Microsoft และทีม CERT ของยูเครน แจ้งเตือนการพบกลุ่ม Hacker ในชื่อ Turla ซึ่งได้รับการสนับสนุนโดยรัฐบาลรัสเซีย ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมการป้องกันประเทศ โดยมุ่งเป้าโจมตีไปที่ Exchange server ด้วย malware backdoor ตัวใหม่ ในชื่อ 'DeliveryCheck' เพื่อเปลี่ยนให้เป็นเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์

Turla หรือที่รู้จักในชื่อ Secret Blizzard, KRYPTON และ UAC-0003 เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มีความเกี่ยวข้องกับ Federal Security Service (FSB) ของรัสเซีย ซึ่งมีความเกี่ยวข้องกับการโจมตีเพื่อต่อต้านชาติตะวันตกในช่วงหลายปีที่ผ่านมา รวมถึง Snake cyber-espionage malware botnet ที่เพิ่งถูกขัดขวางในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ชื่อว่า Operation MEDUSA (more…)

นักวิจัยจาก Fortinet FortiGuard Labs พบว่าหน่วยงานของรัฐที่ไม่ระบุชื่อของสหรัฐอาหรับเอมิเรตส์ ได้ตกเป็นเป้าหมายของการโจมตีโดยใช้แบ็คดอร์ที่มีชื่อว่า PowerExchange ด้วยวิธีการโจมตีโดยใช้ Phishing email พร้อมแนบ ZIP file ที่มีไฟล์โปรแกรมในรูปแบบ .NET และไฟล์ที่ถูกดัดแปลงในรูปแบบ PDF ซึ่งจะทำหน้าที่เป็นดรอปเปอร์เพื่อดำเนินการเพย์โหลดขั้นตอนสุดท้าย ซึ่งจะเป็นการติดตั้งแบ็คดอร์

โดย PowerExchange นั้นถูกเขียนด้วย PowerShell สำหรับการเชื่อมต่อกับ command-and-control (C2) และช่วยให้ผู้โจมตีสามารถเรียกใช้เพย์โหลดได้ตามทีต้องการ และสามารถอัปโหลด และดาวน์โหลดไฟล์จาก C2 ได้

ในส่วนของการแฝงตัวอยู่บนระบบทำได้โดยการใช้ Exchange Web Services (EWS) API เพื่อเชื่อมต่อกับ Exchange Server ของเหยื่อ และใช้ mailbox บนเซิร์ฟเวอร์เพื่อส่ง และรับคำสั่งที่เข้ารหัสจากผู้โจมตี ซึ่งปัจจุบันยังไม่สามารถทราบวิธีการที่ผู้โจมตีใช้เพื่อเข้าถึง domain credentials ในการเชื่อมต่อกับ Exchange Server ของเหยื่อ

ทาง Fortinet ยังพบว่าเซิร์ฟเวอร์ Exchange ถูก Backdoor ด้วยเว็บเชลล์อีกหลายตัว ซึ่งหนึ่งในนั้นถูกเรียกว่า ExchangeLeech (หรือที่รู้จักกันในชื่อ System.

Microsoft ประกาศเปิดตัวฟีเจอร์ด้านความปลอดภัยใหม่บน Exchange Online ที่จะทำการตรวจสอบ, ควบคุมปริมาณ และทำการบล็อกโดยอัตโนมัติ สำหรับอีเมลที่ถูกส่งมาจาก Exchange server ที่มีความเสี่ยง หรือมีช่องโหว่ด้านความปลอดภัยต่อเนื่องเป็นเวลา 90 วัน หลังจากที่ผู้ดูแลระบบได้ทำการตั้งค่าเลือกเอาไว้ ซึ่งมีชื่อว่า "transport-based enforcement system"

Exchange server ที่มีความเสี่ยง หมายถึง Exchange server ที่อยู่ on-premises หรือ hybrid ที่มีการใช้งานซอฟต์แวร์ที่ไม่มีการซัปพอร์ตแล้ว (เช่น Exchange 2007, Exchange 2010 และ (more…)

Microsoft แจ้งว่า Exchange Server 2013 จะถึงวันสิ้นสุดการ support (extended end-of-support : EOS) หลังจากนี้อีก 60 วัน (11 เมษายน 2023) โดยการประกาศนี้ได้เกิดขึ้นภายหลังจากที่บริษัทมีการแจ้งเตือนไปยังผู้ใช้งานก่อนหน้านี้สองครั้งในช่วงเดือนมกราคม และมิถุนายนที่ผ่านมา ซึ่งมีการแนะนำให้ทำการอัปเกรด หรือย้าย Server Exchange ของตนเอง

Exchange Server 2013 เปิดตัวครั้งแรกในเดือนมกราคม 2013 และถึงกำหนดวันที่สิ้นสุดการแนะนำเมื่อสี่ปีที่แล้วในเดือนเมษายน 2018

