หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

ที่มา : bleepingcomputer

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer

Microsoft ได้ถอดการอัปเดตด้านความปลอดภัยในเดือนสิงหาคมของ Microsoft Exchange Server ออกจาก Windows Update หลังจากพบว่าตัวอัปเดต Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ มีข้อผิดพลาด

การอัปเดตความปลอดภัยเหล่านี้ ได้แก้ไขช่องโหว่ 6 รายการ ได้แก่ ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 4 รายการ ช่องโหว่ด้านการยกระดับสิทธิ์ (Privilege Escalation) 1 รายการ และช่องโหว่การปลอมแปลง (Spoofing) 1 รายการที่สามารถใช้เพื่อโจมตีแบบ NTLM Relay Attack

โดยผู้ใช้งานที่ทำการอัปเดตแพตซ์ Microsoft Exchange ในตัวติดตั้งที่ไม่ใช่ภาษาอังกฤษ พบว่าหลังจากทำการอัปเดต Exchange Windows ไม่สามารถใช้งานได้ ซึ่งพบ Error Code 1603 ในขณะที่ทำการอัปเดต (more…)

Microsoft และทีม CERT ของยูเครน แจ้งเตือนการพบกลุ่ม Hacker ในชื่อ Turla ซึ่งได้รับการสนับสนุนโดยรัฐบาลรัสเซีย ได้มุ่งเป้าหมายการโจมตีไปยังอุตสาหกรรมการป้องกันประเทศ โดยมุ่งเป้าโจมตีไปที่ Exchange server ด้วย malware backdoor ตัวใหม่ ในชื่อ 'DeliveryCheck' เพื่อเปลี่ยนให้เป็นเซิร์ฟเวอร์สำหรับแพร่กระจายมัลแวร์

Turla หรือที่รู้จักในชื่อ Secret Blizzard, KRYPTON และ UAC-0003 เป็นกลุ่ม APT (Advanced Persistent Threat) ที่มีความเกี่ยวข้องกับ Federal Security Service (FSB) ของรัสเซีย ซึ่งมีความเกี่ยวข้องกับการโจมตีเพื่อต่อต้านชาติตะวันตกในช่วงหลายปีที่ผ่านมา รวมถึง Snake cyber-espionage malware botnet ที่เพิ่งถูกขัดขวางในปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศที่ชื่อว่า Operation MEDUSA (more…)

University of Waterloo มหาวิทยาลัยในแคนาดา ออกมายืนยันในสัปดาห์ที่ผ่านมาว่ากำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่เกิดขึ้นกับระบบอีเมลของมหาวิทยาลัย

เมื่อวันพุธที่ผ่านมา รองประธานมหาวิทยาลัย 'Jacinda Reitsma' ระบุว่า มหาวิทยาลัยได้หยุดการโจมตีจากแรนซัมแวร์ที่พยายามเข้าสู่ระบบในวันที่ 30 พฤษภาคม และกำลังดำเนินการเพื่อจำกัดผลกระทบจากการละเมิดข้อมูล โดยมหาวิทยาลัยดังกล่าวตั้งอยู่ในเวตเตอร์ลู รัฐออนแทริโอ มีนักศึกษากว่า 40,000 คน

Reitsma ระบุว่า บริการอีเมล Microsoft Exchange ในวิทยาเขตของโรงเรียนได้รับผลกระทบจากการโจมตีจากแรนซัมแวร์ โดยผู้ใช้บริการอีเมลที่ใช้บนระบบคลาวด์จะไม่ได้รับผลกระทบจากการโจมตีครั้งนี้

แต่เนื่องจากการโจมตีดังกล่าว ทางมหาวิทยาลัยต้องปิดการใช้งานระบบอีเมลชั่วคราว ส่งผลให้นักศึกษาไม่สามารถเข้าสู่ระบบ หรือสร้างบัญชีใหม่ได้ นักศึกษายังไม่สามารถเข้าสู่แพลตฟอร์มการศึกษาอื่น ๆ ด้วยข้อมูลประจำตัวทางอีเมลได้ เช่น Workday, Waterloo LEARN และอื่น ๆ

Reitsma ระบุเพิ่มเติมว่า "มหาวิทยาลัยทราบถึงการละเมิดความปลอดภัยที่เกี่ยวข้องกับบริการอีเมลภายในของเรา (Microsoft Exchange) ซึ่งปัจจุบันบริการนี้ถูกแยกออกจากบริการอื่น ๆ แล้ว และปัจจุบันบัญชี Microsoft Exchange ส่วนใหญ่ของมหาวิทยาลัยอยู่บนระบบคลาวด์ และไม่ได้รับผลกระทบ "

