Microsoft ออกมาแจ้งเตือนการอัปเดตด้านความปลอดภัยของช่องโหว่ Zero-Day ใน Exchange Server ที่มีความรุนแรงระดับ Critical ซึ่งได้ออกมาพร้อมกับ Patch Tuesday ประจำเดือนกุมภาพันธ์ 2024
CVE-2024-21410 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน เพื่อยกระดับสิทธิ์ในการโจมตีแบบ NTLM relay attack ไปยัง Microsoft Exchange Server ที่มีช่องโหว่ โดยในการโจมตี Hacker จะใช้อุปกรณ์ในเครือข่าย (รวมถึง servers หรือ domain controller) ยืนยันตัวตนกับ NTLM relay server ที่อยู่ภายใต้การควบคุม เพื่อเลียนแบบอุปกรณ์เป้าหมาย และยกระดับสิทธิ์
ซึ่งหากสามารถโจมตีได้สำเร็จ Hacker สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว ในการใช้งาน Net-NTLMv2 hash ที่ถูกโจมตีของผู้ใช้กับ Exchange Server ที่มีช่องโหว่ และยืนยันตัวตนในฐานะผู้ใช้งานได้
การบรรเทาผลกระทบของช่องโหว่ผ่าน Exchange Extended Protection
การอัปเดต Exchange Server 2019 Cumulative Update 14 (CU14) สามารถช่วยป้องกันการโจมตีจากช่องโหว่ดังกล่าวได้ด้วยการเปิดใช้งาน NTLM credentials Relay Protection (หรือที่เรียกว่า Extended Protection for Authentication หรือ EPA)
Extended Protection (EP) ได้รับการออกแบบมาเพื่อเสริมความแข็งแกร่งให้กับฟังก์ชันการตรวจสอบสิทธิ์ของ Windows Server เพื่อป้องกันการโจมตีแบบ relay attack และ man-in-the-middle (MitM) โดยทาง Microsoft จะเปิดใช้งานโดยอัตโนมัติเป็นค่าเริ่มต้นบนเซิร์ฟเวอร์ Exchange ทั้งหมด หลังจากการติดตั้งตัวอัปเดต H1 ปี 2024 ของเดือนกุมภาพันธ์ 2024 (หรือที่เรียกว่า CU14)
ทั้งนี้ผู้ดูแลระบบสามารถใช้ สคริปต์ ExchangeExtensedProtectionManagement PowerShell เพื่อเปิดใช้งาน EP บน Exchange Server เวอร์ชันก่อนหน้า เช่น Exchange Server 2016 นอกจากนี้ยังสามารถป้องกันการโจมตีจากช่องโหว่ CVE-2024-21410 ได้อีกด้วย
โดยผู้ดูแลระบบควรประเมินสภาพแวดล้อม และตรวจสอบปัญหาที่ถูกกล่าวถึงในเอกสารประกอบของ สคริปต์ ExchangeExtensedProtectionManagement PowerShell ที่ Microsoft จัดเตรียมไว้ให้ ก่อนที่จะใช้งาน EP บนเซิร์ฟเวอร์ Exchange เพื่อหลีกเลี่ยงไม่ให้ฟังก์ชันการทำงานบางอย่างมีปัญหา
ที่มา : bleepingcomputer
You must be logged in to post a comment.