Microsoft เตือนช่องโหว่ zero-day ระดับ critical ใน exchange server พบว่าถูกใช้ในการโจมตีจริง ก่อนที่จะมีการแก้ไขใน patch tuesday ของเดือนกุมภาพันธ์นี้ โดยช่องโหว่ได้รับหมายเลข CVE คือ CVE-2024-21410 (คะแนน CVSS: 9.8) เป็น ช่องโหว่ Elevation of Privilege ทำให้ผู้ไม่หวังดีทำการยกระดับสิทธิ์จากการโจมตีแบบ NTLM relay attack
ผู้ไม่หวังดีสั่งให้อุปกรณ์เครือข่าย (รวมถึงเซิร์ฟเวอร์หรือ domain controller) ตรวจสอบความถูกต้องกับ NTLM relay server ที่อยู่ภายใต้การควบคุม เพื่อเลียนแบบอุปกรณ์เป้าหมายและยกระดับสิทธิ์ ผู้ไม่หวังดียังสามารถกำหนดเป้าหมาย NTLM client เช่น Outlook ที่มีช่องโหว่ NTLM ข้อมูลประจำตัวการรั่วไหล (credential leak) ข้อมูล Net-NTLMv2 hash ที่รั่วไหลสามารถส่งต่อไปยัง exchange server เพื่อใช้สิทธิ์เดียวกับเหยื่อและเพื่อสั่งการบน exchange server ในนามของเหยื่อได้
แนวทางการลดผลกระทบ
ทำการอัปเดต Exchange Server 2019 Cumulative Update 14 (CU14) และเปิดใช้งาน NTLM credentials Relay Protections หรือที่เรียกว่า Extended Protection for Authentication หรือ EPA ซึ่งได้รับการออกแบบมาเพื่อเพิ่มความแข็งแกร่งให้กับฟังก์ชันการตรวจสอบสิทธิ์ของ Windows Server โดยการบรรเทาการ authentication relay และการโจมตีแบบ man-in-the-middle(MitM) ซึ่งหากทำการอัปเดตแล้ว โดยค่าเริ่มต้น Extended Protection จะถูกเปิดใช้งานโดยอัตโนมัติ
ทำการอัปเดตความปลอดภัยล่าสุดสำหรับ Exchange Server 2016 CU23 ก่อนที่จะเปิดใช้งาน Extended Protection โดยใช้สคริปท์ ExchangeExtensedProtectionManagement.ps1
ระบบที่ได้รับผลกระทบ
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว