Microsoft เตือนผู้ดูแลระบบให้แก้ไขช่องโหว่ Exchange Server ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021-42321 - Microsoft Exchange Server Remote Code Execution Vulnerability ส่งผลกระทบต่อ Exchange Sever 2016 และ Exchange Server 2019 ซึ่งรวมถึง server ที่ใช้ในโหมด Exchange Hybrid ซึ่งช่องโหว่นี้เกิดจากการตรวจสอบอาร์กิวเมนต์ cmdlet ที่ไม่เหมาะสม (Exchange Online ไม่ได้รับผลกระทบจากการโจมตี และไม่ต้องดำเนินการใดๆเพิ่มเติม)
"เราทราบดีถึงรายงานการพบการโจมตีในปัจจุบัน โดยใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Exchange 2016 และ 2019 คำแนะนำคือให้รีบทำการอัปเดตทันทีเพื่อปกป้อง environment ของคุณ" Microsoft กล่าวเพิ่มเติม
หลังการ update สามารถใช้สคริปต์ตรวจสอบความปลอดภัยของ Exchange Server เวอร์ชันล่าสุดได้ที่ Microsoft
หากต้องการตรวจสอบว่า Exchange server ถูกโจมตีจาก CVE-202-42321 ไปแล้วหรือไม่ สามารถใช้คำสั่ง PowerShell บน Exchange server แต่ละเครื่องเพื่อตรวจสอบข้อมูลใน Event Log : Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
ในเดือนกันยายน Microsoft ได้เพิ่ม feature ใหม่ชื่อว่า Microsoft Exchange Emergency Mitigation (EM) เพื่อเพิ่มการป้องกันให้กับ Exchange server ที่มีช่องโหว่ ซึ่งใช้บรรเทาผลกระทบชั่วคราวสำหรับช่องโหว่ที่มีความเสี่ยงสูง และให้เวลาผู้ดูแลระบบเตรียมตัวในการอัปเดตความปลอดภัย
Exchange server พบการโจมตีตั้งแต่ต้นปี 2564 ด้วยช่องโหว่ ProxyLogon และ ProxyShell
โดยเริ่มต้นตั้งแต่เดือนมีนาคม ผู้โจมตีหลายกลุ่มใช้ช่องโหว่ ProxyLogon เพื่อติดตั้ง web shells, cryptominers, ransomware และ malware อื่นๆ โดยมี Microsoft Exchange servers ที่ตกเป็นเป้าหมายมากกว่า 250,000 เครื่องจากหลายหมื่นองค์กรทั่วโลก
สี่เดือนต่อมาสหรัฐฯ และพันธมิตร รวมถึงสหภาพยุโรป สหราชอาณาจักร และ NATO ได้กล่าวหาจีนโดยตรงว่าเป็นผู้อยู่เบื้องหลังการโจมตี Microsoft Exchange ในครั้งนี้
ในเดือนสิงหาคมผู้โจมตีได้เริ่มสแกนหา และแฮ็คเซิร์ฟเวอร์ Exchange โดยใช้ช่องโหว่ ProxyShell หลังจากที่นักวิจัยด้านความปลอดภัยพบช่องโหว่ที่สามารถใช้ในการโจมตีได้
ในช่วงแรก payloads ที่ถูกใช้บนเซิร์ฟเวอร์ Exchange ที่ถูกโจมตีด้วยช่องโหว่ ProxyShell นั้นไม่ได้เป็นอันตราย แต่ในช่วงหลังผู้โจมตีได้เปลี่ยนไปใช้ Payloads ของ LockFile ransomware ซึ่งทำให้สร้างความอันตรายต่อระบบมากยิ่งขึ้น
ที่มา: bleepingcomputer