ไมโครซอฟ

Microsoft กระตุ้นให้ลูกค้ารักษาความปลอดภัยเซิร์ฟเวอร์

Microsoft กำลังกระตุ้นให้ลูกค้าอัปเดตเซิร์ฟเวอร์ Exchange อยู่เสมอ ตลอดจนดำเนินการเพื่อสนับสนุนสภาพแวดล้อม

เช่น การเปิดใช้งานWindows Extended Protectionและการกำหนดค่าการเซ็นชื่อตามใบรับรองของเพย์โหลดการทำให้เป็นอนุกรมของ PowerShell“ผู้โจมตีที่ต้องการใช้ประโยชน์จากเซิร์ฟเวอร์ Exchange ที่ไม่ได้แพตช์จะไม่หายไป” ทีม Exchange ของยักษ์ใหญ่ด้านเทคโนโลยีกล่าวในโพสต์ “มีหลายแง่มุมของสภาพแวดล้อม Exchange ในสถานที่ที่ไม่ได้แพตช์ซึ่งมีประโยชน์ต่อผู้ไม่หวังดีที่ต้องการขโมยข้อมูลหรือกระทำการที่เป็นอันตรายอื่นๆ”

ไมโครซอฟท์ยังเน้นย้ำถึงมาตรการบรรเทาผลกระทบที่ออกโดยบริษัทเป็นเพียงวิธีแก้ปัญหาชั่วคราว และอาจ “ไม่เพียงพอที่จะป้องกันการโจมตีรูปแบบต่างๆ ได้” โดยผู้ใช้จำเป็นต้องติดตั้งโปรแกรมปรับปรุงความปลอดภัยที่จำเป็นเพื่อรักษาความปลอดภัยให้กับเซิร์ฟเวอร์

Exchange Server ได้รับการพิสูจน์แล้วว่าเป็นเวกเตอร์โจมตี ที่ให้ผลตอบแทนสูง ในช่วงไม่กี่ปีที่ผ่านมา ข้อบกพร่องด้านความปลอดภัยจำนวนหนึ่งในซอฟต์แวร์ทำให้กลายเป็นอาวุธในการเจาะระบบแบบ Zero-days

ในช่วงสองปีที่ผ่านมาเพียงปีเดียว มีการค้นพบช่องโหว่หลายชุดใน Exchange Server รวมถึงProxyLogon , ProxyOracle , ProxyShell , ProxyToken , ProxyNotShellและ ProxyNotShell mitigation bypass ที่รู้จักกันในชื่อOWASSRFซึ่งบางช่องโหว่ถูกโจมตีอย่างกว้างขวาง

Bitdefender ในคำแนะนำทางเทคนิคที่เผยแพร่ในสัปดาห์นี้ อธิบายว่า Exchange เป็น “เป้าหมายในอุดมคติ” ในขณะเดียวกันก็บันทึกเหตุการณ์การโจมตีในโลกแห่งความเป็นจริงบางส่วนที่เกี่ยวข้องกับเครือข่ายช่องโหว่ ProxyNotShell / OWASSRF ตั้งแต่ปลายเดือนพฤศจิกายน 2022

แทงบอล

“มีเครือข่ายที่ซับซ้อนของบริการส่วนหน้าและส่วนหลัง [ใน Exchange] พร้อมด้วยรหัสดั้งเดิมที่ให้ความเข้ากันได้แบบย้อนหลัง” Martin Zugec จากBitdefender กล่ฆาว “บริการแบ็กเอนด์เชื่อถือคำขอจากเลเยอร์ส่วนหน้า [Client Access Services]”

อีกเหตุผลหนึ่งคือข้อเท็จจริงที่ว่าบริการแบ็กเอนด์หลายตัวทำงานเป็น Exchange Server ซึ่งมาพร้อมกับสิทธิพิเศษของระบบ และการเจาะระบบอาจทำให้ผู้โจมตีสามารถเข้าถึง บริการ PowerShell ระยะไกล ที่เป็นอันตราย ได้ ซึ่งปูทางไปสู่การดำเนินการคำสั่งที่เป็นอันตรายได้อย่างมีประสิทธิภาพ

ด้วยเหตุนี้ การโจมตีที่ใช้ช่องโหว่ของ ProxyNotShell และ OWASSRF ได้พุ่งเป้าไปที่ศิลปะและความบันเทิง การให้คำปรึกษา กฎหมาย การผลิต อสังหาริมทรัพย์ และอุตสาหกรรมค้าส่งที่ตั้งอยู่ในออสเตรีย คูเวต โปแลนด์ ตุรกี และสหรัฐอเมริกา

“การโจมตีประเภทการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์ ( SSRF ) ประเภทนี้ทำให้ฝ่ายตรงข้ามสามารถส่งคำขอที่สร้างขึ้นจากเซิร์ฟเวอร์ที่มีช่องโหว่ไปยังเซิร์ฟเวอร์อื่นเพื่อเข้าถึงทรัพยากรหรือข้อมูลที่ไม่สามารถเข้าถึงได้โดยตรง” บริษัทรักษาความปลอดภัยทางไซเบอร์ของโรมาเนียกล่าว

การโจมตีส่วนใหญ่ถูกกล่าวว่าเป็นการฉวยโอกาสมากกว่าที่จะโฟกัสและกำหนดเป้าหมาย โดยการติดเชื้อจะถึงจุดสูงสุดในการพยายามปรับใช้เว็บเชลล์และซอฟต์แวร์ตรวจสอบและจัดการระยะไกล (RMM) เช่น ConnectWise Control และ GoTo Resolve

Web Shell ไม่เพียงแต่นำเสนอกลไกการเข้าถึงระยะไกลแบบถาวรเท่านั้น แต่ยังช่วยให้อาชญากรสามารถดำเนินกิจกรรมต่อเนื่องได้หลากหลาย และแม้แต่ขายการเข้าถึงให้กับกลุ่มแฮ็กเกอร์กลุ่มอื่นเพื่อผลกำไร

ในบางกรณี เซิร์ฟเวอร์ชั่วคราวที่ใช้ในการโฮสต์เพย์โหลดถูกบุกรุกโดยเซิร์ฟเวอร์ Microsoft Exchange เอง บ่งชี้ว่าอาจมีการใช้เทคนิคเดียวกันนี้เพื่อขยายขอบเขตของการโจมตี

นอกจากนี้ ยังสังเกตเห็นความพยายามที่ไม่ประสบความสำเร็จของฝ่ายตรงข้ามในการดาวน์โหลด Cobalt Strike เช่นเดียวกับการสอดใส่ Go-based ที่มีชื่อรหัสว่า GoBackClient ซึ่งมาพร้อมกับความสามารถในการรวบรวมข้อมูลระบบและวางไข่แบบย้อนกลับ

การใช้ช่องโหว่ของ Microsoft Exchange ในทางที่ผิดยังเป็นกลยุทธ์ที่เกิดซ้ำซึ่งใช้โดยUNC2596 (หรือที่รู้จักในชื่อ Tropical Scorpius) ซึ่งเป็นผู้ให้บริการแรนซัมแวร์ของคิวบา (หรือที่รู้จักในชื่อ COLDDRAW) ด้วยการโจมตีหนึ่งครั้งที่ใช้ประโยชน์จากลำดับการโจมตี ProxyNotShell เพื่อ ปล่อยตัว ดาวน์โหลดBUGHATCH

“ในขณะที่พาหะของการติดเชื้อเริ่มต้นพัฒนาขึ้นเรื่อยๆ และผู้คุกคามก็ใช้ประโยชน์จากโอกาสใหม่ๆ อย่างรวดเร็ว แต่กิจกรรมหลังการแสวงหาผลประโยชน์ของพวกเขาก็เป็นที่คุ้นเคยกันดี” Zugec กล่าว “การป้องกันที่ดีที่สุดต่อการโจมตีทางไซเบอร์สมัยใหม่คือสถาปัตยกรรมการป้องกันเชิงลึก”

 

 

Releated