Breaking News

เผยช่องโหว่ Zero-day บน Microsoft Exchange เข้าสิทธิ์ Domain Admin ได้ ยังไม่มี Patch

Dirk-jan Mollema นักวิจัยด้าน Security จาก Fox-IT ได้ออกมาเผยโค้ดสำหรับทำ Proof-of-Concept และตัวอย่างการโจมตีช่องโหว่ Zero-day บน Microsoft Exchange ที่ทำให้ผู้โจมตีเข้าถึงสิทธิ์ระดับ Domain Admin ได้

Credit: ShutterStock.com

ปัญหานี้เกิดขึ้นจากการที่ Exchange Permissions Group นั้นมีสิทธิ์ WriteDacl สำหรับ Domain Object ใน Active Directory ทำให้สมาชิกใน Group สามารถแก้ไขสิทธิ์ใน Domain ได้ ซึ่งก็รวมถึงยังสามารถทำ DCSync ได้ด้วย ทำให้ผู้โจมตีซึ่งมี User และ Mailbox ในระบบสามารถทำการ Synchronize รหัสผ่านที่ทำการ Hash มาแล้ว และนำรหัสผ่านเหล่านั้นไปใช้ปลอมตัวด้วยการยืนยันตัวตนผ่านทาง NTLM หรือ Kerberos ภายใน Domain ส่วนการโจมตี Exchange ก็สามารถใช้การทำ Reflection Attack ไปยัง Exchange PushSubscription API ได้

สำหรับวิธีการป้องกันประเด็นปัญหาเหล่านี้ก็มี Workaround ที่หลากหลาย ทั้งการลดสิทธิ์ของ Exchange ในการจัดการกับ Domain Object, การเปิด LDAP Signing และ Channel Binding, การปิดไม่ให้ Exchange Server เชื่อมต่อผ่านทาง Port ที่ไม่จำเป็น, เปิดใช้ Extended Protection for Authentication สำหรับ Exchange, ปิด Registry ที่ใช้อนุญาตในการทำ Relay, บังคับใช้ SMB Signing เป็นต้น

ทาง The Register ได้สอบถามถึงประเด็นนี้ไปยัง Microsoft ซึ่งทาง Microsoft ก็ได้ตอบรับถึงการให้ความสำคัญด้าน Security ในผลิตภัณฑ์ของตนเอง แต่ยังไม่ได้ระบุชี้ชัดว่าจะออก Patch เมื่อใด

ที่มา: https://www.theregister.co.uk/2019/01/25/microsoft_exchange_hashed_passwords/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้ผลิตอะลูมิเนียมยักษ์ใหญ่ปิดสาขาหลายแห่งทั่วโลก หลังถูก Ransomware โจมตี

Norsk Hydro หนึ่งในผู้ผลิตอะลูมิเนียมรายใหญ่ที่สุดในโลกออกแถลงการณ์ บริษัทจำเป็นต้องปิดการทำงานของโรงงานหลายแห่งในปลายประเทศแถบยุโรปและสหรัฐฯ ได้แก่ นอร์เวย์ การ์ตา และบราซิล หรือเปลี่ยนไปทำงานแบบใช้แรงงานคนแทน หลังถูก Ransomware โจมตีระบบปฏิบัติงานจนไม่สามารถใช้งานได้

VMware Cloud on AWS เปิดบริการใน Singapore Region แล้ว

ถือเป็นข่าวดีไม่น้อยสำหรับธุรกิจองค์กรในไทย เมื่อ VMware ได้ออกมาประกาศรองรับการให้บริการ VMware Cloud on AWS เพิ่มเติมอีก 3 Region ได้แก่ Asia Pacific (Singapore), Europe (Paris) และ Canada (Central) แล้วอย่างเป็นทางการ