Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง

Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018

โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์

ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone

หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย

โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory

Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

 

ที่มา : bleepingcomputer

FBI และ CISA ออกรายงานร่วม Joint Security Advisory โดยมีเนื้อหาแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์ Energetic Bear ซึ่งเชื่อว่ารัฐบาลรัสเซียหนุนหลัง รายงานดังกล่าวระบุกลุ่ม Energetic Bear ประสบความสำเร็จในการโจมตีระบบของรัฐบาลไปแล้วอย่างน้อย 2 ระบบและมีการนำข้อมูลของผู้ใช้จากระบบดังกล่าวออกไปด้วย

ข้อมูลเบื้องต้นจากรายงานระบุว่า กลุ่ม Energetic Bear มีการโจมตีระบบผ่านทางช่องโหว่ใน Citrix access gateway (CVE-2019-19781), Microsoft Exchange (CVE-2020-0688), Exim (CVE-2019-10149), และ Fortinet SSL VPN (CVE-2018-13379) และยังมีการตรวจพบการใช้ช่องโหว่ Zerologon (CVE-2020-1472) ในการเข้ายึดครองและขโมยข้อมูลจากระบบ Active Directory อีกด้วย

รายงานร่วมมีการระบุถึง IOC และพฤติกรรมของผู้โจมตีเอาไว้แล้ว ผู้ที่ดูแลระบบสามารถเข้าถึงข้อมูลดังกล่าวได้จาก https://us-cert.

NTT แจ้งเตือนการบุกรุกเซิร์ฟเวอร์ของบริษัทคาดว่าข้อมูลลูกค้ารั่วไหลไปประมาณ 600 ราย

บริษัท Nippon Telegraph & Telephone หรือ NTT ผู้ใช้บริการเครือข่าย, คลาวด์และดาต้าเซ็นเตอร์ได้ออกมาเปิดเผยถึงการถึงการตรวจพบการโจมตีระบบของบริษัท โดยแฮกเกอร์สามารถเข้าถึงเครือข่ายภายในของบริษัทและขโมยข้อมูลลูกค้าออกไปได้จำนวน 621 ราย

การแฮกเกิดขึ้นเมื่อวันที่ 7 พฤษภาคม แต่ทาง NTT ได้ทำการตรวจพบการบุกรุกวันที่ 11 พฤษภาคมที่ผ่านมา จาการประเมินการบุกรุกพบว่าแฮกเกอร์ได้ทำการแฮกเข้ามาถึง Active Directory ภายในบริษัทเพื่อทำการขโมยข้อมูลและทำการอัปโหลดข้อมูลไปยังเซิร์ฟเวอร์ของเเฮกเกอร์

NTT กล่าวว่าการโจมตีครั้งนี้เชื่อว่ามีต้นกำเนิดมาจากเซิร์ฟเวอร์ NTT ในสิงคโปร์ จากนั้นผู้โจมตีใช้จุดนี้ทำการโจมตีเพื่อเข้าถึงเซิร์ฟเวอร์คลาวด์ที่อยู่ในญี่ปุ่น (เซิร์ฟเวอร์ B) และเข้าสู่เครือข่ายภายในของ NTT Communication (เซิร์ฟเวอร์ A) จากนั้นผู้โจมตีจึงทำการเข้าถึงเซิร์ฟเวอร์ C ซึ่งเป็นเซิร์ฟเวอร์ที่ใช้ในการให้บริการคลาวด์ของ NTT และให้บริการลูกค้า

หลังจากเหตุการณ์ NTT พบว่าเเฮกเกอร์ได้ทำการขโมยข้อมูลของลูกค้าออกไปจำนวน 621 รายและ NTT ได้ทำการเเก้ไขและปิดช่องทางของแฮกเกอร์ทันที ปัจจุบันทาง NTT กำลังอยู่ในระหว่างการตรวจสอบผลกระทบต่อการโจมตีและทำการอัพเกรดโครงสร้างพื้นฐานเพื่อป้องกันการโจมตีในอนาคต ซึ่ง NTT จะแจ้งให้ลูกค้าทราบถึงผลกระทบและความเสียหายอย่างเป็นทางการอีกครั้ง

ที่มา

 zdnet
  infosecurity-magazine