យោងទៅតាមក្រុមហ៊ុន Volexity បានឱ្យដឹងថា ក្រុមហេគឃ័រដែលមានការគាំទ្រដោយរដ្ឋកំពុងតែធ្វើការវាយលុក (exploit) ទៅលើចំនុចងាយរងគ្រោះ ដែលទើបតែធ្វើការជួសជុល (patch) នាពេលថ្មីៗនេះ នៅលើម៉ាស៊ីនមេ Microsoft Exchange។
Volexity មិនបានធ្វើការចែករំលែកនូវឈ្មោះរបស់ក្រុមហេគឃ័រទាំងនេះទេ ហើយ Volexity ក៏មិនធ្វើការអធិប្បាយអ្វីអំពីរឿងនេះអោយលម្អិតផងដែរ។ ប្រភពមួយចេញពី DOD បញ្ជាក់ថា ក្រុមហេគឃ័រទាំងនេះ គឺសុទ្ធតែជាក្រុមខ្លាំងៗ ប៉ុន្តែមិនបានបញ្ជាក់ថាជាក្រុមណា ឬមកពីប្រទេសណានោះទេ។
ចន្លោះប្រហោងនៅលើកម្មវិធី MICROSOFT EXCHANGE
ក្រុមហេគឃ័រ បានវាយលុកទៅលើ Microsoft Exchange ដែលក្រុមហ៊ុន Microsoft ធ្វើការ patch កាលពីខែមុននេះនៅក្នុង February 2020 Patch Tuesday ។ ចន្លោះប្រហោងនេះគឺមានលេខកូដ CVE-2020-0688 ។ ខាងក្រោមនេះគឺជាព័ត៌មានលម្អិតនៃចន្លោះប្រហោងនេះ៖
- ក្នុងពេលតម្លើង Microsoft Exchange servers មិនអាចធ្វើការបង្កើតនូវកូនសោរ cryptographic key សម្រាប់ Exchange control panel បាន
- នេះគឺមានន័យថា ម៉ាស៊ីនមេ Microsoft Exchange ទាំងអស់នៅក្នុងអំឡុងពេល ១០ឆ្នាំនេះប្រើប្រាស់នូវ cryptographic keys ដូចគ្នាបេះបិទ (validationKey និង decryptionKey) សម្រាប់ការគ្រប់គ្រងទៅលើ backend នៅលើ control panel នេះ
- អ្នកវាយប្រហារជាច្រើនអាចផ្ញើនូវសំណើជាច្រើនទៅកាន់ Exchange control panel ដែលមានផ្ទុកនូវទិន្នន័យមិនប្រក្រតី (malicious data)
- ដោយសារតែហេគឃ័របានដឹងពី encryption keys របស់ control panel នេះ ពួកគេអាចដំណើរការកូដមិនប្រក្រតី (malicious data) នៅលើ Exchange server បាន
- កូដមិនប្រក្រតីនេះដំណើរការជាមួយនឹង SYSTEM privileges ដែលផ្តល់សិទ្ធិពេញលេញអោយអ្នកវាយប្រហារជាច្រើនធ្វើការគ្រប់គ្រងទៅលើម៉ាស៊ីនមេនេះ
ក្រុមហ៊ុន Microsoft បានបញ្ចេញនូវ patch សម្រាប់ចន្លោះប្រហោងនេះនៅថ្ងៃទី ១១ ខែកុម្ភៈ កន្លងទៅនេះ នៅពេលដែលខ្លួនធ្វើការជូនដំណឹងទៅកាន់ sysadmins អោយធ្វើការតម្លើងនូវការជួសជុលអោយលឿនតាមតែអាចធ្វើទៅបាន សម្រាប់ការពារការវាយប្រហារនាពេលអនាគត។
វាមិនមានអ្វីកើតឡើងនោះទេនៅក្នុងរយៈពេល ២ សប្តាហ៍នេះ។ ប៉ុន្តែកាលពីចុងខែនេះ នៅពេលដែល គម្រោង Zero-Day Initiative បានបញ្ចេញនូវរបាយការណ៍បច្ចេកទេស ដែលរៀបរាប់លំអិតអំពីកំហុសឆ្គង និងវិធីសាស្ត្រដែលវាដំណើរការ។ របាយការណ៍នេះ ដើរតួនាទីធ្វើការផែនទីបង្ហាញផ្លូវសម្រាប់អ្នកស្រាវជ្រាវសន្តិសុខអុិនធឺណិត ដែលអាចធ្វើតេស្តទៅលើម៉ាស៊ីនមេរបស់ខ្លួន និងបង្កើតជា detection rules និងត្រៀមក្នុងការទប់ស្កាត់។ បច្ចុប្បន្ននេះ មានការបញ្ចេញនៅលើ GitHub [1, 2, 3] ផងដែរ.
បន្ទាប់ពីការរបាយការណ៍របស់ Zero-Day Initiative ត្រូវបានបញ្ចេញជាសាធារណៈរួចមក ក្រុមហេគឃ័រជាច្រើន ចាប់ផ្តើមធ្វើការស្កេននៅលើអុិនធឺណិត ដើម្បីរកមើល Exchange servers នឹងធ្វើការចងក្រងនូវបញ្ចីនៃការនៅលើម៉ាស៊ីនមេដែលងាយរងគ្រោះជាច្រើន សម្រាប់ការវាយលុកនៅពេលក្រោយ។ បច្ចុប្បន្ននេះ ការស្កេនទៅលើ Exchange Servers បានក្លាយទៅជាការវាយប្រហារជាក់ស្តែងតែម្តង៕
ទាញយកកម្មវិធីសម្រាប់ទូរស័ព្ទស្មាតហ្វូន (Apple ឬ Android) ឬក៏ចូលរួមទៅក្នុងបន្ទប់ផ្តល់ព័ត៌មាន Telegram Channel សម្រាប់ទទួលបានព័ត៌មានចុងក្រោយស្តីអំពីសន្តិសុខអុិនធឺណិតទាំងក្នុង និងក្រៅប្រទេស៖ https://t.me/infosecisac
Download our iOS App or Android App or subscribe to our Telegram channel for the latest updates on the Cybersecurity Breaking News in both locally and internationally: https://t.me/infosecisac