พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

Credit: ShutterStock.com

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

  1. In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.
  2. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.
  3. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

ขอเชิญ Data Protection Officer, Auditor และ HR ร่วมงาน NCSA Thailand National Cyber Week 2023 [17-18 ก.พ. 2023 ณ สามย่านมิตรทาวน์]

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญ Data Protection Officer, Auditor และ HR ทุกท่านที่สนใจ เข้าร่วมสัมมนาและฟังบรรยายในงาน Cybersecurity Expo ระดับชาติ “Thailand National Cyber Week 2023” เพื่อเรียนรู้ถึงข้อกฎหมายและกฎเกณฑ์บังคับด้าน Cybersecurity และ Data Privacy เจาะลึกในอุตสาหกรรมของไทย รับชมเนื้อหาการบรรยายด้านข้อกฎหมายและประเด็นน่าสนใจที่หลากหลาย พร้อมพบปะกับเจ้าหน้าที่ของ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) และสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) โดยตรง ในวันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

ขอเชิญประชาชนทุกท่าน ร่วมงาน NCSA Thailand National Cyber Week 2023 [17-18 ก.พ. 2023 ณ สามย่านมิตรทาวน์]

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญประชาชนชาวไทยทุกท่านที่สนใจ เข้าร่วมสัมมนาและฟังบรรยายในงาน Cybersecurity Expo ระดับชาติ “Thailand National Cyber Week 2023” เพื่อเรียนรู้ถึงแนวทางการระวังภัยคุกคามไซเบอร์สำหรับตนเอง, เยาวชนในครอบครัว และไขข้อข้องใจสำหรับกรณีแก๊ง Call Center และแอปดูดเงินธนาคาร ว่าเหล่ามิจฉาชีพทำการหลอกลวงอย่างไร และเราจะป้องกันตนเองได้อย่างไรโดยไม่มีค่าใช้จ่าย ในวันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์