Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

www.tuoitre.vn -   24/03/2021 12:00:00 618

Thông tin về các lỗ hổng trên Exchange Server

Các lỗ hổng nghiêm trọng này, được gọi chung là ProxyLogon, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Tuy nhiên, Exchange Online lại không chịu tác động. Danh sách cụ thể như sau:

Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange

CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý

CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

Nếu được sử dụng trong một chuỗi tấn công, tất cả các lỗ hổng này có thể dẫn đến hành vi thực thi mã từ xa (RCE), chiếm quyền điều khiển máy chủ, backdoor, đánh cắp dữ liệu và khả năng triển khai thêm phần mềm độc hại.

Tóm lại, Microsoft cho biết những kẻ tấn công có thể truy cập an toàn vào Exchange Server thông qua các lỗi này hoặc thông tin đăng nhập bị đánh cắp. Và sau đó, chúng có thể tạo một web shell để chiếm quyền điều khiển hệ thống và thực thi các lệnh từ xa.

“Các lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng tạo kết nối không đáng tin cậy đến cổng máy chủ Exchange 443. Điều này có thể được đối phó bằng cách hạn chế các kết nối tạm hoặc bằng cách thiết lập VPN để tách máy chủ Exchange khỏi những truy cập bên ngoài.

Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

Việc sử dụng biện pháp giảm thiểu này sẽ chỉ giúp bảo vệ khỏi phần ban đầu của cuộc tấn công. Các phần khác của chuỗi có thể được kích hoạt nếu kẻ tấn công đã có quyền truy cập hoặc có thể thuyết phục (đánh lừa) quản trị viên hệ thống chạy một tệp độc hại”.

Microsoft cho biết, khi dò theo dấu vết các cuộc tấn công sử dụng lỗ hổng zero-day, khả năng cao là chúng được thực hiện bởi Hafnium, một nhóm hacker APT có kỹ năng cao và tinh vi.

Hafnium sử dụng VPS đặt tại Mỹ để cố gắng che giấu vị trí thực sự của mình. Những đối tượng bị nhóm này nhắm mục tiêu trước đây bao gồm các tổ chức tư vấn, tổ chức phi lợi nhuận, nhà thầu quốc phòng và tổ chức nghiên cứu.

Vào ngày 10/03, ESET cho biết 10 nhóm APT đã góp mặt các cuộc tấn công khai thác lỗ hổng Exchange Server, bao gồm LuckyMouse, Tick, Winnti Group và Calypso.

Theo The Hacker News

 

TIN CÙNG CHUYÊN MỤC

Các mối đe dọa trực tuyến tại Việt Nam g...

24/03/2023 08:00:00 72
Báo cáo mới nhất từ công ty an ninh mạng toàn cầu cho thấy những chuyển biến tích cực trong tình hìn...

Kaspersky ra mắt nền tảng XDR chống lại ...

21/03/2023 08:00:00 234
Kaspersky hôm nay ra mắt Kaspersky Extended Detection and Response (XDR) tại Việt Nam. Đây là nền tả...

Ransomware là mối đe dọa hàng đầu đối vớ...

20/03/2023 08:00:00 223
Kaspersky đã ngăn chặn hơn 300.000 cuộc tấn công ransomware đánh cắp dữ liệu doanh nghiệp trong năm ...

Sự sơ suất của nhân viên đáng lo ngại kh...

28/02/2023 08:00:00 444
Rò rỉ dữ liệu do tấn công mạng hoặc do nhân viên là những vấn đề bảo mật gây quan ngại nhất đối với ...

Người máy cũng bị sa thải hàng loạt theo...

28/02/2023 12:00:00 361
Google được cho là đã đóng cửa Everyday Robots, một công ty con chuyên sản xuất robot để làm nhiệm v...

Kaspersky tiết lộ các thuật ngữ an ninh ...

27/02/2023 07:00:00 590
Theo khảo sát từ Kaspersky, một phần tư trong số các quản lý cấp cao từ các doanh nghiệp ở Đông Nam ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