ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

ช่องโหว่ Print Spooler (CVE-2021-1675)

ในเดือนมิถุนายนที่ผ่านมาพบช่องโหว่บน Print Spooler (CVE-2021-1675) โดยทาง Microsoft กล่าวว่าเป็นช่องโหว่ที่ไม่รุนแรงมาก ซึ่งกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 ต่อมาเมื่อวันที่ 21 มิถุนายนที่ผ่านมา ทาง Microsoft ได้ออกมาอัปเดตว่าช่องโหว่นี้อาจใช้ทำ Remote Code Execution ได้และระดับความรุนแรงจะมากขึ้น โดยนักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Sangfor ซึ่งกำลังเตรียมนำเสนอบทความเกี่ยวกับจุดบกพร่องของ Print Spooler ในการประชุม Black Hat ที่กำลังจะมีขึ้นในเดือนสิงหาคม 2564 แต่ได้มีการเปิดเผยโค้ดเพื่อสาธิตก่อนกำหนดเพราะเข้าใจว่ามีแพตซ์แก้ไขช่องโหว่นี้ไปแล้ว แต่ช่องโหว่ที่ทาง Sangfor เปิดเผยโค้ด ไม่ใช่ช่องโหว่ด้านความปลอดภัยแบบเดียวกับที่ได้รับการแก้ไขใน Patch Tuesday โดยทีมนักวิจัยดังกล่าวได้รีบลบข้อมูลโค้ดนั้นทันที แต่โค้ดช่องโหว่ดังกล่าวได้ถูกดาวน์โหลดและเผยแพร่ซ้ำที่อื่นไปแล้ว โดยช่องโหว่ใหม่นี้มีชื่อเรียกว่า PrintNightmare เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลของ Windows Print Spooler เช่นเดียวกับ CVE-2021-1675 แต่ยังไม่มีแพตซ์แก้ไขช่องโหว่นี้

ช่องโหว่ใหม่มีชื่อว่า PrintNightmare (CVE-2021-34527)

เป็นช่องโหว่ในการเรียกใช้ Remote code excution เมื่อผู้โจมตีประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ Windows Print Spooler สามารถเรียกใช้รหัสด้วย SYSTEM privileges สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบ

ทั้ง 2 ช่องโหว่จะมีความคล้ายคลึงกัน

CVE-2021-1675 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution บน Print Spooler ได้ มี Patch แก้ไขแล้ว สามารถดาวน์โหลดได้ที่ Microsoft
CVE-2021-34527 มีลักษณะการโจมตีที่คล้ายคลึงกันแต่แตกต่างกันที่ RpcAddPrinterDriverEx() เกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer ยังไม่มี Patch แก้ไข สามารถติดตามข้อมูลได้ที่ msrc.

เมื่อวันจันทร์ที่ผ่านมา Apple ได้ออกอัปเดตแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day
2 ช่องโหว่ใน iOS 12.5.3 หลังพบว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง

อัปเดตล่าสุดของ iOS 12.5.4 มาพร้อมกับการแก้ไขช่องโหว่ด้านความปลอดภัยจำนวน 3 ช่องโหว่ คือ memory corruption ใน ASN.1 decoder (CVE-2021-30737) และอีก 2 ช่องโหว่ที่เกี่ยวกับ Webkit browser engine ที่อาจทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีรายละเอียดดังนี้

CVE-2021-30761 – ปัญหา memory corruption ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น โดยช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
CVE-2021-30762 – ปัญหา use-after-free ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น ช่องโหว่ได้รับการแก้ไขด้วยการจัดการ และปรับปรุงหน่วยความจำ
ทั้ง CVE-2021-30761 และ CVE-2021-30762 ถูกรายงานไปยัง Apple โดยผู้ที่ไม่ประสงค์ออกนาม โดยบริษัทที่อยู่ใน Cupertino ได้ระบุไว้ในคำแนะนำว่าช่องโหว่ดังกล่าวอาจจะถูกใช้ในการโจมตีแล้วในปัจจุบัน โดยปกติแล้ว Apple จะไม่เปิดเผยรายละเอียดใดๆ เกี่ยวกับลักษณะของการโจมตี และเหยื่อที่อาจตกเป็นเป้าหมาย หรือกลุ่มผู้โจมตีที่เกี่ยวข้อง

