ผู้เชี่ยวชาญจากหลายแห่งได้เริ่มเตือนถึงการโจมตีระลอกใหม่ด้วยชุดช่องโหว่ ProxyShell หลังมีการปล่อยโค้ดสาธิตออกมา
ProxyShell คือชุดช่องโหว่กลุ่มหนึ่งที่ถูกค้นพบโดย Orange Tsui จาก Devcore และถูกนำไปใช้ครั้งแรกในงานแข่งขันแฮ็ก Pwn2Own 2021 เมื่อเดือนเมษายนที่ผ่านมา โดยชุดช่องโหว่มี 3 รายการถูกใช้ร่วมกันประกอบด้วย
- CVE-2021-34473 – ACL Bypass (KB5001779)
- CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์บน Exchange PowerShell Backend (KB5001779)
- CVE-2021-31207 – หลังจากผ่านการพิสูจน์ตัวตนสามารถ Arbitrary-File-Write ซึ่งนำไปสู่ RCE (KB5003435)
ต่อมาสัปดาห์ก่อนที่งาน Black Hat ทาง Tsui ได้ขึ้นมาพูดเกี่ยวกับช่องโหว่นี้อีกครั้งกับการใช้เพื่อหวังผลกับ Microsoft Exchange Client Access Service (CAS) ซึ่งได้แสดงการโจมตี ProxyShell โดยใช้ฟีเจอร์ AutoDiscover ของ Exchange เพื่อนำไปสู่ SSRF หลังจบงาน นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ PeterJson และ Nguyen Jang ได้นำไอเดียกลับไปสร้างโค้ดสาธิต
หลังจากนั้นไม่นาน Kevin Beaumount และทีมงานด้านความมั่นคงปลอดภัยหลายแห่งก็ได้พบว่าแฮ็กเกอร์เริ่มการสแกนเพื่อหาช่องโหว่แล้ว โดยชุดคำสั่งที่แฮ็กเกอร์ใช้ก็มีแพตเทิร์นประมาณว่า ‘https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com’ ในการโจมตีมีความพยายามทิ้ง Webshell เอาไว้ในโฟลเดอร์ ‘c:\inetpub\wwwroot\aspnet_client\’ ประกอบกับกิจกรรมเพิ่มเติมอื่นๆ ที่สุดท้ายแล้วก็คือการติดตั้ง Backdoor เอาไว้
ในไอเดียของการป้องกันผู้เชี่ยวชาญแนะนำให้ใช้ Azure Sentinel เรียกดูว่าพบคำสั่งที่มีรูปแบบการโจมตีหรือไม่ เช่น
W3CIISLog| where csUriStem == “/autodiscover/autodiscover.json”| where csUriQuery has “PowerShell” | where csMethod == “POST”
ทีมงาน Microsoft ได้แพตช์แก้ไขมาตั้งแต่เดือนเมษายนแล้ว (https://www.techtalkthai.com/microsoft-monthly-patch-may-2021-fixes-55-vulnerabilities/) ดังนั้นความกังวลน่าจะตกอยู่ที่ผู้ที่ยังไม่อัปเดตแพตช์จึงได้เตือนมาครับ