พบช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

พบช่องโหว่ Zero-Day แบบ Remote Code Execution ใหม่บน Microsoft Exchange มีรายงานการโจมตีแล้ว

ผู้เชี่ยวชาญทางด้านความมั่นคงปลอดภัยจาก GTSC ประเทศเวียดนาม รายงานช่องโหว่ Zero-Day ใหม่บน Microsoft Exchange ที่เริ่มตรวจพบการโจมตีแล้ว มีการรายงานไปยัง Zero Day Initiative (ZDI) ประกอบด้วยช่องโหว่ 2 ตัวได้แก่ ZDI-CAN-18333 มีคะแนน CVSS 8.8 และ ZDI-CAN-18802 มีคะแนน CVSS 6.3 ช่องโหว่นี้สามารถสร้างความเสียหายได้ค่อนข้างมาก ทำให้ผู้โจมตีสามารถทำ Remote Code Execution (RCE) ไปยังเครื่องเป้าหมายได้ โดยใช้การโจมตีด้วย Request ที่มีลักษณะคล้ายกับการโจมตีช่องโหว่ ProxyShell ก่อนหน้านี้ และเมื่อเจาะผ่านช่องโหว่ได้สำเร็จ จะมีการติดตั้ง Antsword ซึ่งเป็น Webshell จากประเทศจีนเพื่อใช้เป็น Backdoor ในการโจมตีต่อไป

ล่าสุด Trend Micro ได้ออกรายงานเตือนเกี่ยวกับช่องโหว่นี้มาแล้วเช่นกัน มีการเพิ่ม Protection และ Detection Rule ในผลิตภัณฑ์ของตนเองแล้ว ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จากทาง Microsoft โดยทาง GTSC แนะนำให้ผู้ดูแลระบบแก้ไขปัญหาชั่วคราวไปก่อนด้วยการปรับแต่ง IIS Server rule ผ่านทาง URL Rewrite Rule Module ดังนี้

In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking. Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path. Condition input: Choose {REQUEST_URI}

ผู้ดูแลระบบที่ต้องการตรวจสอบว่า Exchange Server ถูกโจมตีหรือไม่ สามารถรันคำสั่ง PowerShell ด้านล่างเพื่อตรวจสอบ IIS Log

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

สามารถอ่านรายละเอียดเกี่ยวกับช่องโหว่เพิ่มเติมได้ที่ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

ที่มา: https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/