อย่างไรก็ตามความพยายามในการโจมตี จะเป็นการมุ่งเป้าไปที่อุปกรณ์รุ่นเก่า เช่น iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 และ iPod touch (รุ่นที่ 6) ซึ่ง Apple ได้มีการแก้ไขช่องโหว่ buffer overflow (CVE-2021-30666) ไปเมื่อวันที่ 3 พฤษภาคม
ที่ผ่านมา

นอกจากช่องโหว่ข้างต้นแล้ว Apple ยังได้แก้ไขช่องโหว่ Zero-day อีก 12 ช่องโหว่ ที่อาจส่งผล
กระทบต่อ iOS, iPadOS, macOS, tvOS และ watchOS ตั้งแต่ต้นปี มีรายละเอียดดังนี้

CVE-2021-1782 (Kernel) - ช่องโหว่ในระดับ Kernel ซึ่งส่งผลให้แอพพลิเคชั่นที่เป็นอันตรายสามารถยกระดับสิทธิ์การโจมตีได้
CVE-2021-1870 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021-1871 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีรันโค้ดที่เป็นอันตรายจากระยะไกลได้
CVE-2021 -1879 (WebKit) - ช่องโหว่ใน Webkit ที่เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้นอาจทำให้ถูกโจมตีในรูปแบบ universal cross-site scripting ได้
CVE-2021-30657 (System Preferences) - ช่องโหว่ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถเลี่ยงการตรวจสอบจาก Gatekeeper ได้
CVE-2021-30661 (WebKit Storage) - ช่องโหว่ใน WebKit Storage ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30663 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30665 (WebKit) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30666 (WebKit ) - ช่องโหว่ใน Webkit ที่ช่วยให้ผู้โจมตีสามารถลักลอบรันโค้ดที่เป็นอันตราย เมื่อมีการเรียกใช้งาน Malicious content บนเว็บไซต์ที่ถูกสร้างขึ้น
CVE-2021-30713 (TCC framework) - ช่องโหว่ TCC framework ที่ทำให้แอปพลิเคชันที่เป็นอันตรายสามารถ bypass การตั้งค่าความเป็นส่วนตัวได้
แนะนำให้ผู้ใช้อุปกรณ์ Apple อัปเดตระบบปฏบัติการให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นจากช่องโหว่ข้างต้น

ที่มา: thehackernews.

พบช่องโหว่ Zero day ของ WordPress Plugin

ผู้ไม่ประสงค์ดีได้ทำการแสกนหาเว็บไซต์ที่มีการใช้งาน Plugin Fancy Product Designer ซึ่งเป็น Plugin ที่ใช้ในการปรับแต่งผลิตภัณฑ์สินค้าบน WordPress, Woo Commerce และ Shopify จากข้อมูลสถิติการขายปลั๊กอิน Fancy Product Designer พบว่ามีการจำหน่ายและติดตั้งใช้งาน Plugin นี้บนเว็บไซต์แล้วมากกว่า 17,000 แห่ง (more…)

โดยมีการแก้ไขช่องโหว่หลายรายการที่ครอบคลุมทั้ง 12 ผลิตภัณฑ์ รวมไปถึงช่องโหว่ Zero-day ที่ส่งผลกระทบกับ Adobe Reader

มีรายงานว่า พบการใช้ประโยชน์จากช่องโหว่โจมตีไปยังกลุ่มเป้าหมายที่เป็นผู้ใช้ Adobe Reader บน Windows (CVE-2021-28550) ช่วยให้แฮ็คเกอร์สามารถเรียกใช้โค้ดแปลกปลอมโดยไม่ได้รับอนุญาต (Arbitrary Code Execution) บนระบบเป้าหมายได้
ส่งผลกระทบกับ Windows และ macOS เวอร์ชัน Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 และ Acrobat Reader 2017

รายการแอปพลิเคชันอื่นๆ ที่มีการอัปเดต ได้แก่
Adobe Experience Manager

Adobe InDesign

Adobe Illustrator

Adobe InCopy

Adobe Genuine Service

Adobe Acrobat and Reader

Magento

Adobe Creative Cloud Desktop Application

Adobe Media Encoder

Adobe After Effects

Adobe Medium

Adobe Animate

โดยมี 10 ช่องโหว่ที่มีความรุนแรงระดับ Critical และ 4 ช่องโหว่ที่มีความรุนแรงระดับ Important ถูกพบใน Adobe Acrobat and Reader และช่องโหว่ระดับ Critical จำนวน 5 รายการ (CVE-2021-21101-CVE-2021-21105) ใน Adobe Illustrator ซึ่งอาจนำไปสู่การดำเนินการเรียกใช้คำสั่ง หรือโค้ดที่อาจจะเป็นอันตรายด้วย User ที่ใช้งานอยู่ในตอนนั้น

ช่องโหว่ที่ได้รับการแก้ไขแล้วใน Patch Tuesday โดยรวมแล้วทั้งหมด 43 รายการ

แนะนำให้ผู้ใช้ทำการรีบอัปเดตแพตช์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เพื่อทำการโจมตีระบบที่ไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัย

ที่มา : thehackernews

แพตช์ที่ออกมาเป็นการแก้ปัญหา zero-day ที่พบ โดยอุปกรณ์ที่ได้รับผลกระทบครอบคลุมทั้ง iPhones, iPads และ Apple Watches ที่ยังรองรับการใช้งานระบบปฏิบัติการ iOS 12 อยู่ มีรายการเวอร์ชันอัปเดต ดังต่อไปนี้

iOS 14 (iPhones ล่าสุด) ให้อัปเดตเป็น 14.4.2
iOS 12 (iPhones เก่า และ iPads) ให้อัปเดตเป็น 12.5.2
iPadOS 14 ให้อัปเดตเป็น 14.4.2
watchOS ให้อัปเดตเป็น 7.3.3

เป็นการแก้ปัญหาช่องโหว่ในส่วนของ WebKit ที่เป็น core web browser ของ Apple, cross-site scripting (XSS) และ Same Origin Policy (SOP) โดยช่องโหว่ดังกล่าว มีผลให้ผู้ไม่หวังดีสามารถเข้าถึงข้อมูลส่วนตัวที่ไม่ต้องการเปิดเผย, สั่งรันคำสั่งอันตรายบนเครื่อง (RCE) หรือ ยกระดับสิทธิ์ (EoP) ได้

ที่มา: nakedsecurity

ทีม Project Zero จาก Google ได้เปิดเผยถึงการค้นพบกลุ่มเเฮกเกอร์พยายามใช้ช่องโหว่ Zero-day จำนวน 11 รายการ ในการโจมตีที่กำหนดเป้าหมายไปที่ผู้ใช้ Windows, iOS และ Android

ตามรายงานการโจมตีพบแคมเปญการโจมตีจากกลุ่มแฮกเกอร์เกิดขึ้นในสองช่วงเวลาคือในเดือนกุมภาพันธ์และตุลาคม 2020 ที่ผ่านมา โดยช่องโหว่ Zero-day จำนวน 11 รายการ ที่ถูกใช้ในการโจมตีมีรายละเอียดดังนี้

ช่องโหว่ CVE-2020-6418 - เป็นช่องโหว่ในโมดูล TurboFan ของ Chrome (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-0938 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1020 - เป็นช่องโหว่ใน Font บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-1027 - เป็นช่องโหว่ Client Server Run-Time Subsystem (CSRSS) บน Windows (ถูกแก้ไขช่องโหว่แล้วในกุมภาพันธ์ 2020)
ช่องโหว่ CVE-2020-15999 - เป็นช่องโหว่ Freetype Heap buffer overflow บน Chrome (ถูกแก้ไขช่องโหว่แล้วในตุลาคม 2020)
ช่องโหว่ CVE-2020-17087 - เป็นช่องโหว่ Heap buffer overflow ใน cng.

Microsoft Patch Tuesday ประจำเดือนมีนาคม 2021 โดยในเดือนนี้ Microsoft ได้ออกเเพตช์เพื่อเเก้ไขช่องโหว่เป็นจำนวน 82 รายการ ซึ่งช่องโหว่จำนวน 10 รายการ ถูกจัดเป็นช่องโหว่ที่มีระดับความรุนแรง Critical และอีก 72 รายการ เป็นช่องโหว่ที่มีระดับความรุนแรง Important ซึ่งช่องโหว่จำนวน 82 รายการนี้ไม่รวมช่องโหว่ของ Microsoft Exchange จำนวน 7 รายการและ Chromium Edge อีก 33 รายการที่เผยแพร่เมื่อต้นเดือนนี้ที่ผ่านมา สำหรับเเพตช์ที่ได้รับการเเก้ไขและน่าสนใจมีดังนี้

ช่องโหว่ Zero-day ถูกติดตามด้วยรหัส CVE-2021-26411 ถูกจัดเป็นช่องโหว่ประเภท Memory Corruption ใน Internet Explorer ที่ถูกแฮกเกอร์ชาวเกาหลีเหนือนำไปใช้โจมตีนักวิจัยด้านความปลอดภัย

