Microsoft ออกแพตช์อุดช่องโหว่ฉุกเฉินให้ Exchange Server แนะผู้ดูแลเร่งมืออัปเดต

Microsoft ได้พบการโจมตีช่องโหว่ Zero-day 4 รายการใน Exchange Server จึงได้ทำแพตช์ฉุกเฉินและเตือนให้ผู้ดูแลองค์กรรีบอัปเดต

Credit: ShutterStock.com

ช่องโหว่ 4 รายการสามารถใช้ร่วมกันเพื่อแฮ็ก Exchange Server แบบ On-premise ได้ หากสามารถเข้าถึงพอร์ต 443 ที่เปิดเอาไว้ 

  • CVE-2021-26855 – ช่องโหว่ Server-side Request Forgery (SSRF) ช่วยให้คนร้ายสามารถส่ง HTTP Request เข้าโจมตีเซิร์ฟเวอร์และพิสูจน์ตัวตนได้
  • CVE-2021-26857 – ช่องโหว่ Insecure Deserialization ใน Unified Messagin Service โดยนำไปสู่การลอบรันโค้ดในบริบทของ SYSTEM
  • CVE-2021-26858 และ CVE-2021-27065 – ช่องโหว่ที่ช่วยให้สามารถเขียนไฟล์บนเซิร์ฟเวอร์ไปยัง Path ใดๆได้ 

Microsoft พบว่าคนร้ายจากจีนภายใต้กลุ่ม ‘Hafnium’ ได้ใช้ช่องโหว่เหล่านี้เพื่อโจมตีบริษัทในอเมริกาหลายแห่ง ซึ่งเมื่อคนร้ายแฮ็กเข้ามาแล้วก็จะลอบเก็บข้อมูลหน่วยความจำเพื่อกวาดหา Credential ที่อยู่ในแคช พยายามขโมยข้อมูลในกล่องข้อความ และเปิดทางให้คนร้ายเข้ามายังเครือข่าย

สำหรับใครที่อยากทราบว่าเครื่องขององค์กรมีช่องโหว่หรือไม่สามารถดาวน์โหลดสคิร์ปของ NMAP ไปตรวจด้วยตนเองได้ที่ GitHub แต่ถ้าหากอยากรู้ว่าถูกแฮ็กแล้วหรือยังสามารถสำรวจ Log ได้ด้วยคำสั่ง PowerShell ตามคำแนะนำในบล็อกของ Microsoft ที่ https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

ที่มา : https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google เผยมือมืดผู้พัฒนาเครื่องมือใช้ช่องโหว่ Windows

มีบริษัทมากมายบนโลกได้นำเสนอการพัฒนาชุดเจาะระบบเพื่อขายให้แก่รัฐบาลต่างๆ ซึ่ง Google’s Threat Analysis Group (TAG) ได้ระบุตัวถึงอีกหนึ่งบริษัทในสเปนที่พัฒนาชุดเครื่องมือใช้งานช่องโหว่ใน Chrome, Firefox และ Microsoft Defender ซึ่งได้รับการแพตช์ครบตั้งแต่ต้นปี 2022

อีกแล้ว! LastPass ประกาศเหตุข้อมูลรั่วไหล พร้อมกับ GoTo

LastPass ได้ประกาศเหตุข้อมูลรั่วไหลเป็นครั้งที่สองแล้วของปี หลังจากครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา อย่างไรก็ดียังเป็นเหตุการณ์ที่มีจุดร่วมกับ GoTo ผู้ให้บริการ Remote Access และโซลูชัน Collaboration ในส่วนของ Cloud Storage ที่ทั้งสองแชร์ร่วมกัน