URGENT — 4 Lỗi 0-Day Flaws Đang Bị Tích Cực Khai Thác Trong Phần Mềm Microsoft Exchange

Microsoft đã phát hành các bản vá khẩn cấp để giải quyết bốn lỗi bảo mật chưa được tiết lộ trước đây trong Exchange Server mà hãng cho biết đang bị một kẻ đe dọa mới do nhà nước Trung Quốc tài trợ khai thác với mục tiêu gây ra hành vi đánh cắp dữ liệu.

Mô tả các cuộc tấn công là “có giới hạn và có mục tiêu”, Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) cho biết các hacker đã sử dụng các lỗ hổng này để truy cập các máy chủ Exchange, từ đó cấp quyền truy cập vào tài khoản email và mở đường cho việc cài đặt thêm phần mềm độc hại để tạo điều kiện truy cập lâu dài vào môi trường của nạn nhân.

Gã khổng lồ công nghệ chủ yếu quy kết chiến dịch với sự tin tưởng cao đối với một kẻ đe dọa mà nó gọi là HAFNIUM, một nhóm hacker được nhà nước bảo trợ hoạt động bên ngoài Trung Quốc, mặc dù họ nghi ngờ các nhóm khác cũng có thể tham gia.

Lần đầu tiên thảo luận về các chiến thuật, kỹ thuật và thủ tục (TTP) của nhóm, Microsoft cho rằng HAFNIUM là một “tác nhân có kỹ năng cao và tinh vi”, chủ yếu chọn các thực thể ở Hoa Kỳ để lấy thông tin nhạy cảm từ một loạt các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, các công ty luật, các tổ chức giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ.

HAFNIUM được cho là đã dàn xếp các cuộc tấn công của mình bằng cách tận dụng các máy chủ riêng ảo được cho thuê ở Hoa Kỳ trong một nỗ lực che giấu hoạt động độc hại của họ.

Cuộc tấn công gồm ba giai đoạn liên quan đến việc giành quyền truy cập vào Máy chủ Exchange bằng mật khẩu bị đánh cắp hoặc bằng cách sử dụng các lỗ hổng chưa được phát hiện trước đó, tiếp theo là triển khai web shell để kiểm soát máy chủ bị xâm nhập từ xa. Liên kết cuối cùng trong chuỗi tấn công sử dụng quyền truy cập từ xa để cướp hộp thư từ mạng của tổ chức và xuất dữ liệu thu thập được tới các trang web chia sẻ tệp như MEGA.

Để đạt được điều này, có tới bốn lỗ hổng zero-day  mà các nhà nghiên cứu từ Volexity và Dubex phát hiện được sử dụng như một phần của chuỗi tấn công như sau –

  • CVE-2021-26855 : Lỗ hổng bảo mật giả mạo yêu cầu phía máy chủ (SSRF) trong Exchange Server
  • CVE-2021-26857 : Một lỗ hổng bảo mật không an toàn trong dịch vụ Nhắn tin Hợp nhất
  • CVE-2021-26858 : Lỗ hổng ghi tệp tùy ý sau xác thực trong Exchange và
  • CVE-2021-27065 : Lỗ hổng ghi tệp tùy ý sau xác thực trong Exchange

Mặc dù các lỗ hổng bảo mật ảnh hưởng đến Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 và Microsoft Exchange Server 2019, Microsoft cho biết họ đang cập nhật Exchange Server 2010 cho mục đích “Phòng thủ theo chiều sâu”.

Microsoft Exchange

Hơn nữa, vì cuộc tấn công ban đầu yêu cầu kết nối không đáng tin cậy đến cổng máy chủ Exchange 443, công ty lưu ý rằng các tổ chức có thể giảm thiểu vấn đề bằng cách hạn chế các kết nối không đáng tin cậy hoặc bằng cách sử dụng VPN để tách máy chủ Exchange khỏi truy cập bên ngoài.

Microsoft, bên cạnh việc nhấn mạnh rằng việc khai thác không liên quan đến các vi phạm liên quan đến SolarWinds, cho biết họ đã thông báo cho các cơ quan chính phủ Hoa Kỳ thích hợp về làn sóng tấn công mới. Nhưng công ty không nói rõ có bao nhiêu tổ chức bị nhắm mục tiêu và liệu các cuộc tấn công có thành công hay không.

Nói rằng các chiến dịch xâm nhập dường như đã bắt đầu vào khoảng ngày 6 tháng 1 năm 2021, Volexity cảnh báo rằng họ đã phát hiện thấy hoạt động khai thác tích cực nhiều lỗ hổng Microsoft Exchange được sử dụng để đánh cắp email và xâm phạm mạng.

“Trong khi những kẻ tấn công dường như đã bước đầu bay chủ yếu dưới radar bằng cách đơn giản ăn cắp email, họ vừa xoay để tung ra khai thác để đạt được một chỗ đứng vững chắc,” Volexity nhà nghiên cứu Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair, và Thomas Lancaster giải thích trong một bài viết .

“Từ quan điểm của Volexity, việc khai thác này dường như liên quan đến nhiều nhà khai thác sử dụng nhiều công cụ và phương pháp để kết xuất thông tin xác thực, di chuyển ngang và các hệ thống hỗ trợ thêm.”

Bên cạnh các bản vá, Nhà phân tích tình báo mối đe dọa cao cấp của Microsoft Kevin Beaumont cũng đã tạo một plugin nmap có thể được sử dụng để quét mạng cho các máy chủ Microsoft Exchange có khả năng bị tấn công.

Với mức độ nghiêm trọng của các sai sót, không có gì ngạc nhiên khi các bản vá đã được tung ra trước một tuần so với lịch trình Bản vá thứ Ba của công ty, thường được dành cho Thứ Ba thứ hai hàng tháng. Khách hàng đang sử dụng phiên bản Exchange Server dễ bị tấn công nên cài đặt các bản cập nhật ngay lập tức để ngăn chặn các cuộc tấn công này.

“Mặc dù chúng tôi đã làm việc nhanh chóng để triển khai bản cập nhật cho việc khai thác Hafnium, nhưng chúng tôi biết rằng nhiều tổ chức quốc gia-nhà nước và các nhóm tội phạm sẽ nhanh chóng di chuyển để tận dụng bất kỳ hệ thống chưa được vá lỗi nào”, Phó Chủ tịch Công ty về Bảo mật Khách hàng của Microsoft, Tom Burt , cho biết . “Kịp thời áp dụng các bản vá lỗi ngày hôm nay là cách bảo vệ tốt nhất chống lại cuộc tấn công này.

Tham khảo plugin NMAP https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

Hướng dẫn Sử Dụng Nmap NSE Để Dò Lỗi CoronaBlue / SMBGhost / CVE-2020-0976 (thuộc chương trình đào tạo CEH v11, liên hệ training và học online )

Nguyen Tran Tuong Vinh

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s