ພົບຊ່ອງໂຫວ່ Zero-Days ເທິງ Microsoft Exchange ຈຳນວນ 4 ລາຍການ ທີ່ເຮັດໃຫ້ Hacker ສາມາດໂຈມຕີຈາກພາຍນອກ ເພື່ອຮຽກໃຊ້ ຫລື ເປີດເຜີຍຂໍ້ມູນທີ່ມີຄວາມສຳຄັນເທິງ Microsoft Exchange ທີ່ໄດ້ຮັບຜົນກະທົບ ຊຶ່ງຖືກລາຍງານໂດຍ Zero Day Initiative (ZDI) ຂອງ Trend Micro ຊຶ່ງລາຍງານຊ່ອງໂຫວ່ເຫຼົ່ານີ້ໄປຫາ Microsoft ໃນວັນທີ 7 ແລະ 8 ກັນຍາ 2023.
ເຖິງວ່າ Microsoft ຈະຮັບຮູ້ລາຍງານດັ່ງກ່າວ ແຕ່ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພກໍຕັດສິນໃຈວ່າ ຊ່ອງໂຫວ່ດັ່ງກ່າວບໍ່ໄດ້ຮຸນແຮງພໍທີ່ອອກຕົວແກ້ໄຂຊ່ອງໂຫວ່ໃນທັນທີ ໂດຍເລື່ອນການແກ້ໄຂອອກໄປໃນພາຍຫຼັງ.
ZDI ບໍ່ເຫັນດີກັບການຕອບຮັບດັ່ງກ່າວ ແລະ ຕັດສິນໃຈເຜີຍແຜ່ຊ່ອງໂຫວ່ພາຍໃຕ້ລະຫັດ ຂອງຕົນເອງ ເພື່ອແຈ້ງເຕືອນຜູ້ເບິ່ງແຍງລະບົບ Exchange ກ່ຽວກັບຄວາມສ່ຽງດ້ານຄວາມປອດໄພ.
ສະຫລຸບຊ່ອງໂຫວ່ Zero-Days ທີ່ພົບ :
ZDI-23-1578 ເປັນຊ່ອງໂຫວ່ການຮຽກໃຊ້ໂຄ້ດທີ່ເປັນອັນຕະລາຍຈາກໄລຍະໄກ (RCE) ໃນ ‘ChainedSerializationBinder’ class ຊຶ່ງເກີດຈາກການທີ່ຂໍ້ມູນຂອງຜູ້ໃຊ້ງານບໍ່ໄດ້ຮັບການກວດສອບຢ່າງພຽງພໍ ເຮັດໃຫ້ຜູ້ໂຈມຕີ ສາມາດ deserialize untrusted data ໄດ້ ໂດຍຫາກສາມາດໂຈມຕີໄດ້ສຳເລັດ ອາດເຮັດໃຫ້ຜູ້ໂຈມຕີ ສາມາດແລ່ນໂຄ້ດໄດ້ຕາມທີ່ຕ້ອງການດ້ວຍສິດ ‘SYSTEM’ ຊຶ່ງເປັນສິດລະດັບສູງສຸດເທິງ Windows.
ZDI-23-1579 ເປັນຊ່ອງໂຫວ່ຢູ່ໃນ ‘DownloadDataFromUri’ method ຊຶ່ງເກີດຈາກການກວດສອບ URI ບໍ່ພຽງພໍ ກ່ອນການເຂົ້າເຖິງຊັບພະຍາກອນ ອາດເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດໃຊ້ປະໂຫຍດຈາກຊ່ອງໂຫວ່ ເພື່ອເຂົ້າເຖິງຂໍ້ມູນທີ່ມີຄວາມສຳຄັນໃນເຊີເວີ Exchange ໄດ້.
ZDI-23-1580 ເປັນຊ່ອງໂຫວ່ຢູ່ໃນ ‘DownloadDataFromOfficeMarketPlace’ method ຊຶ່ງເກີດຈາກການກວດສອບ URI ທີ່ບໍ່ເໝາະສົມ ຊຶ່ງອາດນຳໄປສູ່ການເປີດເຜີຍຂໍ້ມູນໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.
ZDI-23-1581 ເປັນຊ່ອງໂຫວ່ຢູ່ໃນ CreateAttachmentFromUri method ໂດຍຊ່ອງໂຫວ່ຄ້າຍກັບຊ່ອງໂຫວ່ກ່ອນໜ້ານີ້ ທີ່ມີການກວດສອບ URI ທີ່ບໍ່ເໝາະສົມ ຊຶ່ງສ່ຽງຕໍ່ການເປີດເຜີຍຂໍ້ມູນທີ່ມີຄວາມສຳຄັນ.
ຊ່ອງໂຫວ່ທັງໝົດນີ້ ຈຳເປັນຕ້ອງຜ່ານການ authentication ກ່ອນ ສຳລັບການໂຈມຕີ ຊຶ່ງເຮັດໃຫ້ລະດັບຄວາມຮຸນແຮງ CVSS ລຸດລົງເຫຼືອລະຫວ່າງ 7.1 ເຖິງ 7.5 ທັງນີ້ຕ້ອງມີ authentication ກ່ອນ ອາດເປັນສາເຫດວ່າເປັນຫຍັງ Microsoft ຈຶ່ງບໍ່ເລັ່ງໃນການແກ້ໄຂຊ່ອງໂຫວ່ດັ່ງກ່າວ
ຢ່າງໃດກໍຕາມ Hacker ມີຫຼາຍວິທີໃນການເຂົ້າເຖິງ Exchange credentials ເຊັ່ນ: ການ brute-forcing ໄປທີ່ລະຫັດຜ່ານທີ່ຄາດເດົາໄດ້ງ່າຍ, ການໂຈມຕີແບບ phishing, ການຊື້ລະຫັດຜ່ານຈາກ Darkweb ແລະ ການໃຊ້ລະຫັດຜ່ານທີ່ລັກມາຈາກ log ຂອງລະບົບ.
ທັງນີ້ນັກວິໄຈ Zero Day Initiative (ZDI) ຂອງ Trend Micro ໄດ້ແນະນຳໃຫ້ເປີດໃຊ້ງານ multi-factor authentication ເພື່ອບໍ່ໃຫ້ Hacker ສາມາດເຂົ້າເຖິງ Exchange instance ໄດ້ ເຖິງແມ່ນວ່າ ຂໍ້ມູນ credentials ຈະຖືກເຂົ້າເຖິງໄດ້ແລ້ວກໍຕາມ.
ອັບເດດ ໃນວັນທີ 4 ພະຈິກ 2023 ໂຄສົກຂອງ Microsoft ໄດ້ໃຫ້ຂໍ້ມູນກັບ BleepingComputer ເພິ່ມເຕິມແລ້ວດັ່ງນີ້:
Microsoft ໄດ້ກວດສອບລາຍງານຊ່ອງໂຫວ່ເຫຼົ່ານີ້ແລ້ວ ແລະ ພົບວ່າບາງສ່ວນໄດ້ມີການແກ້ໄຂແລ້ວ ຫລື ບໍ່ກົງຕາມເກນສຳລັບການອອກຕົວແກ້ໄຂທັນທີພາຍໃຕ້ແນວທາງການຈັດປະເພດຄວາມຮຸນແຮງຂອງຊ່ອງໂຫວ່ຈາກ Microsoft ແລະ ບໍລິສັດຈະປະເມີນການຈັດການກັບຊ່ອງໂຫວ່ເຫຼົ່ານີ້ໃນຮຸ່ນຜະລິດຕະພັນ ແລະ ການອັບເດດໃນອະນາຄົດຕາມຄວາມເໝາະສົມ.
ນອກຈາກນີ້ທາງ Microsoft ຍັງໃຫ້ຂໍ້ມູນເພິ່ມເຕິມດ້ານລຸ່ມ ກ່ຽວກັບຊ່ອງໂຫວ່ທີ່ຖືກພົບດັ່ງນີ້:
– ກ່ຽວກັບ ZDI-23-1578: ລູກຄ້າທີ່ໄດ້ອັບເດດຄວາມປອດໄພ ໃນເດືອນສິງຫາໄດ້ຮັບການແກ້ໄຂຊ່ອງໂຫວ່ຮຽບຮ້ອຍແລ້ວ.
– ກ່ຽວກັບ ZDI-23-1581: ເຕັກນິກທີ່ອະທິບາຍໄວ້ກຳນົດໃຫ້ Hacker ຕ້ອງມີສິດເຂົ້າເຖິງ email credentials ກ່ອນ ແລະ ບໍ່ມີຫຼັກຖານໃດທີ່ສະແດງໃຫ້ເຫັນວ່າ ສາມາດໃຊ້ປະໂຫຍດຈາກການຍົກລະດັບສິດໄດ້
– ກ່ຽວກັບ ZDI-23-1579: ເຕັກນິກທີ່ອະທິບາຍໄວ້ກຳນົດໃຫ້ Hacker ຕ້ອງມີສິດເຂົ້າເຖິງ email credentials ກ່ອນ.
– ກ່ຽວກັບ ZDI-23-1580: ເຕັກນິກທີ່ອະທິບາຍໄວ້ກຳນົດໃຫ້ Hacker ຕ້ອງມີສິດເຂົ້າເຖິງ email credentials ກ່ອນ ແລະ ບໍ່ມີຫຼັກຖານໃດທີ່ສະແດງໃຫ້ເຫັນວ່າ ສາມາດໃຊ້ເພື່ອເຂົ້າເຖິງຂໍ້ມູນລູກຄ້າທີ່ມີຄວາມສຳຄັນໄດ້.
