DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange
• Trong quá trình cài đặt, máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập bảng điều khiển Exchange. Điều này có nghĩa là tất cả máy chủ email Microsoft Exchange được phát hành trong hơn 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey) cho phần backend của bảng điều khiển.
• Kẻ tấn công có thể gửi các yêu cầu không đúng định dạng đến bảng điều khiển Exchange với dữ liệu serialized độc hại.
• Vì tin tặc biết các khóa mã hóa của bảng điều khiển, chúng có thể khiến dữ liệu serialized được unserialized, dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.
• Mã độc chạy với các đặc quyền hệ thống, cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.
Theo quan sát của nhóm bảo mật từ Microsoft, tin tặc bắt đầu khai thác mạnh lỗ hổng này từ tháng 4/2020 bằng nhiều công nghệ tiên tiến nhằm vượt qua cơ chế bảo mật và triển khai webshell trên hệ thống mục tiêu.
Để khai thác lỗ hổng trong các máy chủ Exchange, tin tặc thường sử dụng phương thức tấn công phi kỹ thuật (social engineering) hoặc lừa người dùng của một tổ chức tải file độc hại về để đánh cắp tài khoản người dùng, từ đó xâm nhập vào mạng tổ chức và chiếm quyền kiểm soát các máy chủ Exchange. Tuy nhiên, gần đây, tin tặc đang tìm cách dò quét và khai thác trên các máy chủ Exchange chưa cập nhật bản vá an ninh của Microsoft.
Theo thống kê của Microsoft, tính đến tháng 4/2020, hơn 82% máy chủ Exchange chưa được cập nhật bản vá. Trước đó, Microsoft cũng cảnh bảo hacker đang khai thác lỗ hổng này để chạy mã độc đào tiền ảo.
Vì máy chủ Exchange là mục tiêu có giá trị cao trong môi trường doanh nghiệp và tin tặc sử dụng các kỹ thuật tiên tiến, không lưu lại dấu vết để khai thác nên đây phải là thiết bị đứng đầu danh sách các tài sản quan trọng nhất cần bảo vệ.
Microsoft khuyến cáo khách hàng luôn cập nhật phiên bản mới nhất của các máy chủ Exchange, sử dụng các giải pháp chống phần mềm độc hại, đảm bảo rằng các nhóm và vai trò (roles) thường xuyên được kiểm tra để nhận biết các hành động thêm hoặc xóa đáng ngờ, hạn chế quyền truy cập bằng cách áp dụng nguyên tắc đặc quyền tối thiểu và điều tra ngay lập tức khi có cảnh báo.
Theo: Microsoft