โดยหลังจากนี้เมื่อถึงวันที่ extended end-of-support (EOS) แล้ว Microsoft จะหยุดให้การสนับสนุนด้าน technical support และการแก้ไขข้อผิดพลาด หรือช่องโหว่ต่าง ๆ ที่ถูกพบใหม่ ซึ่งอาจส่งผลกระทบต่อการใช้งานของเซิร์ฟเวอร์

ถึงแม้ Exchange Server 2013 จะยังคงสามารถใช้งานต่อไปได้ แต่จากความเสี่ยงข้างต้น Microsoft แนะนำให้ผู้ดูแลระบบอัปเกรด Server จาก Exchange 2013 ไปยัง Exchange Online หรือ Exchange 2019 เพื่อความปลอดภัยจากช่องโหว่ใหม่ ๆ โดยเร็วที่สุด

Exchange Online หรือ Server 2019

เซิร์ฟเวอร์ Exchange 2013 สามารถย้ายไปยัง Exchange Online ซึ่งมีให้บริการในรูปแบบ Office 365 subscription หรือเป็นบริการแบบ stand-alone

หลังจากย้าย Mailboxes, Public folders และข้อมูลอื่น ๆ เรียบร้อยแล้ว ผู้ดูแลระบบสามารถทำการลบ Exchange servers ภายในองค์กร และ Active Directory ได้เลย

โดย Microsoft ระบุว่า หากองค์กรใดเลือกที่จะย้าย Mailboxes ไปยัง Microsoft 365 แต่วางแผนที่จะใช้ Azure AD Connect เพื่อจัดการบัญชีผู้ใช้งานใน Active Directory ต่อไป จำเป็นต้องมี Microsoft Exchange ไว้ในองค์กรอย่างน้อย 1 server เนื่องจากหากลบ Exchange servers ทั้งหมด จะไม่สามารถเปลี่ยนแปลง recipient ใน Exchange Online ได้ เพราะการจัดการนี้จะอยู่ที่ Active Directory

Microsoft ยังได้ออกแพตซ์อัปเดตด้านความปลอดภัยของ Exchange Server ในเดือนกุมภาพันธ์ 2023 โดยระบุว่า "แม้ว่าจะยังไม่พบการโจมตีที่เกิดขึ้นจากช่องโหว่ แต่แนะนำให้ทำการอัปเดตทันทีเพื่อป้องกันความเสี่ยงจากการถูกโจมตี"

 

ที่มา : bleepingcomputer

Microsoft ออกมาแจ้งเตือนเรื่องการพบผู้ไม่หวังดีได้หันมาใช้ Malicious IIS Extension สำหรับสร้าง Backdoor บน Exchange Server มากขึ้นเรื่อย ๆ เนื่องจากมีโอกาสในการถูกตรวจจับได้น้อยกว่าแบบ Web Shells สาเหตุหลัก ๆ คือ IIS เป็นฟีเจอร์ที่มีอยู่บน Server อยู่แล้ว ทำให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบได้อย่างสมบูรณ์แบบ

ลักษณะการทำงาน

หลังจาก IIS Extension ถูกติดตั้งลงไปแล้ว ผู้โจมตีจะใช้มันเป็นช่องทางสำหรับการหาช่องโหว่ด้านความปลอดภัยต่าง ๆ บนระบบเครือข่ายของเหยื่อ
IIS Extension จะทำงานหลังจาก web shell ถูกใช้งานเป็นเพย์โหลดแรกในการโจมตี โมดูล IIS จะถูกปรับค่าให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ถูกแฮ็กได้มากขึ้น และแฝงตัวอยู่บนระบบให้ผู้โจมตีสามารถกลับมาควบคุมเครื่องเหยื่อได้อย่างต่อเนื่อง
หลังจากโมดูล IIS ถูกปรับค่าใหม่ มันจะช่วยให้ผู้โจมตีสามารถเก็บรวบรวมข้อมูลสำคัญจากหน่วยความจำของระบบ รวบรวมข้อมูลจากเครือข่ายของเป้าหมาย และเซิร์ฟเวอร์ที่ถูกโจมตี
หลังจากรวบรวมข้อมูลส่วนตัว และเปิดช่องทางการเข้าถึงจากภายนอกแล้ว ผู้โจมตีจะทำการติดตั้ง Backdoor IIS ที่ชื่อว่า FinanceSvcModel.

