Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy chủ Microsoft Exchange đã được vá đầy đủ đang bị các phần tử độc hại lợi dụng trong các cuộc tấn công trong thế giới thực để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.

Cố vấn đến từ công ty an ninh mạng Việt Nam GTSC, đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022.

Hai lỗ hổng, vốn chính thức chưa được gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3).

GTSC cho biết rằng việc khai thác thành công các lỗ hổng có thể bị lạm dụng để đạt được chỗ đứng trong hệ thống của nạn nhân, cho phép kẻ thù thả web shell và thực hiện các chuyển động ngang qua mạng bị xâm nhập.

Công ty lưu ý: “Chúng tôi đã phát hiện thấy các web shell, hầu hết đã bị xáo trộn, đang được đưa xuống các máy chủ Exchange. "Bằng cách sử dụng tác nhân người dùng, chúng tôi phát hiện ra rằng kẻ tấn công sử dụng Antsword, một công cụ quản trị trang web đa nền tảng mã nguồn mở đang hoạt động của Trung Quốc hỗ trợ quản lý web shell."

Các yêu cầu khai thác trong nhật ký IIS được cho là xuất hiện ở định dạng giống với lỗ hổng ProxyShell Exchange Server, GTSC lưu ý rằng các máy chủ được nhắm mục tiêu đã được vá các lỗ hổng được đưa ra vào tháng 4 năm 2021.

Công ty an ninh mạng đưa ra giả thuyết rằng các cuộc tấn công có khả năng bắt nguồn từ một nhóm hack của Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể (trang Windows Code 936).

Cũng được triển khai trong các cuộc tấn công là China Chopper web shell, một backdoor nhẹ có thể cấp quyền truy cập từ xa liên tục và cho phép những kẻ tấn công kết nối lại bất cứ lúc nào để khai thác thêm.

Cần lưu ý rằng webshell Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi. Thêm chi tiết tại đây. Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm bị nghi ngờ do nhà nước tài trợ hoạt động bên ngoài Trung Quốc, khi các lỗ hổng ProxyLogon bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác tiếp theo mà GTSC quan sát được liên quan đến việc đưa các tệp DLL độc hại vào bộ nhớ, thả và thực thi tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết ít nhất hơn một tổ chức đã là nạn nhân của một chiến dịch tấn công tận dụng lỗ hổng zero-day. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại trong quá trình khai thác tích cực.

Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi.

Hương – Theo TheHackerNews