02/06/2023

คาดว่าการโจมตี Rackspace ด้วยแรนซั่มแวร์เกิดจากไม่ได้แพ็ตช์เซิร์ฟเวอร์ Exchange

การโจมตีด้วยแรนซั่มแวร์ที่ทางบริษัทด้านคลาวด์คอมพิวติ้ง Rackspace ยืนยันเมื่อวันที่ 6 ธันวาคมที่ผ่านมานี้เองนั้น อาจเป็นผลมาจากการที่แฮ็กเกอร์ใช้ช่องโหว่บนระบบ Exchange ที่ไม่ได้รับการอัพเดท กระทบกับระบบที่โฮสต์ Microsoft Exchange ของตนเอง

เหตุการณ์ดังกล่าวทำให้ลูกค้าผู้ใช้บริการได้รับผลกระทบพอสมควร ล่าสุดมีนักวิจัยด้านความปลอดภัย Kevin Beaumont ออกมาชี้ว่า ที่อาชญากรไซเบอร์สามารถโจมตีได้ เพราะกลุ่มเซิร์ฟเวอร์ Exchange ที่โดนเจาะเหมือนไม่ได้แพ็ตช์มาหลายเดือนตั้งแต่สิงหาคม 2022

ซึ่งเวลาดังกล่าวก่อนหน้าจะพบข้อมูลช่องโหว่ ProxyNotShell เสียอีก แต่เขาก็เสริมว่าเลข log เวอร์ชั่นของ Exchange ก็เชื่อถือไม่ได้เสมอไป การโดนแฮ็กครั้งนี้อาจมาจากสาเหตุอื่นๆ ด้วยก็ได้ ทั้งนี้ไมโครซอฟท์ออกแพ็ตช์สำหรับช่องโหว่ดังกล่าวเมื่อต้นเดือนพฤศจิกายน

แพ็ตช์ดังกล่าวแก้ปัญหาด้านความปลอดภัยสองรายการที่กระทบกับ Microsoft Exchange Server 2013, 2016, และ 2019 โดยผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเพื่อรันพาวเวอร์เชลล์ สำหรับรันโค้ดอันตรายทั้งบนเครื่องปัจจุบันและจากระยะไกลได้

อ่านเพิ่มเติมที่นี่ – ITPro