ຜູ້​ຊ່ຽວ​ຊານ​ທາງ​ດ້ານ​ຄວາມຫມັ້ນຄົງ​ປອດໄ​ພ​ຈາກ GTSC⁽³⁾ ປະເທດ ຫ​ວຽດ​ນາມ ລາຍ​ງານ​ຊ່ອງ​ໂຫວ່ Zero-Day ໃນ Microsoft Exchange ທີ່​ເລີ່ມ​ກວດ​ພົບ​ການ​ໂຈມ​ຕີ​ແລ້ວ ໄດ້ມີ​ການ​ລາຍ​ງານ​ໄປ​ທີ່ Zero Day Initiative (ZDI) ປະກອບ​ດ້ວຍ​ຊ່ອງ​ໂຫວ່ 2 ອັນ ​ໄດ້​ແກ່ ZDI-CAN-18333 ມີ​ຄະ​ແນນ CVSS 8.8 ແລະ ZDI-CAN-18802 ມີ​ຄະ​ແນນ CVSS 6.3 ຊ່ອງ​ໂຫວ່​ນີ້ ​ສາມາດ​ສ້າງ​ຄວາມ​ເສຍ​ຫາຍ​ໄດ້​ຄ່ອນ​ຂ້າງ​ຫລາຍ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ ສາມາດ​ເຮັດ Remote Code Execution (RCE) ໄປ​ທີ່ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໄດ້ ໂດຍ​ໃຊ້​ການ​ໂຈມ​ຕີ​ດ້ວຍ Request ທີ່​ມີ​ລັກສະນະ​ຄ້າຍ​ກັບ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ ProxyShell ກ່ອນ​ໜ້າ​ນີ້ ແລະ ​ເມື່ອ​ເຈາະ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ໄດ້​ສຳ​ເລັດ ຈະ​ມີ​ການ​ຕິດ​ຕັ້ງ Antsword ຊຶ່ງ​ເປັນ Webshell ຈາກ​ປະເທດ​ຈີນ ​ເພື່ອ​ໃຊ້​ເປັນ Backdoor ໃນ​ການ​ໂຈມ​ຕີ​ຕໍ່ໄປ.

ລ່າ​ສຸດ Trend Micro ໄດ້​ອອກ​ລາຍ​ງານ​ເຕືອນ​ກ່ຽວກັບ​ຊ່ອງ​ໂຫວ່​ນີ້​ມາ​ແລ້ວ​ເຊັ່ນ​ກັນ ມີ​ການ​ເພີ່ມ Protection ແລະ Detection Rule ໃນ​ຜະລິດຕະພັນ​ຂອງ​ຕົນເອງ​ແລ້ວ ປະຈຸບັນ​ຊ່ອງ​ໂຫວ່​ນີ້​ຍັງ​ບໍ່​ມີຕົວແກ້ໄຂ​ຈາກ​ທາງ Microsoft ໂດຍ​ທາງ GTSC ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ແກ້​ໄຂ​ບັນຫາ​ຊົ່ວ​ຄາວ​ໄປ​ກ່ອນ ​ດ້ວຍ​ການ​ປັບ​ແຕ່ງ IIS Server rule ຜ່ານ​ທາງ URL Rewrite Rule Module ດັ່ງ​ນີ້:

In Autodiscover at FrontEnd, select tab URL Rewrite, and then Request Blocking.

Add string “.*autodiscover\.json.*\@.*Powershell.*“ to the URL Path.

Condition input: Choose {REQUEST_URI}

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ທີ່​ຕ້ອງ​ການ​ກວດ​ສອບ​ວ່າ Exchange Server ຖືກ​ໂຈມ​ຕີ ​ຫລື​ ບໍ່ ສາມາດ​ເປີດ​ຄຳ​ສັ່ງ PowerShell ດ້ານ​ລຸ່ມ​ ເພື່ອ​ກວດ​ສອບ IIS Log.

Get-ChildItem -Recurse -Path -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-day-actively-exploited-in-attacks/
2. https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-html
3. https://www.techtalkthai.com/new-zero-day-was-found-on-microsoft-exchange/