Microsoft Exchange Online แจ้งเตือน Email ว่าเป็นมัลแวร์โดยผิดพลาด

Microsoft กำลังสืบสวนปัญหา false positive ของ Exchange Online ที่ทำให้อีเมลที่มีรูปภาพแนบ ถูกแจ้งเตือนว่าเป็นอันตราย และส่งไปยัง quarantine

โดย Microsoft ได้ระบุถึงการรับทราบปัญหาดังกล่าวแล้วใน Microsoft 365 admin center ว่า "ข้อความอีเมลของผู้ใช้ที่มีรูปภาพอาจถูกระบุว่าเป็นมัลแวร์ และถูก quarantine อย่างไม่ถูกต้อง บริษัทกำลังทำการตรวจสอบติดตามเพื่อหาสาเหตุที่แท้งจริง และพัฒนาแผนการแก้ไข"

ปัญหาดังกล่าวถูกติดตามในชื่อ EX873252 ซึ่งยังส่งผลกระทบต่อข้อความที่มีลายเซ็นเป็นรูปภาพด้วย รวมถึงปัญหาดังกล่าวจะส่งผลต่อการรับส่งข้อมูลขาออกเท่านั้น โดยเฉพาะสำหรับการตอบกลับ และส่งต่ออีเมลที่มาจากภายนอกก่อนหน้านี้เท่านั้น แต่ยังมีผู้ดูแลระบบบางคนที่พบว่าปัญหาดังกล่าวส่งผลกระทบทั้งขาเข้า และภายในองค์กร

ปัจจุบัน Microsoft ได้แก้ไขปัญหาดังกล่าวแล้ว และได้นำดำเนินมาตรการย้ายอีเมลที่ถูกติดแท็กผิดพลาด false positive ว่าเป็นอันตรายออกจาก quarantine ทั้งหมดแล้ว

Microsoft ยังไม่ได้เปิดเผยว่าภูมิภาคใดบ้างที่ได้รับผลกระทบจากปัญหานี้ และได้ให้คำแนะนำในการลดผลกระทบแก่ลูกค้าที่ได้รับผลกระทบแล้ว

ในเดือนตุลาคม 2023 ทาง Microsoft ได้แก้ไขปัญหาที่คล้ายคลึงกันนี้ ซึ่งเกิดจาก anti-spam rule ที่มีข้อบกพร่องทำให้กล่องจดหมายของผู้ดูแลระบบ Microsoft 365 เต็มไปด้วย blind carbon copies (BCC) ของอีเมลขาออกที่ถูกทำเครื่องหมายว่าเป็น spam โดยผิดพลาด

ที่มา : bleepingcomputer

ช่องโหว่ใหม่ของ Windows SmartScreen ถูกใช้เป็นช่องโหว่ zero-day ตั้งแต่เดือนมีนาคม

เมื่อวันที่ 13 สิงหาคม 2024 ที่ผ่านมา Microsoft เปิดเผยว่าช่องโหว่ Mark of the Web security bypass ซึ่งผู้โจมตีใช้ประโยชน์เพื่อ bypass SmartScreen protection ได้รับการแก้ไขไปแล้วในช่วง Patch Tuesday เดือนมิถุนายน 2024

SmartScreen เป็นฟีเจอร์ความปลอดภัยที่เปิดตัวพร้อมกับ Windows 8 ซึ่งปกป้องผู้ใช้งานจากซอฟต์แวร์ที่อาจเป็นอันตรายเมื่อเปิดไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต ซึ่งจะถูกแท็กด้วย Mark of the Web (MotW) label

แม้ว่าช่องโหว่ CVE-2024-38213 จะสามารถถูกโจมตีจากระยะไกลได้โดยที่ผู้โจมตีไม่จำเป็นต้องผ่านการยืนยันตัวตน แต่ก็ยังจำเป็นต้องมีการโต้ตอบจากผู้ใช้ ซึ่งทำให้การโจมตีสำเร็จยากขึ้น

โดย Microsoft ระบุว่า "ผู้โจมตีที่สามารถโจมตีโดยใช้ช่องโหว่นี้ได้สำเร็จ จะสามารถ bypass SmartScreen protection ของผู้ใช้ได้ โดยผู้โจมตีจะต้องส่งไฟล์ที่เป็นอันตรายให้กับผู้ใช้ และโน้มน้าวให้ผู้ใช้งานเปิดไฟล์ดังกล่าว"

