เมื่อต้นเดือนมีนาคม 2021 บริษัทหลายแห่งออกรายงานเรื่องการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ (zero-day) ที่พบใน Microsoft Exchange Server ที่นำไปสู่ทำ code execution และการเข้าถึงรายการแอ็คเคาท์อีเมลบนเซิร์ฟเวอร์ทั้งหมดอีกด้วย ทั้งนี้ทาง ไมโครซอฟต์ได้ออกแพตช์มาแก้ไขแล้ว แต่นักวิจัยของแคสเปอร์สกี้ก็ยังพบว่ามีอัตราการขยายตัวของการโจมตีที่จ้องใช้ช่องโหว่ประเภทนี้เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยเป้าหมายที่ถูกโจมตีมากที่สุด ได้แก่ องค์กรในยุโรปและอเมริกา
ตั้งแต่เดือนมีนาคม 2021 เป็นต้นมา แคสเปอร์สกี้ตรวจพบการโจมตียูสเซอร์มากกว่า 1,200 ราย และมีแนวโน้มสูงขึ้น โดยเยอรมนีมีจำนวนสูงที่สุดที่ 26.93% ส่วนประเทศอื่นที่อยู่อันดับต้นๆ ได้แก่ อิตาลี ออสเตรีย และสวิตเซอร์แลนด์ และสหรัฐอเมริกา
ประเทศ | สัดส่วนของยูสเซอร์ที่พบการโจมตี |
เยอรมัน | 26.93% |
อิตาลี | 9.00% |
ออสเตรีย | 5.72% |
สวิตเซอร์แลนด์ | 4.81% |
สหรัฐอเมริกา | 4.73% |
นายแอนทอน อิวานอฟ รองประธานฝ่ายวิจัยภัยคุกคาม แคสเปอร์สกี้ กล่าวว่า “นักวิจัยของเราคาดไว้ตั้งแต่แรกว่า ความพยายามใช้ช่องโหว่หาประโยชน์นี้จะเพิ่มขึ้นอย่างรวดเร็ว ในตอนนี้เราได้ตรวจพบการโจมตีเช่นเดียวกันนี้ในประเทศต่างๆ มากกว่าร้อยประเทศทั่วทุกมุมโลก จากรูปแบบของช่องโหว่นี้ทำให้หลายองค์กรตกอยู่ในความเสี่ยง ถึงแม้ว่าการโจมตีเริ่มต้นแบบมีเป้าหมาย แต่ผู้ก่อภัยคุกคามก็ได้ลองสุ่มโจมตีองค์กรที่ใช้งานเซิร์ฟเวอร์ที่มีช่องโหว่นี้ด้วย การโจมตีเหล่านี้เกี่ยวโยงกับระดับความเสี่ยงต่อการโจรกรรมข้อมูลจนถึงแรนซัมแวร์ ดังนั้น องค์กรธุรกิจจึงจำเป็นที่จะต้องมีมาตรการในการป้องกันตัวเองให้เร็วที่สุดเท่าที่จะเป็นได้”
โปรดักส์ของแคสเปอร์สกี้ตรวจจับภัยคุกคามและให้การป้องกันให้พ้นจากภัยที่มาจากช่องโหว่ที่พบเมื่อเร็วๆ นี้ของ Microsoft Exchange Server ได้ด้วยเทคโนโลยีต่างๆ ได้แก่ คอมโพเน้นต์ Behavior Detection และ Exploit Prevention และได้ตรวจจับ exploitation รวมทั้งส่วนอื่นๆ ที่เข้ามาละเมิดช่องโหว่นี้ ได้แก่
- Exploit.Win32.CVE-2021-26857.gen
- HEUR:Exploit.Win32.CVE-2021-26857.a
- HEUR:Trojan.ASP.Webshell.gen
- HEUR:Backdoor.ASP.WebShell.gen
- UDS:DangerousObject.Multi.Generic
- PDM:Exploit.Win32.Generic
ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีช่องโหว่ที่พบบน Microsoft Exchange Server ได้ที่
https://securelist.com/zero-day-vulnerabilities-in-microsoft-exchange-server/101096/