พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

  1. In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.
  3. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้