ผู้เชี่ยวชาญเตือนพบการโจมตี Microsoft Exchange ด้วยช่องโหว่ ‘ProxyShell’

ผู้เชี่ยวชาญจากหลายแห่งได้เริ่มเตือนถึงการโจมตีระลอกใหม่ด้วยชุดช่องโหว่ ProxyShell หลังมีการปล่อยโค้ดสาธิตออกมา

Credit: ShutterStock.com

ProxyShell คือชุดช่องโหว่กลุ่มหนึ่งที่ถูกค้นพบโดย Orange Tsui จาก Devcore และถูกนำไปใช้ครั้งแรกในงานแข่งขันแฮ็ก Pwn2Own 2021 เมื่อเดือนเมษายนที่ผ่านมา โดยชุดช่องโหว่มี 3 รายการถูกใช้ร่วมกันประกอบด้วย

  • CVE-2021-34473 – ACL Bypass (KB5001779)
  • CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์บน Exchange PowerShell Backend (KB5001779)
  • CVE-2021-31207 – หลังจากผ่านการพิสูจน์ตัวตนสามารถ Arbitrary-File-Write ซึ่งนำไปสู่ RCE (KB5003435)

ต่อมาสัปดาห์ก่อนที่งาน Black Hat ทาง Tsui ได้ขึ้นมาพูดเกี่ยวกับช่องโหว่นี้อีกครั้งกับการใช้เพื่อหวังผลกับ Microsoft Exchange Client Access Service (CAS) ซึ่งได้แสดงการโจมตี ProxyShell โดยใช้ฟีเจอร์ AutoDiscover ของ Exchange เพื่อนำไปสู่ SSRF หลังจบงาน นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ PeterJson และ Nguyen Jang ได้นำไอเดียกลับไปสร้างโค้ดสาธิต

หลังจากนั้นไม่นาน Kevin Beaumount และทีมงานด้านความมั่นคงปลอดภัยหลายแห่งก็ได้พบว่าแฮ็กเกอร์เริ่มการสแกนเพื่อหาช่องโหว่แล้ว โดยชุดคำสั่งที่แฮ็กเกอร์ใช้ก็มีแพตเทิร์นประมาณว่า ‘https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com’ ในการโจมตีมีความพยายามทิ้ง Webshell เอาไว้ในโฟลเดอร์ ‘c:\inetpub\wwwroot\aspnet_client\’ ประกอบกับกิจกรรมเพิ่มเติมอื่นๆ ที่สุดท้ายแล้วก็คือการติดตั้ง Backdoor เอาไว้

ในไอเดียของการป้องกันผู้เชี่ยวชาญแนะนำให้ใช้ Azure Sentinel เรียกดูว่าพบคำสั่งที่มีรูปแบบการโจมตีหรือไม่ เช่น

W3CIISLog| where csUriStem == “/autodiscover/autodiscover.json”| where csUriQuery has “PowerShell” | where csMethod == “POST”

ทีมงาน Microsoft ได้แพตช์แก้ไขมาตั้งแต่เดือนเมษายนแล้ว (https://www.techtalkthai.com/microsoft-monthly-patch-may-2021-fixes-55-vulnerabilities/) ดังนั้นความกังวลน่าจะตกอยู่ที่ผู้ที่ยังไม่อัปเดตแพตช์จึงได้เตือนมาครับ 

ที่มา : https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CODIUM จับมือ SVOA เปิดให้บริการ e-Memo, e-Tax Invoice และ PDPA ความมั่นคงปลอดภัยสูง ด้วยเทคโนโลยีจาก Entrust

ธุรกิจทั่วโลกต่างเดินหน้าเร่งทำ Digital Transformation เพื่อสนับสนุนกระบวนการเชิงธุรกิจให้ดำเนินต่อไปได้ภายใต้สถานการณ์แพร่ระบาดของ COVID-19 รวมไปถึงรักษาความสามารถในการแข่งขัน CODIUM, SVOA และ Entrust จึงได้จับมือร่วมกันพัฒนาโซลูชันดิจิทัลความมั่นคงปลอดภัยสูง ที่จะช่วยพลิกโฉมธุรกิจสู่การเป็นองค์กรดิจิทัลได้อย่างยั่งยืน

เชิญร่วมงานสัมมนา Wi-Fi 6 & 5G Technology by TP-Link | 2 หรือ 9 ธันวาคม 11:00 น.

TP-Link ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้านเครือข่าย เข้าร่วมงานสัมมนาออนไลน์ “Wi-Fi 6 & 5G Technology by TP-Link” เพื่ออัปเดตแนวโน้มเทคโนโลยี Wi-Fi 6 และ 5G …