พบช่องโหว่บน IIS อาจถูกแฮกเกอร์ขโมย รหัสผ่าน MS Exchange

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ทีมนักวิจัยด้านความปลอดภัยจาก Kaspersky ชื่อ Paul Rascagneres และ Pierre Delcher ได้ตรวจพบแฮกเกอร์ได้พยายามติดตั้งโค้ดไบนารี่ที่ออกแบบมาพิเศษ ในรูปแบบโมดูลเว็บเซิร์ฟเวอร์อย่าง Internet Information Services (IIS) โดยเรียกชื่อว่า “Owowa” บนเซิร์ฟเวอร์ Microsoft Exchange Outlook Web Access โดยมีเป้าหมายในการขโมยข้อมูลรหัสผ่านและเปิดช่องโหว่ให้รันโค้ดคำสั่งได้จากระยะไกล ซึ่งนักวิจัยฯ ระบุว่า “Owowa พัฒนาขึ้นด้วยโค้ด C# บน .NET v4.0” ซึ่งพัฒนามาเพื่อให้สามารถโหลดเข้ามาอยู่ในรูปแบบโมดูลบนเว็บเซิร์ฟเวอร์ IIS ที่ใช้สำหรับดึงข้อมูลของ Outlook Web Access (OWA) บน Exchange โดยเฉพาะ ซึ่งมีการจารกรรมรหัสผ่านที่ผู้ใช้ป้อนเข้ามาในหน้าล็อกอินของ OWA และเปิดช่องให้รันคำสั่งบนเซิร์ฟเวอร์ดังกล่าวได้ ส่งผลให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวหน้า Login หน้า OWA และสามารถควบคุมบนเซิร์ฟเวอร์ของเหยื่อได้

ซึ่งรูปแบบการโจมตีชนิดนี้เคยเกิดขึ้นมาแล้ว ในเดือนสิงหาคม 2021 อย่างไรก็ตาม ผู้ที่ใช้งาน เซิร์ฟเวอร์ Microsoft Exchange Outlook หมั่นติดตามข่าวสารเป็นประจำ เพื่อลดความเสี่ยงในการถูกโจมตี

ที่มา: https://thehackernews.com/2021/12/hackers-using-malicious-iis-server.html https://www.enterpriseitpro.net/hacker-use-malicious/

บทความที่เกี่ยวข้อง