10 พฤษภาคม | สืบสาย โสดานิล
แฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งระบุว่าเป็น APT28 หรือ Fancy Bear ได้ใช้ประโยชน์จากช่องโหว่ (CVE-2023-23397) ที่สําคัญใน Microsoft Outlook เพื่อเข้าครอบครองบัญชีอีเมล โดยกลุ่ม APT28 ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของรัสเซีย (GRU) ได้มุ่งเป้าการโจมตีไปยังหน่วยงานรัฐบาล ภาคพลังงาน ระบบขนส่ง รวมถึงองค์กรสําคัญอื่นๆ ทั่วสหรัฐอเมริกา ยุโรป และ ตะวันออกกลาง
การโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-23397 มักมีลักษณะดังนี้:
– การส่งอีเมลที่เป็นอันตราย: ผู้โจมตีจะส่งอีเมลที่สร้างขึ้นไปยังเหยื่อ อีเมลนี้อาจมีลักษณะที่ดึงดูดความสนใจ หรือ ดูเหมือนว่ามาจากแหล่งที่น่าเชื่อถือ
– ไฟล์แนบที่เป็นอันตราย: อีเมลอาจมีไฟล์แนบที่เป็นอันตราย ซึ่งมักจะเป็นไฟล์.msg (ไฟล์ข้อความ Outlook) ที่สร้างขึ้นเป็นพิเศษ
– การเรียกใช้โค้ดที่เป็นอันตราย: เมื่อเหยื่อเปิดอีเมลหรือไฟล์แนบ โค้ดที่เป็นอันตรายจะถูกเรียกใช้บนคอมพิวเตอร์ของเหยื่อโดยอัตโนมัติ
– การขโมยข้อมูลส่วนตัว: โค้ดดังกล่าวจะพยายามขโมยข้อมูลประจำตัวของเหยื่อ เช่น ชื่อผู้ใช้และรหัสผ่าน และมักจะส่งข้อมูลนี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี
– การเข้าถึงระบบ: เมื่อผู้โจมตีได้ข้อมูลประจำตัวของเหยื่อแล้ว พวกเขาสามารถใช้ข้อมูลนี้เพื่อเข้าถึงระบบขององค์กรได้
ตัวอย่างของการโจมตีที่ใช้ประโยชน์จาก CVE-2023-23397:
– การโจมตีแบบกำหนดเป้าหมาย: ผู้โจมตีอาจส่งอีเมลที่เป็นอันตรายไปยังบุคคลที่เฉพาะเจาะจงภายในองค์กร เช่น ผู้บริหารระดับสูงหรือผู้ดูแลระบบ
– การโจมตีแบบสุ่ม: ผู้โจมตีอาจส่งอีเมลที่เป็นอันตรายไปยังผู้ใช้จำนวนมาก โดยหวังว่าจะมีบางคนที่เปิดอีเมลหรือไฟล์แนบ
– การโจมตีแบบผสม: ผู้โจมตีอาจรวมการโจมตีแบบกำหนดเป้าหมายและการโจมตีแบบสุ่มเข้าด้วยกัน
รายละเอียดของช่องโหว่
– ช่องโหว่: CVE-2023-23397 เป็นช่องโหว่เกี่ยวกับการยกระดับสิทธิ์ (Elevation of Privilege Vulnerability)
– ซอฟต์แวร์ที่ได้รับผลกระทบ: Microsoft Outlook บน Windows
– วิธีการโจมตี: ผู้โจมตีสามารถสร้างไฟล์ข้อความ (.msg) ที่มีคุณสมบัติ PidLidReminderFileParameter แบบกำหนดเอง โดยมีเส้นทาง Universal Naming Convention (UNC) ที่ชี้ไปยังเซิร์ฟเวอร์ Server Message Block (SMB) ที่ผู้โจมตีควบคุม
– ผลกระทบ: เมื่อผู้ใช้เปิดอีเมลที่เป็นอันตราย ข้อมูลประจำตัว NTLM ของผู้ใช้จะถูกส่งไปยังเซิร์ฟเวอร์ SMB ที่ผู้โจมตีควบคุมโดยอัตโนมัติ ทำให้ผู้โจมตีสามารถขโมยข้อมูลประจำตัวของผู้ใช้และเข้าถึงระบบขององค์กรได้
– ความรุนแรง: ช่องโหว่นี้ถือว่ามีความรุนแรงสูง โดยมีคะแนน CVSS 3.1 อยู่ที่ 9.8
ระบบหรือผลิตภัณฑ์ที่ได้รับผลกระทบ
• Exchange Server 2013
• Exchange Server 2016
• Exchange Server 2019
คำแนะนำหรือแนวทางแก้ไข
– ใช้การอัปเดตความปลอดภัยที่พร้อมใช้งานสําหรับช่องโหว่ CVE-2023-23397 ดังนี้
1. Exchange Server 2013 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105092
2. Exchange Server 2016 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105091
3. Exchange Server 2019 ผู้ใช้งานสามารถดาวน์โหลด Security Update ตามลิงก์นี้
https://www.microsoft.com/en-us/download/details.aspx?id=105090
https://www.microsoft.com/en-us/download/details.aspx?id=105089
– ปิดใช้งานบริการที่ไม่จําเป็นบน Exchange Server
– จํากัดการรับส่งข้อมูล SMB โดยการบล็อกการเชื่อมต่อกับพอร์ต 135 และ 445 จาก IP ขาเข้าทั้งหมด
– ปิดการใช้งาน NTLM บน SMB ช่วยเพิ่มความปลอดภัย
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา