[BQT] Theo khảo sát của Security365 hiện có hơn 100 máy chủ Exchange Server bị lỗi bảo mật rất nguy hiểm trên máy chủ Exchange Server và đứng đầu là CVE-2021-26855 , sau đó là CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065 có thể bị tấn công. Mặc dù kết quả này không phải là kết qủa cuối cùng vì chúng tôi không được phép kiểm tra sâu hơn, cho nên doanh nghiệp hay tổ chức nào cần kiểm tra bảo mật về sự tồn tại của lổ hỗng này hãy liên hệ qua địa chỉ email dongduongict@gmail.com, hoặc tham khảo cách hướng dẫn của Microsoft tại đây với công cụ bổ sung dùng trên Powershell hay NMAP Script NSE tại đây để tự kiểm tra (nên tự kiểm tra). Ngoài ra, các admin có thể cài đặt Nessus , Qualys và cập nhật các plugin để dò quét một cách chủ động.

Cách dùng Qualys để quét online

Cách sử dụng Nessus

Deme cách dùng nmap nse để dò tìm lỗi bảo mật

Hôm thứ Sáu, Microsoft đã cảnh báo về các cuộc tấn công khai thác Máy chủ Exchange chưa được vá do nhiều nhóm hacker thực hiện, vì chiến dịch tấn công được cho là đã lây nhiễm cho hàng chục nghìn doanh nghiệp, tổ chức chính phủ ở Mỹ, châu Á và châu Âu.

Microsoft  cho biết “họ tiếp tục thấy việc sử dụng các lỗ hổng này ngày càng tăng trong các cuộc tấn công nhắm mục tiêu vào các hệ thống chưa được vá bởi nhiều tác nhân độc hại ngoài HAFNIUM”, báo hiệu một sự leo thang rằng các vi phạm không còn “giới hạn và nhắm mục tiêu” như thông báo trước đây.

Theo nhà báo độc lập về an ninh mạng Brian Krebs , ít nhất 30.000 máy chủ email trên khắp nước Mỹ – chủ yếu là các doanh nghiệp nhỏ và chính quyền địa phương – đã bị xâm nhập bởi một nhóm người Trung Quốc “hung hăng bất thường” đã để ý và đánh cắp email từ các tổ chức nạn nhân. bằng cách khai thác các lỗ hổng chưa được tiết lộ trước đây trong Exchange Server.

Các nạn nhân cũng đang được báo cáo từ bên ngoài Hoa Kỳ, với hệ thống email của các doanh nghiệp ở Na Uy , Cộng hòa Séc và Hà Lan bị ảnh hưởng trong một loạt các vụ tấn công lạm dụng lỗ hổng bảo mật. Cơ quan An ninh Quốc gia Na Uy cho biết họ đã thực hiện quét lỗ hổng địa chỉ IP tại nước này để xác định các máy chủ Exchange dễ bị tấn công và “liên tục thông báo cho các công ty này.”

Quy mô khổng lồ của cuộc tấn công đang diễn ra nhằm vào các máy chủ email của Microsoft làm lu mờ trào lưu hack SolarWinds xuất hiện vào tháng 12 năm ngoái, được cho là đã nhắm mục tiêu tới 18.000 khách hàng của nhà cung cấp công cụ quản lý CNTT. Nhưng giống như với vụ hack SolarWinds, những kẻ tấn công có khả năng chỉ truy lùng các mục tiêu có giá trị cao dựa trên sự trinh sát ban đầu của các máy nạn nhân.

Việc khai thác thành công các lỗ hổng cho phép kẻ thù đột nhập vào Máy chủ Microsoft Exchange trong môi trường mục tiêu và sau đó cài đặt các cửa hậu trái phép dựa trên web để tạo điều kiện truy cập lâu dài. Với nhiều tác nhân đe dọa tận dụng các lỗ hổng zero-day này, các hoạt động sau khai thác dự kiến ​​sẽ khác nhau giữa nhóm này với nhóm khác dựa trên động cơ của họ.

Đứng đầu trong số các lỗ hổng là CVE-2021-26855, còn được gọi là “ProxyLogon” (không có kết nối với ZeroLogon), cho phép kẻ tấn công bỏ qua xác thực của Máy chủ Microsoft Exchange tại chỗ có thể nhận các kết nối không đáng tin cậy từ một nguồn bên ngoài trên cổng 443. Tiếp theo là việc khai thác CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065 sau xác thực, cho phép bên độc hại có được quyền truy cập từ xa.

Công ty an ninh mạng Đài Loan Devcore, đã bắt đầu kiểm tra nội bộ về bảo mật của Exchange Server, đã lưu ý trong một dòng thời gian rằng họ đã phát hiện ra CVE-2021-26855 ban đầu vào ngày 10 tháng 12 năm 2020, tiếp theo là phát hiện ra CVE-2021-27065 vào ngày 20 tháng 12. Sau khi chuỗi. công ty cho biết họ đã báo cáo vấn đề cho Microsoft vào ngày 5 tháng 1 năm 2021, cho biết Microsoft có gần hai tháng để phát hành bản sửa lỗi.

Bốn vấn đề bảo mật được đề cập đã được Microsoft vá như một phần của bản cập nhật bảo mật ngoài lệ khẩn cấp vào thứ Ba tuần trước, đồng thời cảnh báo rằng “nhiều tổ chức quốc gia và nhóm tội phạm sẽ di chuyển nhanh chóng để tận dụng bất kỳ hệ thống chưa được vá lỗi nào.”

Thực tế là Microsoft cũng đã vá Exchange Server 2010 cho thấy rằng các lỗ hổng đã ẩn trong mã hơn mười năm.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo khẩn cấp về “hoạt động khai thác tích cực” các lỗ hổng, kêu gọi các cơ quan chính phủ đang chạy các phiên bản Exchange Server có lỗ hổng bảo mật cập nhật phần mềm hoặc ngắt kết nối sản phẩm khỏi mạng của họ.

“CISA nhận thức được việc khai thác rộng rãi trong nước và quốc tế đối với các lỗ hổng Microsoft Exchange Server và thúc giục quét nhật ký Exchange Server bằng công cụ phát hiện IoC của Microsoft để giúp xác định thỏa hiệp hay xâm phạm”, cơ quan này đã tweet vào ngày 6 tháng 3.

Cần lưu ý rằng việc chỉ cài đặt các bản vá do Microsoft phát hành sẽ không ảgiải quyết tận gốc vấn đề. Nếu như các tổ chức đã bị xâm phạm để triển khai web shell và các công cụ sau khai thác khác tiếp tục có nguy cơ bị xâm phạm trong tương lai cho đến khi các phần mềm tạo tác hoàn toàn bị loại bỏ khỏi mạng của họ.

Những phát hiện khác

Nhóm tình báo về mối đe dọa Mandiant của FireEye cho biết họ “đã quan sát thấy nhiều trường hợp lạm dụng Microsoft Exchange Server trong ít nhất một môi trường khách” kể từ đầu năm. Công ty an ninh mạng Volexity, một trong những công ty được cho là đã phát hiện ra các lỗ hổng, cho biết các chiến dịch xâm nhập dường như đã bắt đầu vào khoảng ngày 6 tháng 1 năm 2021.

Không có nhiều thông tin về danh tính của những kẻ tấn công, ngoại trừ việc Microsoft chủ yếu gán các vụ khai thác với độ tin cậy cao cho một nhóm mà họ gọi là Hafnium, một nhóm có kỹ năng được chính phủ hậu thuẫn hoạt động bên ngoài Trung Quốc. Mandiant đang theo dõi hoạt động xâm nhập trong ba cụm, UNC2639, UNC2640 và UNC2643, cho biết thêm họ hy vọng con số sẽ tăng lên khi phát hiện nhiều cuộc tấn công hơn.

Trong một tuyên bố với Reuters , một phát ngôn viên của chính phủ Trung Quốc phủ nhận nước này đứng sau các vụ xâm nhập.

Katie Nickels, giám đốc bộ phận tình báo về mối đe dọa tại Red Canary cho biết: “Có ít nhất năm nhóm hoạt động khác nhau đang khai thác các lỗ hổng bảo mật,” Katie Nickels, giám đốc tình báo về mối đe dọa tại Red Canary, đồng thời lưu ý sự khác biệt về kỹ thuật và cơ sở hạ tầng so với của Hafnium.

Trong một trường hợp cụ thể, công ty an ninh mạng trên đã quan sát thấy một số khách hàng bị xâm nhập máy chủ Exchange đã được triển khai với một phần mềm khai thác tiền điện tử có tên là DLTminer , một phần mềm độc hại được Carbon Black ghi lại vào năm 2019.

Nickels nói: “Một khả năng là các đối thủ của Hafnium đã chia sẻ hoặc bán mã khai thác, dẫn đến việc các nhóm khác có thể khai thác các lỗ hổng này. “Một điều khác là các đối thủ có thể đã thiết kế ngược các bản vá do Microsoft phát hành để tìm ra cách khai thác các lỗ hổng một cách độc lập.”

Hướng dẫn Giảm thiểu Sự cố của Microsoft

Bên cạnh việc tung ra các bản sửa lỗi, Microsoft đã xuất bản hướng dẫn giảm thiểu thay thế mới để giúp khách hàng Exchange cần thêm thời gian để vá các triển khai của họ, ngoài việc đưa ra bản cập nhật mới cho công cụ Microsoft Safety Scanner (MSERT) để phát hiện web shell và phát hành kịch bản để kiểm tra các chỉ số HAFNIUM về sự xâm phạm. Chúng có thể được tìm thấy ở đây .

Mat Gangwer, giám đốc cấp cao về ứng phó mối đe dọa được quản lý tại Sophos cho biết: “Những lỗ hổng này là đáng kể và cần phải được xem xét nghiêm túc. “Chúng cho phép những kẻ tấn công thực hiện các lệnh từ xa trên các máy chủ này mà không cần thông tin xác thực và bất kỳ tác nhân đe dọa nào cũng có thể lạm dụng chúng.”

“Việc cài đặt rộng rãi Exchange và khả năng tiếp xúc với internet của nó có nghĩa là nhiều tổ chức đang sử dụng máy chủ Exchange tại chỗ có thể gặp rủi ro,” Gangwer nói thêm.

BQT Security365 / Đông Dương

Admin Đại Ngọc Sơn