BIGFISH ENTERPRISE LIMITED
16 March 2021

อัปเดตแพทช์ด่วน! Microsoft Exchange กลายเป็นเป้าโจมตี

 

เมื่อวัน 2 มีนาคมที่ผ่านมาทาง Microsoft ได้ปล่อยแพทช์อัปเดตเพื่อแก้ไขสี่ช่องโหว่ Zero-Day ใน Exchange Server ซึ่งกำลังเป็นเป้าโจมตีของกลุ่มแฮกเกอร์จีนที่ชื่อ "Hafnium"

Microsoft ได้ขอให้ผู้ใช้งาน Microsoft Exchange Server ทำการอัปเดตโดยเร็วที่สุดเนื่องจากช่องโหว่ดังกล่าวได้ส่งผลกระทบต่อ Exchange Server 2013, Exchange Server 2016 และ Exchange Server 2019 (Exchange Online ไม่ได้รับผลกระทบใด ๆ )

Microsoft แจ้งว่ากลุ่มแฮกเกอร์ที่โจมตีนั้นมีชื่อว่า Hafnium ได้โจมตีโดยใช้ Ransomware "DearCry" มุ่งเป้าไปที่ช่องโหว่บน On-Premise Exchange Servers เพื่อเข้าถึงบัญชีอีเมล์ของผู้ใช้งาน ผ่านช่องโหว่ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065 โดยผู้โจมตีได้อาศัย Web Shell ในการขโมยข้อมูลและทำการโจมตีอื่น ๆ

นอกจากนี้ Microsoft ยังได้ทำการอัปโหลด Script ที่ใช้ในการตรวจสอบว่าบน Exchange Server ของผู้ใช้บริการมี Web Shell ที่ใช้ในการโจมตีหรือไม่ ( https://github.com/microsoft/CSS-Exchange/tree/main/Security )

 

เพื่อความปลอดภัยจากเหตุการณ์นี้ทาง BigFish ได้มีข้อแนะนำ ดังนี้

  1. ปิดการใช้งานบริการของ Exchange Server ผ่าน Port 443 หากไม่ได้ใช้งาน
  2. ใช้ Host-Based Firewall/Network-Based Firewall ร่วมกับ VPN ในการควบคุมการเข้าถึงและใช้งานบริการดังกล่าว
  3. เปิดการป้องกันการโจมตีผ่านเครือข่ายที่อุปกรณ์ IPS ในการโจมตีช่องโหว่ของ Exchange Server ที่ใช้ CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 และ CVE-2021-27065
  4. ทำการอัปเดตแพทช์บน Exchange Server
  5. ทำการตรวจสอบว่า Exchange Server ถูกโจมตีแล้วหรือไม่โดยใช้ Script จาก Microsoft
  6. ทำการอัปเดต Endpoint Protection ที่มี Anti-ransomware
  7. ในกรณีที่ตรวจพบ Web Shell ดังกล่าวให้ตัดการเชื่อมต่อของ Exchange Server ออกจากอินเทอร์เน็ต เพื่อป้องกันการถูกขโมยข้อมูลและติด Ransomware และทำการสำรองข้อมูลอีเมล์ต่าง ๆ

 

อ่านเพิ่มเติม:

  1. https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
  2. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901