Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

www.tuoitre.vn -   24/03/2021 12:00:00 791

Thông tin về các lỗ hổng trên Exchange Server

Các lỗ hổng nghiêm trọng này, được gọi chung là ProxyLogon, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Tuy nhiên, Exchange Online lại không chịu tác động. Danh sách cụ thể như sau:

Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange

CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý

CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

Nếu được sử dụng trong một chuỗi tấn công, tất cả các lỗ hổng này có thể dẫn đến hành vi thực thi mã từ xa (RCE), chiếm quyền điều khiển máy chủ, backdoor, đánh cắp dữ liệu và khả năng triển khai thêm phần mềm độc hại.

Tóm lại, Microsoft cho biết những kẻ tấn công có thể truy cập an toàn vào Exchange Server thông qua các lỗi này hoặc thông tin đăng nhập bị đánh cắp. Và sau đó, chúng có thể tạo một web shell để chiếm quyền điều khiển hệ thống và thực thi các lệnh từ xa.

“Các lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng tạo kết nối không đáng tin cậy đến cổng máy chủ Exchange 443. Điều này có thể được đối phó bằng cách hạn chế các kết nối tạm hoặc bằng cách thiết lập VPN để tách máy chủ Exchange khỏi những truy cập bên ngoài.

Phần 2: Những điều cần biết về vụ tấn công nghiêm trọng Microsoft Exchange Server

Việc sử dụng biện pháp giảm thiểu này sẽ chỉ giúp bảo vệ khỏi phần ban đầu của cuộc tấn công. Các phần khác của chuỗi có thể được kích hoạt nếu kẻ tấn công đã có quyền truy cập hoặc có thể thuyết phục (đánh lừa) quản trị viên hệ thống chạy một tệp độc hại”.

Microsoft cho biết, khi dò theo dấu vết các cuộc tấn công sử dụng lỗ hổng zero-day, khả năng cao là chúng được thực hiện bởi Hafnium, một nhóm hacker APT có kỹ năng cao và tinh vi.

Hafnium sử dụng VPS đặt tại Mỹ để cố gắng che giấu vị trí thực sự của mình. Những đối tượng bị nhóm này nhắm mục tiêu trước đây bao gồm các tổ chức tư vấn, tổ chức phi lợi nhuận, nhà thầu quốc phòng và tổ chức nghiên cứu.

Vào ngày 10/03, ESET cho biết 10 nhóm APT đã góp mặt các cuộc tấn công khai thác lỗ hổng Exchange Server, bao gồm LuckyMouse, Tick, Winnti Group và Calypso.

Theo The Hacker News

 

TIN CÙNG CHUYÊN MỤC

Lưu ý cập nhật ngay bản vá lỗ hổng Googl...

01/12/2023 12:00:00 19
Điều khiến lỗ hổng trở nên tồi tệ nằm ở thực tế là nó hiện đang bị khai thác ngoài thực tế chứ không...

Apple tung ra bản vá iOS, macOS và Safar...

30/11/2023 08:00:00 22
Apple đã phát hành bản cập nhật phần mềm cho trình duyệt web iOS, iPadOS, macOS và Safari để giải qu...

Microsoft mặc định cài ứng dụng HP Smart...

30/11/2023 12:00:00 17
Cũng cần lưu ý rằng chương trình này dường như đến từ một nguồn hợp pháp, vì vậy sự hiện diện của nó...

Phần mềm độc hại Android FjordPhantom mớ...

29/11/2023 08:00:00 34
Các nhà nghiên cứu an ninh mạng đã tiết lộ một phần mềm độc hại Android tinh vi mới có tên FjordPhan...

Google Chrome đang bị tấn công tích cực,...

29/11/2023 08:00:00 20
Google đã tung ra các bản cập nhật bảo mật để khắc phục bảy vấn đề bảo mật trong trình duyệt Chrome ...

3 lưu ý trước khi xóa trình quản lý mật ...

29/11/2023 12:00:00 11
Nếu bạn muốn sử dụng một phương thức lưu trữ mật khẩu khác hoặc muốn giao diện của một ứng dụng khác...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