ผู้เชี่ยวชาญเตือนพบการโจมตี Microsoft Exchange ด้วยช่องโหว่ ‘ProxyShell’

ผู้เชี่ยวชาญจากหลายแห่งได้เริ่มเตือนถึงการโจมตีระลอกใหม่ด้วยชุดช่องโหว่ ProxyShell หลังมีการปล่อยโค้ดสาธิตออกมา

Credit: ShutterStock.com

ProxyShell คือชุดช่องโหว่กลุ่มหนึ่งที่ถูกค้นพบโดย Orange Tsui จาก Devcore และถูกนำไปใช้ครั้งแรกในงานแข่งขันแฮ็ก Pwn2Own 2021 เมื่อเดือนเมษายนที่ผ่านมา โดยชุดช่องโหว่มี 3 รายการถูกใช้ร่วมกันประกอบด้วย

  • CVE-2021-34473 – ACL Bypass (KB5001779)
  • CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์บน Exchange PowerShell Backend (KB5001779)
  • CVE-2021-31207 – หลังจากผ่านการพิสูจน์ตัวตนสามารถ Arbitrary-File-Write ซึ่งนำไปสู่ RCE (KB5003435)

ต่อมาสัปดาห์ก่อนที่งาน Black Hat ทาง Tsui ได้ขึ้นมาพูดเกี่ยวกับช่องโหว่นี้อีกครั้งกับการใช้เพื่อหวังผลกับ Microsoft Exchange Client Access Service (CAS) ซึ่งได้แสดงการโจมตี ProxyShell โดยใช้ฟีเจอร์ AutoDiscover ของ Exchange เพื่อนำไปสู่ SSRF หลังจบงาน นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ PeterJson และ Nguyen Jang ได้นำไอเดียกลับไปสร้างโค้ดสาธิต

หลังจากนั้นไม่นาน Kevin Beaumount และทีมงานด้านความมั่นคงปลอดภัยหลายแห่งก็ได้พบว่าแฮ็กเกอร์เริ่มการสแกนเพื่อหาช่องโหว่แล้ว โดยชุดคำสั่งที่แฮ็กเกอร์ใช้ก็มีแพตเทิร์นประมาณว่า ‘https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com’ ในการโจมตีมีความพยายามทิ้ง Webshell เอาไว้ในโฟลเดอร์ ‘c:\inetpub\wwwroot\aspnet_client\’ ประกอบกับกิจกรรมเพิ่มเติมอื่นๆ ที่สุดท้ายแล้วก็คือการติดตั้ง Backdoor เอาไว้

ในไอเดียของการป้องกันผู้เชี่ยวชาญแนะนำให้ใช้ Azure Sentinel เรียกดูว่าพบคำสั่งที่มีรูปแบบการโจมตีหรือไม่ เช่น

W3CIISLog| where csUriStem == “/autodiscover/autodiscover.json”| where csUriQuery has “PowerShell” | where csMethod == “POST”

ทีมงาน Microsoft ได้แพตช์แก้ไขมาตั้งแต่เดือนเมษายนแล้ว (https://www.techtalkthai.com/microsoft-monthly-patch-may-2021-fixes-55-vulnerabilities/) ดังนั้นความกังวลน่าจะตกอยู่ที่ผู้ที่ยังไม่อัปเดตแพตช์จึงได้เตือนมาครับ 

ที่มา : https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้