รายงานเคสกลุ่มแรกๆ ที่ไม่สามารถเข้าถึงการบริการของ Office356 ได้ มาจากภูมิภาคยุโรป ตะวันออกกลาง และเอเชีย (EMEA) Microsoft ได้ทำการตรวจสอบปัญหาที่ผู้ใช้บางรายในภูมิภาค EMEA ไม่สามารถเชื่อมต่อกับบริการ Microsoft Office365 บางรายการได้ ซึ่งทราบว่ามาจากกฎใหม่ของ SNORT เพื่อป้องกันการบุกรุก
Microsoft ทำงานร่วมกับเหล่าพันธมิตรด้านไฟร์วอลล์เพื่อตรวจสอบกฎ SNORT 1-60381 ซึ่งมีวิธีการช่วยเหลือผู้ใช้งานที่ได้รับผลกระทบในทันที คือ การปิดใช้กฎ SNORT 1-60381
ด้าน Meraki เห็นด้วยถึงปัญหาที่เกิดขึ้นว่ามาจากกฎใหม่ของ SNORT 1-60381 และรับทราบรายงานจาก Microsoft ถึงช่องโหว่ CVE-2022-35748 ที่ทำให้เกิดกฎ SNORT 1-60381 ซึ่งหลังจากผ่านไปเพียงแค่สามชั่วโมง Meraki แจ้งรายการว่าได้มีการแก้ไขปัญหาดังกล่าวโดยอัตโนมัติแล้วเมื่อเวลา 3:00 PM. (ตามเวลาท้องถิ่นของสหรัฐอเมริกา)
บริการที่ได้รับผลกระทบ:
-
Exchange Online
-
Microsoft Teams
-
Outlook desktop clients
-
OneDrive for Business
SNORT เป็นระบบตรวจจับการบุกรุกเครือข่ายโอเพนซอร์ส (IDS) และระบบป้องกันการบุกรุก (IPS) ที่สร้างขึ้นในปี 1998 โดย Martin Roesch ผู้ก่อตั้งและอดีต CTO ของ Sourcefire ขณะนี้ SNORT ได้รับการพัฒนาโดย Cisco จากการเข้าซื้อ Sourcefire ในปี 2013
https://en.wikipedia.org/wiki/Snort_(software)
อัปเดตล่าสุด กฎ SNORT 1-60381 การตรวจสอบการโจมตีแบบ open source signature-based ระหว่างผู้ใช้และบริการ ปัจจุบันได้ขึ้นสถานะ
“DELETED” บนหน้าเว็บไซต์
https://www.snort.org/rule_docs/1-60381 แล้ว และแสดงข้อความว่า
“กฎนี้ถูกลบไปแล้ว กฎถูกลบด้วยเหตุผลหลายประการ กฎที่ถูกลบจะไม่ส่งผลกระทบต่อลูกค้าและไม่ทำให้เกิดช่องว่างในในการครอบคลุม กฎที่ถูกลบจะแสดงสำหรับการอ้างอิงในอดีตและไม่ควรใช้”