สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) และสำนักงานความมั่นคงแห่งชาติ (NSA) ได้เผยแพร่คำแนะนำเพื่อช่วยผู้ดูแลระบบในการยกระดับความปลอดภัยให้กับ Microsoft Exchange Server บนเครือข่ายของตนเพื่อป้องกันการโจมตี

แนวทางปฏิบัติที่แนะนำ ได้แก่ การยกระดับความปลอดภัยของการ authentication และการเข้าถึงของผู้ใช้, การลด surfaces การโจมตีของแอปพลิเคชัน และการสร้างความแข็งแกร่งของ network encryption

หน่วยงานทั้งสองยังแนะนำให้ผู้ดูแลระบบยุติการใช้งาน Exchange servers แบบ on-premises หรือแบบ hybrid ที่ end-of-life หลังจากเปลี่ยนไปใช้ Microsoft 365 แล้ว เนื่องจากการคง Exchange servers ตัวสุดท้ายไว้ในระบบโดยที่ไม่ได้อัปเดต อาจทำให้องค์กรตกเป็นเป้าของการโจมตี และเพิ่มความเสี่ยงต่อการละเมิดความปลอดภัยอย่างมีนัยสำคัญ

นอกจากนี้ แม้ว่าจะไม่ได้กล่าวถึงในคำแนะนำของ CISA และ NSA แต่การเฝ้าระวังกิจกรรมที่เป็นอันตราย หรือน่าสงสัย และการวางแผนรับมือเหตุการณ์ที่อาจเกิดขึ้น และการกู้คืนข้อมูล ก็มีความสำคัญอย่างยิ่งเช่นกัน ในการลดความเสี่ยงที่เกี่ยวข้องกับ Exchange servers ภายในองค์กร

หน่วยงานทั้งสองกล่าวสรุปในรายงาน โดยมีศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งออสเตรเลีย (ACSC) และศูนย์ความมั่นคงปลอดภัยทางไซเบอร์แห่งแคนาดา (Cyber Centre) เข้าร่วมด้วย โดยระบุว่า "ด้วยการจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ, การใช้การยืนยันตัวตนแบบหลายปัจจัย, การบังคับใช้การกำหนดค่าความปลอดภัยการรับส่งข้อมูลที่เข้มงวด และการนำหลักการความปลอดภัยแบบ Zero Trust (ZT) มาใช้ โดยองค์กรต่าง ๆ จะสามารถเสริมสร้างการป้องกันการโจมตีทางไซเบอร์ที่อาจเกิดขึ้นได้อย่างมาก"

"นอกจากนี้ เนื่องจาก Exchange Server บางเวอร์ชันเพิ่งสิ้นสุดอายุการใช้งาน (EOL) หน่วยงานฯ จึงขอแนะนำอย่างยิ่งให้องค์กรต่าง ๆ ดำเนินมาตรการเชิงรุกเพื่อลดความเสี่ยง และป้องกันกิจกรรมที่เป็นอันตราย"

CISA, NSA และพันธมิตร ได้แชร์คำแนะนำด้านความปลอดภัยที่สำคัญกว่า 10 ข้อ สำหรับผู้ดูแลระบบเครือข่าย ซึ่งรวมถึงการอัปเดตเซิร์ฟเวอร์ให้เป็นปัจจุบันอยู่เสมอ, การย้ายระบบจาก Exchange เวอร์ชันที่ไม่รองรับ, การเปิดใช้งานบริการบรรเทาผลกระทบฉุกเฉิน, การเปิดใช้งานฟีเจอร์ป้องกันสแปม และมัลแวร์ในตัว, การจำกัดสิทธิ์การเข้าถึงระดับผู้ดูแลระบบเฉพาะจากส่วนการทำงานที่ได้รับอนุญาต และการใช้มาตรฐานความปลอดภัยพื้นฐาน สำหรับทั้งระบบ Exchange Server และ Windows

หน่วยงานต่าง ๆ ยังแนะนำให้เสริมความแข็งแกร่งของการยืนยันตัวตนด้วยการเปิดใช้งาน MFA, Modern Auth, การใช้ประโยชน์จาก OAuth 2.0, การใช้ Kerberos และ SMB แทน NTLM เพื่อรักษาความปลอดภัยกระบวนการยืนยันตัวตน และการกำหนดค่า Transport Layer Security เพื่อปกป้องความสมบูรณ์ของข้อมูล และ Extended Protection เพื่อป้องกันการโจมตีแบบ Adversary-in-the-Middle (AitM), การโจมตีแบบ relay และ forwarding

