02/08/2023

ไมโครซอฟท์ยืนยันพบช่องโหว่ Zero-day บน Exchange 2 รายการ ที่กำลังโดนโจมตีในวงกว้าง

ไมโครซอฟท์ประกาศเป็นทางการแล้วว่า กำลังสืบสวนเกี่ยวกับช่องโหว่ด้านความปลอดภัยแบบ Zero-day ที่กระทบกับ Exchange Server 2013, 2016, และ 2019 ซึ่งมีรายงานพบการนำไปใช้ประโยชน์ในการโจมตีจริงมาแล้ว

โดยรายการแรก CVE-2022-41040 เป็นช่องโหว่แบบ Server-Side Request Forgery (SSRF) อีกช่องโหว่หนึ่งรหัส CVE-2022-41082 เป็นการเปิดให้รันโค้ดได้จากระยะไกล (RCE) ที่ทำให้ผู้โจมตีเข้าถึงส่วนของพาวเวอร์เชลล์ได้

นอกจากนี้ยังยอมรับว่าทราบถึง “การโจมตีจริงในวงจำกัด” ที่ใช้ช่องโหว่เหล่านี้เข้าถึงระบบเป้าหมายด่านแรก แต่ก็ย้ำว่ายังต้องใช้เทคนิคที่ทำให้เข้าถึงผ่านระบบยืนยันตัวตนอีกชั้นหนึ่งถึงจะเจาะเซิร์ฟเวอร์ Exchange ได้สำเร็จ

ทั้งนี้ไมโครซอฟท์ย้ำว่ากำลังเร่งแก้ไขช่องโหว่นี้เป็นพิเศษ ระหว่างนี้ขอให้ผู้ใช้เพิ่มกฎใน IIS Manager ไปพลางก่อน โดยให้ปิดกั้นคำร้องขอ “.*autodiscover\.json.*\@.*Powershell.*” (เอาเครื่องหมายคำพูดออกด้วยตอนกรอก)

อ่านเพิ่มเติมที่นี่ – THN