"ดังนั้นสำหรับบุคคลส่วนใหญ่ในมหาวิทยาลัย การเข้าถึงอีเมลจะไม่ได้รับผลกระทบ โดยมหาวิทยาลัยกำลังดำเนินการตรวจสอบผลกระทบจากการละเมิดความปลอดภัยนี้ อาจมีความจำเป็นที่จะต้องแยกบริการออกจากกัน ซึ่งทำให้บางระบบอาจไม่สามารถเข้าถึงได้ตลอดทั้งวัน"

เมื่อวันพฤหัสบดีที่ผ่านมา ทางมหาวิทยาลัยได้แถลงการณ์ว่า จะเริ่มการปิดระบบ และรีเซ็ตระบบทั้งหมดใหม่ในคืนวันพฤหัสบดีซึ่งจะใช้เวลาประมาณหกชั่วโมง

การเข้าถึงทรัพยากรออนไลน์ของห้องสมุดในมหาวิทยาลัย รวมถึง Omni และการจองหลักสูตรได้รับผลกระทบจากการหยุดทำงาน มหาวิทยาลัยได้อธิบายสถานการณ์ให้แก่นักศึกษา และคณาจารย์ทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น

เมื่อวันศุกร์ที่ผ่านมา Reitsma ได้แถลงการณ์ว่า การรีเซ็ตเสร็จสมบูรณ์แล้ว แต่ได้แจ้งนักศึกษา และคณาจารย์จะต้องทำการเปลี่ยนรหัสผ่านก่อนวันที่ 8 มิถุนายน ผู้ที่ทำการเปลี่ยนรหัสผ่านไม่ทันจะถูกล็อคออกจากบัญชี และจำเป็นต้องได้รับความช่วยเหลือจากทีมไอทีของมหาวิทยาลัย

ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีในเหตุการณ์ครั้งนี้ โดยในปี 2023 ประเทศแคนาดาได้เผชิญกับการโจมตีจากแรนซัมแวร์หลายครั้งในสถาบันขนาดใหญ่

สำนักพิมพ์ Indigo ของแคนาดาที่มียอดขายหลายพันล้านดอลลาร์ก็พึ่งถูกกลุ่มแรนซัมแวร์ Lockbit โจมตีในเดือนกุมภาพันธ์ และพิพิธภัณฑ์แห่งชาติแคนาดาก็ถูกแรนซัมแวร์โจมตีเมื่อสามสัปดาห์ที่ผ่านมา

อ้างอิง : https://therecord.

CrowdStrike พบกลุ่ม Play Ransomware กำลังใช้เครื่องมือที่ใช้ในการโจมตีช่องโหว่บน Microsoft Exchange ที่ชื่อว่า ProxyNotShell ซึ่งเป็นช่องโหว่ที่ถูกพบในเดือนตุลาคมที่ผ่านมา เพื่อเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ผ่านทาง Outlook Web Access (OWA)

กลุ่ม Play Ransomware ถูกพบครั้งแรกในเดือนมิถุนายน 2022 โดยเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีโรงแรมในเครือ German H-Hotels ในเมืองแอนต์เวิร์ป ประเทศเบลเยียม และศาลยุติธรรมแห่งกอร์โดบาของอาร์เจนตินา

CrowdStrike พบเครื่องมือที่ใช้ในการโจมตีช่องโหว่ดังกล่าวที่ชื่อว่า “OWASSRF” ขณะทำการวิเคราะห์วิธีการโจมตีของกลุ่ม Play Ransomware ซึ่งพบว่ามีการใช้เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกควบคุมในการโจมตีไปยังระบบอื่น ๆ ของเหยื่อ

วิธีการโจมตี

เทคนิค OWASSRF คือการใช้ช่องโหว่ ProxyNotShell เพื่อเข้าถึง Remote PowerShell ของ Microsoft Exchange โดยใช้ช่องโหว่ CVE-2022-41082 รวมไปถึงใช้ช่องโหว่ CVE-2022-41040 ทำการปลอมแปลงค่า server-side request forgery (SSRF) ในการหลีกเลี่ยงการตรวจสอบ (Bypass) และใช้ช่องโหว่ CVE-2022-41080 Outlook Web Access (OWA) เพื่อยกระดับสิทธิ์ของผู้ใช้งาน (Privilege Escalation) บนเซิร์ฟเวอร์ Microsoft Exchange ของเหยื่อ โดยสามารถโจมตีได้ทั้ง Exchange on-premises, Exchange Online และ Skype for Business Server เมื่อโจมตีได้สำเร็จ Hackers จะติดตั้งโปรแกรม Plink และ Any Desk เพื่อใช้ในการควบคุมจากระยะไกล รวมไปถึงการลบ Windows Event Logs ในเครื่องที่ถูกโจมตีเพื่อปกปิดร่องรอยการถูกโจมตี

