ระวัง! แฮกเกอร์ใช้ NTLM Relay โจมตีผ่านช่องโหว่ Exchange และ SharePoint Server
- ในส่วนของ Exchange Server เริ่มแรกแฮกเกอร์จะทำการโจมตีแบบ NTLM Relay บน Exchange Server โดยใช้ช่องโหว่ของโปรโตคอล NTLM ในการส่งข้อมูล Credential ที่ถูกขโมยมาไปยังเซิร์ฟเวอร์ที่มีช่องโหว่ ทำให้สามารถเข้ายึดบัญชีผู้ใช้และดำเนินการโจมตีเพิ่มเติม
- ในกรณีของ SharePoint Server แฮกเกอร์จะแก้ไขไฟล์ที่ถูกต้อง เช่น เพิ่มโค้ดเว็บเชลล์ลงในหน้าเว็บ หรือใช้เครื่องมือ RMM เพื่อควบคุมระบบจากระยะไกล
ผลกระทบจากการโจมตี
การโจมตีด้วยเทคนิค NTLM Relay และการ Stealthy Persistence ส่งผลให้แฮกเกอร์สามารถเข้าถึงบัญชีผู้ใช้ที่มีสิทธิ์สูงในระบบ Exchange และ SharePoint Server ได้ ที่นำไปสู่การถูกควบคุมระบบ การขโมยข้อมูลภายในองค์กร การ Lateral Movement และการ Remote Code Execution โดยเทคนิคเหล่านี้ทำให้แฮกเกอร์สามารถฝังตัวในระบบได้นานและยากต่อการตรวจจับด้วยระบบรักษาความปลอดภัย
สรุปการโจมตี
การโจมตีเริ่มจากแฮกเกอร์จะใช้เทคนิค NTLM Relay บน Exchange Server เพื่อส่งข้อมูล Credential ที่ขโมยมาไปยังเซิร์ฟเวอร์ที่มีช่องโหว่ โดยมุ่งเป้าไปยังบัญชีที่มีสิทธิ์สูง ทำให้สามารถเข้ายึดบัญชีผู้ใช้ และในส่วนของ SharePoint Server แฮกเกอร์จะปรับแต่งไฟล์ที่ถูกต้อง เช่น เพิ่มโค้ดเว็บเชลล์ หรือใช้เครื่องมือ RMM เพื่อเข้ายึดระบบจากระยะไกล ทำให้สามารถอยู่ในเครือข่ายได้โดยไม่ถูกตรวจจับ
คำแนะนำ
- อัปเดตระบบและซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันการโจมตีผ่านช่องโหว่
- ดำเนินการใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่รองรับ Antimalware Scan Interface (AMSI)
- เปิดใช้งาน Extended Protection for Authentication (EPA) เพื่อป้องกันการโจมตีผ่าน NTLM
- จำกัดสิทธิ์การเข้าถึงและใช้งานโดยใช้หลักการ Least Privilege
- จำกัดสิทธิ์การใช้ NTLM
- เปิดการใช้งาน Multi-factor Authentication เพื่อเพิ่มประสิทธิภาพในการป้องกัน
แหล่งอ้างอิง
https://cybersecuritynews.com/exchange-sharepoint-server-vulnerabilities/
