ช่องโหว่ Zero-day ใหม่ในเซิร์ฟเวอร์อีเมลภายในองค์กรของ Microsoft ทำให้เกิดการฝึกซ้อมครั้งใหญ่ทั่วทั้งรัฐบาลหน่วยงานด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานให้เวลาเจ้าหน้าที่ฝ่ายสารสนเทศของหน่วยงานจนถึงวันศุกร์เวลา 12.00 น. เพื่อพิจารณาว่าพวกเขาใช้เซิร์ฟเวอร์ Microsoft Exchange ในองค์กรหรือไม่ หากพวกเขาต้องการความช่วยเหลือทางเทคนิคจาก CISA และตอบคำถาม 19 ข้อเกี่ยวกับวิธีการจัดการกับช่องโหว่
CISA ออกคำสั่งฉุกเฉินเมื่อวันพุธที่กำหนดให้หน่วยงานอัปเดต
หรือยกเลิกการเชื่อมต่อผลิตภัณฑ์ Microsoft Exchange จากเครือข่ายของตนจนกว่าจะได้รับการอัปเดตด้วยแพตช์ที่เผยแพร่ในวันอังคาร ไมโครซอฟท์ประกาศเมื่อวันที่ 2 มีนาคมว่าตรวจพบช่องโหว่ซีโร่เดย์หลายครั้งที่ใช้โจมตี Exchange Servers เวอร์ชันในสถานที่ในการโจมตีแบบจำกัดและกำหนดเป้าหมาย
“ในการโจมตีที่สังเกตได้ ผู้ก่อภัยคุกคามใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงเซิร์ฟเวอร์ Exchange ภายในองค์กร ซึ่งเปิดใช้งานการเข้าถึงบัญชีอีเมล และอนุญาตให้ติดตั้งมัลแวร์เพิ่มเติมเพื่ออำนวยความสะดวกในการเข้าถึงสภาพแวดล้อมของเหยื่อในระยะยาว Microsoft Threat Intelligence Center (MSTIC) ระบุว่าแคมเปญนี้มีความมั่นใจสูงต่อ HAFNIUM ซึ่งเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐและปฏิบัติการนอกประเทศจีน โดยพิจารณาจากการตกเป็นเหยื่อ กลวิธี และกระบวนการที่สังเกตได้” Microsoft เขียนในบล็อกโพสต์
ข้อมูลเชิงลึกโดย Hypori: ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ ผู้ดำเนินรายการ Jared Serbu จะหารือเกี่ยวกับกลยุทธ์การปรับให้ทันสมัยทางดิจิทัลกับ DoD และผู้เชี่ยวชาญในอุตสาหกรรม
CISA กล่าวว่าการแสวงหาประโยชน์เหล่านี้ก่อให้เกิด “ความเสี่ยงที่ยอมรับไม่ได้”
ต่อหน่วยงานต่าง ๆ โดยพิจารณาจากการใช้ประโยชน์จากช่องโหว่เหล่านี้ในปัจจุบัน ความน่าจะเป็นของการใช้ประโยชน์จากช่องโหว่อย่างกว้างขวางหลังจากการเปิดเผยต่อสาธารณะ และความเสี่ยงที่บริการของรัฐบาลกลางต่อสาธารณะชนชาวอเมริกันอาจลดลง หน่วยงานกล่าวว่าผู้โจมตีสามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึง Exchange Servers ในสถานที่และรับการเข้าถึงระบบถาวรและการควบคุมเครือข่ายขององค์กร
“ช่องโหว่นี้สามารถใช้ประโยชน์ได้จากระยะไกลและไม่ต้องการการรับรองความถูกต้องใดๆ และไม่ต้องการความรู้พิเศษใดๆ หรือการเข้าถึงสภาพแวดล้อมเป้าหมาย ผู้โจมตีต้องการเพียงทราบเซิร์ฟเวอร์ที่ใช้ Exchange และบัญชีที่ต้องการดึงข้อมูลอีเมลออกมา” Volexity ผู้ค้นพบช่องโหว่เขียนไว้ในบล็อกโพสต์ “ช่องโหว่นี้ได้รับการยืนยันว่ามีอยู่ใน Exchange 2016 เวอร์ชันล่าสุดบนเซิร์ฟเวอร์ Windows Server 2016 ที่ได้รับการแพตช์อย่างสมบูรณ์ นอกจากนี้ Volexity ยังยืนยันว่าช่องโหว่ดังกล่าวมีอยู่ใน Exchange 2019 แต่ยังไม่ได้ทดสอบกับเวอร์ชันที่แพตช์เต็ม แม้ว่าเชื่อว่าช่องโหว่ดังกล่าวมีช่องโหว่ก็ตาม”
ขั้นตอนแรกที่สำคัญรักษาการผู้อำนวยการ CISA แบรนดอน เวลส์ กล่าวว่า คำสั่งนี้จะช่วยรักษาความปลอดภัยเครือข่ายของรัฐบาลกลาง และช่วยให้รัฐบาลเข้าใจว่าแฮ็กเกอร์กำลังทำอะไร
“ความรวดเร็วที่ CISA ออกคำสั่งฉุกเฉินนี้สะท้อนให้เห็นถึงความร้ายแรงของช่องโหว่นี้และความสำคัญของทุกองค์กร – ในภาครัฐและภาคเอกชน – ในการดำเนินการแก้ไข” เวลส์กล่าวในแถลงการณ์