-
30/08/2016
-
317
-
446 bài viết
Lỗ hổng ProxyNotShell bị tin tặc tích cực khai thác trên không gian mạng
Đoạn mã khai thác lỗ hổng trên Exchange đã được lan truyền đang bị khai thác rộng rãi vì có mức độ ảnh hưởng nghiêm trọng trên sản phẩm của Microsoft Exchange, dưới tên gọi ProxyNotShell. Hai lỗ hổng CVE-2022-41082 và CVE-2022-41040, ảnh hưởng đến Microsoft Exchange Server 2013, 2016 và 2019 và cho phép kẻ tấn công leo thang đặc quyền để thực thi PowerShell trong bối cảnh của hệ thống và toàn quyền thực thi mã tùy ý hoặc kiểm soát từ xa trên các máy chủ bị chiếm.
Microsoft đã phát hành các bản cập nhật an ninh để giải quyết hai lỗ hổng trong bản vá tháng 11/2022, mặc dù các cuộc tấn công ProxyNotShell đã được phát hiện từ tháng 9/2022.
Một tuần sau khi Microsoft phát hành các bản cập nhật ProxyNotShell, nhà nghiên cứu bảo mật Janggggg công bố PoC đã sử dụng để tấn công các máy chủ Exchange backdoor.
Will Dormann - chuyên gia phân tích lỗ hổng an ninh tại ANALYGENCE - đã thử nghiệm khai thác và xác nhận rằng có thể tấn công các hệ thống chạy Exchange Server 2016 và 2019 cũng như Exchange Server 2013.
Trung Tâm tình báo Threat intelligence của GreyNoise đã theo dõi việc khai thác ProxyNotShell từ cuối tháng 9 và cung cấp thông tin về hoạt động rà quét ProxyNotShell, danh sách các địa chỉ IP được liên kết với các cuộc tấn công này.
Những kẻ tấn công đã kết hợp hai lỗ hổng để xây dựng webshell trên các máy chủ bị xâm nhập để duy trì và đánh cắp dữ liệu, cũng như cho "lây lan" bên trong mạng của nạn nhân kể từ tháng 9/2022.
Redmond cũng xác nhận sau khi bản vá được phát hành rằng họ nhận thức được các cuộc tấn công bằng cách kết hợp hai lỗ hổng để khai thác vào hệ thống của người dùng và khuyến nghị khách hàng cài đặt các bản cập nhật này ngay lập tức để được bảo vệ.
Một tuần sau khi Microsoft phát hành các bản cập nhật ProxyNotShell, nhà nghiên cứu bảo mật Janggggg công bố PoC đã sử dụng để tấn công các máy chủ Exchange backdoor.
Will Dormann - chuyên gia phân tích lỗ hổng an ninh tại ANALYGENCE - đã thử nghiệm khai thác và xác nhận rằng có thể tấn công các hệ thống chạy Exchange Server 2016 và 2019 cũng như Exchange Server 2013.
Trung Tâm tình báo Threat intelligence của GreyNoise đã theo dõi việc khai thác ProxyNotShell từ cuối tháng 9 và cung cấp thông tin về hoạt động rà quét ProxyNotShell, danh sách các địa chỉ IP được liên kết với các cuộc tấn công này.
Những kẻ tấn công đã kết hợp hai lỗ hổng để xây dựng webshell trên các máy chủ bị xâm nhập để duy trì và đánh cắp dữ liệu, cũng như cho "lây lan" bên trong mạng của nạn nhân kể từ tháng 9/2022.
Redmond cũng xác nhận sau khi bản vá được phát hành rằng họ nhận thức được các cuộc tấn công bằng cách kết hợp hai lỗ hổng để khai thác vào hệ thống của người dùng và khuyến nghị khách hàng cài đặt các bản cập nhật này ngay lập tức để được bảo vệ.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối: