การโจมตี Exchange Server เพิ่มขึ้นถึงสิบเท่าในสัปดาห์เดียว

สหรัฐฯ โดนโจมตีหนักหน่วงสุดจากแฮ็กเกอร์ที่ฉวยโอกาสจากช่องโหว่ Zero-day ถึงสี่จุด

แฮ็กเกอร์ฉวยโอกาสจากกระบวนการปรับปรุงอัปเดตแก้ไขอันล่าช้าของ Microsoft Exchange Servers เพิ่มการโจมตี 10 ขึ้นถึงสิบเท่าในช่วงระหว่างวันพฤหัสบดีที่ผ่านมานี้จนถึงปัจจุุบัน

ข้อมูลนี้มาจาก Check Point Research ซึ่งอ้างว่าจำนวนของความพยายามโจมตีโดยฉวยโอกาสจากช่องโหว่เหล่านี้เพิ่มขึ้นจาก 700 ครั้งในวันที่ 11 มีนาคมเป็นมากกว่า 7,200 ครั้งในวันที่ 15 มีนาคม โดยประเทศที่ถูกโจมตีมากที่สุดคือสหรัฐอเมริกา (17% ของความพยายามโจมตีทั้งหมด) ตามมาด้วย เยอรมนี (6%) สหราชอาณาจักร (5%) เนเธอร์แลนด์ (5%) และรัสเซีย (4%)

นักวิจัยเผยว่า ภาคอุตสาหกรรมที่ตกเป็นเป้าหมายมากที่สุด ได้แก่ รัฐบาลและกองทัพ (23% ของความพยายามในการโจมตีทั้งหมด) รองลงมาคือภาคการผลิต (15%) บริการธนาคารและการเงิน (14%) ผู้จำหน่ายซอฟต์แวร์ (7%) และการดูแลสุขภาพ (6%)

การโจมตีเกิดขึ้นอย่างต่อเนื่องนับตั้งแต่มีการเปิดเผยช่องโหว่บน Microsoft Exchange Server ออกมา Orange Tsai หรือ Cheng-Da Tsai จาก DEVCORE ซึ่งเป็นบริษัทรักษาความปลอดภัยที่ตั้งอยู่ในไต้หวัน ได้รายงานช่องโหว่ 2 จุดในเดือนมกราคม โดย Microsoft ได้ค้นพบช่องโหว่ที่สำคัญอีกห้าจุดระหว่างสืบสวนเพิ่มเติม

นักวิเคราะห์ของ Check Point Research ระบุว่าช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถอ่านอีเมลจาก Exchange Server ได้โดยไม่ต้องมีการตรวจสอบสิทธิยืนยันตัวตน หรือเข้าถึงบัญชีอีเมลของแต่ละบุคคล การผูก (Chain) ช่องโหว่เพิ่มเติมยิ่งทำให้ผู้โจมตีสามารถเข้ายึดเซิร์ฟเวอร์อีเมลได้อย่างสมบูรณ์ ซึ่งเมื่อแฮ็กเกอร์ควบคุม Exchange Server ได้แล้ว พวกเขาจะสามารถเปิดเข้าอินเทอร์เน็ตและเข้าถึงข้อมูลได้จากระยะไกล ซึ่งก่อให้เกิดความเสี่ยงด้านความปลอดภัยขั้นวิกฤตสำหรับองค์กรอีกนับล้าน

นักวิจัยแจ้งว่า“ ข่าวดี” เกี่ยวกับการโจมตีนี้ก็คือ มีเพียง“ ผู้คุกคามที่มีทักษะสูงและมีการสนับสนุนทางการเงินเป็นอย่างดีเท่านั้นที่จะสามารถเข้าทาง ‘หน้าบ้าน’ เพื่อเข้าสู่องค์กรหลายหมื่นแห่งทั่วโลกได้”

“แม้การเจาะระบบ Exchange Server แบบ Zero-Day นั้นจะค่อนข้างน่าประทับใจ แต่ก็ยังไม่ทราบจุดประสงค์ของการโจมตีหรือสิ่งที่อาชญากรไซเบอร์ต้องการภายในเครือข่ายนั้น ๆ อยู่ดี” พวกเขากล่าวเสริม

"เซิร์ฟเวอร์ที่ถูกบุกรุก อาจทำให้ผู้โจมตีที่ไม่ได้รับอนุญาตสามารถดึงข้อมูลอีเมลองค์กรของคุณและฝังโค้ดอันตรายเข้ามาภายในองค์กรของคุณได้ด้วยสิทธิพิเศษระดับสูงเลยทีเดียว" โลเท็ม ฟิงเกลสไตน์ ผู้จัดการหน่วยข่าวกรองภัยคุกคามของ Check Point ให้ความเห็น

"องค์กรที่มีความเสี่ยงไม่ควรดำเนินการด้วยมาตรการป้องกันใน Exchange [Server] ของตนเพียงอย่างเดียวเท่านั้น แต่ยังต้องสแกนเครือข่ายของตนเพื่อหาภัยคุกคามและตรวจประเมินสิ่งที่ตนมีในครอบครองทั้งหมด”

นักวิจัยยังแนะนำให้องค์กรต่าง ๆ อัปเดต Microsoft Exchange Server ทั้งหมดเป็นเวอร์ชันแพทช์ล่าสุดที่ Microsoft มีให้โดยทันที พวกเขาเตือนว่าการอัปเดตไม่ใช่แบบอัตโนมัติ และผู้ใช้ต้องดำเนินการด้วยตนเอง ตามที่นักวิจัยระบุว่า หากองค์กรไม่ได้อัปเดตเซิร์ฟเวอร์ ให้ถือว่าเซิร์ฟเวอร์ตนถูกบุกรุกโดยสิ้นเชิงแล้ว

ที่มา: https://bit.ly/3zVPAre