างถึงการโจมตีของ Hafnium ซึ่งเป็นกลุ่มภัยคุกคามขั้น advanced หรือ APT (Advanced Persistent Threat) ที่รัฐบาลจีนให้การสนับสนุนอยู่ ว่าเคยมีส่วนเกี่ยวข้องกับการโจมตีบริษัทป้องกันภัย ภาคกฎหมาย นักวิจัย และรถถังของสหรัฐ

 

เซิร์ฟเวอร์

 

FireEye คาดว่าจะมีกลุ่มบุกรุกเพิ่มขึ้น ซึ่งเป็นปัญหาที่น่าจะเกิดขึ้นต่อไป จนกว่าเซิร์ฟเวอร์ที่มีช่องโหว่จะได้รับการแก้ไข ด้าน Kaspersky* กล่าวว่า มีความเสี่ยงสูงที่ Microsoft Exchange จะถูก ransomware และถูกขโมยข้อมูล จึงอยากขอให้ผู้ใช้ Microsoft Exchange ทุกคนอัปเดตซอฟต์แวร์โดยเร็วที่สุด

 

อย่างไรก็ตามในสัปดาห์นี้หน่วยงาน Cybersecurity และ Infrastructure Security Agency (CISA) ได้ออกคำสั่งฉุกเฉิน ให้หน่วยงานของรัฐบาลกลางจัดการกับช่องโหว่ของ Microsoft Exchange ทันที

 

บทความที่เกี่ยวข้อง: Robinhood บริษัทการเงินของอเมริกา เจอแฮกบัญชีเกือบ 2,000 บัญชี

 

ชื่อต่าง ๆ ในบทความ:

 

Zero-day คือ ชื่อเรียกช่องโหว่หรือจุดอ่อนในระบบคอมพิวเตอร์ประเภทหนึ่ง ซึ่งเกิดขึ้นจากความผิดพลาดในขั้นตอนการออกแบบและพัฒนาระบบ ที่ผู้พัฒนาไม่สามารถตรวจสอบพบก่อนนำระบบนั้นมาใช้งานจริง

FireEye ผู้ให้บริการทางด้าน Cyber Security ชื่อดังระดับโลก คลอบคลุมทุก Solutions

Web shell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆ

PowerShell คือ อินเทอร์เฟซสำหรับเข้าถึงเซอร์วิสต่าง ๆ บนระบบปฏิบัติการ ถูกออกแบบขึ้นเพื่อรันงานต่าง ๆ แบบอัตโนมัติ และเป็น Command Shell รูปแบบใหม่จาก Microsoft

Kaspersky คือกลุ่มผลิตภัณฑ์ซอฟต์แวร์ป้องกันไวรัสที่พัฒนาโดยบริษัท Kaspersky Lab

 

ที่มา: zdnet.com

 

ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity