Tech

ครึ่งหนึ่งของเซิร์ฟเวอร์ MS Exchange ตกอยู่ในความเสี่ยงในการล่มสลายของ ProxyShell

ผู้ใช้ MS Exchange มากถึง 50% ในสหราชอาณาจักรพบช่องโหว่ 3 ช่องโหว่ที่กำลังถูกโจมตี

Microsoft Exchange มากถึงและอาจจะมากกว่า 50% เซิร์ฟเวอร์ที่ตั้งอยู่ในสหราชอาณาจักรดูเหมือนจะเสี่ยงต่อช่องโหว่สามจุดที่แตกต่างกันซึ่งได้รับการแก้ไขเมื่อไม่นานนี้ แต่ขณะนี้กำลังถูกโจมตี มันอยู่ในสิ่งที่เรียกว่า การโจมตี ProxyShell หลังจากเปิดเผยช่องโหว่ทางเทคนิคที่ Black Hat USA โดยแฮ็กเกอร์ Orange Tsai .

ตามข่าวสกาย นอกจากธุรกิจหลายพันแห่งแล้ว องค์กรที่มีความเสี่ยงในสหราชอาณาจักรยังรวมถึงหน่วยงานของรัฐและกองกำลังตำรวจด้วย ข้อบกพร่องสามประการ ได้แก่ CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207 ตามลำดับ

นักวิเคราะห์ที่ Huntress Security อธิบายว่าการโจมตีเชื่อมโยงช่องโหว่ ทำให้ผู้โจมตีสามารถดำเนินการเรียกใช้โค้ดจากระยะไกล (RCE) โดยไม่ผ่านการตรวจสอบสิทธิ์ จอห์น แฮมมอนด์ นายพรานหญิงกล่าวว่าเขาได้ระบุเซิร์ฟเวอร์ที่มีช่องโหว่เกือบ 2,000 เซิร์ฟเวอร์ แม้ว่าสิ่งนี้จะลดน้อยลงในช่วงสองสามวันที่ผ่านมา เขากล่าวว่าจำนวนเซิร์ฟเวอร์และรายงานที่ถูกบุกรุกของบริษัทขณะนี้อยู่ที่ประมาณ 300

“เราเริ่มเห็นพฤติกรรมหลังการเอารัดเอาเปรียบซึ่งประกอบด้วยผู้ขุดเหรียญ – ดูเหมือนจะเป็น WannaMine – และแรนซัมแวร์ – LockFile – และเรายังคงกระตุ้นให้องค์กรต่างๆ ทำการแพตช์” แฮมมอนด์กล่าว

“เรากำลังตรวจสอบไฟล์บันทึกของ Exchange จากเซิร์ฟเวอร์ที่ถูกบุกรุก และเราได้เห็นที่อยู่ IP จำนวนหนึ่งโต้ตอบกับ เว็บเชลล์สำหรับการโพสต์การหาประโยชน์เพิ่มเติม สิ่งเหล่านี้ส่วนใหญ่รวมถึง User-Agent (คำขอหลาม) ที่ระบุว่าการดำเนินการนี้เป็นแบบอัตโนมัติ ในขณะที่ส่วนอื่นๆ มีเว็บเบราว์เซอร์แบบเดิมที่ระบุว่าพวกเขาได้ทำการโต้ตอบด้วยตนเอง

“ นักล่าจะยังคงแบ่งปันข่าวกรองภัยคุกคามใหม่และตัวบ่งชี้การประนีประนอมตามที่เราพบ ภายในโพสต์บล็อกของเราเอง

และเธรด Reddit สาธารณะ

,” เขาเพิ่ม.

Claire Tills วิศวกรวิจัยอาวุโสที่ Tenable กล่าวว่าผู้ประสงค์ร้ายจะเริ่มสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ที่มีช่องโหว่ทันทีที่ Tsai ส่งงานนำเสนอและให้ “ความนิยม” ของ ช่องโหว่ ProxyLogon ล่าสุด – เปิดเผยโดย Tsai ในตอนแรก – การแสวงประโยชน์เป็นสิ่งที่หลีกเลี่ยงไม่ได้

“ช่องโหว่เหล่านี้น่าจะได้รับความนิยมเนื่องจากมีการแพร่หลายของ Microsoft Exchange – ผู้คุกคามรู้ว่ามีศักยภาพสูงกว่าสำหรับการโจมตีที่ประสบความสำเร็จโดยการกำหนดเป้าหมายบริการเช่นนี้ ความสำเร็จในอดีตของการโจมตีที่ใช้ประโยชน์จาก ProxyLogon ยังดึงดูดผู้โจมตีมายัง ProxyShell โดยอาศัยการโจมตีและยุทธวิธีที่ทราบว่าใช้งานได้” เธอกล่าว

การสื่อสารวิกฤตล้มเหลว อย่างไรก็ตาม ปัญหาควร ไม่ถือเป็นการฟ้องโดยชัดแจ้งถึงความล้มเหลวในการแก้ไขในส่วนของผู้ใช้ที่มีความเสี่ยง แต่เป็นความล้มเหลวในการสื่อสารจาก Microsoft เอง

ในขณะที่เขียน ข้อเท็จจริงที่ทราบของคดีนี้ปรากฏว่าในขณะที่ Microsoft ได้แก้ไขช่องโหว่สองจุดแรกในเดือนเมษายน 2564 ก็ไม่ได้ เปิดเผยหรือกำหนดหมายเลข CVE (ช่องโหว่ทั่วไปและการเปิดเผย) ใด ๆ ของพวกเขาจนถึงเดือนกรกฎาคม ช่องโหว่ที่สามถูกแพตช์และเปิดเผยในการอัปเดตเดือนพฤษภาคม ซึ่งหมายความว่าผู้ใช้จำนวนมากจะเชื่อว่าการอัปเดตครั้งแรกนั้นไม่สำคัญและไม่ได้ใช้ โดยปราศจากความผิดของตนเอง โดยที่จริงแล้วช่องโหว่นั้นได้แสดงให้เห็นว่ารุนแรงกว่ามาก นักวิจัยด้านความปลอดภัย Kevin Beaumont ซึ่งติดตาม ProxyShell ตั้งแต่มีการเปิดเผยครั้งแรก อธิบายว่าข้อความของ Microsoft เกี่ยวกับการโจมตี – ซึ่งเขาอธิบายว่าแย่กว่า ProxyLogon – ว่า “รู้ดีว่าแย่มาก” ออซ อลาเช ซีอีโอและผู้ก่อตั้ง CybSafe ตกลงที่จะตอบสนองต่อ ProxyShell เหลือมากเป็นที่ต้องการ “การขาดการดำเนินการแก้ไขภายหลังการเปิดเผยช่องโหว่เหล่านี้จำเป็นต้องได้รับบทเรียนเกี่ยวกับความสำคัญของการส่งข้อความและพฤติกรรมการรักษาความปลอดภัยที่ระมัดระวัง” เขากล่าว

“ช่องว่างเหล่านี้ในการป้องกันของเราจะโผล่ออกมาเสมอ แต่สิ่งที่สำคัญคือความเร็วและความชัดเจนของการตอบสนอง ความคลุมเครือใดๆ ก็ตามอาจนำไปสู่การไม่นำการอัปเดตซอฟต์แวร์ที่สำคัญไปใช้ และทำให้องค์กรต้องเผชิญผู้มุ่งร้ายและการโจมตีของแรนซัมแวร์

“ด้วย Gov.uk และ Police.uk ในโดเมนที่ยังไม่มีการอัปเดตเซิร์ฟเวอร์อีเมลของ Microsoft ที่จำเป็น ผลที่ตามมาของการไม่จัดการกับช่องโหว่เหล่านี้ชัดเจน” Alashe กล่าว “การอัปเดตซอฟต์แวร์อยู่เสมอเป็นวิธีที่ง่าย แต่มีประสิทธิภาพสูงในการลดความเสี่ยงในโลกไซเบอร์ และองค์กรจำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขาให้ความสำคัญกับความเร็วและความชัดเจน”

Veritas ‘ หัวหน้าฝ่ายเทคโนโลยีในสหราชอาณาจักรและไอร์แลนด์, Ian Wood กล่าวเสริมว่า: “ผู้ดูแลระบบไอทีส่วนใหญ่เกลียดการแพตช์พอๆ กับที่ผู้ใช้เกลียดการอัปเกรดซอฟต์แวร์สำหรับอุปกรณ์ของพวกเขา – บางครั้งพวกเขาไม่ได้ติดตั้งอย่างถูกต้อง บางครั้งพวกเขาทำสิ่งต่าง ๆ พัง และบ่อยครั้งที่พวกเขาเพียงแค่ก่อกวนธรรมดา

  • “ยิ่งไปกว่านั้น และสิ่งที่อาจเป็นปัญหาได้มากที่สุด พวกเขาต้องการความเข้าใจอย่างถี่ถ้วนถึงสิ่งที่ต้องการการปะแก้ ที่ไหนและเมื่อไหร่ . เนื่องจากการโจมตีของแรนซัมแวร์ที่มากขึ้นนำไปสู่การค้นพบช่องโหว่ที่มากขึ้น และในทางกลับกัน การสร้างแพตช์ที่มากขึ้น จึงเป็นเรื่องง่ายสำหรับสิ่งทั้งปวงที่ไม่สามารถควบคุมได้ ไม่น่าแปลกใจเลยที่ระบบจำนวนมากนั้นไม่ได้รับการแพตช์อย่างครอบคลุม”

  • อ่านเพิ่มเติมเกี่ยวกับแฮกเกอร์และการป้องกันอาชญากรรมในโลกไซเบอร์

    • CISA: ProxyShell ข้อบกพร่องถูกนำไปใช้ประโยชน์อย่างแข็งขัน แก้ไขทันที Alex Scroxtonโดย: อเล็กซานเดอร์ คูลาฟี

  • เซิร์ฟเวอร์ Exchange จำนวนมากยังคงเสี่ยงต่อ ProxyLogon ProxyShell
    โดย: อเล็กซานเดอร์ คูลาฟี


  • ‘ProxyShell’ การแลกเปลี่ยนจุดบกพร่องปรากฏขึ้นอีกครั้งหลังจากการนำเสนอ

    Alex Scroxton

    โดย: ฌอน นิโคลส์

  • Microsoft แก้ไขข้อผิดพลาดที่สำคัญสี่ประการใน Patch Tuesday ที่เบากว่า
    โดย: Alex Scroxton

  • การตลาดดิจิทัล (Digital การตลาด)
  • Back to top button