ហេគឃ័ររដ្ឋ គេងចំណេញលើ MS Exchange 0-day ប្រឆាំងនឹងស្ថាប័នជិត ១០

0

កាលពីថ្ងៃសុក្រ ម៉ាយក្រូសូស្វបានបង្ហើបប្រាប់ពីក្រុមសកម្មមួយ បានចាប់ផ្តើមដំណើរការ និងបំពាន Exchange servers ដោយបញ្ហាថ្មីចំនួន២ នៅក្នុង zero-day  ហើយបានវាយប្រហារលើស្ថាប័នយ៉ាងហោចណាស់ ១០ នៅទូទាំងសកលលោក។

មជ្ឈមណ្ឌលវ័យឆ្លាតខាងគំរាមកំហែងម៉ាយក្រូសូស្វ (MSTIC) បានថ្លែងថាៈ ការវាយប្រហារនេះបានដំឡើង Chopper web shell ដើម្បីដំណើរការ hands-on-keyboard ខណៈដែលហេគឃ័រអាចប្រើដើម្បីយកការណ៍ Active Directory និងច្រោះយកទិន្នន័យ។ The tech giant បានបន្ថែមថា ការវាយប្រហារនេះធ្វើឡើងដោយស្ថាប័នដែលគាំទ្រដោយរដ្ឋ តាំងពីដើមខែកញ្ញា ឆ្នាំ២០២២។ បញ្ហាចំនួន ២ នៅក្នុង ProxyNotShell ដែលពុំបាន patch ត្រឹមត្រូវរួមមាន៖
⦁ CVE-2022-41040: (CVSS ពិន្ទុៈ ៨,៨) បញ្ហានៃការបង្កើនសិទ្ធិនៅក្នុង Microsoft Exchange Server
⦁ CVE-2022-41082: (CVSS ពិន្ទុៈ ៨,៨) បញ្ហានៃការបញ្ជាកូដពីចម្ងាយនៅក្នុង Microsoft Exchange Server

ដំបូង ការគំរាមកំហែង ត្រូវបានរកឃើញដោយក្រុមហ៊ុនសន្តិសុខសាយប័រវៀតណាម GTSC ដែលជាផ្នែកមួយនៃការឆ្លើយតបឧក្រឹដ្ឋកម្ម សម្រាប់អតិថិជន កាលពីខែសីហា ឆ្នាំ២០២២។ នៅពេលនោះ គេសង្ស័យថាជាស្នាដៃរបស់ហេគឃ័រជនជាតិចិន។

បន្ទាប់មក សន្តិសុខសាយប័រអាមេរិក និងភ្នាក់ងារសន្តិសុខហេដ្ឋារចនាសម្ព័ន្ធ (CISA) បានរកឃើញបញ្ហាចំនួន២ ទៀត នៅក្នុង Microsoft Exchange Server zero-day ដែលគេស្គាល់ថាជាបញ្ហា (KEV) catalog ហើយតម្រូវឱ្យភ្នាក់ងារធ្វើការ patches ជាបន្ទាប់ នៅថ្ងៃទី២១ ខែតុលា ឆ្នាំ២០២២។

ម៉ាក្រូសូស្វបានថ្លែងថា វាកំពុងតែជម្រុញល្បឿននៃការបញ្ចេញដំណោះស្រាយ។ វាក៏បានបោះចេញ scripts សម្រាប់ URL ខាងក្រោមដើម្បីបំបែកខ្សែច្រវាក់នៃការវាយប្រហារៈ
⦁ Open IIS Manager
⦁ Select Default Web Site
⦁ In the Feature View, click URL Rewrite
⦁ In the Actions pane on the right-hand side, click Add Rule(s)…
⦁ Select Request Blocking and click OK
⦁ Add the string “.autodiscover.json.\@.Powershell.” (excluding quotes)
⦁ Select Regular Expression under using
⦁ Select Abort Request under How to block and then click OK
⦁ Expand the rule and select the rule with the pattern .autodiscover.json.\@.Powershell. and click Edit under Conditions.
⦁ Change the Condition input from {URL} to {REQUEST_URI}

បន្ថែមពីលើវិធានការខាងលើ ក្រុមហ៊ុនក៏បានប្រាប់ទៅអតិថិជនឱ្យប្រើ multi-factor authentication (MFA), បិទ legacy authentication និងពន្យល់អ្នកប្រើមិនឱ្យទទួល unexpected two-factor authentication (2FA) prompts។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី០១ ខែតុលា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here