Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

www.tuoitre.vn -   29/09/2022 08:00:00 1374

Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy chủ Microsoft Exchange đã được vá đầy đủ đang bị các phần tử độc hại lợi dụng trong các cuộc tấn công trong thế giới thực để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.

Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

Cố vấn đến từ công ty an ninh mạng Việt Nam GTSC, đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022.

Hai lỗ hổng, vốn chính thức chưa được gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3).

GTSC cho biết rằng việc khai thác thành công các lỗ hổng có thể bị lạm dụng để đạt được chỗ đứng trong hệ thống của nạn nhân, cho phép kẻ thù thả web shell và thực hiện các chuyển động ngang qua mạng bị xâm nhập.

Công ty lưu ý: “Chúng tôi đã phát hiện thấy các web shell, hầu hết đã bị xáo trộn, đang được đưa xuống các máy chủ Exchange. "Bằng cách sử dụng tác nhân người dùng, chúng tôi phát hiện ra rằng kẻ tấn công sử dụng Antsword, một công cụ quản trị trang web đa nền tảng mã nguồn mở đang hoạt động của Trung Quốc hỗ trợ quản lý web shell."

Các yêu cầu khai thác trong nhật ký IIS được cho là xuất hiện ở định dạng giống với lỗ hổng ProxyShell Exchange Server, GTSC lưu ý rằng các máy chủ được nhắm mục tiêu đã được vá các lỗ hổng được đưa ra vào tháng 4 năm 2021.

Công ty an ninh mạng đưa ra giả thuyết rằng các cuộc tấn công có khả năng bắt nguồn từ một nhóm hack của Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể (trang Windows Code 936).

Cũng được triển khai trong các cuộc tấn công là China Chopper web shell, một backdoor nhẹ có thể cấp quyền truy cập từ xa liên tục và cho phép những kẻ tấn công kết nối lại bất cứ lúc nào để khai thác thêm.

Cần lưu ý rằng webshell Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi. Thêm chi tiết tại đây. Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm bị nghi ngờ do nhà nước tài trợ hoạt động bên ngoài Trung Quốc, khi các lỗ hổng ProxyLogon bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác tiếp theo mà GTSC quan sát được liên quan đến việc đưa các tệp DLL độc hại vào bộ nhớ, thả và thực thi tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết ít nhất hơn một tổ chức đã là nạn nhân của một chiến dịch tấn công tận dụng lỗ hổng zero-day. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại trong quá trình khai thác tích cực.

Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Sắp tới sẽ không cần tạo mật khẩu cho tà...

02/05/2025 12:00:00 65
Khi tạo tài khoản mới với Microsoft (bao gồm cả Xbox hoặc bất kỳ thương hiệu công ty nào khác), bạn ...

Kaspersky cảnh báo sự gia tăng của các c...

29/04/2025 08:00:00 303
Trong bối cảnh các doanh nghiệp ngày càng chú trọng tăng cường bảo mật cho hệ thống mạng trực tuyến,...

Meta ra mắt ứng dụng AI độc lập với nhiề...

29/04/2025 12:00:00 61
Meta tự định vị mình là đối thủ trực tiếp của ChatGPT và Google Gemini trong cuộc đua phát triển trợ...

Kaspersky chuyển đổi sản phẩm – ngừng bá...

28/04/2025 08:00:00 76
Sau ngày 30/06/2025, các dòng sản phẩm bảo mật doanh nghiệp của Kaspersky hiện tại sẽ được thay thế ...

OpenAI thêm nhiều cải tiến cho ChatGPT, ...

28/04/2025 12:00:00 51
Người dùng có thể so sánh sản phẩm nhanh chóng và nhấp vào liên kết từ ChatGPT để hoàn tất giao dịch...

Cách ngăn ngừa ChatGPT o3 Reverse Image ...

25/04/2025 12:00:00 35
Bạn có thể thực hiện để hạn chế khả năng thông tin cá nhân của mình bị rò rỉ thông qua các kỹ năng t...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button