หลังจากที่ Microsoft ได้เผยแพร่ช่องโหว่ zero-day บน Exchange Server ในวันที่ 13 กุมภาพันธ์ 2024 หมายเลข CVE-2024-21410 โดยปัจจุบันพบว่ามี Exchange Server กว่า 28,500 รายการ ที่ถูกระบุว่ามีความเสี่ยงจากช่องโหว่ดังกล่าว
Exchange Server ถูกใช้อย่างแพร่หลายในสภาพแวดล้อมทางธุรกิจเพื่ออำนวยความสะดวกในการสื่อสาร และการทำงานร่วมกันระหว่างผู้ใช้ โดยให้บริการอีเมล ปฏิทิน การจัดการที่อยู่ติดต่อ และบริการการจัดการงาน
CVE-2024-21410 เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถโจมตีแบบ NTLM relay attack ไปยัง Exchange Servers ที่มีช่องโหว่ เพื่อยกระดับสิทธิ์บนระบบได้
Shadowserver บริการตรวจสอบภัยคุกคามได้เปิดเผยข้อมูลว่าพบ Exchange Servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจำนวนกว่า 97,000 เครื่อง โดยพบว่าในจำนวนนั้นมี 68,500 เครื่องที่มีความเสี่ยงจากช่องโหว่ และมี Exchange Servers จำนวน 28,500 เครื่อง ที่ได้รับการยืนยันว่ามีความเสี่ยงจากช่องโหว่ CVE-2024-21410
โดยประเทศที่ได้รับผลกระทบมากที่สุด ได้แก่ เยอรมนี (22,903 ราย) สหรัฐอเมริกา (19,434 ราย) สหราชอาณาจักร (3,665 ราย) ฝรั่งเศส (3,074 ราย) ออสเตรีย (2,987 ราย) รัสเซีย (2,771 ราย) แคนาดา (2,554 ราย) และสวิตเซอร์แลนด์ (2,119 ราย)
โดยปัจจุบันยังไม่มีรายงานการโจมตีจากช่องโหว่ CVE-2024-21410 รวมถึงชุดสาธิตการโจมตีหรือ Proof-of-Concept (PoC) ที่เปิดเผยต่อสาธารณะ แต่เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว Microsoft แนะนำให้ผู้แลระบบทำการอัปเดต Exchange Server ให้เป็น Exchange Server 2019 Cumulative Update 14 (CU14) ซึ่งได้เผยแพร่ใน Patch Tuesday ประจำเดือนกุมภาพันธ์ 2024 ที่มีฟีเจอร์ NTLM credentials Relay Protection
การโจมตีโดยใช้ช่องโหว่ CVE-2024-21410 อาจส่งผลร้ายแรงต่อองค์กร เนื่องจาก Hacker ที่มีสิทธิ์ระดับสูงจาก Exchange Server สามารถเข้าถึงข้อมูลที่เป็นความลับ เช่น การสื่อสารทางอีเมล และใช้ Exchange Server ในการขยายการโจมตีในระบบเครือข่ายของเป้าหมายเพิ่มเติม
รวมถึงทาง CISA ยังได้เพิ่ม CVE-2024-21410 ลงใน 'Known Exploited Vulnerabilities' catalog โดยสั่งให้หน่วยงานรัฐบาลกลางทำการอัปเดต/บรรเทาผลกระทบ หรือหยุดใช้ผลิตภัณฑ์ที่ได้รับผลกระทบภายในวันที่ 7 มีนาคม 2024
ที่มา : bleepingcomputer
You must be logged in to post a comment.