ผู้เชี่ยวชาญเตือนพบการโจมตี Microsoft Exchange ด้วยช่องโหว่ ‘ProxyShell’

ผู้เชี่ยวชาญจากหลายแห่งได้เริ่มเตือนถึงการโจมตีระลอกใหม่ด้วยชุดช่องโหว่ ProxyShell หลังมีการปล่อยโค้ดสาธิตออกมา

Credit: ShutterStock.com

ProxyShell คือชุดช่องโหว่กลุ่มหนึ่งที่ถูกค้นพบโดย Orange Tsui จาก Devcore และถูกนำไปใช้ครั้งแรกในงานแข่งขันแฮ็ก Pwn2Own 2021 เมื่อเดือนเมษายนที่ผ่านมา โดยชุดช่องโหว่มี 3 รายการถูกใช้ร่วมกันประกอบด้วย

  • CVE-2021-34473 – ACL Bypass (KB5001779)
  • CVE-2021-34523 – ช่องโหว่ยกระดับสิทธิ์บน Exchange PowerShell Backend (KB5001779)
  • CVE-2021-31207 – หลังจากผ่านการพิสูจน์ตัวตนสามารถ Arbitrary-File-Write ซึ่งนำไปสู่ RCE (KB5003435)

ต่อมาสัปดาห์ก่อนที่งาน Black Hat ทาง Tsui ได้ขึ้นมาพูดเกี่ยวกับช่องโหว่นี้อีกครั้งกับการใช้เพื่อหวังผลกับ Microsoft Exchange Client Access Service (CAS) ซึ่งได้แสดงการโจมตี ProxyShell โดยใช้ฟีเจอร์ AutoDiscover ของ Exchange เพื่อนำไปสู่ SSRF หลังจบงาน นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ PeterJson และ Nguyen Jang ได้นำไอเดียกลับไปสร้างโค้ดสาธิต

หลังจากนั้นไม่นาน Kevin Beaumount และทีมงานด้านความมั่นคงปลอดภัยหลายแห่งก็ได้พบว่าแฮ็กเกอร์เริ่มการสแกนเพื่อหาช่องโหว่แล้ว โดยชุดคำสั่งที่แฮ็กเกอร์ใช้ก็มีแพตเทิร์นประมาณว่า ‘https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com’ ในการโจมตีมีความพยายามทิ้ง Webshell เอาไว้ในโฟลเดอร์ ‘c:\inetpub\wwwroot\aspnet_client\’ ประกอบกับกิจกรรมเพิ่มเติมอื่นๆ ที่สุดท้ายแล้วก็คือการติดตั้ง Backdoor เอาไว้

ในไอเดียของการป้องกันผู้เชี่ยวชาญแนะนำให้ใช้ Azure Sentinel เรียกดูว่าพบคำสั่งที่มีรูปแบบการโจมตีหรือไม่ เช่น

W3CIISLog| where csUriStem == “/autodiscover/autodiscover.json”| where csUriQuery has “PowerShell” | where csMethod == “POST”

ทีมงาน Microsoft ได้แพตช์แก้ไขมาตั้งแต่เดือนเมษายนแล้ว (https://www.techtalkthai.com/microsoft-monthly-patch-may-2021-fixes-55-vulnerabilities/) ดังนั้นความกังวลน่าจะตกอยู่ที่ผู้ที่ยังไม่อัปเดตแพตช์จึงได้เตือนมาครับ 

ที่มา : https://www.bleepingcomputer.com/news/microsoft/hackers-now-backdoor-microsoft-exchange-using-proxyshell-exploits/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Salesforce นำเสนอโซลูชั่น AI ใหม่ล่าสุด ต่อยอดนวัตกรรมเพื่อยกระดับ Customer Experience ให้ธุรกิจทั่วโลก [Guest Post]

กรุงเทพฯ, ประเทศไทย, 8 มิถุนายน 2566 – เมื่อเร็ว ๆ นี้ Salesforce (เซลส์ฟอร์ซ) ประกาศเปิดตัวนวัตกรรม AI ล่าสุดหลายรายการสำหรับ Data …

Google เปิดตัว Secure AI Framework แนวทางการสร้าง AI อย่างปลอดภัย

Google เปิดตัว Secure AI Framework ช่วยแนะนำแนวทางการสร้าง AI อย่างปลอดภัย