-
NTS tiếp sức tới trường lan toả niềm vui đến các e...
-
Các mối đe dọa trực tuyến tại Việt Nam giảm mạnh t...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server
Thông tin về các lỗ hổng trên Exchange Server
Các lỗ hổng nghiêm trọng này, được gọi chung là ProxyLogon, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Tuy nhiên, Exchange Online lại không chịu tác động. Danh sách cụ thể như sau:
CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange
CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý
CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
Nếu được sử dụng trong một chuỗi tấn công, tất cả các lỗ hổng này có thể dẫn đến hành vi thực thi mã từ xa (RCE), chiếm quyền điều khiển máy chủ, backdoor, đánh cắp dữ liệu và khả năng triển khai thêm phần mềm độc hại.
Tóm lại, Microsoft cho biết những kẻ tấn công có thể truy cập an toàn vào Exchange Server thông qua các lỗi này hoặc thông tin đăng nhập bị đánh cắp. Và sau đó, chúng có thể tạo một web shell để chiếm quyền điều khiển hệ thống và thực thi các lệnh từ xa.
“Các lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng tạo kết nối không đáng tin cậy đến cổng máy chủ Exchange 443. Điều này có thể được đối phó bằng cách hạn chế các kết nối tạm hoặc bằng cách thiết lập VPN để tách máy chủ Exchange khỏi những truy cập bên ngoài.
Việc sử dụng biện pháp giảm thiểu này sẽ chỉ giúp bảo vệ khỏi phần ban đầu của cuộc tấn công. Các phần khác của chuỗi có thể được kích hoạt nếu kẻ tấn công đã có quyền truy cập hoặc có thể thuyết phục (đánh lừa) quản trị viên hệ thống chạy một tệp độc hại”.
Microsoft cho biết, khi dò theo dấu vết các cuộc tấn công sử dụng lỗ hổng zero-day, khả năng cao là chúng được thực hiện bởi Hafnium, một nhóm hacker APT có kỹ năng cao và tinh vi.
Hafnium sử dụng VPS đặt tại Mỹ để cố gắng che giấu vị trí thực sự của mình. Những đối tượng bị nhóm này nhắm mục tiêu trước đây bao gồm các tổ chức tư vấn, tổ chức phi lợi nhuận, nhà thầu quốc phòng và tổ chức nghiên cứu.
Vào ngày 10/03, ESET cho biết 10 nhóm APT đã góp mặt các cuộc tấn công khai thác lỗ hổng Exchange Server, bao gồm LuckyMouse, Tick, Winnti Group và Calypso.
Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Các mối đe dọa trực tuyến tại Việt Nam g...
Kaspersky ra mắt nền tảng XDR chống lại ...
Ransomware là mối đe dọa hàng đầu đối vớ...
Sự sơ suất của nhân viên đáng lo ngại kh...
Người máy cũng bị sa thải hàng loạt theo...
Kaspersky tiết lộ các thuật ngữ an ninh ...
-
Thông báo danh sách người trúng thưởng chương trìn...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
NTS tiếp sức tới trường lan toả niềm vui đến các e...
-
NTS tiếp sức tới trường lan toả niềm vui đến các e...
-
Các mối đe dọa trực tuyến tại Việt Nam giảm mạnh t...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
TAGS
LIÊN HỆ