แม้ว่าการใช้ช่องโหว่จะยากขึ้น แต่ Peter Girnus นักวิจัยด้านความปลอดภัยของ Trend Micro พบว่าช่องโหว่นี้ถูกใช้ในการโจมตีจริงในเดือนมีนาคม 2024 โดย Girnus รายงานการโจมตีเหล่านี้ไปยัง Microsoft ซึ่งได้แก้ไขช่องโหว่ไปแล้วในช่วง Patch Tuesday เดือนมิถุนายน 2024 อย่างไรก็ตาม Microsoft ลืมใส่คำอธิบายเพิ่มเติมเกี่ยวกับช่องโหว่ในการอัปเดตความปลอดภัยของเดือนนั้น

Dustin Childs - Head of Threat Awareness ของ ZDI ให้ข้อมูลกับ BleepingComputer ว่า "ในเดือนมีนาคม 2024 ทีม Zero Day Initiative Threat Hunting ของ Trend Micro เริ่มวิเคราะห์ตัวอย่างที่เชื่อมโยงกับปฏิบัติการของกลุ่ม DarkGate เพื่อแพร่กระจายมัลแวร์กับผู้ใช้งาน"

"แคมเปญของ DarkGate นี้เป็นการอัปเดตจากแคมเปญก่อนหน้านี้ ซึ่งกลุ่ม DarkGate ได้ใช้ประโยชน์จากช่องโหว่แบบ zero-day CVE-2024-21412 ซึ่ง Trend Micro ได้เปิดเผยข้อมูลดังกล่าวให้ Microsoft ทราบไปแล้วเมื่อต้นปีที่ผ่านมา"

Windows SmartScreen ถูกโจมตีโดยมัลแวร์

การโจมตีในเดือนมีนาคม 2024 กลุ่ม DarkGate ได้ใช้ประโยชน์จากการ bypass Windows SmartScreen (CVE-2024-21412) เพื่อใช้งาน payloads ที่เป็นอันตราย ซึ่งจะแฝงตัวเป็นตัวติดตั้งสำหรับ Apple iTunes, Notion, NVIDIA และซอฟต์แวร์ที่ถูกกฎหมายอื่น ๆ

ขณะทำการตรวจสอบแคมเปญการโจมตีในเดือนมีนาคม นักวิจัยของ Trend Micro ยังได้ตรวจสอบการโจมตีที่เกี่ยวกับ SmartScreen และวิธีการจัดการไฟล์จาก WebDAV shares ระหว่างการ copy และ paste

Childs ระบุเพิ่มเติมว่า "จากผลดังกล่าวนักวิจัยได้ค้นพบ และรายงานช่องโหว่ CVE-2024-38213 ให้กับ Microsoft ทราบ ซึ่งทาง Microsoft ได้แก้ไขช่องโหว่นี้ในเดือนมิถุนายน 2024 โดยช่องโหว่นี้ Trend Micro ตั้งชื่อว่า copy2pwn ส่งผลให้ไฟล์จาก WebDAV ถูกคัดลอกไปยังเครื่องได้โดยไม่มีการป้องกันจาก Mark-of-the-Web"

CVE-2024-21412 เองก็เป็นการ bypass Defender SmartScreen อื่น ที่มีหมายเลข CVE-2023-36025 ซึ่งถูกใช้เป็นช่องโหว่ zero-day ในการติดตั้งมัลแวร์ Phemedrone และได้รับการแก้ไขแล้วในช่วง Patch Tuesday เดือนพฤศจิกายน 2023

ตั้งแต่ต้นปี กลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางด้านการเงิน Water Hydra (หรือที่รู้จักกันในชื่อ DarkCasino) ก็ใช้ประโยชน์จากช่องโหว่ CVE-2024-21412 เพื่อโจมตีช่องทางการซื้อขายหุ้นบน Telegram และฟอรัมการซื้อขายฟอเร็กซ์ด้วยโทรจัน (RAT) DarkMe ในคืนวันส่งท้ายปีเก่า

Childs ยังให้ข้อมูลเพิ่มเติมกับ BleepingComputer ว่า ในเดือนเมษายน 2024 กลุ่มเดียวกันนี้ได้ใช้ CVE-2024-29988 (ช่องโหว่ของ SmartScreen อีกตัว และ CVE-2024-21412) ในการโจมตีด้วยมัลแวร์ในเดือนกุมภาพันธ์ 2024

