Adobe เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยที่แก้ไขช่องโหว่ใน Adobe Creative Cloud Desktop, Adobe Framemaker และ Adobe Connect

โดยรวมแล้วแพตช์อัปเดตด้านความปลอดภัยที่ได้รับการเเก้ไขช่องโหว่มีจำนวน 8 รายการ ซึ่งส่วนใหญ่เป็นช่องโหว่ที่มีความรุนแรงระดับ Critical และเป็นช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต โดยรายละเอียดของช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่ใน Adobe Framemaker จำนวน 1 รายการ ติดตามด้วยรหัส CVE-2021-21056 โดยช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต ใน Adobe Framemaker เวอร์ชัน 2019.0.8 และต่ำกว่า สำหรับ Windows
ช่องโหว่ใน Adobe Creative Cloud Desktop จำนวน 3 รายการ ติดตามด้วยรหัส CVE-2021-21068, CVE-2021-21078 และ CVE-2021-21069 โดยช่องโหว่ 2 รายการแรกจะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาต และช่องโหว่ที่สามเป็นช่องโหว่นำไปสู่การยกระดับสิทธิ์ของผู้ใช้ ซึ่งช่องโหว่ทั้ง 3 รายการจะส่งผลกระทบกับ Adobe Creative Cloud Desktop เวอร์ชัน 5.3 และเวอร์ชันก่อนหน้า สำหรับ Windows และ Mac OS
ช่องโหว่ใน Adobe Connect จำนวน 4 รายการ ติดตามด้วยรหัส CVE-2021-21085, CVE-2021-21079, CVE-2021-21079 และ CVE-2021-21081 โดยช่องโหว่แรกเป็นช่องโหว่การตรวจสอบอินพุตข้อมูลที่ไม่เหมาะสมและช่องโหว่อีก 3 รายการเป็นช่องโหว่ Cross-Site Scripting (XSS) ซึ่งช่องโหว่จะส่งผลกระทบกับ Adobe Connect เวอร์ชัน 11.0.5 และเวอร์ชันก่อนหน้า

ทั้งนี้ผู้ใช้ผลิตภัณฑ์ของ Adobe ควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

McAfee ประกาศบรรลุข้อตกลงในการขายส่วนกิจการฝั่ง Enterprise ให้กับบริษัท Symphony Technology Group ด้วยมูลค่า 4 พันล้านเหรียญ

McAfee กล่าวว่าปัจจุบันธุรกิจส่วน Enterprise มีพาร์ตเนอร์ถึง 86% ที่เป็นบริษัทและองค์กรระดับ Fortune 100 และมีรายได้ในปี 2020 ที่ผ่านมามากกว่า 1,300 ล้านดอลลาร์ ข้อตกลงดังกล่าวจะทำให้ McAfee มีเงินทุนที่จะทำการมุ่งเน้นไปที่ธุรกิจการรักษาความปลอดภัยสำหรับผู้บริโภคและจะเร่งกลยุทธ์ในการเป็นผู้นำทางด้านความปลอดภัยส่วนบุคคลสำหรับผู้บริโภคและเพื่อคว้าตลาดทางด้านรักษาความปลอดภัยทางไซเบอร์ที่กำลังเติบโตมากขึ้น ซึ่งกระบวนการซื้อขายกิจการคาดว่าจะเสร็จสมบูรณ์ภายในปี 2021 หลังได้รับการอนุมัติจากหน่วยงานกำกับดูแลทางด้านกฎข้อบังคับและเงื่อนไขการปิดบัญชี

ทั้งนี้ McAfee เคยถูกซื้อกิจการโดยอินเทลในปี 2010 สำหรับ 7.68 พันล้านเหรียญสหรัฐ และในปี 2014 อินเทลประกาศว่า McAfee กลายเป็น Intel Security อย่างไรก็ตามในปี 2016 อินเทลตัดสินใจเเปลื่ยนชื่อบริษัท McAfee อีกครั้งหลังจากที่ TPG Capital เข้าซื้อจำนวนหุ้น 51% ซึ่งในปัจจุบัน McAfee มีผลิตภัณฑ์สำหรับปกป้องอุปกรณ์มากกว่า 600 ล้านเครื่องทั่วโลก

ที่มา: securityweek, helpnetsecurity, theregister

ในช่วงสัปดาห์ที่ผ่านมา สภาผู้แทนราษฎรสหรัฐฯ ได้มีการรับพิจารณาร่างกฎหมายใหม่ Homeland and Cyber Threat Act หรือ HACT Act ซึ่งจะอนุญาตให้ผู้เป็นพลเมืองของสหรัฐฯ สามารถเรียกร้องค่าเสียหายได้ในกรณีที่ได้รับผลกระทบจากการโจมตีทางไซเบอร์ เมื่อผู้โจมตีหรือผู้ก่อการอยู่ต่างประเทศ

HACT Act เป็นร่างฉบับปรับปรุงของร่างเดิมซึ่งเคยถูกเสนอครั้งแรกในเดือนสิงหาคม 2019 เป้าหมายสำคัญของ HACT Act คือการลดการคุ้มครองที่รัฐบาลหรือหน่วยงานของต่างประเทศจะได้รับในกระบวนการพิจารณาคดีหากรัฐบาลหรือหน่วยงานของต่างประเทศดังกล่าวถูกตัดสินว่ามีส่วนเกี่ยวข้องกับการโจมตีทางไซเบอร์ HACT Act มีการระบุไว้อย่างชัดเจนถึงการครอบคลุมกับผลกระทบส่วนบุคคล การสูญเสียชื่อเสียงรวมไปถึงความเสียหายหรือการสูญหายของทรัพย์สินด้วย

นอกเหนือจากประเด็นในเรื่องของการเรียกค่าเสียหายแล้ว HACT Act ยังมีเป้าหมายที่จะครอบคลุมในกรณีที่มีการใช้หรือละเมิดข้อมูลที่ได้มาจากการโจมตีทางไซเบอร์อีกด้วย

ที่มา: securityweek

นักพัฒนาซอฟต์แวร์ Johannes Schindelin และ Matheus Tavares ได้มีการเปิดเผยและออกแพตช์ความปลอดภัยให้กับซอฟต์แวร์ Git หลังจากตรวจพบช่องโหว่ CVE-2021-21300 ซึ่งทำให้ผู้โจมตีสามารถลักลอบรันคำสั่งที่เป็นอันตรายได้โดยอาศัยการสร้าง Repo ที่มีลักษณะพิเศษบางอย่าง โดยคำสั่งอันตรายดังกล่าวจะทำงานเมื่อเหยื่อเรียกใช้คำสั่ง git clone กับ Repo ดังกล่าว

ช่องโหว่นี้อยู่ในส่วนการทำงานของ Git ที่มีต่อไฟล์ในลักษณะของ symbolic link ในระบบไฟล์แบบ Case-insensitive เช่น NTFS, HFS+ หรือ APFS ภายใต้เงื่อนไขว่าจะต้องมีการตั้งค่าเพื่อใช้งานฟิลเตอร์อย่าง clean หรือ smudge ก่อน เงื่อนไขดังกล่าวนี้ถูกกำหนดไว้ในไคลเอนต์อย่าง Git for Windows ที่มีการใช้ Git LFS อยู่แล้ว ส่งผลซอฟต์แวร์อย่าง Git for Windows ได้รับผลกระทบโดยอัตโนมัติ

อ้างอิงจากคำแนะนำของ GitHub แนวทางในการลดความเสี่ยงที่ดีที่สุดจากช่องโหว่นี้คือการอัปเดต Git ให้เป็นรุ่นล่าสุด ในกรณีที่ไม่สามารถอัปเดตได้ แนวทางในการลดผลกระทบอีกลักษณะหนึ่งคือการปิดการรองรับ symbolic link, ปิดการใช้งานฟิลเตอร์ รวมไปถึงการหลีกเลี่ยงการ Clone โครงการที่ไม่น่าเชื่อถือ

ที่มา: github-blog, github, openwall

ทีมนักวิจัยจาก University of Illinois เปิดเผยการค้นพบช่องโหว่ใหม่ในลักษณะ Side-channel attack ของซีพียู Intel ซึ่งทำให้ผู้โจมตีสามารถสกัดและได้มาซึ่งข้อมูลที่ซีพียูกำลังประมวลผลอยู่ได้ ผลลัพธ์ของการโจมตีนี้อาจสามารถยกตัวอย่างได้ว่า ในเซิร์ฟเวอร์ของบริการคลาวด์ที่มีระบบหลายระบบทำงานอยู่ หากผู้ไม่ประสงค์ดีทำการเช่าระบบเพียงหนึ่งระบบมาใช้เพื่อโจมตีช่องโหว่นี้ ผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลจากระบบใด ๆ ก็ตามที่กำลังถูกประมวลผลอยู่ในซีพียูเดียวกัน

แนวคิดหลักของการโจมตีนี้อยู่ที่การโจมตีกระบวนการทำงานในซีพียูโดยไม่พึ่งองค์ประกอบของระบบอื่น ๆ และสามารถดึงข้อมูลข้ามหน่วยประมวลผล (core) ได้ นักวิจัยผู้อยู่เบื้องหลังโครงการเชื่อว่าการโจมตี Side-channel attack นี้เป็นการโจมตีแรกที่เกิดขึ้นภายใต้เงื่อนไขดังกล่าว

การโจมตีในลักษณะของ Side-channel attack นั้นเป็นลักษณะการโจมตีที่ผู้โจมตีเก็บและใช้ข้อมูลจากการทำงานของระบบเพื่อทำการโจมตี ซึ่งแตกต่างกับการโจมตีแบบทั่วไปที่ผู้โจมตีจำเป็นจะต้องพบจุดอ่อนหรือช่องโหว่ก่อน จากนั้นจึงทำการโจมตีช่องโหว่ดังกล่าวเพื่อให้บรรลุวัตถุประสงค์ ตัวอย่างของการโจมตีแบบ Side-channel attack เช่น การประเมินเวลาในการประมวลผลหรือกำลังไฟฟ้าที่ใช้ในการประมวลผล ในกระบวนการทำงานของระบบที่มีความอ่อนไหวสูง การใช้เวลาในการประมวลผลที่แตกต่างกันสามารถถือเป็นข้อมูลที่นำมาใช้เพื่อทำนายได้ว่าระบบกำลังประมวลผลค่า 0 หรือค่า 1 อยู่

การโจมตีแบบ Side-channel attack ล่าสุดกับซีพียู Intel นั้นอาศัยการประเมินและสังเกตลักษณะและพฤติกรรมขององค์ประกอบหนึ่งในซีพียูซึ่งถูกเรียกว่า Ring interconnect องค์ประกอบนี้มีหน้าที่เป็นช่องทางหรือตัวกลางซึ่งองค์ประกอบต่าง ๆ ในซีพียูอย่างตัวหน่วยประมวลผลเอง, cache หรือ GPU ใช้ในการติดต่อสื่อสารกัน นักวิจัยค้นพบรูปแบบในการทำงานของ Ring interconnect ทั้งทางด้านเวลาที่ใช้ซึ่งเกี่ยวข้องกับการควบคุมปัจจัยความคับคั่งของข้อมูลที่อยู่ใน Ring interconnect รูปแบบดังกล่าวทำให้นักพัฒนาสามารถระบุหาและทำนายได้ว่าข้อมูลที่ซีพียูกำลังประมวลผลนั้นมีค่าเป็นอย่างไร

นักวิจัยได้สาธิตการใช้ช่องโหว่นี้ในการดึงข้อมูลของกุญแจเข้ารหัสในอัลกอริธึม EdDSA และ RSA ที่มีปัญหาที่ระบบกำลังประมวลผลอยู่ได้ รวมไปถึงสามารถดึงข้อมูลเกี่ยวกับรหัสผ่านที่ระบบกำลังประมวลผลอยู่ได้โดยอ้างอิงข้อมูลเกี่ยวกับเวลาในการพิมพ์ของผู้ใช้งาน แม้ว่าจะสามารถนำมาใช้ในการโจมตีจริงได้ นักวิจัยก็มีการระบุไว้ในงานวิจัยอย่างชัดเจนว่าการโจมตีนี้ยังคงมีเงื่อนและปัจจัยซึ่งทำให้ยากต่อการนำมาใช้ในการโจมตีจริงอยู่

