เมื่อวันที่ 3 มีนาคม 2564 บริษัท Microsoft ได้ออกแพตช์แก้ไขช่องโหว่ประเภท 0-day ในผลิตภัณฑ์ Exchange Server เป็นกรณีพิเศษนอกเหนือจากแพตช์ประจำเดือน เนื่องจากมีรายงานว่ามีการนำช่องโหว่ไปใช้โจมตีจริงโดยกลุ่มผู้ไม่หวังดีชื่อว่า HAFNIUM ได้ใช้ช่องโหว่่โจมตีหน่วยงานในประเทศสหรัฐฯ ทั้งนี้ ช่องโหว่ดังกล่าวส่งผลกระทบกับผลิตภัณฑ์เวอร์ชัน 2013, 2016 และ 2019 ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน
ช่องโหว่ที่ได้รับการแก้ไขมีทั้งหมด 4 จุด มีรายละเอียดดังนี้
1. CVE-2021-26855 เป็นช่องโหว่ประเภท Server-side request forgery (SSFR) ส่งผลให้ผู้ไม่หวังดีสามารถสร้าง request เพื่อยืนยันตัวตนในฐานะ Exchange Server และเข้าถึงข้อมูลต่าง ๆ เช่น อีเมลของผู้ใช้งาน
2. CVE-2021-26857 เป็นช่องโหว่ประเภท Insecure deserialization ใน Unified messaging service ทำให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายด้วยระดับสิทธิ SYSTEM บนเครื่อง Exchange Server ภายใต้เงื่อนไขว่าผู้ไม่หวังดีต้องได้สิทธิผู้ดูแลระบบก่อน
3. CVE-2021-26858 และ CVE-2021-27065 เป็นช่องโหว่ที่ทำให้ผู้ไม่หวังดีที่ได้ยืนยันตัวตนในฐานะ Exchange Server แล้วโดยอาจได้จากการใช้ช่องโหว่ CVE-2021-26855 สามารถเขียนไฟล์บน path ใด ๆ ของเซิร์ฟเวอร์ได้
เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรพิจารณาและรีบอัปเดตแพตช์ KB5000871 เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน หากยังไม่สามารถอัปเดตเดตแพตช์ได้ ควรพิจารณาตั้งค่าอนุญาตให้เชื่อมต่อ Exchange Server เฉพาะจากแหล่งที่น่าเชื่อถือ หรือจำกัดให้เชื่อมต่อผ่าน VPN เท่านั้น นอกจากนี้ ผู้ดูแลระบบสามารถตรวจสอบจากข้อมูล Indicator of Compromise (IoC) เพื่อระบุว่าตกเป็นเหยื่อการโจมตีแล้วหรือไม่จากลิงก์ https://www.microsoft.com/…/hafnium-targeting-exchange…/