องค์กรต่าง ๆ ควรเปิดใช้งาน certificate-based signing สำหรับ Exchange Management Shell และใช้ HTTP Strict Transport Security (HSTS) เพื่อให้มั่นใจว่าการเชื่อมต่อเบราว์เซอร์มีความปลอดภัย นอกจากนี้ องค์กรควรใช้ role-based access control เพื่อจัดการสิทธิ์ของผู้ใช้ และผู้ดูแลระบบ, กำหนดค่า Download Domains เพื่อบล็อกการโจมตีแบบ Cross-Site Request Forgery (CSRF) และเฝ้าระวังความพยายามในการแก้ไข P2 FROM header เพื่อป้องกันการ spoofing sender

คำแนะนำร่วมฉบับนี้ เป็นการต่อยอดจากคำสั่งฉุกเฉิน (ED 25-02) ที่ CISA ออกเมื่อเดือนสิงหาคม 2025 ซึ่งสั่งการให้หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) รักษาความปลอดภัยระบบของตนจากช่องโหว่ระดับความรุนแรงสูงของ Microsoft Exchange แบบ hybrid (CVE-2025-53786) ภายใน 4 วัน

ตามที่ Microsoft เตือนไว้ในขณะนั้น ช่องโหว่นี้ส่งผลกระทบต่อ Microsoft Exchange Server 2016, 2019 และ Subscription Edition โดยเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบของ Exchange Server แบบ on-premises สามารถโจมตีต่อไปยังระบบ Cloud ของ Microsoft ได้ ซึ่งอาจนำไปสู่การโจมตีโดเมนทั้งหมด

เพียงไม่กี่วันหลังจากที่ CISA สั่งการให้หน่วยงานรัฐบาลกลางอัปเดตแพตช์เซิร์ฟเวอร์ของตน Shadowserver ซึ่งเป็นองค์กรเฝ้าระวังทางอินเทอร์เน็ต พบว่ายังมีเซิร์ฟเวอร์ Exchange กว่า 29,000 เครื่อง ที่ยังคงเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-53786

ในช่วงไม่กี่ปีที่ผ่านมา กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล และกลุ่มที่มีแรงจูงใจทางด้านการเงิน ได้ใช้ประโยชน์จากช่องโหว่ความปลอดภัยของ Exchange หลายรายการเพื่อเจาะระบบเซิร์ฟเวอร์ รวมถึงช่องโหว่แบบ zero-day อย่าง ProxyShell และ ProxyLogon ตัวอย่างเช่น ในเดือนมีนาคม 2021 มีกลุ่มแฮ็กเกอร์อย่างน้อย 10 กลุ่มที่ใช้ประโยชน์จากช่องโหว่ ProxyLogon ซึ่งรวมถึงกลุ่ม Silk Typhoon ซึ่งได้รับการสนับสนุนจากรัฐบาลจีน

ที่มา : bleepingcomputer

CrowdStrike พบกลุ่ม Play Ransomware กำลังใช้เครื่องมือที่ใช้ในการโจมตีช่องโหว่บน Microsoft Exchange ที่ชื่อว่า ProxyNotShell ซึ่งเป็นช่องโหว่ที่ถูกพบในเดือนตุลาคมที่ผ่านมา เพื่อเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ผ่านทาง Outlook Web Access (OWA)

กลุ่ม Play Ransomware ถูกพบครั้งแรกในเดือนมิถุนายน 2022 โดยเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีโรงแรมในเครือ German H-Hotels ในเมืองแอนต์เวิร์ป ประเทศเบลเยียม และศาลยุติธรรมแห่งกอร์โดบาของอาร์เจนตินา

CrowdStrike พบเครื่องมือที่ใช้ในการโจมตีช่องโหว่ดังกล่าวที่ชื่อว่า “OWASSRF” ขณะทำการวิเคราะห์วิธีการโจมตีของกลุ่ม Play Ransomware ซึ่งพบว่ามีการใช้เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกควบคุมในการโจมตีไปยังระบบอื่น ๆ ของเหยื่อ

วิธีการโจมตี

เทคนิค OWASSRF คือการใช้ช่องโหว่ ProxyNotShell เพื่อเข้าถึง Remote PowerShell ของ Microsoft Exchange โดยใช้ช่องโหว่ CVE-2022-41082 รวมไปถึงใช้ช่องโหว่ CVE-2022-41040 ทำการปลอมแปลงค่า server-side request forgery (SSRF) ในการหลีกเลี่ยงการตรวจสอบ (Bypass) และใช้ช่องโหว่ CVE-2022-41080 Outlook Web Access (OWA) เพื่อยกระดับสิทธิ์ของผู้ใช้งาน (Privilege Escalation) บนเซิร์ฟเวอร์ Microsoft Exchange ของเหยื่อ โดยสามารถโจมตีได้ทั้ง Exchange on-premises, Exchange Online และ Skype for Business Server เมื่อโจมตีได้สำเร็จ Hackers จะติดตั้งโปรแกรม Plink และ Any Desk เพื่อใช้ในการควบคุมจากระยะไกล รวมไปถึงการลบ Windows Event Logs ในเครื่องที่ถูกโจมตีเพื่อปกปิดร่องรอยการถูกโจมตี

CVE-2022-41080 (คะแนน CVSS v3: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่โจมตีผ่าน Outlook Web Access (OWA) ทำให้สามารถยกระดับสิทธิ์ผู้ใช้งานได้ (Privilege Escalation)

CVE-2022-41040 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ใช้การปลอมแปลงค่า server-side request forgery (SSRF) ส่งผลให้สามารถหลีกเลี่ยงการยืนยันตัวตน และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE)

CVE-2022-41082 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Exchange PowerShell

รวมไปถึงทาง CrowdStrike ยังพบอีกว่า OWASSRF PoC ที่สามารถนำไปใช้ในการสร้าง payload การโจมตี ถูกปล่อยออกสู่สาธาณะแล้ว โดย Dray Agha นักวิจัยด้านภัยคุกคามจาก Huntress Labs เป็นผู้พบ PoC ดังกล่าวในวันที่ 14 ธันวาคมที่ผ่านมา ซึ่งทำให้เหล่า Hackers จะสามารถนำ OWASSRF PoC ไปใช้ในการโจมตีต่อได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ

- Microsoft Exchange Server 2013

- Microsoft Exchange Server 2016

- Microsoft Exchange Server 2019

โดยขณะนี้ทาง Microsoft ได้ออกอัปเดตเพื่อปิดช่องโหว่เหล่านี้แล้ว แนะนำผู้ดูระบบให้รีบอัปเดตทันที

วิธีการป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา : bleepingcomputer

สืบเนื่องจากเมื่อวันที่ 29 กันยายนที่ผ่านมา ทาง Microsoft ได้รายงานถึงช่องโหว่ Zero-Day ระดับความรุนแรงสูงบน Microsoft Exchange Server 2013, 2016 และ 2019 ที่มีชื่อว่า ProxyNotShell ซึ่งมีรายละเอียดดังต่อไปนี้

CVE-2022-41040 เป็นช่องโหว่การปลอมแปลงคำขอฝั่งเซิฟเวอร์ - server-side request forgery (SSRF) (CVSS 8.8)
CVE-2022-41082 เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ผ่าน PowerShell - remote code execution (RCE) (CVSS 8.8)

โดยช่องโหว่ CVE-2022-41040 จะเป็นช่องทางให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ (authentication) สามารถใช้ประโยชน์จากช่องโหว่ CVE-2022-41082 จากระยะไกลได้ แต่อย่างไรก็ตามการโจมตียังจำเป็นต้องผ่านการตรวจสอบสิทธิ์จาก Exchange Server ให้ได้ก่อน เพื่อที่จะทำให้สามารถโจมตีได้สำเร็จ โดยทั้งสองช่องโหว่สามารถใช้โจมตีแยกจากกันได้

ปัจจุบัน Microsoft Defender Antivirus และ Microsoft Defender for Endpoint สามารถตรวจจับมัลแวร์ และพฤติกรรมที่เกี่ยวข้องกับการโจมตี โดยทาง Microsoft จะยังคงตรวจสอบภัยคุกคามที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวอย่างต่อเนื่อง เพื่อช่วยลดความเสี่ยงให้กับผู้ใช้งาน

ลักษณะการโจมตี
ผู้โจมตีจะส่ง request SOAP "autodiscover" ในลักษณะ POST /autodiscover/autodiscover.

ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ  โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์

ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน  Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"

"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"

(more…)

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)

CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF

หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ

และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell

Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี

เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี

https://Exchange-server/autodiscover/autodiscover.

CISA อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ได้อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ที่ถูกใช้โจมตีอย่างต่อเนื่อง รวมถึงรายงานการวิเคราะห์มัลแวร์ (Malware Analysis Reports - MAR) ที่อาศัยช่องโหว่ในการโจมตี

CISA ยังได้ทำการอัปเดตรายงานการวิเคราะห์มัลแวร์ที่มีอยู่ 7 รายการ พร้อมทั้งเพิ่ม YARA rules เพื่อช่วยตรวจจับมัลแวร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านรายงานและคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ได้ที่: https://us-cert.