Phần 1: Những điều cần biết về vụ hack rúng động vào Microsoft Exchange Server

Ngày 02/03/2021, Microsoft đã phải phát hành bản vá khẩn cấp nhằm khắc phục 4 lỗ hổng zero-day cực kỳ nghiêm trọng trong máy chủ Exchange Server phiên bản 2013/2016/2019. Cả 4 lỗ hổng này trước đó đều đang bị khai thác tích cực bởi một nhóm hacker có tên HAFNIUM. Cùng với đó là sự tham gia của hàng loạt nhóm tin tặc không xác định khác, tạo thành một chiến dịch tấn công trên diện rộng có thể gây hậu quả cực kỳ nghiêm trọng cho Microsoft và các đối tác trên toàn cầu.

Hoàn toàn không có bằng chứng nào chỉ ra mối liên hệ giữa chiến dịch Exchange Server này với cuộc tấn công chuỗi cung ứng SolarWinds đã gây ảnh hưởng đến hơn 18.000 tổ chức trên toàn thế giới diễn ra trước đó không lâu. Tuy nhiên, sự chậm trễ trong việc vá các máy chủ Exchange Server dễ bị tấn công hoàn toàn có thể gây ra tác động tương tự, hoặc tệ hơn đối với các doanh nghiệp toàn cầu.

Dưới đây là mọi thông tin bạn cần biết về các vấn đề bảo mật cũng như hướng dẫn của giới chuyên gia về vụ việc nghiêm trọng này.

Microsoft Exchange Server là gì?

Microsoft Exchange Server là một giải pháp cộng tác, lịch và hộp thư email phổ biến trong cộng đồng doanh nghiệp. Đối tượng sử dụng máy chủ này rất đa dạng, từ các tập đoàn khổng lồ đến những doanh nghiệp vừa và nhỏ trên toàn thế giới.

Có rất nhiều máy chủ thư điện tử của Việt Nam đang sử dụng Microsoft Exchange, như máy chủ thư điện tử của các cơ quan tổ chức nhà nước, tổ chức ngân hàng, tài chính, các doanh nghiệp và nhiều tổ chức lớn khác.

Điều gì đã xảy ra với Exchange Server?

Đầu tháng 1/2021: Microsoft đã phát hiện những manh mối đầu tiên về 4 lỗ hổng zero-day Exchange Server.

Ngày 05/01: Một nhà nghiên cứu an ninh mạng của DEVCORE tìm ra 2 trong số 4 lỗ hổng, và báo cáo chúng cho Microsoft. Đồng thời cho biết “Đây có thể là RCE nghiêm trọng nhất mà tôi từng báo cáo".

Ngày 06/01: Cuộc tấn công khai thác 4 lỗ hổng zero-day đầu tiên bắt đầu

Trong tháng 1: Dubex cũng đã báo cáo hoạt động đáng ngờ trên các máy chủ Microsoft Exchange.

Ngày 02/03: Microsoft phát hành các bản vá để khắc phục 4 lỗ hổng nghiêm trọng của Exchange Server. Đồng thời, thừa nhận rằng các lỗ hổng đang bị khai thác tích cực trong "những cuộc tấn công có mục tiêu cụ thể".

Ngày 12/03:  Microsoft triển khai một cuộc điều tra chuyên sâu nhằm xác định xem liệu tin tặc có nắm trong tay thông tin xác thực cần thiết để chiếm được quyền truy cập vào máy chủ Exchange Server của các đối tác của Microsoft hay không.

Ngày 10/03: Mã tấn công Proof-of-Concept (PoC) đã được đẩy lên GitHub, sau đó GitHub đã xóa nó.

Ngày 14/03: Mã PoC mới được phát hành bởi một nhà nghiên cứu khác, với mô tả là một phương pháp đưa các khai thác của máy chủ Exchange xuống cấp độ "script-kiddie".

Người ta nghi ngờ rằng các nhóm hacker sở hữu mã PoC mà Microsoft đã chia sẻ với các đối tác antivirus trong khuôn khổ chương trình Microsoft Active Protections Program (Mapp).

Mặc dù các bản sửa lỗi đã được ban hành, phạm vi xâm nhập Exchange Server tiềm ẩn lại phụ thuộc vào tốc độ tiếp nhận và áp dụng các bản vá từ doanh nghiệp. Do đó, số lượng nạn nhân ước tính sẽ còn tiếp tục tăng lên.

Theo The Hacker News