CVE-2022-41080 (คะแนน CVSS v3: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่โจมตีผ่าน Outlook Web Access (OWA) ทำให้สามารถยกระดับสิทธิ์ผู้ใช้งานได้ (Privilege Escalation)

CVE-2022-41040 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ใช้การปลอมแปลงค่า server-side request forgery (SSRF) ส่งผลให้สามารถหลีกเลี่ยงการยืนยันตัวตน และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE)

CVE-2022-41082 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Exchange PowerShell

รวมไปถึงทาง CrowdStrike ยังพบอีกว่า OWASSRF PoC ที่สามารถนำไปใช้ในการสร้าง payload การโจมตี ถูกปล่อยออกสู่สาธาณะแล้ว โดย Dray Agha นักวิจัยด้านภัยคุกคามจาก Huntress Labs เป็นผู้พบ PoC ดังกล่าวในวันที่ 14 ธันวาคมที่ผ่านมา ซึ่งทำให้เหล่า Hackers จะสามารถนำ OWASSRF PoC ไปใช้ในการโจมตีต่อได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ

- Microsoft Exchange Server 2013

- Microsoft Exchange Server 2016

- Microsoft Exchange Server 2019

โดยขณะนี้ทาง Microsoft ได้ออกอัปเดตเพื่อปิดช่องโหว่เหล่านี้แล้ว แนะนำผู้ดูระบบให้รีบอัปเดตทันที

วิธีการป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี

ที่มา : bleepingcomputer

Microsoft ตรวจพบผู้ไม่หวังดีสามารถเข้าถึง Microsoft Exchange ของผู้ใช้งานที่อยู่บนระบบคลาวด์ได้สำเร็จด้วยการโจมตีแบบ Credential Stuffing Attacks เป้าหมายในการโจมตีครั้งนี้คือ Deploy OAuth Application ที่เป็นอันตราย และส่ง Phishing Email เพื่อขโมยข้อมูลบัตรเครดิตของผู้ใช้ สาเหตุหลักๆที่ทำให้เกิดเหตุการณ์นี้คือบัญชี High Privileged บนระบบคลาวด์ไม่ได้เปิดใช้งาน Multi-factor Authentication (MFA) ทำให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้

Credential Stuffing Attack เป็นการโจมตีในรูปแบบการใช้ข้อมูลต่าง ๆ ที่เคยรั่วไหลออกมาก่อนหน้าจากเว็ปไซต์ หรือบริการต่าง ๆ เช่น อีเมล และรหัสผ่าน และนำไปลองใช้เข้าสู่ระบบบนเว็บไซต์อื่น ๆ โดยสาเหตุที่ทำให้สามารถเข้าถึงข้อมูลได้เป็นจำนวนมาก เนื่องจากผู้ใช้งานส่วนใหญ่ตั้งบัญชีผู้ใช้ และรหัสผ่านเดียวกันในเว็ปไซต์ และบริการต่างๆ

ลักษณะการโจมตี

เมื่อผู้โจมตีเข้าถึง Microsoft Exchange Server บนคลาวด์ได้สำเร็จแล้ว จะทำการสร้าง OAuth Application สำหรับเปิดการเชื่อมต่อที่เป็นอันตรายมายัง Exchange Server
เมื่อเปิดการเชื่อมต่อถึงระบบ ผู้โจมตีจะอาศัยช่องทางนี้สร้าง Transport Rule ในการส่งข้อมูลเพื่อหลบการตรวจจับจากอุปกรณ์ต่างๆ จากนั้นจะส่ง Phishing Email ไปยัง Exchange Server
เมื่อนำข้อมูลเข้า Exchange Server เรียบร้อยแล้ว มันจะทำการปิด Connection จากภายนอกทั้งหมด รวมถึงลบ Transport Rule ในการส่งข้อมูล เพื่อป้องกันไม่ให้ถูกตรวจพบ ในระหว่างนี้ OAuth Application จะไม่มีการทำงานจนกว่าจะมีการนำเข้าข้อมูลใหม่อีกครั้ง
แคมเปญอีเมลเหล่านี้มีโครงสร้างพื้นฐานของเคมเปญมาจาก Amazon SES และ Mail Chimp ที่ใช้กันทั่วไปในการส่งอีเมล

หลังจากตรวจพบการโจมตี Microsoft ได้ลบ Application ทั้งหมดที่เชื่อมโยงกับแคมเปญนี้ มีการส่งการแจ้งเตือน และแนะนำมาตรการแก้ไขให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด นอกจากนี้ยังพบว่าผู้โจมตียังมีการส่งอีเมลสแปมจำนวนมากภายในระยะเวลาอันสั้นด้วยวิธีการอื่น ๆ เช่น การเชื่อมต่อ Mail Server กับ IP อันตราย หรือการส่งโดยตรงจากระบบคลาวด์ที่มีการใช้งานอย่างถูกต้อง

