Microsoft Exchange เป็นบริการ Mail Server ของ Microsoft ซึ่งผู้ใช้บริการสามารถสร้างระบบ Email ขององค์กรหรือบริษัทได้ และยังมีความสามารถในการจัดการระบบ Email อย่างครอบคลุมทั้งการรับ–ส่ง, การตรวจสอบระบบ, การเก็บข้อมูล, การแยกประเภทและการจัดหมวดหมู่

Service ดังกล่าวสามารถใช้งานร่วมกับ Smartphone ได้ และที่พิเศษกว่าระบบ Mail Server ตัวอื่นคือสามารถเปิดเอกสาร Word, Excel ได้ โดยที่ผู้ใช้ไม่จำเป็นต้องติดตั้งโปรแกรม Microsoft Office

เมื่อต้นเดือนกุมภาพันธ์ 2021 ที่ผ่านมาได้มีการค้นพบช่องโหว่ที่มีระดับความรุนแรงสูงจำนวน 4 ช่องโหว่ดังนี้

  1. CVE-2021-26855 Server-Side Request Forgery (SSRF) ระดับความรุนแรง 9.1
  2. CVE-2021-26857 Insecure Deserialization ระดับความรุนแรง 7.8
  3. CVE-2021-26858 Arbitrary File Write ระดับความรุนแรง 7.8
  4. CVE-2021-27065 Arbitrary File Write ระดับความรุนแรง 7.8

เราไปทำความรู้จักช่องโหว่แต่ละตัวกัน

1.CVE-2021-26855

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้โดยการส่ง HTTP รีเควส ที่ผ่านการปรับแต่งไปยัง Exchange Server โดยมีเงื่อนไขที่ Exchange Server ดังกล่าวต้องเปิดการยอมรับการเชื่อมต่อที่ไม่ปลอดภัยใน Port 443 เมื่อโจมตีสำเร็จจะส่งผลให้ผู้โจมตีสามารถ “ขโมยเนื้อหาทั้งหมดของกล่องจดหมายของผู้ใช้หลายรายได้” โดยเงื่อนไขเพิ่มเติมคือผู้โจมตีจะต้องทราบ IP Address หรือ Fully Qualified Domain Name (FQDN) ของ Exchange Server เป้าหมาย

2.CVE-2021-26857

ช่องโหว่ดังกล่าวพบใน Exchange Unified Messaging Service ของ Microsoft Exchange ที่ต้องมีการเปิดใช้งาน Function Voice Mail ในการใช้ประโยชน์จากช่องโหว่ ผู้โจมตีจะต้องทำการยืนยันตัวตนกับ Exchange Server ด้วยสิทธิ์ของ Administrator โดยหากสามารถโจมตีสำเร็จจะส่งผลให้ผู้โจมตีสามารถใช้งานคำสั่งต่อ Exchange Server ในระดับสิทธิ์ System ได้

3.CVE-2021-26858 และ CVE-2021-27065

ช่องโหว่ทั้งสองเกิดจากข้อผิดพลาดของ post-authentication, ซึ่งการที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่นี้ได้ จะต้องวทำการ Authentication กับ Exchange Server ก่อนเป็นอันดับแรก เมื่อผู้โจมตีสามารถทำตามเงื่อนไขได้ครบจะสามารถติดตั้ง “Web Shell” บนระบบเป้าหมายเพื่อขโมย Credentials และ Mailbox Data ได้

จากช่องโหว่ที่กล่าวมาข้างต้นทั้งสี่ช่องโหว่จะเห็นว่าหากผู้โจมตีสามารถโจมตีช่องโหว่ CVE-201-26855 ได้สำเร็จจะสามารถใช้ข้อมูลที่ได้จากการโจมตีมาใช้โจมตีช่องโหว่ CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 ที่จำเป็นต้องใช้ Administrator Privilege เพื่อ Authentication ก่อนได้

ระบบที่ได้รับผลกระทบ

1.Microsoft Exchange Server 2013

2.Microsoft Exchange Server 2016

3.Microsoft Exchange Server 2019

ทั้งนี้สามารถตรวจสอบว่า Microsoft Exchange Server ที่ใช้งานอยู่นั้นมีช่องโหว่ดังกล่าวหรือไม่จากการใช้โปรแกรมในการ Scan ช่องโหว่ได้เช่นจาก Tenable Nessus หรือ Nmap

โดยใน Nmap ผู้ตรวจจะต้องทำการ Download Nmap Script จาก“https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse”

ติดตั้งไฟล์ใน “%PATH%NmapScript” แล้วใช้คำสั่งดังนี้

command#nmap–script “http-vuln-exchange.nse”

การแก้ไขสามารถ update patch ได้ดังนี้

  1. สำหรับช่องโหว่ CVE2021-26855 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
  1. สำหรับช่องโหว่ CVE-2021-26857 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
  1. สำหรับช่องโหว่ CVE-2021-26858 : https://msrc.microsoft.com/updateguide/vulnerability/CVE-2021-26858
  1. สำหรับช่องโหว่ CVE-202127065 : https://msrc.microsoft.com/updateguide/vulnerability/CVE-2021-27065

เอกสารอ้างอิง

[1] https://www.tenable.com/blog/cve-2021-26855-cve-2021-26857-cve-2021-26858-cve-2021-27065-four-microsoft-exchange-server-zero-day-vulnerabilities

[2] https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse