-
09/04/2020
-
85
-
552 bài viết
Máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo về những nỗ lực khai thác tích cực các lỗ hổng Microsoft Exchange ProxyShell kèm theo cả việc triển khai ransomware LockFile trên các hệ thống bị xâm nhập. Các lỗ hổng này đã từng được vá hồi tháng 5.
Các lỗ hổng có mã định danh là CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207. Chúng cho phép kẻ tấn công qua mặt các kiểm soát ACL, leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực hiện mã từ xa không cần xác thực.
Bản vá cho CVE-2021-34473 và CVE-2021-34523 đã được Microsoft cập nhật vào ngày 13 tháng 4. Còn bản vá cho CVE-2021-31207 cũng đã được cập nhật trong Patch Tuesday hồi tháng 5.
Chiến dịch khai thác của hacker diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.
ProxyShell, cùng với ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật của DEVCORE, Orange Tsai. Trong đó, ProxyOracle liên quan đến hai lỗi thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.
Hiện nay, theo các nhà nghiên cứu từ Huntress Labs, ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng, với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 đến ngày 18 tháng 8. Các Web shell giúp kẻ tấn công giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của hacker là gì và các lỗ hổng đã bị khai thác đến mức độ nào
Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchange hiện chưa được vá lỗi - Giám đốc điều hành Huntress Labs - Kyle Hanslovan – cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng..."
Các bạn có thể xem PoC cách thức khai thác lỗ hổng tại đây:
Các lỗ hổng có mã định danh là CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207. Chúng cho phép kẻ tấn công qua mặt các kiểm soát ACL, leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực hiện mã từ xa không cần xác thực.
Bản vá cho CVE-2021-34473 và CVE-2021-34523 đã được Microsoft cập nhật vào ngày 13 tháng 4. Còn bản vá cho CVE-2021-31207 cũng đã được cập nhật trong Patch Tuesday hồi tháng 5.
Chiến dịch khai thác của hacker diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.
ProxyShell, cùng với ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật của DEVCORE, Orange Tsai. Trong đó, ProxyOracle liên quan đến hai lỗi thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.
Hiện nay, theo các nhà nghiên cứu từ Huntress Labs, ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng, với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 đến ngày 18 tháng 8. Các Web shell giúp kẻ tấn công giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của hacker là gì và các lỗ hổng đã bị khai thác đến mức độ nào
Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchange hiện chưa được vá lỗi - Giám đốc điều hành Huntress Labs - Kyle Hanslovan – cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng..."
Các bạn có thể xem PoC cách thức khai thác lỗ hổng tại đây:
Nguồn: Thehackernews
Chỉnh sửa lần cuối: