แคสเปอร์สกี้เตือนองค์กรอัปเดตแพตช์ Microsoft Exchange Server พบการโจมตีช่องโหว่เพิ่มสูงสุดในยุโรปและสหรัฐอเมริกา

เมื่อต้นเดือนมีนาคม 2021 บริษัทหลายแห่งออกรายงานเรื่องการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ (zero-day) ที่พบใน Microsoft Exchange Server ที่นำไปสู่ทำ code execution และการเข้าถึงรายการแอ็คเคาท์อีเมลบนเซิร์ฟเวอร์ทั้งหมดอีกด้วย ทั้งนี้ทาง ไมโครซอฟต์ได้ออกแพตช์มาแก้ไขแล้ว แต่นักวิจัยของแคสเปอร์สกี้ก็ยังพบว่ามีอัตราการขยายตัวของการโจมตีที่จ้องใช้ช่องโหว่ประเภทนี้เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยเป้าหมายที่ถูกโจมตีมากที่สุด ได้แก่ องค์กรในยุโรปและอเมริกา

ตั้งแต่เดือนมีนาคม 2021 เป็นต้นมา แคสเปอร์สกี้ตรวจพบการโจมตียูสเซอร์มากกว่า 1,200 ราย และมีแนวโน้มสูงขึ้น โดยเยอรมนีมีจำนวนสูงที่สุดที่ 26.93% ส่วนประเทศอื่นที่อยู่อันดับต้นๆ ได้แก่ อิตาลี ออสเตรีย และสวิตเซอร์แลนด์ และสหรัฐอเมริกา

ประเทศ สัดส่วนของยูสเซอร์ที่พบการโจมตี
เยอรมัน 26.93%
อิตาลี 9.00%
ออสเตรีย 5.72%
สวิตเซอร์แลนด์ 4.81%
สหรัฐอเมริกา 4.73%

 

นายแอนทอน อิวานอฟ รองประธานฝ่ายวิจัยภัยคุกคาม แคสเปอร์สกี้ กล่าวว่า “นักวิจัยของเราคาดไว้ตั้งแต่แรกว่า ความพยายามใช้ช่องโหว่หาประโยชน์นี้จะเพิ่มขึ้นอย่างรวดเร็ว ในตอนนี้เราได้ตรวจพบการโจมตีเช่นเดียวกันนี้ในประเทศต่างๆ มากกว่าร้อยประเทศทั่วทุกมุมโลก จากรูปแบบของช่องโหว่นี้ทำให้หลายองค์กรตกอยู่ในความเสี่ยง ถึงแม้ว่าการโจมตีเริ่มต้นแบบมีเป้าหมาย แต่ผู้ก่อภัยคุกคามก็ได้ลองสุ่มโจมตีองค์กรที่ใช้งานเซิร์ฟเวอร์ที่มีช่องโหว่นี้ด้วย การโจมตีเหล่านี้เกี่ยวโยงกับระดับความเสี่ยงต่อการโจรกรรมข้อมูลจนถึงแรนซัมแวร์  ดังนั้น องค์กรธุรกิจจึงจำเป็นที่จะต้องมีมาตรการในการป้องกันตัวเองให้เร็วที่สุดเท่าที่จะเป็นได้

โปรดักส์ของแคสเปอร์สกี้ตรวจจับภัยคุกคามและให้การป้องกันให้พ้นจากภัยที่มาจากช่องโหว่ที่พบเมื่อเร็วๆ นี้ของ Microsoft Exchange Server ได้ด้วยเทคโนโลยีต่างๆ ได้แก่ คอมโพเน้นต์ Behavior Detection และ Exploit Prevention และได้ตรวจจับ exploitation รวมทั้งส่วนอื่นๆ ที่เข้ามาละเมิดช่องโหว่นี้ ได้แก่

  • Exploit.Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a
  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic
  • PDM:Exploit.Win32.Generic

ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีช่องโหว่ที่พบบน Microsoft Exchange Server ได้ที่

https://securelist.com/zero-day-vulnerabilities-in-microsoft-exchange-server/101096/

แคสเปอร์สกี้ขอแนะนำมาตรการเพื่อป้องกันภัยที่มาจากช่องโหว่ดังกล่าวข้างต้น ดังนี้

  • อัปเดต Exchange Server โดยเร็ว
  • ปรับกลยุทธ์การป้องกันโดยเน้นที่การตรวจจับความเคลื่อนไหวคู่ขนาน และการกรองข้อมูลสู่อินเทอร์เน็ต เน้นทราฟฟิกขาออกเพื่อตรวจจับการเชื่อมต่อของอาชญากรไซเบอร์ หมั่นแบ็คอัพสำรองข้อมูลเป็นประจำ เพื่อให้สามารถเรียกใช้ได้กรณีฉุกเฉิน
  • ใช้โซลูชั่น อาทิ Kaspersky Endpoint Detection and Response และบริการ Kaspersky Managed Detection and Response ซึ่งจะช่วยระบุและสกัดกั้นการโจมตีได้เร็ว ก่อนที่ผู้ร้ายจะบรรลุเป้าหมาย
  • ใช้โซลูชั่นปกป้องเอ็นด์พอยต์ที่เชื่อถือได้ เช่น Kaspersky Endpoint Security for Business (KESB) ที่มีฟีเจอร์สนับสนุนเพื่อการป้องกัน exploit (exploit prevention) การตรวจสอบพฤติกรรม (behavior detection) และเอ็นจิ้นที่สามารถย้อนกลับแอ็คชั่นมุ่งร้ายต่างๆ ได้ โซลูชั่น KESB มีกลไกป้องกันตัวเอง ทำให้อาชญากรไซเบอร์ไม่สามารถถอนการติดตั้งออกไปได้