Intel ได้รับแจ้งถึงการมีอยู่ของช่องโหว่แล้วรวมไปถึงมีการกล่าวถึงแนวทางในการลดผลกระทบที่สำคัญซึ่งรวมไปถึงการพัฒนาซอฟต์แวร์ โดยเฉพาะซอฟต์แวร์ที่มีการใช้อัลกอริธึมการเข้ารหัสซึ่งควรจะใช้เวลาในการประเมินผลที่ใกล้เคียงกันซึ่งทำให้ยากต่อการประเมินและทำนาย ผู้ที่สนใจสามารถดู Best practice ในประเด็นนี้ได้ที่ intel

สำหรับผู้ที่สนใจงานวิจัย งานวิจัยฉบับเต็มสามารถเข้าถึงได้ที่ arxiv

ที่มา: therecord, theregister, securityweek

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

SITA บริษัทผู้ให้บริการไอทีสายการบินและสนามบินได้ออกเเถลงถึงการโจมตีทางไซเบอร์ โดยการโจมตีดังกล่าวส่งผลกระทบถึงระบบ SITA Passenger Service System (SITA PSS) ซึ่งเป็นระบบสำหรับการให้บริการผู้โดยสารสำหรับสายการบิน

ตามรายงานของ SITA ระบุว่าเหตุการณ์การบุกรุกที่เกิดขึ้นในวันที่ 24 กุมภาพันธ์ 2021 ที่ผ่านมา ซึ่งการสืบสวนเบื้องต้นคาดว่ามีข้อมูลของกลุ่ม Star Alliance ที่มีทั้งหมด 26 สายการบินที่อยู่บนเซิร์ฟเวอร์ถูกรั่วไหลออกไป โดยสายการบินหลายแห่งที่เป็นสมาชิกของ Star Alliance ได้รับการยืนยันว่าได้รับผลกระทบจากการละเมิดดังกล่าวรวมถึงสิงคโปร์แอร์ไลน์, มาเลเซียแอร์ไลน์, ฟินแอร์ของฟินแลนด์, เจจูแอร์ในเกาหลีใต้และแอร์นิวซีแลนด์

Singapore Airlines ได้ออกอีเมลแจ้งเตือนลูกค้าโดยมีรายละเอียดและอธิบายว่าข้อมูลของสมาชิกประมาณ 580,000 คนในโปรแกรมสะสมไมล์ KrisFlyer ถูกบุกรุก โดย Singapore Airlines ได้ระบุว่าทางสายการบินไม่ได้เป็นผู้ใช้ระบบ SITA PSS แต่การบุกรุกนั้นเกิดขึ้นกับสมาชิกของสายการบินแห่งหนึ่งในกลุ่มสมาชิก Star Alliance ที่มีทั้งหมด 26 สายการบินและเนื่องจากสายการบินต่าง ๆ ในกลุ่มต้องยืนยันสถานะสมาชิกระหว่างกันจึงมีการส่งข้อมูลสมาชิกบางส่วนไปมา ซึ่งทำให้ลูกค้าของ Singapore Airlines ได้รับผลกระทบไปด้วย

SITA ยังกล่าวอีกว่าการบุกรุกเซิร์ฟเวอร์ของ SITA PSS อยู่ในระหว่างการสืบสวนข้อมูล ซึ่งยังไม่มีข้อมูลยืนยันว่าสายการบินต้นทางที่ถูกแฮกเป็นสายการบินใดและข้อมูลของลูกค้าสายการบินนั้น ๆ จะรั่วไหลมากน้อยเพียงใด แต่สำหรับลูกค้าของกลุ่มสมาชิก Star Alliance ที่ได้รับแจ้งเตือนโดยสายการบินอาจมีข้อมูลที่ระบุว่าชื่อสมาชิก, หมายเลขสมาชิก, ระดับสมาชิก อาจถูกรั่วไหล อย่างไรก็ตามข้อมูลที่กล่าวมานั้นอาจถูกผู้ประสงค์ร้ายใช้ประโยชน์โดยการโจมตีแบบฟิชชิง

ทั้งนี้การสืบสวนข้อมูลในขณะนี้ยังไม่มีข้อบ่งชี้ว่ารหัสผ่าน, ข้อมูลการชำระเงิน, หมายเลขหนังสือเดินทาง, การจองหรือข้อมูลติดต่ออื่น ๆ ถูกบุกรุก

ที่มา: bleepingcomputer, securityweek

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer