เจาะเซิร์ฟเวอร์ให้บริการอีเมลชื่อดัง

ในการทำงานเวลาที่ติดต่อประสานงาน หากเป็นการพูดคุยทั่วไป การส่งไฟล์เล็กๆ น้อยๆ หรือไฟล์ที่ยังไม่ได้รับการอนุมัติ ผมเชื่อว่าส่วนใหญ่ท่านเลือกที่จะใช้การแชทด้วยโปรแกรมต่างๆ หรือโทรศัพท์ไปคุย แต่หากเป็นเรื่องสำคัญ แน่นอนว่าอีเมลเป็นตัวเลือกหลักที่จะถูกใช้ส่งไฟล์ พูดคุย คอนเฟิร์มงานกับฝ่ายตรงข้ามครับ

นั่นแสดงว่า ทุกสิ่งที่อยู่ในอีเมลล้วนเป็นเรื่องสำคัญ และท่านคงไม่อยากให้คนนอกโดยเฉพาะแฮกเกอร์รู้ว่าเรื่องสำคัญพวกนั้นมีอะไรบ้าง แต่ล่าสุด “Microsoft Exchange Server” บริการระบบอีเมลสำหรับองค์กรชื่อดังถูกพบว่า “มีช่องโหว่ในเซิร์ฟเวอร์” ส่งผลให้ผู้ใช้บริการจำนวนมากตกอยู่ในความเสี่ยงข้อมูลรั่วไหล

ผู้เชี่ยวชาญทางด้านการรักษาความปลอดภัยไซเบอร์ให้ข้อมูลกับเจ้าหน้าที่สืบสวนของรัฐบาลว่า มี Microsoft Exchange Server อย่างน้อย 30,000 เครื่องที่ทำข้อมูลรั่วไหล โดยอาศัยช่องโหว่ที่ไมโครซอฟท์ เพิ่งจะออกแพทช์ไป 

หลังจากที่ไมโครซอฟท์ได้ออกมารายงานเกี่ยวกับเรื่องนี้ วันถัดมานักข่าวก็ได้เขียนข่าวที่สนับสนุนการคาดเดาว่าน่าจะมี Microsoft Exchange Server ถูกจู่โจมจำนวนมากกว่าที่ไมโครซอฟท์ได้รายงานออกมา

บริษัทด้านการรักษาความปลอดภัยไซเบอร์ได้ให้ข้อมูลเพิ่มเติมว่า พวกเขาได้ลองนำเซิร์ฟเวอร์ของพันธมิตรประมาณ 2,000 เครื่องมาตรวจสอบ พบว่าในจำนวนนั้น 400 เครื่องมีช่องโหว่ อีก 100 เครื่องมีความเสี่ยงสูง และอีก 200 เครื่องมีความเสี่ยงที่เพิ่มขึ้นเรื่อยๆ ดูเหมือนว่าแฮกเกอร์กำลังมองหาช่องโหว่ที่พวกเขาจะสามารถหาได้ง่ายที่สุดเพื่อทำการจู่โจม

ไมโครซอฟท์ระบุว่า แฮกเกอร์ที่ทำการเจาะระบบ Exchange Server น่าจะเป็นกลุ่มที่รัฐบาลจีนให้การสนับสนุนชื่อว่า Hafnium ซึ่งนักวิจัยอ้างว่าอาจมีเซิร์ฟเวอร์มากถึง 1 แสนเครื่องที่ถูกเจาะไปแล้ว 

ดูเหมือนว่าการโจมตีครั้งนี้จะไม่ได้ถูกกำหนดเป้าหมายที่ชัดเจน เพราะเซิร์ฟเวอร์หลายแห่งดูราวกับว่าจะโดนโฮสต์ Web Shell ที่สามารถใช้เข้าถึง หรือสั่งระบบปฏิบัติการได้โดยตรงผ่านทางเว็บไซต์ ชื่อว่า China Chopper มากกว่าหนึ่งเวอร์ชั่น ทำให้เชื่อได้ว่าแฮกเกอร์กลุ่มนี้เจาะเซิร์ฟเวอร์เดียวกันมากกว่าหนึ่งครั้ง ซึ่งดูเหมือนจะเป็นกลยุทธ์ที่ใช้ประโยชน์จากระบบอัตโนมัติ เพื่อสร้างความเสียหายง่ายๆ ในส่วนของผู้โจมตี เพราะที่จริงแล้วใช้ Web Shell เดียวก็สามารถจู่โจมได้แล้ว

กระทรวงความมั่นคงแห่งมาตุภูมิ บริษัทไมโครซอฟท์ และโฆษกทำเนียบขาว ได้ออกมาเน้นย้ำถึงความสำคัญในการแก้ไข พวกเขาเผยว่าได้ให้ข้อมูลกับลูกค้า และชุมชนด้านความปลอดภัยเพื่อเน้นย้ำถึงลักษณะที่สำคัญของช่องโหว่เหล่านี้ และความสำคัญของการแก้ไขระบบที่ได้รับผลกระทบทั้งหมดทันที เพื่อป้องกันการแสวงหาผลประโยชน์จากช่องโหว่ที่เกิดขึ้น รวมถึงป้องกันการจู่โจมทั้งหมดในอนาคต

Microsoft Exchange Server เป็นบริการที่หลายๆ องค์กรเลือกใช้ แม้กระทั่งองค์กรไทยเอง ทำให้เกิดความเสี่ยงเป็นอย่างมาก เพราะช่องโหว่นี้ทำให้ข้อมูลที่รั่วไหลเป็นข้อมูลภายในขององค์กรทั้งหมด 

เราต้องคอยดูครับว่าความเสียหายที่เกิดขึ้น เมื่ออีเมล ข้อมูลต่างๆ Credential ต่างๆ ที่อยู่ในเซิร์ฟเวอร์รั่วไหลออกไปจะเป็นอย่างไร เพราะแฮกเกอร์สามารถนำข้อมูลตรงนี้ไปทำอะไรอื่นๆได้อีกมาก และแน่นอนว่าเป็นอันตรายต่อองค์กรทั้งสิ้นครับ