บน Platform ต่างๆเกี่ยวกับ Cybersecurity กำลังพูดถึงผลกระทบของ SolarWinds ที่ถูกโจมตีเมื่อไม่นานมานี้ ซึ่งทีท่าว่าจะยังไม่ทันเบาลง ทาง Microsoft Threat Intelligence Center (MSTIC) ก็ได้เปิดเผยข้อมูลที่กำลังแพร่หลายอยู่ใน platform ต่างๆขึ้นมาอีก ซึ่งก็มีการระบุเป้าหมายว่าเป็น Server Exchange ซึ่งพบว่าหลายองค์กรที่ทำงานร่วมกับรัฐบาลได้ระบุว่าเป็นการโจมตีมาจากโซนประเทศจีน ซึ่งการโจมตีนี้เรียกว่า HAFNIUM ได้ใช้ช่องโหว่อย่าง Zero-Day attack หรือช่องโหว่ที่ไม่มีใครเคยค้นพบหรืออาจจะค้นพบแล้วแต่ไม่เป็นที่สนใจของแฮกเกอร์ ซึ่งทาง MSTIC ระบุว่าช่องโหว่นี้จะอยู่บน On-Premise หรือภายในองค์กรเท่านั้นที่ถูกโจมตี ในส่วนของ Cloud Exchange ไม่ได้รับผลกระทบ
โจมตีมาได้อย่างไร?
การโจมตีนี้เริ่มด้วยการปลอมแปลง Packet สำหรับร้องขอจากฝั่งของเซิร์ฟเวอร์ Server-Side Request Forgery (SSRF) ผลที่เกิดขึ้นคือ เนื้อหาทั้งหมดในกล่องข้อความของผู้ใช้จะถูกขโมยออกมาจากการปลอมดังกล่าว ผู้ที่โจมตีมีความต้องการทราบเพียงแค่ว่า Software Exchange เวอร์ชั่นอะไรและ Account ที่ใช้คืออะไร (CVE-2021-26855) หลังจากนั้นผู้โจมตีจะเชื่อมโยงช่องโหว่นี้กับช่องโหว่ที่ใช้สำหรับร้องขอไปยัง server ด้วยอินเตอร์เน็ตไปยัง Exchange (CVE-2021-27065) ซึ่งยังมีช่องโหว่อีกอันนึง ที่เปิดให้ผู้ร้ายสามารถส่ง script ไปยัง Server Exchange ได้ (CVE-2021-26858) ซึ่งการส่ง script ไปนั้นอยู่ในสิทธิ์ของ system ทำให้ผู้ร้ายสามารถใช้ประโยชน์จากช่องโหว่ที่ไม่ปลอดภัยนี้สามารถส่งข้อมูลตาม Flow ปกติของระบบได้อย่างง่าย (CVE-2021-26857)
ทาง Microsoft ได้ทำการออกแพตช์ที่ใช้อุดช่องโหว่ทั้งหมดและปรับปรุงส่วนอื่นๆออกมาพร้อมกัน ทั้งนี้ได้ประกาศให้ผู้ที่ใช้ Exchange Server แบบ On-Premise ทำการแก้ไขระบบของตนทันทีเพื่อความปลอดภัย
สำหรับมาตรการรับมือภัยคุกคามที่ทางทีมเราแนะนำเพิ่มเติมคือ
1. ทำการอัพเดท Software Exchange Server ที่มีช่องโหว่ด้วย Patch ที่ทาง Microsoft ออกให้
2. ทำใช้ Tools ที่ทาง Microsoft แนะนำเมื่อพบว่าไม่สามารถอัพเดท Patch ตามที่ Microsoft ออกให้ได้ รายละเอียดที่นี่
3. ใช้ Script ผ่าน PowerShell ของ Microsoft เพื่อค้นหาตัวบ่งชี้ว่าเป็นภัยคุกตามบน Exchange Server ของคุณ
4. เปิดใช้ผลิตภัณฑ์ความปลอดภัยจากทาง WatchGuard เพิ่มเติมในระบบ
ควรทำอย่างไรต่อไป? สำหรับการป้องกันด้วยผลิตภัณฑ์ WatchGuard
- Panda AD360 : Panda AD360 มีการตรวจจับสคริปผ่าน PowerShell และ Webshell ต่างๆเกี่ยวกับการโจมตีนี้
IPS : ช่วยป้องกันการบุกรุก (IPS) ด้วย Firebox ที่มี Feature Key เป็นรูปบบแรกที่ใช้ในการโจมตี - Gateway Antivirus : ช่วยตรวจสอบและป้องกันการโจมตีผ่าน Webshells ซึ่งใช้ในการโจมตี
– APT Blocker : ช่วยในการตรวจสอบ Backdoors ที่เป็นอันตราย ซึ่งใช้โจมตีผ่าน PowerShell ที่สำเร็จแล้ว
– Firebox Access Portal and VPN : ขั้นแรกของการ
โจมตีนี้ จำเป็นต้องใช้ Server Exchange ที่ออกอินเตอร์เน็ตได้ ซึ่งคุณสามารถเพิ่มความปลอดภัย โดยลดขั้นตอนที่ใช้โจมตีนี้ออกไปได้ด้วยการนำ Exchange Server มาอยู่หลัง Access Portal ของ Firebox บนอุปกรณ์ที่รองรับ ทำให้เข้าถึงได้ยากขึ้นครับ
ออพติมุสเราพร้อมให้คำปรึกษาแก่หน่วยงานที่ต้องการคำแนะนำในเรื่องโซลูชั่นด้านความปลอดภัยให้เหมาะสมกับหน่วยงานของท่านติดต่อแผนก Marketing
Tel : 02-2479898 ต่อ 87
Email : [email protected]
เรียบเรียงเป็นภาษาไทยโดย : คุณ กิตติศักดิ์ อนุวงศ์สกุล
