Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

www.tuoitre.vn -   29/09/2022 08:00:00 1048

Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy chủ Microsoft Exchange đã được vá đầy đủ đang bị các phần tử độc hại lợi dụng trong các cuộc tấn công trong thế giới thực để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.

Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

Cố vấn đến từ công ty an ninh mạng Việt Nam GTSC, đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022.

Hai lỗ hổng, vốn chính thức chưa được gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3).

GTSC cho biết rằng việc khai thác thành công các lỗ hổng có thể bị lạm dụng để đạt được chỗ đứng trong hệ thống của nạn nhân, cho phép kẻ thù thả web shell và thực hiện các chuyển động ngang qua mạng bị xâm nhập.

Công ty lưu ý: “Chúng tôi đã phát hiện thấy các web shell, hầu hết đã bị xáo trộn, đang được đưa xuống các máy chủ Exchange. "Bằng cách sử dụng tác nhân người dùng, chúng tôi phát hiện ra rằng kẻ tấn công sử dụng Antsword, một công cụ quản trị trang web đa nền tảng mã nguồn mở đang hoạt động của Trung Quốc hỗ trợ quản lý web shell."

Các yêu cầu khai thác trong nhật ký IIS được cho là xuất hiện ở định dạng giống với lỗ hổng ProxyShell Exchange Server, GTSC lưu ý rằng các máy chủ được nhắm mục tiêu đã được vá các lỗ hổng được đưa ra vào tháng 4 năm 2021.

Công ty an ninh mạng đưa ra giả thuyết rằng các cuộc tấn công có khả năng bắt nguồn từ một nhóm hack của Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể (trang Windows Code 936).

Cũng được triển khai trong các cuộc tấn công là China Chopper web shell, một backdoor nhẹ có thể cấp quyền truy cập từ xa liên tục và cho phép những kẻ tấn công kết nối lại bất cứ lúc nào để khai thác thêm.

Cần lưu ý rằng webshell Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi. Thêm chi tiết tại đây. Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm bị nghi ngờ do nhà nước tài trợ hoạt động bên ngoài Trung Quốc, khi các lỗ hổng ProxyLogon bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác tiếp theo mà GTSC quan sát được liên quan đến việc đưa các tệp DLL độc hại vào bộ nhớ, thả và thực thi tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết ít nhất hơn một tổ chức đã là nạn nhân của một chiến dịch tấn công tận dụng lỗ hổng zero-day. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại trong quá trình khai thác tích cực.

Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 409
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 90
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 448
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 398
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 53
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 39
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