Microsoft ออกแพตช์อุดช่องโหว่ฉุกเฉินให้ Exchange Server แนะผู้ดูแลเร่งมืออัปเดต

Microsoft ได้พบการโจมตีช่องโหว่ Zero-day 4 รายการใน Exchange Server จึงได้ทำแพตช์ฉุกเฉินและเตือนให้ผู้ดูแลองค์กรรีบอัปเดต

ช่องโหว่ 4 รายการสามารถใช้ร่วมกันเพื่อแฮ็ก Exchange Server แบบ On-premise ได้ หากสามารถเข้าถึงพอร์ต 443 ที่เปิดเอาไว้ 

• CVE-2021-26855 – ช่องโหว่ Server-side Request Forgery (SSRF) ช่วยให้คนร้ายสามารถส่ง HTTP Request เข้าโจมตีเซิร์ฟเวอร์และพิสูจน์ตัวตนได้
• CVE-2021-26857 – ช่องโหว่ Insecure Deserialization ใน Unified Messagin Service โดยนำไปสู่การลอบรันโค้ดในบริบทของ SYSTEM
• CVE-2021-26858 และ CVE-2021-27065 – ช่องโหว่ที่ช่วยให้สามารถเขียนไฟล์บนเซิร์ฟเวอร์ไปยัง Path ใดๆได้ 

Microsoft พบว่าคนร้ายจากจีนภายใต้กลุ่ม ‘Hafnium’ ได้ใช้ช่องโหว่เหล่านี้เพื่อโจมตีบริษัทในอเมริกาหลายแห่ง ซึ่งเมื่อคนร้ายแฮ็กเข้ามาแล้วก็จะลอบเก็บข้อมูลหน่วยความจำเพื่อกวาดหา Credential ที่อยู่ในแคช พยายามขโมยข้อมูลในกล่องข้อความ และเปิดทางให้คนร้ายเข้ามายังเครือข่าย

สำหรับใครที่อยากทราบว่าเครื่องขององค์กรมีช่องโหว่หรือไม่สามารถดาวน์โหลดสคิร์ปของ NMAP ไปตรวจด้วยตนเองได้ที่ GitHub แต่ถ้าหากอยากรู้ว่าถูกแฮ็กแล้วหรือยังสามารถสำรวจ Log ได้ด้วยคำสั่ง PowerShell ตามคำแนะนำในบล็อกของ Microsoft ที่ https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/