ช่องโหว่ Zero-day อีกช่องโหว่หนึ่งที่น่าสนใจถูกติดตามด้วยรหัส CVE-2021-27077 ถูกจัดเป็นช่องโหว่ประเภทการยกระดับสิทธิ์ (Elevation of Privilege) ใน Windows Win32k โดยช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะโดย Trend Micro Zero Day Initiative

นอกจากช่องโหว่ที่กล่าวมานี้ Microsoft ยังออกแพตช์อัปเดตด้านความปลอดภัยสำหรับฟีเจอร์และบริการต่าง ๆ เช่น Microsoft Windows Codecs Library, Windows Admin Center, DirectX, Event Tracing, Registry, Win32K และ Windows Remote Access API

ทั้งนี้ผู้ใช้ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีจากผู้ประสงค์ร้าย สำหรับข้อมูลเกี่ยวกับการอัปเดตเเพตช์ของ Windows สามารถดูรายละเอียดเพิ่มเติมได้ที่: microsoft

ที่มา: bleepingcomputer

จากที่ Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ที่ผ่านมาเมื่อวันที่ 2 มีนาคม 2021 ปัจจุบันกลุ่มช่องโหว่ดังกล่าวที่ถูกตั้งชื่อว่า ProxyLogon (https://proxylogon.

European Banking Authority (EBA) ได้ทำการปิดระบบอีเมลทั้งหมดหลังจากที่เซิร์ฟเวอร์ Microsoft Exchange ของ EBA ถูกแฮกด้วยช่องโหว่ Zero-day ที่ถูกพบในเซิร์ฟเวอร์ Microsoft Exchange ซึ่งการโจมตีด้วยช่องโหว่ดังกล่าวกำลังกระจายไปอย่างต่อเนื่องและถูกกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ทั่วโลก

ในสัปดาห์ที่ผ่านมาไมโครซอฟท์ได้ออกเเพตช์ฉุกเฉินสำหรับแก้ไขช่องโหว่ Zero-day ซึ่งช่องโหว่จะส่งผลผลกระทบต่อเซิร์ฟเวอร์ Microsoft Exchange หลายเวอร์ชันและพบการใช้ประโยชน์จากช่องโหว่ในการโจมตีอย่างต่อเนื่องจากกลุ่มแฮกเกอร์

EBA เป็นหน่วยงานส่วนหนึ่งของระบบการกำกับดูแลทางการเงินของสหภาพยุโรปและดูแลการทำงานของภาคธนาคารในสหภาพยุโรป การสืบสวนกำลังถูกดำเนินการเพื่อระบุว่ามีการเข้าถึงข้อมูลใดบ้าง ทั้งนี้คำแนะนำเบื้องต้นที่เผยแพร่เมื่อวันอาทิตย์ที่ผ่านมาได้ระบุว่าผู้โจมตีอาจเข้าถึงข้อมูลส่วนบุคคลที่เก็บไว้ในเซิร์ฟเวอร์อีเมล แต่ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์ยังไม่พบสัญญาณของการบุกรุกข้อมูลและการสืบสวนยังคงมีอย่างต่อเนื่อง ซึ่ง EBA จะปรับใช้มาตรการรักษาความปลอดภัยเพิ่มเติมและดูแลอย่างใกล้ชิดในมุมมองของการฟื้นฟูการทำงานอย่างเต็มรูปแบบของเซิร์ฟเวอร์อีเมล

หน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกแจ้งเตือนถึงการใช้ช่องโหว่ Zero-day ของ Microsoft Exchange Server ทั้งในและต่างประเทศอย่างกว้างขวาง โดยเรียกร้องให้ผู้ดูแลระบบใช้เครื่องมือตรวจจับ Indicators of Compromise (IOC) ของ Microsoft เพื่อตรวจหาสัญญาณการบุกรุกภายในองค์กร

ทั้งนี้ Microsoft ได้ออกเครื่องมือ Microsoft Safety Scanner (MSERT) เพื่อใช้ตรวจจับเว็บเชลล์ที่ถูกใช้ในการโจมตีและสคริปต์ PowerShell เพื่อค้นหา IOC ใน log file บน Exchange และ OWA ผู้ดูแลระบบสามารถโหลด MSERT ได้ที่: microsoft

สำหรับสคริปต์ PowerShell สามารถโหลดได้ที่: github

ที่มา: bleepingcomputer