พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

  1. In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.
  3. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

รีวิว : Acer Swift Go 14 แล็ปท็อปเพื่อธุรกิจที่ความคล่องตัว ขับเคลื่อนด้วย Intel Core i7 เจนเนอเรชัน 13 รุ่นล่าสุด

Acer Swift Go 14 จะเข้ามาเป็นคู่หูที่รู้ใจให้การทำงานในรูปแบบ Working from Anywhere มีความคล่องตัวมากยิ่งขึ้น ด้วยความบางเพียง 14.9 มม. มีน้ำหนักเบาถึง 1.25 กก. …

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image

Kali Linux ออกอัปเดต 2023.2 มาพร้อมเครื่องมือใหม่ 13 ตัวและ pre-built Hyper-V image