ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳສຳຫລັບຊຽ່ວຊານ

ແຈ້ງເຕືອນ ​ຊ່ອງ​ໂຫວ່ Zero-day ເທິງ Microsoft Exchange ເຂົ້າໃຊ້​ສິດ Domain Admin ໄດ້ ຍັງ​ບໍ່​ມີ Patch 

            Dirk-jan Mollema ນັກ​ວິ​ໄຈ​ດ້ານ Security ຈາກ Fox-IT ໄດ້​ອອກ​ມາເປີດເຜີຍ​ໂຄ້​ດ​ (Code) ສຳລັບ​ເຮັດການທົດສອບການໃຊ້ໂປຣແກຣມ ຫຼື ລະບົບຄອມພິວເຕີ ເພື່ອກວດສອບວ່າລະບົບ ຫຼື ໂປຣແກຣມ ສາມາດເຮັດວຽກໄດ້ຢ່າງຖືກຕ້ອງ ແລະ ຖືກກັບຄວາມຕ້ອງການຂອງເຮົາ  (Proof-of-Concept) ແລະ​ ຕົວ​ຢ່າງ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ Zero-day ເທິງ Microsoft Exchange ທີ່​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ເຂົ້າ​ເຖິງ​ສິດທິ​ລະ​ດັບ Domain Admin ໄດ້.

News Images: zero_day.jpg

ຮູບພາບປະກອບຈາກ: ShutterStock.com

ຜົນກະທົບ

          ບັນຫາ​ນີ້​ເກີດ​ຂຶ້ນ​ຈາກ​ການ Exchange Permissions Group ນັ້ນ ​ມີ​ສິດ WriteDacl ສຳລັບ Domain Object ໃນ Active Directory ເຮັດໃຫ້​ສະມາຊິກ​ໃນ Group ສາມາດ​ແກ້​ໄຂ​ສິດທິ​ໃນ Domain ໄດ້ ຊຶ່ງ​ກໍ່​ລວມ​ເຖິງ​ຍັງ​ສາມາດ​ເຮັດ DCSync ໄດ້​ເຊັ່ນກັນ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ຊຶ່ງ​ມີ User ແລະ Mailbox ໃນ​ລະບົບ​ສາມາດ​ທຳການ Synchronize ລະ​ຫັດ​ຜ່ານ​ບ່ອນ​ເຮັດວຽກ Hash ມາ​ແລ້ວ ແລະ ​ນຳ​ລະ​ຫັດ​ຜ່ານ​ເຫຼົ່າ​ນັ້ນ​ໄປ​ໃຊ້​ປອມ​ຕົວ​ດ້ວຍ​ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຜ່ານ​ທາງ NTLM ຫຼື Kerberos ພາຍ​ໃນ Domain ສ່ວນ​ການ​ໂຈມ​ຕີ Exchange ກໍ່​ສາມາດ​ໃຊ້​ການເຮັດ Reflection Attack ໄປ​ຍັງ Exchange PushSubscription API ໄດ້.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

          ສຳລັບ​ວິທີ​ການ​ປ້ອງ​ກັນ​ປະ​ເດັນ​ບັນຫາ​ເຫຼົ່າ​ນີ້​ກໍ່​ມີ Workaround ທີ່​ຫຼາກ​ຫຼາຍ ທັງ​ການຫຼຸດ​ສິດທິ​ຂອງ Exchange ໃນ​ການ​ຈັດການ​ກັບ Domain Object, ການ​ເປີດ LDAP Signing ແລະ Channel Binding, ການ​ປິດ​ບໍ່​ໃຫ້ Exchange Server ເຊື່ອມ​ຕໍ່​ຜ່ານ​ທາງ Port ທີ່​ບໍ່​ຈຳ​ເປັນ, ເປີດ​ໃຊ້ Extended Protection for Authentication ສຳລັບ Exchange, ປິດ Registry ທີ່​ໃຊ້​ອະນຸຍາດ​ໃນ​ການເຮັດ Relay, ບັງຄັບ​ໃຊ້ SMB Signing ເປັນ​ຕົ້ນ.

          The Register ໄດ້​ສອບ​ຖາມ​ເຖິງ​ປະ​ເດັນ​ນີ້​ກັບ Microsoft ຊຶ່ງ​ທາງ Microsoft ກໍ​່ໄດ້​ຕອບ​ຮັບ​ເຖິງ​ການ​ໃຫ້​ຄວາມ​ສຳຄັນ​ດ້ານ Security ໃນ​ຜະລິດຕະພັນ​ຂອງ​ຕົນເອງ ແຕ່​ຍັງ​ບໍ່​ໄດ້​ລະ​ບຸ​ຊີ້​ແຈ້ງ​ວ່າ​ຈະ​ອອກແພັດແກ້ໄຂ (Patch) ຕອນ​ໃດ.

ເອກະສານອ້າງອີງ:

  1. https://www.theregister.co.uk/2019/01/25/microsoft_exchange_hashed_passwords/
  2. https://www.techtalkthai.com/zero-day-vulnerability-was-found-on-microsoft-exchange/