ผู้เชี่ยวชาญเตือนพบการโจมตี Microsoft Exchange ด้วยช่องโหว่ ‘ProxyShell’

ผู้เชี่ยวชาญจากหลายแห่งได้เริ่มเตือนถึงการโจมตีระลอกใหม่ด้วยชุดช่องโหว่ ProxyShell หลังมีการปล่อยโค้ดสาธิตออกมา

Credit: ShutterStock.com

ProxyShell คือชุดช่องโหว่กลุ่มหนึ่งที่ถูกค้นพบโดย Orange Tsui จาก Devcore และถูกนำไปใช้ครั้งแรกในงานแข่งขันแฮ็ก Pwn2Own 2021 เมื่อเดือนเมษายนที่ผ่านมา โดยชุดช่องโหว่มี 3 รายการถูกใช้ร่วมกันประกอบด้วย

  • CVE-2021-34473 – ACL Bypass (KB5001779)
  • CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์บน Exchange PowerShell Backend (KB5001779)
  • CVE-2021-31207 – หลังจากผ่านการพิสูจน์ตัวตนสามารถ Arbitrary-File-Write ซึ่งนำไปสู่ RCE (KB5003435)

ต่อมาสัปดาห์ก่อนที่งาน Black Hat ทาง Tsui ได้ขึ้นมาพูดเกี่ยวกับช่องโหว่นี้อีกครั้งกับการใช้เพื่อหวังผลกับ Microsoft Exchange Client Access Service (CAS) ซึ่งได้แสดงการโจมตี ProxyShell โดยใช้ฟีเจอร์ AutoDiscover ของ Exchange เพื่อนำไปสู่ SSRF หลังจบงาน นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ PeterJson และ Nguyen Jang ได้นำไอเดียกลับไปสร้างโค้ดสาธิต

หลังจากนั้นไม่นาน Kevin Beaumount และทีมงานด้านความมั่นคงปลอดภัยหลายแห่งก็ได้พบว่าแฮ็กเกอร์เริ่มการสแกนเพื่อหาช่องโหว่แล้ว โดยชุดคำสั่งที่แฮ็กเกอร์ใช้ก็มีแพตเทิร์นประมาณว่า ‘https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com’ ในการโจมตีมีความพยายามทิ้ง Webshell เอาไว้ในโฟลเดอร์ ‘c:\inetpub\wwwroot\aspnet_client\’ ประกอบกับกิจกรรมเพิ่มเติมอื่นๆ ที่สุดท้ายแล้วก็คือการติดตั้ง Backdoor เอาไว้

ในไอเดียของการป้องกันผู้เชี่ยวชาญแนะนำให้ใช้ Azure Sentinel เรียกดูว่าพบคำสั่งที่มีรูปแบบการโจมตีหรือไม่ เช่น

W3CIISLog| where csUriStem == “/autodiscover/autodiscover.json”| where csUriQuery has “PowerShell” | where csMethod == “POST”

ทีมงาน Microsoft ได้แพตช์แก้ไขมาตั้งแต่เดือนเมษายนแล้ว (https://www.techtalkthai.com/microsoft-monthly-patch-may-2021-fixes-55-vulnerabilities/) ดังนั้นความกังวลน่าจะตกอยู่ที่ผู้ที่ยังไม่อัปเดตแพตช์จึงได้เตือนมาครับ 

ที่มา : https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google เตรียมปิดตัว Hangouts ปลายปีนี้

Google เตรียมปิดตัว Hangouts ปลายปีนี้ ให้ผู้ใช้งานย้ายไปใช้ Google Chat

Microsoft Exchange Server 2013 จะสิ้นสุดการสนับสนุนปี 2023

ช่วงนี้มีแต่ข่าว ลด ละ เลิก บนผลิตภัณฑ์ของ Microsoft ครานี้ถึงชะตาของ Exchange Server 2013 จากการประกาศล่าสุดเกี่ยวกับการสิ้นสุดการสนับสนุนซึ่งแจ้งไว้ล่วงหน้าเกือบปีในวันที่ 11 เมษายน 2023 ซึ่งจะเป็นวันสุดท้าย