นักวิจัยด้านความปลอดภัยจาก ClearSky ได้เผยถึงการพบเบาะแสที่เชื่อมโยงระหว่าง Thanos ransomware กับกลุ่ม MuddyWater ซึ่งเป็นแฮกเกอร์ที่รัฐสนับสนุนโดยอิหร่าน

นักวิจัยด้านความปลอดภัยกล่าวว่าเบาะแสที่มีเชื่อมโยงนั้นพบว่ากลุ่ม MuddyWater มักจะใช้วิธีการโจมตีอยู่สองวิธีคือ หนึ่งใช้อีเมลฟิชชิ่งที่มีเอกสาร Excel หรือ PDF ที่เป็นอันตราย ซึ่งเมื่อเหยื่อเปิดแล้วจะดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์ ส่วนวิธีที่สองคือการสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ไม่ได้รับการเเพตซ์และใช้ประโยชน์จากช่องโหว่ CVE-2020-0688 ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์จากนั้นดาวน์โหลดและติดตั้งมัลแวร์ตัวเดียวกันเดียวกับที่เคยเห็นมาก่อน ซึ่งมีชื่อว่า PowGoop โดยจะเป็นมัลเเวร์ที่ถูกใช้เพื่อทำการติดตั้ง Thanos ransomware ซึ่งเป็นข้อมูลจากการติดตามและรายงานโดย Palo Alto Networks

จุดน่าสนใจของ TTP ล่าสุดอยู่ในประเด็นที่ว่า Thanos ransomware ที่ตรวจพบและเกี่ยวข้องกับ MuddyWater ถูกเขียนขึ้นมาให้เข้ารหัสแบบไม่สามารถกู้คืนได้ ซึ่งเป็นความพยายามในการปกปิดเป้าหมายที่แท้จริงผ่านการอำพรางด้วยการใช้มัลแวร์เรียกค่าไถ่ด้วย

ที่มา: zdnet.

Microsoft Exchange Server มากกว่า 350,000 เซิร์ฟเวอร์ยังไม่ได้แพตช์ช่องโหว่ RCE ล่าสุด CVE-2020-0688

นักวิจัยจาก Rapid 7 เปิดเผยรายงานการใช้อุปกรณ์การสแกนในชื่อ Project Sonar ทำการสแกนทั่วทั้งอินเทอร์เน็ตเพื่อค้นหาว่ากว่า 82% ของเซิร์ฟเวอร์ MS Exchange หรือ 433,464 ระบบ พบเซิร์ฟเวอร์ MS Exchange มีอย่างน้อย 315,000 และอาจมากถึง 350,000 เซิร์ฟเวอร์ที่ยังไม่ได้รับการแพตช์ช่องโหว่ความปลอดภัยโดยไมโครซอฟท์ที่ประกาศในเดือนกุมภาพันธ์

ทั้งนี้ Rapid 7 ยังสแกนและพบเซิร์ฟเวอร์ MS Exchange รุ่น 2010 กว่า 31,000 เครื่องที่ไม่ได้แพตช์ตั้งแต่ปี 2012 และอีก 800 เครื่องไม่เคยได้รับการแพตช์เลยและมีเซิร์ฟเวอร์ MS Exchange 2007 จำนวน 10,731 ระบบและเซิร์ฟเวอร์ MS Exchange รุ่น 2010 มากกว่า 166,000 เครื่องที่ End-of-Support ไปหลายปีแล้วด้วย

ช่องโหว่ CVE-2020-0688 ถูกค้นพบโดย Zero Day Initiative เป็นช่องโหว่ที่กระทบกับ MS Exchange Server หลายเวอร์ชันตั้งแต่ปี 2010-2019 โดยเกิดจากความล้มเหลวในการสร้าง Unique Key ในขณะติดตั้ง ทำให้ผู้โจมตีสามารถลอบรันโค้ดในสิทธิ์ระดับ SYSTEM เพื่อเข้ายึดเครื่องได้

ผู้ดูเเลระบบควรทำการอัพเดตแพตช์ความปลอดภัย เพื่อปิดช่องโหว่ของระบบและปกป้องข้อมูลขององค์กร

ที่มา: helpnetsecurity

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพตช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควร Update ทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา : bleepingcomputer