Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server
Thông tin về các lỗ hổng trên Exchange Server
Các lỗ hổng nghiêm trọng này, được gọi chung là ProxyLogon, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Tuy nhiên, Exchange Online lại không chịu tác động. Danh sách cụ thể như sau:
CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange
CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý
CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
Nếu được sử dụng trong một chuỗi tấn công, tất cả các lỗ hổng này có thể dẫn đến hành vi thực thi mã từ xa (RCE), chiếm quyền điều khiển máy chủ, backdoor, đánh cắp dữ liệu và khả năng triển khai thêm phần mềm độc hại.
Tóm lại, Microsoft cho biết những kẻ tấn công có thể truy cập an toàn vào Exchange Server thông qua các lỗi này hoặc thông tin đăng nhập bị đánh cắp. Và sau đó, chúng có thể tạo một web shell để chiếm quyền điều khiển hệ thống và thực thi các lệnh từ xa.
“Các lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng tạo kết nối không đáng tin cậy đến cổng máy chủ Exchange 443. Điều này có thể được đối phó bằng cách hạn chế các kết nối tạm hoặc bằng cách thiết lập VPN để tách máy chủ Exchange khỏi những truy cập bên ngoài.
Việc sử dụng biện pháp giảm thiểu này sẽ chỉ giúp bảo vệ khỏi phần ban đầu của cuộc tấn công. Các phần khác của chuỗi có thể được kích hoạt nếu kẻ tấn công đã có quyền truy cập hoặc có thể thuyết phục (đánh lừa) quản trị viên hệ thống chạy một tệp độc hại”.
Microsoft cho biết, khi dò theo dấu vết các cuộc tấn công sử dụng lỗ hổng zero-day, khả năng cao là chúng được thực hiện bởi Hafnium, một nhóm hacker APT có kỹ năng cao và tinh vi.
Hafnium sử dụng VPS đặt tại Mỹ để cố gắng che giấu vị trí thực sự của mình. Những đối tượng bị nhóm này nhắm mục tiêu trước đây bao gồm các tổ chức tư vấn, tổ chức phi lợi nhuận, nhà thầu quốc phòng và tổ chức nghiên cứu.
Vào ngày 10/03, ESET cho biết 10 nhóm APT đã góp mặt các cuộc tấn công khai thác lỗ hổng Exchange Server, bao gồm LuckyMouse, Tick, Winnti Group và Calypso.
Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Lưu ý cập nhật ngay bản vá lỗ hổng Googl...
Apple tung ra bản vá iOS, macOS và Safar...
Microsoft mặc định cài ứng dụng HP Smart...
Phần mềm độc hại Android FjordPhantom mớ...
Google Chrome đang bị tấn công tích cực,...
3 lưu ý trước khi xóa trình quản lý mật ...
-
Quảng cáo Google độc hại lừa người dùng WinSCP cài...
-
DarkCasino mối đe doạ APT mới nổi đang khai thác l...
-
Tin tặc có thể khai thác Google Workspace và Cloud...
-
Cách khắc phục thông báo lỗi "Giải phóng dung lượn...
-
Cửa hàng Google Play nêu bật huy hiệu 'Đánh giá bả...
-
Bạn có thể làm gì để khắc phục lỗ hổng Zero Day củ...
-
Chương trình khuyến mãi Vòng Quay May Mắn 2023
-
Lưu ý cập nhật ngay bản vá lỗ hổng Google mới nhất
-
Apple tung ra bản vá iOS, macOS và Safari cho 2 lỗ...
-
Microsoft mặc định cài ứng dụng HP Smart trên Wind...
-
Phần mềm độc hại Android FjordPhantom mới nhắm mục...
-
Google Chrome đang bị tấn công tích cực, khai thác...
TAGS
LIÊN HỆ
