Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ผู้ดูแลระบบควรอัปเดตเเพตช์ด่วน!

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

Microsoft is Porting Sysinternals Tools to Linux – ProcDump Released

ไมโครซอฟท์ได้เผยแพร่เครื่องมือ ProcDump ใน Sysinternals สำหรับใช้งานบน Linux โดยก่อนหน้านี้ถูกพัฒนาขึ้นโดยบริษัท Winternals และถูกซื้อโดย Microsoft ในปี 2006

เครื่องมือ ProcDump เป็นโปรแกรมสารพัดประโยชน์ ช่วยให้ผู้ใช้งานสามารถตรวจสอบโปรเซสด้วยการสร้าง cash dump หรือ core dump เพื่อดูว่าโปรเซสใดเป็นต้นต่อของปัญหา เช่นเมื่อพบว่ามีการใช้ CPU ที่สูงในช่วงเวลาต่าง ๆ หรือเมื่อเครื่องมีอาการแฮงค์ จากรายงานระบุว่า ProcDump ของ Linux จะมีคุณสมบัติไม่เหมือนกับเวอร์ชันบน Windows ทั้งหมด โดยคุณสมบัติของ Linux มีรายละเอียดดังต่อไปนี้

• -C : สำหรับกำหนดเกณฑ์สูงสุดที่ CPU ถูกใช้งาน เพื่อให้ทำการสร้าง dump ไฟล์ของโปรเซสออกมา (กำหนดค่าได้ตั้งแต่ 0 - 100)

• -c : สำหรับกำหนดเกณฑ์ต่ำสุดที่ CPU ถูกใช้งาน เพื่อให้ทำการสร้าง dump ไฟล์ของโปรเซสออกมา (กำหนดค่าได้ตั้งแต่ 0 - 100)
• -M : สำหรับกำหนดเกณฑ์สูงสุดที่ CPU ถูกใช้งาน เพื่อให้ทำการสร้าง dump ไฟล์ของโปรเซสออกมาเมื่อเกินเกณฑ์ดังกล่าว (ในหน่วย MB)

• -m : สำหรับกำหนดเกณฑ์ต่ำสุดที่ CPU ถูกใช้งาน เพื่อให้ทำการสร้าง dump ไฟล์ของโปรเซสออกมาเมื่อต่ำกว่าเกณฑ์ดังกล่าว (ในหน่วย MB)
• -n : จำนวน dump ไฟล์ที่จะให้สร้างก่อนที่จะออก
• -s : จำนวนวินาทีก่อนที่จะให้เริ่มสร้าง dump ไฟล์ (ค่าเริ่มต้นเป็น 10)

โดยต้องมีการระบุค่าของโปรเซสเป้าหมายเป็นอย่างใดอย่างหนึ่งจาก
• -p : pid (Process ID) ของโปรเซสที่ต้องการ
• -w : ชื่อของโปรเซสที่กำลังทำงาน

ทั้งนี้ Microsoft มีแผนที่จะทำเช่นเดียวกันกับ ProcMon และ Process Explorer หากมีการร้องขอจากผู้ใช้งานมากขึ้น

ผู้ใช้ Linux สามารถศึกษาข้อมูลการติดตั้งได้จากหน้า https://github.