ភ្នាក់ងារ CISA បានបញ្ជាដោយផ្ទាល់ភ្លាមទៅភ្នាក់ងារ Federal Civilian Executive Branch (FCEB) ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះ Microsoft Exchange Hybrid ដ៏សំខាន់នៃបញ្ហា CVE-2025-53789 ត្រឹមថ្ងៃចន្ទ ម៉ោង 9:00 AM ET។
ភ្នាក់ងារ FCEB មិនមែនជាភ្នាក់ងារយោធានៅក្នុងសាខា Executive Branch អាមេរិកដូច ក្រសួងសន្តិសុខមាតុភូមិ ក្រសួងរតនាគារ ក្រសួងថាមពល និងក្រសួងសុខភាពនិងសេវាមនុស្សទេ។ បញ្ហា CVE-2025-53786 អនុញ្ញាតឱ្យហេគឃ័របង្កើនដំណើរការគ្រប់គ្រងលើម៉ាស៊ីនមេ On-premises Exchange ដើម្បីផ្លាស់ទីនៅពេលក្រោយចូលទៅក្នុងមជ្ឈដ្ឋាន Microsoft Cloud ដែលនាំឱ្យមានការគ្រប់គ្រងទាំងស្រុងលើ Domain។ ភាពងាយរងគ្រោះប៉ះពាល់ដល់ Microsoft Exchange Server 2016, 2019 និង Subscription Edition។ នៅការកំណត់រចនាសម្ព័ន្ធ Hybrid, Exchange Online និង On-premises Server ចែករំលែក Service Principal ដូចគ្នា ដែលជាការចែករំលែកទំនាក់ទំនងដ៏គួរទុកចិត្តត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ជាមួយគ្នាទៅវិញទៅមក។
អ្នកវាយប្រហារជាមួយសិទ្ធិគ្រប់គ្រង (Admin) នៅលើ On-premise Exchange Server អាចក្លែងបន្លំ ឬរៀបចំ Tokens ដែលគួរទុកចិត្ត ឬ API Calls ដែល Cloud Side នឹងទទួលយកស្របច្បាប់។ តិចនិកនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារចែកចាយចេញពីបណ្តាញណិតវើកក្នុងតំបន់នៅក្នុងមជ្ឈដ្ឋានក្លោដរបស់ក្រុមហ៊ុន ដែលគ្រប់គ្រងលើ Active Directory និងហេដ្ឋារចនាសម្ព័ន្ធទាំងស្រុងរបស់ក្រុមហ៊ុន។ ដើម្បីធ្វើឱ្យបញ្ហាកាន់តែអាក្រក់នោះ ក្រុមហ៊ុន Microsoft ថ្លែងថា Cloud-based Logging Tools ដូចជា Microsoft Purview ប្រហែលជាមិនកត់ត្រាសកម្មភាពភាពព្យាបាទទេ ប្រសិនបើវាមានប្រភពមកពី On-Prem Exchange ដែលធ្វើឱ្យវាលំបាកក្នុងការស្វែងរកការកេងចំណេញ។ បញ្ហានេះកើតឡើងបន្ទាប់ពី Microsoft បានបញ្ចេញការណែនាំ និង Exchange Server Hotfix នៅខែមេសា ឆ្នាំ២០២៥ ដើម្បីគាំទ្រដល់ការបង្កើតថ្មីមួយ និងការប្រើប្រាស់កម្មវិធី Hybrid ជាជាងការចែករំលែក ដែលជាផ្នែកនៃ Secure Future Initiative របស់ខ្លួន។ កាលពីម្សិលមិញ អ្នកស្រាវជ្រាវសន្តិសុខ Outsider Security បានបង្ហាញពីរបៀបដែល Service Principal ត្រូវបានចែកចាយអាចត្រូវបានកេងចំណេញនៅក្នុងការវាយប្រហារមួយក្រោយការកេងចំណេញ នៅក្នុងបទបង្ហាញ Black Hat មួយ។ អ្នកស្រាវជ្រាវបានបង្ហាញថា គាត់បានរាយការណ៍ពីបញ្ហានេះ ដើម្បីធ្វើការព្រមានដល់ក្រុមហ៊ុន Microsoft ជាមុន។ ដោយមានការសម្របសម្រួលជាមួយបទបង្ហាញក្រុមហ៊ុន Microsoft បានចេញបញ្ហា CVE-2025-53786 CVE និងការណែនាំពីរបៀបកាត់បន្ថយនូវបញ្ហានេះ។ អ្នកស្រាវជ្រាវបានបន្ថែមថា ពីដំបូងឡើយ គាត់មិនចាត់ទុកបញ្ហានេះជាភាពងាយរងគ្រោះនោះទេ ពីព្រោះ Protocol ដែលត្រូវបានប្រើសម្រាប់ការវាយប្រហារទាំងនេះត្រូវបានរចនាឡើងជាមួយនឹងលក្ខណៈពិសេស ដែលគ្របដណ្តប់ក្នុងអំឡុងពេលជជែកគ្នា (Talk) ហើយជាទូទៅ គ្រាន់តែជាការខ្វះខាតការត្រួតពិនិត្យសុវត្ថិភាពសំខាន់ៗតែប៉ុណ្ណោះ។
របាយការណ៍ពណ៌នាពីលទ្ធភាពនៃការវាយប្រហារដែលត្រូវបានផ្ញើជាមុនទៅកាន់ MSRC បីសប្តាហ៍មុន Black Hat និងការលាតត្រដាងត្រូវបានសម្របសម្រួលជាមួយគ្នា។ ក្រៅពីការណែនាំ ក្រុមហ៊ុន Microsoft ក៏បានកាត់បន្ថយផ្លូវវាយប្រហារ (Attack Path) ដែលអាចដឹកនាំទៅរកការគ្រប់គ្រងអ្នកជួលពេញលេញ (Global Admin) ពី On-Prem Exchange។ ដំណឹងល្អគឺថា អតិថិជន Microsoft Exchange ដែលបានអនុវត្តដំណោះស្រាយថ្មីៗ និងការណែនាំខែមេសាក៏ត្រូវបានការពាររួចរាល់ពីការវាយប្រហារក្រោយពេលកេងចំណេញថ្មីមួយ។ ទោះជាយ៉ាងណា អ្នកដែលមិនបានអនុវត្តវិធាការកាត់បន្ថយនៅតែរងផលប៉ះពាល់ ហើយគួរតែដំឡើងដំណោះស្រាយថ្មី ព្រមទាំងអនុវត្តតាមការណែនាំរបស់ក្រុមហ៊ុន Microsoft (Doc 1 និង Doc 2) លើការដាក់ពង្រាយកម្មវិធី Exchange Hybrid ដែលត្រូវបានចែកចាយ។ ការអនុវត្តដំណោះស្រាយថ្មីៗតែមួយគត់មិនគ្រប់គ្រាន់ទេនៅក្នុងករណីនេះ អ្នកគួរតែធ្វើការតាមដានជាប្រចាំ (Follow-up) ដើម្បីកាត់បន្ថយមូលដ្ឋានសេវាចែកចាយ (Dedicated Service Principal) បើយោងតាមអ្នកស្រាវជ្រាវ។ រឿងបន្ទាន់ចេញពីចំណុចសុវត្ថិភាពរបស់ការ View ពឹងផ្អែកលើចំនួនដែលអ្នកគ្រប់គ្រងពិចារណាពីភាពដាច់ដោយឡែក (Isolated) រវាងសារៈសំខាន់ On-prem Exchange Resource និង Cloud-hosted Resource ។ នៅក្នុងការរៀបចំចាស់ (Setup) Exchange Hybrid មានសិទ្ធិដំណើរការពេញលេញទៅកាន់ធនធានទាំងអស់នៅក្នុង Exchange តាមអនឡាញ និង SharePoint។ អ្នកស្រាវជ្រាវក៏បានបញ្ជាក់ឡើងវិញថា តិចនិករបស់គាត់គឺជាការវាយប្រហារក្រោយការកេងចំណេញមួយ ដែលមានន័យថា អ្នកវាយប្រហារបានគ្រប់គ្រងលើមជ្ឈដ្ឋាន On-Premises ឬ Exchange Server រួចរាល់ហើយ ហើយក្នុងករណីនេះមានសិទ្ធិជាអ្នកគ្រប់គ្រង (Admin)។
យោងតាម CISA’s Emergency Directive 25-02 ដែលភ្នាក់ងារសហព័ន្ធត្រូវតែកាត់បន្ថយការវាយប្រហារនាពេលនេះ ដោយដំបូងធ្វើសារពើភ័ណ្ឌ (Inventory) មជ្ឈដ្ឋាន Exchange របស់ពួកគេដោយប្រើ Microsoft’s Health Checker Script ។ តួយ៉ាង ម៉ាស៊ីនមេផ្សេងដែលមិនត្រូវបាន Support ដោយការជួសជុលត្រឹមខែមេសា ឆ្នាំ២០២៥ ដូចជា End-of-life Exchange Versions ត្រូវតែកាត់ផ្តាច់ (disconnected)។ ម៉ាស៊ីនមេដែលនៅសល់ទាំងអស់ត្រូវតែធ្វើបច្ចុប្បន្នភាពទៅកាន់ជំនាន់ចុងក្រោយ (CU14 ឬក៏ CU15 សម្រាប់ Exchange 2019 និង CU23 សម្រាប់ Exchange 2016) និង Patch ជាមួយនឹងដំណោះស្រាយខែមេសា។ បន្ទាប់ពីនោះ អ្នកគ្រប់គ្រងត្រូវប្រើ Microsoft’s ConfigureExchangeHybridApplication.ps1 PowerShell Script ដើម្បីប្តូរពី Shared ទៅ Dedicated Server Principal នៅក្នុង Entra ID។ CISA បានព្រមានថា ការខកខានក្នុងការអនុវត្តការកាត់បន្ថយទាំងនេះអាចបណ្តាលឱ្យមានមជ្ឈដ្ឋាន Hybrid ត្រូវបានគ្រប់គ្រងទាំងស្រុង។ ភ្នាក់ងារត្រូវតែធ្វើតាមបច្ចេកទេសតាមលំដាប់លំដោយត្រឹមព្រឹកថ្ងៃច័ន្ទនេះ រួច Submit របាយការណ៍ទៅ CISA ត្រឹមម៉ោង 5:00PM នៅថ្ងៃដដែល។ ខណៈស្ថាប័នមិនមែនរដ្ឋាភិបាលមិនតម្រូវឱ្យអនុវត្តតាមការណែនាំនេះ តែ CISA បានណែនាំស្ថាប័នទាំងអស់ឱ្យកាត់បន្ថយការវាយប្រហារនេះដែរ។ ហានិភ័យដែលទាក់ទងនឹងភាពងាយរងគ្រោះរបស់ Microsoft Exchange នេះបានពង្រីកដល់គ្រប់ស្ថាប័ន និងវិស័យនានា តាមរយៈការប្រើប្រាស់មជ្ឈដ្ឋាននេះ បើយោងតាម CISA។ ខណៈភ្នាក់ងារសហព័ន្ធត្រូវបានកំណត់នោះ ភ្នាក់ងារក៏បានស្នើឱ្យស្ថាប័នទាំងអស់អនុវត្តវិធានការកាត់បន្ថយគ្រោះថ្នាក់នៅក្នុង Emergency Directive នេះផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៧ ខែសីហា ឆ្នាំ២០២៥
