Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

www.tuoitre.vn -   29/09/2022 08:00:00 1145

Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy chủ Microsoft Exchange đã được vá đầy đủ đang bị các phần tử độc hại lợi dụng trong các cuộc tấn công trong thế giới thực để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.

Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

Cố vấn đến từ công ty an ninh mạng Việt Nam GTSC, đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022.

Hai lỗ hổng, vốn chính thức chưa được gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3).

GTSC cho biết rằng việc khai thác thành công các lỗ hổng có thể bị lạm dụng để đạt được chỗ đứng trong hệ thống của nạn nhân, cho phép kẻ thù thả web shell và thực hiện các chuyển động ngang qua mạng bị xâm nhập.

Công ty lưu ý: “Chúng tôi đã phát hiện thấy các web shell, hầu hết đã bị xáo trộn, đang được đưa xuống các máy chủ Exchange. "Bằng cách sử dụng tác nhân người dùng, chúng tôi phát hiện ra rằng kẻ tấn công sử dụng Antsword, một công cụ quản trị trang web đa nền tảng mã nguồn mở đang hoạt động của Trung Quốc hỗ trợ quản lý web shell."

Các yêu cầu khai thác trong nhật ký IIS được cho là xuất hiện ở định dạng giống với lỗ hổng ProxyShell Exchange Server, GTSC lưu ý rằng các máy chủ được nhắm mục tiêu đã được vá các lỗ hổng được đưa ra vào tháng 4 năm 2021.

Công ty an ninh mạng đưa ra giả thuyết rằng các cuộc tấn công có khả năng bắt nguồn từ một nhóm hack của Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể (trang Windows Code 936).

Cũng được triển khai trong các cuộc tấn công là China Chopper web shell, một backdoor nhẹ có thể cấp quyền truy cập từ xa liên tục và cho phép những kẻ tấn công kết nối lại bất cứ lúc nào để khai thác thêm.

Cần lưu ý rằng webshell Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi. Thêm chi tiết tại đây. Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm bị nghi ngờ do nhà nước tài trợ hoạt động bên ngoài Trung Quốc, khi các lỗ hổng ProxyLogon bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác tiếp theo mà GTSC quan sát được liên quan đến việc đưa các tệp DLL độc hại vào bộ nhớ, thả và thực thi tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết ít nhất hơn một tổ chức đã là nạn nhân của một chiến dịch tấn công tận dụng lỗ hổng zero-day. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại trong quá trình khai thác tích cực.

Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 47
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 49
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 46
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 35
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 26
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