ที่มา : bleepingcomputer

 

Microsoft ระบุว่าช่องโหว่ของ Exchange Server ที่ได้รับการแก้ไขไปเมื่อเดือนสิงหาคม 2565 ยังต้องมีการให้ผู้ดูแลระบบเปิดใช้งาน Extended Protection ด้วยตนเองบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ เพื่อให้สามารถบล็อกการโจมตีได้ทั้งหมด เมื่อวันที่ 9 สิงหาคม 2565 ทาง Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ 121 รายการ รวมถึงช่องโหว่ zero-day บน Windows ที่ชื่อว่า DogWalk ซึ่งกำลังถูกใช้โจมตีอยู่ในปัจจุบัน และช่องโหว่บน Exchange หลายรายการ (CVE-2022-21980, CVE-2022-24477 และ CVE-2022-24516) ซึ่งมีระดับความรุนแรง critical ที่ทำให้สามารถโจมตีในรูปแบบการยกระดับสิทธิ์ได้ โดยผู้โจมตีสามารถโจมตีช่องโหว่ดังกล่าวเพื่อยกระดับสิทธิ์ได้ด้วยการหลอกให้ผู้ใช้งานเข้าถึงเว็ปไซต์ที่เป็นอันตรายผ่านทาง phishing อีเมลล์ หรือข้อความแชท

(more…)

Microsoft ออกมาแจ้งเตือนเรื่องการพบผู้ไม่หวังดีได้หันมาใช้ Malicious IIS Extension สำหรับสร้าง Backdoor บน Exchange Server มากขึ้นเรื่อย ๆ เนื่องจากมีโอกาสในการถูกตรวจจับได้น้อยกว่าแบบ Web Shells สาเหตุหลัก ๆ คือ IIS เป็นฟีเจอร์ที่มีอยู่บน Server อยู่แล้ว ทำให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบได้อย่างสมบูรณ์แบบ

ลักษณะการทำงาน

หลังจาก IIS Extension ถูกติดตั้งลงไปแล้ว ผู้โจมตีจะใช้มันเป็นช่องทางสำหรับการหาช่องโหว่ด้านความปลอดภัยต่าง ๆ บนระบบเครือข่ายของเหยื่อ
IIS Extension จะทำงานหลังจาก web shell ถูกใช้งานเป็นเพย์โหลดแรกในการโจมตี โมดูล IIS จะถูกปรับค่าให้สามารถเข้าควบคุมเซิร์ฟเวอร์ที่ถูกแฮ็กได้มากขึ้น และแฝงตัวอยู่บนระบบให้ผู้โจมตีสามารถกลับมาควบคุมเครื่องเหยื่อได้อย่างต่อเนื่อง
หลังจากโมดูล IIS ถูกปรับค่าใหม่ มันจะช่วยให้ผู้โจมตีสามารถเก็บรวบรวมข้อมูลสำคัญจากหน่วยความจำของระบบ รวบรวมข้อมูลจากเครือข่ายของเป้าหมาย และเซิร์ฟเวอร์ที่ถูกโจมตี
หลังจากรวบรวมข้อมูลส่วนตัว และเปิดช่องทางการเข้าถึงจากภายนอกแล้ว ผู้โจมตีจะทำการติดตั้ง Backdoor IIS ที่ชื่อว่า FinanceSvcModel.

ผู้โจมตีจากประเทศจีนได้เจาะระบบจัดการอัตโนมัติของอาคาร (โดยส่วนใหญ่ใช้เพื่อควบคุม HVAC, ระบบดับเพลิง และฟังก์ชั่นความปลอดภัยของอาคาร) ขององค์กรในเอเชียหลายแห่งเพื่อเข้าถึงภายในเครือข่าย

กลุ่ม APT ที่เป็นผู้โจมตีถูกพบโดยนักวิจัยจาก Kaspersky ICS CERT โดยเป็นการมุ่งเป้าโจมตีไปที่ช่องโหว่ CVE-2021-26855 ของ Microsoft Exchange ที่เรียกกันว่า ProxyLogon บนระบบที่ยังไม่ได้มีการอัปเดตแพตช์ โดยอาจมีเหยื่อจำนวนมากที่ตกเป็นเป้าหมาย เนื่องจากเคยมีรายงานจากสถาบัน Dutch Institute for Vulnerability Disclosure (DIVD) ว่าหนึ่งสัปดาห์หลังจากที่ Microsoft ได้ปล่อยแพตช์ออกมา ยังคงพบว่าเซิร์ฟเวอร์ Microsoft Exchange กว่า 46,000 แห่ง ไม่ได้มีการอัปเดตแพตช์ช่องโหว่ ProxyLogon ดังกล่าว

(more…)