นอกจากนี้ Elastic Security Labs ยังค้นพบช่องโหว่ในการออกแบบใน Windows Smart App Control และ SmartScreen ที่ทำให้ผู้โจมตีสามารถเริ่มโปรแกรมได้โดยไม่ทำให้เกิดการแจ้งเตือนด้านความปลอดภัย ซึ่งได้ถูกใช้ในการโจมตีมาตั้งแต่ปี 2018 โดย Elastic Security Labs รายงานผลการค้นพบเหล่านี้ให้กับ Microsoft และได้รับการระบุว่าปัญหานี้ "อาจได้รับการแก้ไข" ในการอัปเดตของ Windows ในอนาคต

 

ที่มา :bleepingcomputer.

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 แก้ไขช่องโหว่ Zero-Days 9 รายการ และช่องโหว่ที่กำลังถูกใช้ในการโจมตี 6 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนสิงหาคม 2024 โดยได้แก้ไขช่องโหว่ 89 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 6 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 3 รายการ

(more…)

Microsoft เปิดเผยสาเหตุการล่มครั้งใหญ่ของ Azure เกิดจากการโจมตีแบบ DDoS

Microsoft ออกมาเปิดเผยข้อมูลหลังเกิดเหตุการณ์บริการ Microsoft 365 และ Azure ทั่วโลกหยุดทำงานนานกว่าเก้าชั่วโมง โดยเป็นผลมาจากการโจมตีแบบ distributed denial-of-service (DDoS) (more…)

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ

(more…)

Microsoft ประกาศเลิกใช้ NTLM authentication บน Windows

Microsoft ประกาศเลิกใช้การ authentication ผ่าน NTLM บน Windows server อย่างเป็นทางการ โดยระบุว่าจะเปลี่ยนไปใช้การ authentication ผ่าน Kerberos หรือ Negotiation แทน เพื่อแก้ไขปัญหาการโจมตีผ่าน NTLM

New Technology LAN Manager หรือที่รู้จักกันดีในชื่อ NTLM เป็น authentication protocol ที่เปิดตัวครั้งแรกในปี 1993 โดยเป็นส่วนหนึ่งของ Windows NT 3.1 และเป็นตัวแทนของ LAN Manager (LM) protocol

โดย NTLM ได้ถูกใช้งานอย่างแพร่หลายจนถึงปัจจุบัน ซึ่ง Microsoft ประกาศว่า NTLM จะไม่ได้รับการพัฒนาอีกต่อไปในเดือนมิถุนายน 2024 และจะค่อย ๆ ยุติการใช้งานลง เพื่อรองรับทางเลือกอื่น ๆ ที่มีความปลอดภัยยิ่งขึ้น ภายในเดือนตุลาคม 2024 ซึ่ง Microsoft แนะนำให้ผู้ดูแลระบบทำการย้ายไปใช้ Kerberos authentication และระบบการ authentication อื่น ๆ เช่น Negotiate

เนื่องจาก NTLM มักถูก Hacker นำไปใช้ในการโจมตีที่เรียกว่า 'NTLM Relay Attacks' ซึ่งจะทำให้ Windows domain controller ถูกเข้าควบคุม โดยการบังคับให้ทำการ authentication กับเซิร์ฟเวอร์ที่เป็นอันตราย แม้ว่า Microsoft จะมีการเปิดตัวมาตรการใหม่เพื่อป้องกันการโจมตีเหล่านั้น เช่น SMB security signing แต่การโจมตี NTLM ก็ยังคงเกิดขึ้น

ตัวอย่างการโจมตี เช่น การขโมย password hash และนำมาใช้ในการโจมตีแบบ "pass-the-hash", การโจมตีแบบฟิชชิ่ง และการดึงข้อมูลโดยตรงจาก Active Directory database หรือหน่วยความจำของเซิร์ฟเวอร์ รวมไปถึง Hacker ยังสามารถ crack password hash เพื่อทำให้ได้รหัสผ่านแบบ plaintext ของผู้ใช้ได้ เนื่องจากวิธีการเข้ารหัสที่ไม่ดีพอ

Microsoft จึงได้แนะนำให้เปลี่ยนไปใช้ protocol ที่มีความปลอดภัยกว่า เช่น Kerberos ที่มีการเข้ารหัสที่ดีกว่า

