Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

www.tuoitre.vn -   29/09/2022 08:00:00 585

Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy chủ Microsoft Exchange đã được vá đầy đủ đang bị các phần tử độc hại lợi dụng trong các cuộc tấn công trong thế giới thực để thực thi mã từ xa trên các hệ thống bị ảnh hưởng.

Cảnh báo lỗ hỗng Zeroday trên Microsoft Exchange đang bị khai thác tích cực

Cố vấn đến từ công ty an ninh mạng Việt Nam GTSC, đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022.

Hai lỗ hổng, vốn chính thức chưa được gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3).

GTSC cho biết rằng việc khai thác thành công các lỗ hổng có thể bị lạm dụng để đạt được chỗ đứng trong hệ thống của nạn nhân, cho phép kẻ thù thả web shell và thực hiện các chuyển động ngang qua mạng bị xâm nhập.

Công ty lưu ý: “Chúng tôi đã phát hiện thấy các web shell, hầu hết đã bị xáo trộn, đang được đưa xuống các máy chủ Exchange. "Bằng cách sử dụng tác nhân người dùng, chúng tôi phát hiện ra rằng kẻ tấn công sử dụng Antsword, một công cụ quản trị trang web đa nền tảng mã nguồn mở đang hoạt động của Trung Quốc hỗ trợ quản lý web shell."

Các yêu cầu khai thác trong nhật ký IIS được cho là xuất hiện ở định dạng giống với lỗ hổng ProxyShell Exchange Server, GTSC lưu ý rằng các máy chủ được nhắm mục tiêu đã được vá các lỗ hổng được đưa ra vào tháng 4 năm 2021.

Công ty an ninh mạng đưa ra giả thuyết rằng các cuộc tấn công có khả năng bắt nguồn từ một nhóm hack của Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể (trang Windows Code 936).

Cũng được triển khai trong các cuộc tấn công là China Chopper web shell, một backdoor nhẹ có thể cấp quyền truy cập từ xa liên tục và cho phép những kẻ tấn công kết nối lại bất cứ lúc nào để khai thác thêm.

Cần lưu ý rằng webshell Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi. Thêm chi tiết tại đây. Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm bị nghi ngờ do nhà nước tài trợ hoạt động bên ngoài Trung Quốc, khi các lỗ hổng ProxyLogon bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác tiếp theo mà GTSC quan sát được liên quan đến việc đưa các tệp DLL độc hại vào bộ nhớ, thả và thực thi tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết ít nhất hơn một tổ chức đã là nạn nhân của một chiến dịch tấn công tận dụng lỗ hổng zero-day. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại trong quá trình khai thác tích cực.

Microsoft đã chính thức xác nhận chi tiết về hai lỗ hổng này, đồng thời cho biết thêm rằng họ đang làm việc để phát hành bản sửa lỗi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky ra mắt nền tảng XDR chống lại ...

21/03/2023 08:00:00 129
Kaspersky hôm nay ra mắt Kaspersky Extended Detection and Response (XDR) tại Việt Nam. Đây là nền tả...

Ransomware là mối đe dọa hàng đầu đối vớ...

20/03/2023 08:00:00 127
Kaspersky đã ngăn chặn hơn 300.000 cuộc tấn công ransomware đánh cắp dữ liệu doanh nghiệp trong năm ...

Sự sơ suất của nhân viên đáng lo ngại kh...

28/02/2023 08:00:00 389
Rò rỉ dữ liệu do tấn công mạng hoặc do nhân viên là những vấn đề bảo mật gây quan ngại nhất đối với ...

Người máy cũng bị sa thải hàng loạt theo...

28/02/2023 12:00:00 334
Google được cho là đã đóng cửa Everyday Robots, một công ty con chuyên sản xuất robot để làm nhiệm v...

Kaspersky tiết lộ các thuật ngữ an ninh ...

27/02/2023 07:00:00 563
Theo khảo sát từ Kaspersky, một phần tư trong số các quản lý cấp cao từ các doanh nghiệp ở Đông Nam ...

Windows 11 được Microsoft mời gọi cập nh...

27/02/2023 12:00:00 316
Điều thú vị hơn nữa là việc từ chối lời đề nghị cập nhật sẽ đã đưa người dùng đến với một màn hình k...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