WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
4 lỗi 0-Day nghiêm trọng mới được phát hiện trên Microsoft Exchange
[Cập nhật ngày 8/3]
Nhiều nguồn tin cho hay Ít nhất 30.000 tổ chức trên khắp Hoa Kỳ gồm các doanh nghiệp, tổ chức chính quyền địa phương đã bị tấn công đánh cắp email. Hacker này đang khai thác 4 lỗ hổng mới được phát hiện trong phần mềm email Microsoft Exchange Server.
-----------------------------------------
Microsoft vừa phát hành bản vá khẩn cấp cho 4 lỗi bảo mật mới phát hiện trong Exchange Server, đang bị hacker khai thác trong thực tế nhằm đánh cắp dữ liệu.
Microsoft Threat Intelligence Center (MSTIC) mô tả các cuộc tấn công là "giới hạn mục tiêu cụ thể". Hacker đã lợi dụng các lỗ hổng này để truy cập máy chủ Exchange, từ đó giành quyền truy cập vào tài khoản email và mở đường cài đặt thêm phần mềm độc hại để tạo điều kiện truy cập lâu dài.
Microsoft quy kết chiến dịch cho một nhóm hacker có tên HAFNIUM, được chính phủ Trung Quốc bảo trợ và cũng nghi ngờ các nhóm khác cũng có thể tham gia.
Microsoft cho rằng HAFNIUM là nhóm hacker "có kỹ năng cao và tinh vi", chủ yếu chọn các mục tiêu ở Mỹ để lấy thông tin nhạy cảm trong các lĩnh vực công nghiệp, bao gồm nghiên cứu bệnh truyền nhiễm, các công ty luật, các tổ chức giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ.
HAFNIUM được cho là đã dàn dựng các cuộc tấn công bằng cách tận dụng các máy chủ riêng ảo cho thuê ở Mỹ nhằm cố gắng che giấu hoạt động mình.
Cuộc tấn công có ba giai đoạn:
Giai đoạn 1: Hacker sử dụng các lỗ hổng bảo mật hoặc mật khẩu đã đánh cắp để truy cập vào máy chủ Exchange
Giai đoạn 2: Cài web shell để điều khiển máy chủ bị xâm nhập từ xa
Giai đoạn 3: Sử dụng quyền truy cập từ xa để vào hòm thư từ mạng của tổ chức và xuất dữ liệu thu thập sang các trang web chia sẻ file như MEGA.
4 lỗ hổng zero-day được các nhà nghiên cứu từ Volexity và Dubex phát hiện được sử dụng trong chuỗi tấn công gồm:
Nhận định về vụ việc, chuyên gia WhiteHat khuyến cáo quản trị hệ thống cần ngay lập tức rà soát và cập nhật bán vá để tránh nguy cơ bị tấn công, đồng thời cũng lưu ý các tổ chức nên hạn chế các kết nối không an toàn hoặc sử dụng VPN để giảm thiểu nguy cơ bị tấn công.
Ngoài các bản vá, Microsoft cũng đã cung cấp plugin nmap dùng để quét mạng cho các máy chủ Microsoft Exchange có khả năng bị tấn công.
Nhiều nguồn tin cho hay Ít nhất 30.000 tổ chức trên khắp Hoa Kỳ gồm các doanh nghiệp, tổ chức chính quyền địa phương đã bị tấn công đánh cắp email. Hacker này đang khai thác 4 lỗ hổng mới được phát hiện trong phần mềm email Microsoft Exchange Server.
-----------------------------------------
Microsoft vừa phát hành bản vá khẩn cấp cho 4 lỗi bảo mật mới phát hiện trong Exchange Server, đang bị hacker khai thác trong thực tế nhằm đánh cắp dữ liệu.
Microsoft quy kết chiến dịch cho một nhóm hacker có tên HAFNIUM, được chính phủ Trung Quốc bảo trợ và cũng nghi ngờ các nhóm khác cũng có thể tham gia.
Microsoft cho rằng HAFNIUM là nhóm hacker "có kỹ năng cao và tinh vi", chủ yếu chọn các mục tiêu ở Mỹ để lấy thông tin nhạy cảm trong các lĩnh vực công nghiệp, bao gồm nghiên cứu bệnh truyền nhiễm, các công ty luật, các tổ chức giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ.
HAFNIUM được cho là đã dàn dựng các cuộc tấn công bằng cách tận dụng các máy chủ riêng ảo cho thuê ở Mỹ nhằm cố gắng che giấu hoạt động mình.
Cuộc tấn công có ba giai đoạn:
Giai đoạn 1: Hacker sử dụng các lỗ hổng bảo mật hoặc mật khẩu đã đánh cắp để truy cập vào máy chủ Exchange
Giai đoạn 2: Cài web shell để điều khiển máy chủ bị xâm nhập từ xa
Giai đoạn 3: Sử dụng quyền truy cập từ xa để vào hòm thư từ mạng của tổ chức và xuất dữ liệu thu thập sang các trang web chia sẻ file như MEGA.
4 lỗ hổng zero-day được các nhà nghiên cứu từ Volexity và Dubex phát hiện được sử dụng trong chuỗi tấn công gồm:
- CVE-2021-26855: Lỗ hổng SSRF trong Exchange Server
- CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging
- CVE-2021-26858: Lỗ hổng ghi file trong Exchange
- CVE-2021-27065: Lỗ hổng ghi file trong Exchange
Nhận định về vụ việc, chuyên gia WhiteHat khuyến cáo quản trị hệ thống cần ngay lập tức rà soát và cập nhật bán vá để tránh nguy cơ bị tấn công, đồng thời cũng lưu ý các tổ chức nên hạn chế các kết nối không an toàn hoặc sử dụng VPN để giảm thiểu nguy cơ bị tấn công.
Ngoài các bản vá, Microsoft cũng đã cung cấp plugin nmap dùng để quét mạng cho các máy chủ Microsoft Exchange có khả năng bị tấn công.
Theo: The Hacker News
Chỉnh sửa lần cuối: