CrowdStrike พบกลุ่ม Play Ransomware กำลังใช้เครื่องมือที่ใช้ในการโจมตีช่องโหว่บน Microsoft Exchange ที่ชื่อว่า ProxyNotShell ซึ่งเป็นช่องโหว่ที่ถูกพบในเดือนตุลาคมที่ผ่านมา เพื่อเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ผ่านทาง Outlook Web Access (OWA)

กลุ่ม Play Ransomware ถูกพบครั้งแรกในเดือนมิถุนายน 2022 โดยเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีโรงแรมในเครือ German H-Hotels ในเมืองแอนต์เวิร์ป ประเทศเบลเยียม และศาลยุติธรรมแห่งกอร์โดบาของอาร์เจนตินา

CrowdStrike พบเครื่องมือที่ใช้ในการโจมตีช่องโหว่ดังกล่าวที่ชื่อว่า “OWASSRF” ขณะทำการวิเคราะห์วิธีการโจมตีของกลุ่ม Play Ransomware ซึ่งพบว่ามีการใช้เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกควบคุมในการโจมตีไปยังระบบอื่น ๆ ของเหยื่อ

วิธีการโจมตี

เทคนิค OWASSRF คือการใช้ช่องโหว่ ProxyNotShell เพื่อเข้าถึง Remote PowerShell ของ Microsoft Exchange โดยใช้ช่องโหว่ CVE-2022-41082 รวมไปถึงใช้ช่องโหว่ CVE-2022-41040 ทำการปลอมแปลงค่า server-side request forgery (SSRF) ในการหลีกเลี่ยงการตรวจสอบ (Bypass) และใช้ช่องโหว่ CVE-2022-41080 Outlook Web Access (OWA) เพื่อยกระดับสิทธิ์ของผู้ใช้งาน (Privilege Escalation) บนเซิร์ฟเวอร์ Microsoft Exchange ของเหยื่อ โดยสามารถโจมตีได้ทั้ง Exchange on-premises, Exchange Online และ Skype for Business Server เมื่อโจมตีได้สำเร็จ Hackers จะติดตั้งโปรแกรม Plink และ Any Desk เพื่อใช้ในการควบคุมจากระยะไกล รวมไปถึงการลบ Windows Event Logs ในเครื่องที่ถูกโจมตีเพื่อปกปิดร่องรอยการถูกโจมตี

CVE-2022-41080 (คะแนน CVSS v3: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่โจมตีผ่าน Outlook Web Access (OWA) ทำให้สามารถยกระดับสิทธิ์ผู้ใช้งานได้ (Privilege Escalation)

CVE-2022-41040 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ใช้การปลอมแปลงค่า server-side request forgery (SSRF) ส่งผลให้สามารถหลีกเลี่ยงการยืนยันตัวตน และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE)

CVE-2022-41082 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Exchange PowerShell

รวมไปถึงทาง CrowdStrike ยังพบอีกว่า OWASSRF PoC ที่สามารถนำไปใช้ในการสร้าง payload การโจมตี ถูกปล่อยออกสู่สาธาณะแล้ว โดย Dray Agha นักวิจัยด้านภัยคุกคามจาก Huntress Labs เป็นผู้พบ PoC ดังกล่าวในวันที่ 14 ธันวาคมที่ผ่านมา ซึ่งทำให้เหล่า Hackers จะสามารถนำ OWASSRF PoC ไปใช้ในการโจมตีต่อได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ

- Microsoft Exchange Server 2013

- Microsoft Exchange Server 2016

- Microsoft Exchange Server 2019

โดยขณะนี้ทาง Microsoft ได้ออกอัปเดตเพื่อปิดช่องโหว่เหล่านี้แล้ว แนะนำผู้ดูระบบให้รีบอัปเดตทันที

วิธีการป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา : bleepingcomputer

สืบเนื่องจากเมื่อวันที่ 29 กันยายนที่ผ่านมา ทาง Microsoft ได้รายงานถึงช่องโหว่ Zero-Day ระดับความรุนแรงสูงบน Microsoft Exchange Server 2013, 2016 และ 2019 ที่มีชื่อว่า ProxyNotShell ซึ่งมีรายละเอียดดังต่อไปนี้

CVE-2022-41040 เป็นช่องโหว่การปลอมแปลงคำขอฝั่งเซิฟเวอร์ - server-side request forgery (SSRF) (CVSS 8.8)
CVE-2022-41082 เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ผ่าน PowerShell - remote code execution (RCE) (CVSS 8.8)

โดยช่องโหว่ CVE-2022-41040 จะเป็นช่องทางให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ (authentication) สามารถใช้ประโยชน์จากช่องโหว่ CVE-2022-41082 จากระยะไกลได้ แต่อย่างไรก็ตามการโจมตียังจำเป็นต้องผ่านการตรวจสอบสิทธิ์จาก Exchange Server ให้ได้ก่อน เพื่อที่จะทำให้สามารถโจมตีได้สำเร็จ โดยทั้งสองช่องโหว่สามารถใช้โจมตีแยกจากกันได้

ปัจจุบัน Microsoft Defender Antivirus และ Microsoft Defender for Endpoint สามารถตรวจจับมัลแวร์ และพฤติกรรมที่เกี่ยวข้องกับการโจมตี โดยทาง Microsoft จะยังคงตรวจสอบภัยคุกคามที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวอย่างต่อเนื่อง เพื่อช่วยลดความเสี่ยงให้กับผู้ใช้งาน

ลักษณะการโจมตี
ผู้โจมตีจะส่ง request SOAP "autodiscover" ในลักษณะ POST /autodiscover/autodiscover.

ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ  โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์

ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน  Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"

"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"

(more…)

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)

CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF

หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ

และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell

Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี

เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี

https://Exchange-server/autodiscover/autodiscover.

CISA อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (Cybersecurity and Infrastructure Security Agency - CISA) ได้อัปเดตคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ที่ถูกใช้โจมตีอย่างต่อเนื่อง รวมถึงรายงานการวิเคราะห์มัลแวร์ (Malware Analysis Reports - MAR) ที่อาศัยช่องโหว่ในการโจมตี

CISA ยังได้ทำการอัปเดตรายงานการวิเคราะห์มัลแวร์ที่มีอยู่ 7 รายการ พร้อมทั้งเพิ่ม YARA rules เพื่อช่วยตรวจจับมัลแวร์และป้องกันการโจมตีที่อาจเกิดขึ้นได้ในอนาคต

ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านรายงานและคำแนะนำสำหรับการป้องกันและรับมือกับการใช้ประโยชน์จากช่องโหว่ใน Microsoft Exchange Server ได้ที่: https://us-cert.