ช่องโหว่ทั้งหมดเป็นช่องโหว่การรันคำสั่งอันตราย (RCE) ประกอบด้วย CVE-2021-28480 (CVSS 9.8/10), CVE-2021-28481 (CVSS 9.8/10), CVE-2021-28482 (CVSS 8.8/10) และ CVE-2021-28483 (CVSS 9/10) โดยมีเพียงช่องโหว่เดียว (CVE-2021-28483) ที่สามารถโจมตีได้เฉพาะภายในระบบเครือข่ายที่อยู่ในวงเดียวกัน (Attack Vector: Adjacent) นอกจากนั้นอีก 3 รายการ สามารถโจมตีโดยตรงจากระบบเครือข่ายภายนอกได้ (Attack Vector: Network)

อย่างไรก็ตามในเวลาเดียวกัน Microsoft ก็ได้ปล่อยแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมาใน Tuesday Patch รอบนี้ด้วย องค์กรไหนที่มีการใช้งาน Exchange Server ที่ยังเป็น On-premise หรือ Hybrid อยู่ ควรทำการอัพเดตเครื่องให้เป็นเวอร์ชั่นล่าสุดทันที โดยสามารถศึกษาวิธีการอัพเดต และ script สำหรับใช้ตรวจสอบการแพทช์ได้จากลิงก์ด้านล่าง

https://techcommunity.

Microsoft ได้เปิดตัวแพตช์ความปลอดภัยประจำเดือนธันวาคม หรือ Microsoft Patch Tuesday December 2020 โดยในเดือนธันวาคมนี้ Microsoft ได้ทำการแก้ไขช่องโหว่เป็นจำนวน 58 รายการในผลิตภัณฑ์ และบริการมากกว่า 10 รายกายของ Microsoft

แพตช์ที่ได้รับการแก้ไขจำนวน 22 รายการถูกจัดประเภทเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) และส่งผลกระทบต่อผลิตภัณฑ์ของ Microsoft เช่น Exchange Server (CVE-2020-17143, CVE-2020-17144, CVE-2020-17141, CVE-2020-17117, CVE-2020-17132 และ CVE-2020-17142 ) และ SharePoint (CVE-2020-17118 และ CVE-2020-17121)

ช่องโหว่ที่สำคัญอีกประการหนึ่งที่ได้รับการแก้ไขของเดือนธันวาคมนี้คือ CVE-2020-17095 ซึ่งเป็นช่องโหว่ของ Hyper-V ที่อนุญาตให้ผู้โจมตีสามารถเพิ่มสิทธิ์จากการเรียกใช้โค้ดใน Guest ของ Hyper-V และจะนำสู่การเรียกใช้โค้ดบนโฮสต์ Hyper-V โดยการส่งผ่านแพ็กเก็ต vSMB ที่ไม่ถูกต้อง

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: zdnet

แฮกเกอร์สแกนหาเซิร์ฟเวอร์ของ Microsoft Exchange ที่มีช่องโหว่,แก้ไขเดี๋ยวนี้เลย !
ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหา Microsoft Exchange เซิร์ฟเวอร์ที่เสี่ยงต่อช่องโหว่รันคำสั่งอันตรายจากระยะไกล CVE-2020-0688 ซึ่งได้รับการแก้ไขโดย Microsoft เมื่อ 2 สัปดาห์ก่อน
Exchange Server ทุกเวอร์ชันจนถึงแพตช์ล่าสุดที่ออกมานั้นมีความเสี่ยงที่จะโดนโจมตีจากการสแกนที่ดำเนินการอยู่ ซึ่งจะรวมไปถึงรุ่นที่หมดระยะการสนับสนุนแล้ว ซึ่งในคำแนะนำด้านความปลอดภัยของ Microsoft จะไม่แสดงรุ่นที่หมดระยะแล้ว
ข้อบกพร่องมีอยู่ในส่วนประกอบ Exchange Control Panel (ECP) และเกิดจากการที่ Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะเมื่อติดตั้ง
เมื่อโจมตีสำเร็จ ผู้โจมตีที่สามารถเข้าสู่ระบบได้จะสามารถรันคำสั่งอันตรายจากระยะไกลด้วยสิทธิ์ System ได้และสามารถยึดเครื่องได้
Simon Zuckerbraun นักวิจัยด้านความปลอดภัยจาก Zero Zero Initiative เผยแพร่การสาธิตเกี่ยวกับวิธีการใช้ประโยชน์จากข้อบกพร่องของ Microsoft Exchange CVE-2020-0688 และวิธีการใช้คีย์การเข้ารหัสลับแบบคงที่ซึ่งเป็นส่วนหนึ่งของการโจมตีเซิร์ฟเวอร์ที่ไม่ตรงกัน
Zuckerbraun อธิบายว่าผู้โจมตีจะต้องยึดเครื่องหรือบัญชีผู้ใช้ของคนในองค์กรก่อน แล้วจากนั้นเมื่อใช้ช่องโหว่ก็จะสามารถยึดเซิร์ฟเวอร์ได้ เนื่องจาก Microsoft Exchange ใช้สำหรับส่งอีเมล ผู้โจมตีก็จะสามารถเปิดเผยหรือปลอมแปลงการสื่อสารทางอีเมลขององค์กรได้
ดังนั้นหากคุณเป็นผู้ดูแลระบบ Exchange Server คุณควรถือว่านี่เป็นแพตช์ที่มีความสำคัญมากและควร Update ทันทีหลังจากทดสอบแพตช์แล้ว

ที่มา : bleepingcomputer