Microsoft เตือนช่องโหว่ zero-day ระดับ critical ใน exchange server พบว่าถูกใช้ในการโจมตีจริง ก่อนที่จะมีการแก้ไขใน patch tuesday ของเดือนกุมภาพันธ์นี้ โดยช่องโหว่ได้รับหมายเลข CVE คือ CVE-2024-21410 (คะแนน CVSS: 9.8) เป็น ช่องโหว่ Elevation of Privilege ทำให้ผู้ไม่หวังดีทำการยกระดับสิทธิ์จากการโจมตีแบบ NTLM relay attack

ผู้ไม่หวังดีสั่งให้อุปกรณ์เครือข่าย (รวมถึงเซิร์ฟเวอร์หรือ domain controller) ตรวจสอบความถูกต้องกับ NTLM  relay server ที่อยู่ภายใต้การควบคุม เพื่อเลียนแบบอุปกรณ์เป้าหมายและยกระดับสิทธิ์ ผู้ไม่หวังดียังสามารถกำหนดเป้าหมาย NTLM client เช่น Outlook ที่มีช่องโหว่ NTLM ข้อมูลประจำตัวการรั่วไหล (credential leak) ข้อมูล Net-NTLMv2 hash ที่รั่วไหลสามารถส่งต่อไปยัง exchange server เพื่อใช้สิทธิ์เดียวกับเหยื่อและเพื่อสั่งการบน exchange server ในนามของเหยื่อได้

‍

แนวทางการลดผลกระทบ

ทำการอัปเดต Exchange Server 2019 Cumulative Update 14 (CU14) และเปิดใช้งาน NTLM credentials Relay Protections หรือที่เรียกว่า Extended Protection for Authentication หรือ EPA ซึ่งได้รับการออกแบบมาเพื่อเพิ่มความแข็งแกร่งให้กับฟังก์ชันการตรวจสอบสิทธิ์ของ Windows Server โดยการบรรเทาการ authentication relay และการโจมตีแบบ man-in-the-middle(MitM) ซึ่งหากทำการอัปเดตแล้ว โดยค่าเริ่มต้น Extended Protection จะถูกเปิดใช้งานโดยอัตโนมัติ

ทำการอัปเดตความปลอดภัยล่าสุดสำหรับ Exchange Server 2016 CU23 ก่อนที่จะเปิดใช้งาน Extended Protection โดยใช้สคริปท์ ExchangeExtensedProtectionManagement.ps1

ระบบที่ได้รับผลกระทบ

• Microsoft Exchange Server 2016 Cumulative Update 23
• Microsoft Exchange Server 2019 Cumulative Update 13  build number ตั้งแต่ 15.02.0 ถึง 15.2.1544.004
• Microsoft Exchange Server 2019 Cumulative Update 14  build number ตั้งแต่ 15.02.0 ถึง 15.2.1544.004

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-new-critical-exchange-bug-exploited-as-zero-day/

‍