Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 25/06/20, 11:06 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,068
    Đã được thích: 493
    Điểm thành tích:
    83
    Microsoft-Exchange_(3).jpg
    Microsoft vừa phát đi cảnh báo về việc tin tặc đang tăng cường khai thác lỗ hổng thực thi mã từ xa trong các máy chủ Exchange. Lỗ hổng bị tin tặc khai thác là CVE-2020-0688. Microsoft đã tung ra bản vá an ninh cho lỗ hổng này từ tháng 2/2020. Chi tiết kỹ thuật và PoC của lỗ hổng đã được tiết lộ do vậy không khó để tin tặc có thể phát triển các công cụ để khai thác lỗ hổng này. Dưới đây là bản tóm tắt các chi tiết kỹ thuật của lỗ hổng (CVE-2020-0688):

    • Trong quá trình cài đặt, máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập bảng điều khiển Exchange. Điều này có nghĩa là tất cả máy chủ email Microsoft Exchange được phát hành trong hơn 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey) cho phần backend của bảng điều khiển.

    • Kẻ tấn công có thể gửi các yêu cầu không đúng định dạng đến bảng điều khiển Exchange với dữ liệu serialized độc hại.

    • Vì tin tặc biết các khóa mã hóa của bảng điều khiển, chúng có thể khiến dữ liệu serialized được unserialized, dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.

    • Mã độc chạy với các đặc quyền hệ thống, cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.


    Theo quan sát của nhóm bảo mật từ Microsoft, tin tặc bắt đầu khai thác mạnh lỗ hổng này từ tháng 4/2020 bằng nhiều công nghệ tiên tiến nhằm vượt qua cơ chế bảo mật và triển khai webshell trên hệ thống mục tiêu.

    Để khai thác lỗ hổng trong các máy chủ Exchange, tin tặc thường sử dụng phương thức tấn công phi kỹ thuật (social engineering) hoặc lừa người dùng của một tổ chức tải file độc hại về để đánh cắp tài khoản người dùng, từ đó xâm nhập vào mạng tổ chức và chiếm quyền kiểm soát các máy chủ Exchange. Tuy nhiên, gần đây, tin tặc đang tìm cách dò quét và khai thác trên các máy chủ Exchange chưa cập nhật bản vá an ninh của Microsoft.

    Exchange server attach chain.jpg

    Theo thống kê của Microsoft, tính đến tháng 4/2020, hơn 82% máy chủ Exchange chưa được cập nhật bản vá. Trước đó, Microsoft cũng cảnh bảo hacker đang khai thác lỗ hổng này để chạy mã độc đào tiền ảo.

    Vì máy chủ Exchange là mục tiêu có giá trị cao trong môi trường doanh nghiệp và tin tặc sử dụng các kỹ thuật tiên tiến, không lưu lại dấu vết để khai thác nên đây phải là thiết bị đứng đầu danh sách các tài sản quan trọng nhất cần bảo vệ.

    Microsoft khuyến cáo khách hàng luôn cập nhật phiên bản mới nhất của các máy chủ Exchange, sử dụng các giải pháp chống phần mềm độc hại, đảm bảo rằng các nhóm và vai trò (roles) thường xuyên được kiểm tra để nhận biết các hành động thêm hoặc xóa đáng ngờ, hạn chế quyền truy cập bằng cách áp dụng nguyên tắc đặc quyền tối thiểu và điều tra ngay lập tức khi có cảnh báo.

    Theo: Microsoft
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. DDos
  2. DDos
  3. WhiteHat News #ID:0911
  4. WhiteHat Team
  5. WhiteHat Team