Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ผู้ดูแลระบบควรอัปเดตเเพตช์ด่วน!

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

  • CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
  • CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
  • CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
  • CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

  • จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
  • จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
  • ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
  • จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
  • จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.exe, cmd.exe และ mshta.exe ผู้ดูแลระบบควรทำการตรวจสอบการใช้งานโปรเซสดังกล่าวเพิ่มเติม ทั้งนี้ Microsoft ยังได้แนะนำให้ทำการตรวจสอบโปรเซส UMWorkerProcess.exe และ UMWorkerProcess.exe ที่อาจบ่งบอกถึง Webshell หรือเนื้อหาที่เป็นอันตรายอื่น ๆ อย่างไรก็ดีผู้ดูแลระบบสามารถทำการตรวจสอบพาทที่ผู้โจมตีอาจจะเข้าถึงหรือวาง Webshell ได้ คือไดเร็กทอรีพาทต่อไปนี้

  • % ProgramFiles% \ Microsoft \ Exchange Server \ <version> \ ClientAccess
  • % ProgramFiles% \ Microsoft \ Exchange Server \ <version> \ FrontEnd

สำหรับเซอร์วิสของ OWA (Outlook Web App) หรือ ECP (Exchange Control Panel) การพบไฟล์ .Aspx หรือ .asx ในไดเร็กทอรีใด ๆ ดังกล่าวเป็นสิ่งที่น่าสงสัยอย่างยิ่งผู้ดูแลควรทำการตรวจสอบไฟล์เหล่านี้ถ้าหากพบอยู่ในไดเร็กทอรี อย่างไรก็ตาม Microsoft และ volexity ได้ออกคำแนะนำในการตรวจจับและการตรวจสอบเซิร์ฟเวอร์ Microsoft Exchange โดยมี Indicators Of Compromise (IOCs) ตามลิ้งก์ต่อไปนี้

การป้องกันการตกเป็นเป้าหมาย

ผู้ดูแลระบบควรพิจารณาปิดการเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange จากอินเตอร์เน็ตและหากมีความจำเป็นต้องเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ควรทำการเข้าถึงผ่าน VPN เท่านั้น ในขณะนี้ Microsoft ได้ออกแพตช์ป้องกันและเเก้ไขช่องโหว่แล้ว ผู้ดูแลระบบควรรีบทำการอัปเดตแพช์ให้เป็นเวอร์ชันล่าสุดโดยด่วน ทั้งนี้ผู้ดูแลระบบสามารถดูรายละเอียดได้ที่: techcommunity

ที่มา: bleepingcomputer, darkreading, microsoft