การเลิกใช้งาน NTLM

ทั้งนี้ NTLM จะยังคงมีการใช้งานใน Windows Server รุ่นถัดไป อย่างไรก็ตามผู้ใช้ และนักพัฒนาแอปพลิเคชันควรเปลี่ยนไปใช้ 'Negotiate' ซึ่งจะพยายามตรวจสอบสิทธิ์กับ Kerberos ก่อน และกลับไปใช้ NTLM เมื่อจำเป็นเท่านั้น

Microsoft แนะนำให้ผู้ดูแลระบบใช้เครื่องมือตรวจสอบการใช้งาน NTLM บนระบบของตน และระบุ instance ทั้งหมดที่ต้องพิจารณาในการกำหนดแผนการเปลี่ยนแปลงดังกล่าว

สำหรับแอปพลิเคชันส่วนใหญ่ การเปลี่ยนจาก NTLM เป็น Negotiate สามารถทำได้โดยการเปลี่ยนแปลงค่าใน 'AcquireCredentialsHandle' request ที่ไปยัง Security Support Provider Interface (SSPI) อย่างไรก็ตาม อาจมีข้อยกเว้นที่จำเป็นต้องทำการเปลี่ยนแปลงค่าเพิ่มเติม

โดย Negotiate มี built-in fallback สำหรับ NTLM ในตัว เพื่อลดปัญหา compatibility ในช่วงการเปลี่ยนแปลง ซึ่งผู้ดูแลระบบที่ติดปัญหาการ authentication สามารถดูวิธีแก้ปัญหาจากคู่มือการแก้ไขปัญหา Kerberos ของ Microsoft

ที่มา : bleepingcomputer.

Microsoft เริ่มบังคับใช้การยืนยันตัวตนแบบ multi-factor สำหรับ Azure ในเดือนกรกฎาคมนี้

ตั้งแต่เดือนกรกฎาคมเป็นต้นไป Microsoft จะเริ่มบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับผู้ที่ลงทะเบียนเข้าใช้งาน Azure ทุกคน

(more…)

Microsoft ออกแพตซ์แก้ไขช่องโหว่ 61 รายการ รวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)

CISA สั่งหน่วยงานที่ได้รับผลกระทบจากการถูกโจมตีของ Microsoft ทำการแก้ไขโดยด่วน

 

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

ที่มา : bleepingcomputer

เยอรมนีแจ้งเตือนเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่กว่า 17,000 เครื่องเข้าถึงได้จากอินเทอร์เน็ต

หน่วยงานด้านความมั่นคงปลอดภัยไซเบอร์แห่งชาติของเยอรมนี ออกมาแจ้งเตือนเมื่อวันอังคาร (26 มีนาคม 2024) ที่ผ่านมาว่า พบเซิร์ฟเวอร์ Microsoft Exchange อย่างน้อย 17,000 เครื่องในเยอรมนีที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และมีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งรายการ

ตามรายงานจากสำนักงานสหพันธรัฐเยอรมนีเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (BSI) พบว่า เซิร์ฟเวอร์ Microsoft Exchange ประมาณ 45,000 เครื่องในเยอรมนีมี Outlook Web Access (OWA) เปิดใช้งาน และสามารถเข้าถึงได้จากอินเทอร์เน็ต

ประมาณ 12% ของเซิร์ฟเวอร์เหล่านี้ ยังคงใช้ Exchange เวอร์ชันเก่า (2010 หรือ 2013) ซึ่งไม่ได้รับการอัปเดตความปลอดภัยมาตั้งแต่เดือนตุลาคม 2020 และเมษายน 2023 ตามลำดับ

สำหรับเซิร์ฟเวอร์ Exchange 2016 หรือ 2019 ที่เข้าถึงได้จากอินเทอร์เน็ต ประมาณ 28% ไม่ได้รับการแพตช์มาอย่างน้อย 4 เดือน ทำให้มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยระดับ Critical อย่างน้อยหนึ่งช่องโหว่ ทำให้สามารถถูกโจมตีในลักษณะ code execution ได้จากภายนอก

