เมื่อต้นเดือนมีนาคม 2021 บริษัทหลายแห่งออกรายงานเรื่องการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ (zero-day) ที่พบใน Microsoft Exchange Server ที่นำไปสู่ทำ code execution และการเข้าถึงรายการแอ็คเคาท์อีเมลบนเซิร์ฟเวอร์ทั้งหมดอีกด้วย ทั้งนี้ทาง ไมโครซอฟต์ได้ออกแพตช์มาแก้ไขแล้ว แต่นักวิจัยของแคสเปอร์สกี้ก็ยังพบว่ามีอัตราการขยายตัวของการโจมตีที่จ้องใช้ช่องโหว่ประเภทนี้เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยเป้าหมายที่ถูกโจมตีมากที่สุด ได้แก่ องค์กรในยุโรปและอเมริกา
ตั้งแต่เดือนมีนาคม 2021 เป็นต้นมา แคสเปอร์สกี้ตรวจพบการโจมตียูสเซอร์มากกว่า 1,200 ราย และมีแนวโน้มสูงขึ้น โดยเยอรมนีมีจำนวนสูงที่สุดที่ 26.93% ส่วนประเทศอื่นที่อยู่อันดับต้นๆ ได้แก่ อิตาลี ออสเตรีย และสวิตเซอร์แลนด์ และสหรัฐอเมริกา
ประเทศ | สัดส่วนของยูสเซอร์ที่พบการโจมตี |
เยอรมัน | 26.93% |
อิตาลี | 9.00% |
ออสเตรีย | 5.72% |
สวิตเซอร์แลนด์ | 4.81% |
สหรัฐอเมริกา | 4.73% |
นายแอนทอน อิวานอฟ รองประธานฝ่ายวิจัยภัยคุกคาม แคสเปอร์สกี้ กล่าวว่า “นักวิจัยของเราคาดไว้ตั้งแต่แรกว่า ความพยายามใช้ช่องโหว่หาประโยชน์นี้จะเพิ่มขึ้นอย่างรวดเร็ว ในตอนนี้เราได้ตรวจพบการโจมตีเช่นเดียวกันนี้ในประเทศต่างๆ มากกว่าร้อยประเทศทั่วทุกมุมโลก จากรูปแบบของช่องโหว่นี้ทำให้หลายองค์กรตกอยู่ในความเสี่ยง ถึงแม้ว่าการโจมตีเริ่มต้นแบบมีเป้าหมาย แต่ผู้ก่อภัยคุกคามก็ได้ลองสุ่มโจมตีองค์กรที่ใช้งานเซิร์ฟเวอร์ที่มีช่องโหว่นี้ด้วย การโจมตีเหล่านี้เกี่ยวโยงกับระดับความเสี่ยงต่อการโจรกรรมข้อมูลจนถึงแรนซัมแวร์ ดังนั้น องค์กรธุรกิจจึงจำเป็นที่จะต้องมีมาตรการในการป้องกันตัวเองให้เร็วที่สุดเท่าที่จะเป็นได้”
โปรดักส์ของแคสเปอร์สกี้ตรวจจับภัยคุกคามและให้การป้องกันให้พ้นจากภัยที่มาจากช่องโหว่ที่พบเมื่อเร็วๆ นี้ของ Microsoft Exchange Server ได้ด้วยเทคโนโลยีต่างๆ ได้แก่ คอมโพเน้นต์ Behavior Detection และ Exploit Prevention และได้ตรวจจับ exploitation รวมทั้งส่วนอื่นๆ ที่เข้ามาละเมิดช่องโหว่นี้ ได้แก่
- Exploit.Win32.CVE-2021-26857.gen
- HEUR:Exploit.Win32.CVE-2021-26857.a
- HEUR:Trojan.ASP.Webshell.gen
- HEUR:Backdoor.ASP.WebShell.gen
- UDS:DangerousObject.Multi.Generic
- PDM:Exploit.Win32.Generic
ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีช่องโหว่ที่พบบน Microsoft Exchange Server ได้ที่
https://securelist.com/zero-day-vulnerabilities-in-microsoft-exchange-server/101096/
แคสเปอร์สกี้ขอแนะนำมาตรการเพื่อป้องกันภัยที่มาจากช่องโหว่ดังกล่าวข้างต้น ดังนี้
- อัปเดต Exchange Server โดยเร็ว
- ปรับกลยุทธ์การป้องกันโดยเน้นที่การตรวจจับความเคลื่อนไหวคู่ขนาน และการกรองข้อมูลสู่อินเทอร์เน็ต เน้นทราฟฟิกขาออกเพื่อตรวจจับการเชื่อมต่อของอาชญากรไซเบอร์ หมั่นแบ็คอัพสำรองข้อมูลเป็นประจำ เพื่อให้สามารถเรียกใช้ได้กรณีฉุกเฉิน
- ใช้โซลูชั่น อาทิ Kaspersky Endpoint Detection and Response และบริการ Kaspersky Managed Detection and Response ซึ่งจะช่วยระบุและสกัดกั้นการโจมตีได้เร็ว ก่อนที่ผู้ร้ายจะบรรลุเป้าหมาย
- ใช้โซลูชั่นปกป้องเอ็นด์พอยต์ที่เชื่อถือได้ เช่น Kaspersky Endpoint Security for Business (KESB) ที่มีฟีเจอร์สนับสนุนเพื่อการป้องกัน exploit (exploit prevention) การตรวจสอบพฤติกรรม (behavior detection) และเอ็นจิ้นที่สามารถย้อนกลับแอ็คชั่นมุ่งร้ายต่างๆ ได้ โซลูชั่น KESB มีกลไกป้องกันตัวเอง ทำให้อาชญากรไซเบอร์ไม่สามารถถอนการติดตั้งออกไปได้