แฮกเกอร์ยังคงมองหาช่องโหว่ของเซิร์ฟเวอร์ Microsoft Exchange

ผู้กระทำผิดไม่ได้หยุดมองหาที่จะใช้ประโยชน์จากช่องโหว่ CVE-2020-0688 ในเซิร์ฟเวอร์ Microsoft Exchange ที่เชื่อมต่อกับอินเทอร์เน็ต สำนักงานความมั่นคงแห่งชาติ (NSA) เตือนเมื่อเร็ว ๆ นี้

ภัยคุกคามเฉพาะนี้อาจจะไม่มีอะไรจะเขียนถึงบ้านในตอนนี้ หากทุกองค์กรที่มีเซิร์ฟเวอร์ที่มีช่องโหว่ได้รับการแก้ไขตามที่ Microsoft ได้แนะนำไว้

ตามทวีตของ NSA แฮ็กเกอร์ต้องการเพียงข้อมูลรับรองอีเมลที่ถูกต้องเพื่อรันโค้ดบนเซิร์ฟเวอร์ที่ไม่ได้รับการแพตช์จากระยะไกล

การเรียกใช้โค้ดจากระยะไกล #จุดอ่อน (CVE-2020-0688) มีอยู่ใน Microsoft Exchange Server หากไม่ได้รับการแพตช์ ผู้โจมตีที่มีข้อมูลรับรองอีเมลสามารถรันคำสั่งบนเซิร์ฟเวอร์ของคุณได้

คำแนะนำในการบรรเทาสาธารณภัยสามารถดูได้ที่: https://t.co/MMlBo8BsB0

— NSA/CSS (@NSAGov) 7 มีนาคม 2020

ตัวแสดง APT กำลังละเมิดเซิร์ฟเวอร์ที่ไม่ได้แพตช์อย่างแข็งขัน

ข่าว ของการสแกนขนาดใหญ่สำหรับเซิร์ฟเวอร์ MS Exchange ที่ไม่ได้รับการแพตช์ซึ่งแสดงขึ้นในวันที่ 25 กุมภาพันธ์ 2020 ในเวลานั้นไม่มีรายงานการละเมิดเซิร์ฟเวอร์ที่ประสบความสำเร็จแม้แต่ครั้งเดียว

แต่องค์กรความปลอดภัยทางไซเบอร์ Zero Day Initiative ได้เผยแพร่ a. แล้ว วิดีโอพิสูจน์แนวคิดสาธิตวิธีดำเนินการโจมตี CVE-2020-0688 ระยะไกล

ตอนนี้ดูเหมือนว่าการค้นหาเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตได้ก่อให้เกิดความทุกข์ทรมานจากหลายองค์กรที่ถูกจับโดยไม่รู้ตัว ตามรายงานหลายฉบับ รวมถึงทวีตโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ มีการใช้ประโยชน์จากเซิร์ฟเวอร์ Microsoft Exchange

การใช้ประโยชน์จากเซิร์ฟเวอร์ Microsoft Exchange อย่างแข็งขันโดยนักแสดง APT ผ่านช่องโหว่ ECP CVE-2020-0688 เรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีและวิธีปกป้ององค์กรของคุณที่นี่: https://t.co/fwoKvHOLaV#dfir#ภัยคุกคาม#อินโฟเซคpic.twitter.com/2pqe07rrkg

— โวเลกซ์ตี้ (@Volexity) 6 มีนาคม 2020

สิ่งที่น่าตกใจยิ่งกว่านั้นคือการมีส่วนร่วมของผู้ดำเนินการภัยคุกคามแบบถาวรขั้นสูง (APT) ในโครงการทั้งหมด

โดยทั่วไปแล้ว กลุ่ม APT คือรัฐหรือหน่วยงานที่ได้รับการสนับสนุนจากรัฐ เป็นที่รู้กันว่าพวกเขามีเทคโนโลยีและกล้ามเนื้อทางการเงินในการโจมตีเครือข่ายหรือทรัพยากรไอทีขององค์กรที่มีการป้องกันอย่างแน่นหนาที่สุด

Microsoft ให้คะแนนความรุนแรงของช่องโหว่ CVE-2020-0688 ว่ามีความสำคัญเมื่อเกือบเดือนที่แล้ว อย่างไรก็ตาม ช่องโหว่ RCE ยังคงต้องได้รับการพิจารณาอย่างจริงจังในปัจจุบัน เนื่องจาก NSA กำลังเตือนโลกเทคโนโลยีเกี่ยวกับเรื่องนี้

เซิร์ฟเวอร์ MS Exchange ที่ได้รับผลกระทบ

อย่าลืมแพตช์ ASAP เพื่อป้องกันไม่ให้เกิดภัยพิบัติขึ้น หากคุณยังคงใช้งานเซิร์ฟเวอร์ MS Exchange ที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่ได้แพตช์ มี อัพเดทความปลอดภัย สำหรับเซิร์ฟเวอร์ที่ได้รับผลกระทบเวอร์ชัน 2010, 2013, 2016 และ 2019

เมื่อเผยแพร่การอัปเดต Microsoft กล่าวว่าช่องโหว่ที่เป็นปัญหานั้นทำให้ความสามารถของเซิร์ฟเวอร์ในการสร้างรหัสตรวจสอบอย่างถูกต้องระหว่างการติดตั้ง ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นั้นและรันโค้ดที่เป็นอันตรายในระบบที่ถูกเปิดเผยจากระยะไกล

ความรู้เกี่ยวกับคีย์ตรวจสอบความถูกต้องจะช่วยให้ผู้ใช้ที่ผ่านการพิสูจน์ตัวตนด้วยเมลบ็อกซ์ส่งผ่านอ็อบเจ็กต์ตามอำเภอใจที่จะถูกดีซีเรียลไลซ์โดยเว็บแอปพลิเคชัน ซึ่งทำงานเป็น SYSTEM

นักวิจัยด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่เชื่อว่าการเจาะระบบไอทีด้วยวิธีนี้อาจปูทางไปสู่การโจมตีแบบปฏิเสธบริการ (DDoS) Microsoft ยังไม่รับทราบการรับรายงานการละเมิดดังกล่าว

สำหรับตอนนี้ ดูเหมือนว่าการติดตั้งแพตช์เป็นเพียงวิธีแก้ไขสำหรับช่องโหว่ของเซิร์ฟเวอร์ CVE-2020-0688 เท่านั้น