BSI เตือนว่า โดยรวมอย่างน้อย 37% ของเซิร์ฟเวอร์ Exchange ในเยอรมนี (และในหลายกรณี ยังรวมถึงเครือข่ายเบื้องหลังด้วย) มีช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งคิดเป็นจำนวนประมาณ 17,000 ระบบ โดยเฉพาะอย่างยิ่งสถาบันที่ได้รับผลกระทบเหล่านี้ ได้แก่ โรงเรียน, วิทยาลัย, คลินิก, สถานพยาบาล, บริการพยาบาลผู้ป่วยนอก, สถาบันทางการแพทย์อื่น ๆ, ทนายความ และที่ปรึกษาทางกฎหมาย, รัฐบาลท้องถิ่น และบริษัทขนาดกลาง

BSI เคยแจ้งเตือนไปแล้วหลายครั้งตั้งแต่ปี 2021 เกี่ยวกับการใช้ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน Microsoft Exchange และถือว่าเป็นสถานการณ์ความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างไรก็ตามสถานการณ์ก็ยังไม่ดีขึ้นนับตั้งแต่ตอนนั้น เนื่องจากผู้ดูแลระบบเซิร์ฟเวอร์ Exchange จำนวนมากยังคงไม่ระมัดระวังมากพอ และไม่รีบทำการอัปเดตแพตซ์ด้านความปลอดภัย

 

BSI แนะนำให้ผู้ดูแลเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพทช์ให้ใช้ Exchange เวอร์ชันล่าสุดเสมอ ติดตั้งอัปเดตความปลอดภัยทั้งหมดที่มีอยู่ และกำหนดค่าเซิร์ฟเวอร์ที่เปิดเผยออนไลน์อย่างปลอดภัย

เพื่อดำเนินการดังกล่าว ผู้ดูแลระบบจำเป็นต้องตรวจสอบระบบของตนเองเป็นประจำว่าได้ทำการอัปเดตแพตซ์ Microsoft Exchange ให้เป็นเวอร์ชันล่าสุดหรือไม่ รวมถึงทำการติดตั้งการอัปเดตความปลอดภัยประจำเดือนมีนาคม 2024 โดยเร็วที่สุด

Exchange Server 2019 CU14 Mar24SU (Build number 15.2.1544.9)
Exchange Server 2019 CU13 Mar24SU (build number 15.2.1258.32)
Exchange Server 2016 CU23 Mar24SU (build number 15.1.2507.37)

BSI ยังแนะนำให้จำกัดการเข้าถึงบริการเซิร์ฟเวอร์ Exchange ที่ใช้เว็บ เช่น Outlook Web Access เฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้น หรือ ใช้ VPN เพื่อเข้าถึงบริการเหล่านี้แทนการเปิดให้เข้าถึงได้จากอินเทอร์เน็ตโดยตรง

นอกจากนี้เพื่อป้องกันการใช้ช่องโหว่ CVE-2024-21410 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ระดับ Critical ที่ Microsoft เปิดเผยออกมาเมื่อเดือนที่แล้ว ซึ่งต้องเปิดใช้ Extended Protection บนเซิร์ฟเวอร์ Exchange โดยใช้สคริปต์ PowerShell ที่ออกแบบมาเฉพาะ

ในเดือนกุมภาพันธ์ บริการตรวจสอบภัยคุกคาม Shadowserver แจ้งเตือนว่ามีเซิร์ฟเวอร์ Microsoft Exchange จำนวน 28,500 เครื่อง มีช่องโหว่ต่อการถูกโจมตีจากช่องโหว่ CVE-2024-21410 อย่างต่อเนื่อง นอกจากนี้ Shadowserver ยังยืนยันผลการวิจัยของ BSI โดยระบุว่ามีเซิร์ฟเวอร์มากถึง 97,000 เครื่อง ซึ่งรวมถึงกว่า 22,000 เครื่องในเยอรมนี อาจมีความเสี่ยงเนื่องจากไม่ได้เปิดใช้งาน Extended Protection

ตอนนี้ Microsoft ได้เปิดการใช้งาน Extended Protection อัตโนมัติบนเซิร์ฟเวอร์ Exchange หลังจากติดตั้งการอัปเดตประจำเดือนกุมภาพันธ์ 2024 H1 Cumulative Update (CU14)

Microsoft ยังแนะนำให้ผู้ดูแลระบบ Exchange ติดตั้งการอัปเดตความปลอดภัยอย่างเร่งด่วนบนเซิร์ฟเวอร์ on-premises เพื่อให้สามารถป้องกันการโจมตีที่อาจจะเกิดขึ้นได้

ที่มา : bleepingcomputer