WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Nhiều nhóm hacker đang tấn công máy chủ Microsoft Exchange
Các nhóm hacker được nhà nước bảo trợ đang khai thác lỗ hổng trong các máy chủ email Microsoft Exchange mà Microsoft đã vá trong Patch Tuesday tháng 2 năm 2020.
Các nỗ lực khai thác được phát hiện bởi công ty an ninh mạng Volexity của Anh vào thứ Sáu tuần trước. Tuy nhiên, Volexity không chia sẻ tên của các nhóm hacker đang khai thác lỗ hổng này.
Lỗ hổng trong Microsoft Exchange
Dưới đây là bản tóm tắt các chi tiết kỹ thuật của lỗ hổng (CVE-2020-0688):
• Trong quá trình cài đặt, máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập bảng điều khiển Exchange.
• Điều này có nghĩa là tất cả máy chủ email Microsoft Exchange được phát hành trong hơn 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey) cho phần backend của bảng điều khiển.
• Kẻ tấn công có thể gửi các yêu cầu không đúng định dạng đến bảng điều khiển Exchange với dữ liệu serialized độc hại.
• Vì tin tặc biết các khóa mã hóa của bảng điều khiển, chúng có thể đảm bảo dữ liệu serialized được unserialized, dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.
• Mã độc chạy với các đặc quyền hệ thống, cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.
Microsoft đã phát hành bản vá cho lỗ hổng này vào ngày 11 tháng 2, khi đó hãng cũng cảnh báo các quản trị hệ thống cài đặt bản sửa lỗi càng sớm càng tốt, dự đoán các cuộc tấn công trong tương lai.
Không có gì xảy ra trong gần hai tuần sau đó. Tuy nhiên, mọi thứ đã leo thang vào cuối tháng, khi nhóm Zero-Day Initiative, đơn vị đã báo cáo lỗi này cho Microsoft, xuất bản một báo cáo kỹ thuật chi tiết lỗi và cách thức hoạt động của lỗ hổng.
Báo cáo được dùng như một hướng dẫn cho các nhà nghiên cứu an ninh tạo ra proof-of-concept để kiểm tra máy chủ của họ. Ít nhất ba trong số các PoC này đã được tìm thấy trên GitHub.
Cũng giống như trong nhiều trường hợp khác, một khi các chi tiết kỹ thuật và PoC được công khai, tin tặc cũng bắt đầu chú ý.
Vào ngày 26 tháng 2, một ngày sau khi báo cáo chi tiết về lỗ hổng được phát hành, các nhóm tin tặc bắt đầu rà quét Internet tìm kiếm các máy chủ Exchange. Các bản quét đầu tiên được phát hiện bởi công ty Bad Packets.
Và giờ, theo Volexity, các bản quét tìm kiếm máy chủ Exchange đã biến thành các cuộc tấn công thực tế.
Lỗ hổng đã được sử dụng trong các cuộc tấn công APT. Các nhà nghiên cứu cũng dự đoán rằng lỗi này sẽ trở nên phổ biến với các băng đảng ransomware thường xuyên nhắm vào các mạng doanh nghiệp.
Vũ khí hóa các thông tin đăng nhập “vô dụng” trước đó
Lỗ hổng Exchange này không dễ khai thác. Các chuyên gia không thấy lỗi này bị lạm dụng bởi các kiddies script (thuật ngữ được dùng để mô tả các tin tặc cấp thấp, không có kỹ năng).
Để khai thác lỗi Exchange CVE-2020-0688, tin tặc cần thông tin đăng nhập cho tài khoản email trên máy chủ Exchange - thứ mà các kiddies script thường không có.
Lỗ hổng CVE-2020-0688 là một lỗi được gọi là lỗi sau xác thực. Trước tiên, tin tặc cần đăng nhập và sau đó chạy payload độc hại chiếm quyền điều khiển máy chủ email của nạn nhân.
Với điều kiện hạn chế này, chỉ các nhóm APT và ransomware là có khả năng vì họ thường dành phần lớn thời gian để khởi động các chiến dịch lừa đảo, sau đó có được thông tin email nhân viên của công ty.
Nếu một tổ chức thực thi xác thực hai yếu tố (2FA) cho tài khoản email, những thông tin đó về cơ bản là vô dụng vì tin tặc không thể vượt qua 2FA.
Lỗi CVE-2020-0688 cho phép các APT tìm thấy mục đích cho các tài khoản cũ hơn được bảo vệ bởi 2FA mà họ đã chiếm đoạt được nhiều tháng hoặc nhiều năm trước đó.
Họ có thể sử dụng bất kỳ thông tin đăng nhập cũ nào như một phần để khai thác CVE-2020-0688 mà không cần phải vượt qua 2FA, nhưng vẫn chiếm quyền máy chủ Exchange của nạn nhân.
Do đó, các tổ chức được khuyến cáo cập nhật máy chủ email Exchange của họ với bản cập nhật bảo mật tháng 2 năm 2020 càng sớm càng tốt.
Tất cả các máy chủ Microsoft Exchange được coi là dễ bị tấn công, ngay cả các phiên bản đã kết thúc vòng đời (EoL). Đối với các phiên bản EoL, các tổ chức nên xem xét cập nhật lên phiên bản Exchange mới hơn. Nếu cập nhật máy chủ Exchange không phải là một tùy chọn, các công ty nên buộc thiết lập lại mật khẩu cho tất cả các tài khoản Exchange.
Trước đó, Cục An toàn thông tin đã cảnh báo nguy cơ tấn công mạng vào các máy chủ thư điện tử sử dụng Microsoft Exchange. Trong thông tin cảnh báo mới phát ra, Cục An toàn thông tin (Bộ TT&TT) đề nghị các cơ quan, đơn vị rà soát các máy chủ có cài đặt Microsoft để phát hiện và xử lý kịp thời các máy chủ có khả năng đã bị đối tượng tấn công khai thác qua lỗ hổng “CVE-2020-0688”.
Các nỗ lực khai thác được phát hiện bởi công ty an ninh mạng Volexity của Anh vào thứ Sáu tuần trước. Tuy nhiên, Volexity không chia sẻ tên của các nhóm hacker đang khai thác lỗ hổng này.
Lỗ hổng trong Microsoft Exchange
Dưới đây là bản tóm tắt các chi tiết kỹ thuật của lỗ hổng (CVE-2020-0688):
• Trong quá trình cài đặt, máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập bảng điều khiển Exchange.
• Điều này có nghĩa là tất cả máy chủ email Microsoft Exchange được phát hành trong hơn 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey) cho phần backend của bảng điều khiển.
• Kẻ tấn công có thể gửi các yêu cầu không đúng định dạng đến bảng điều khiển Exchange với dữ liệu serialized độc hại.
• Vì tin tặc biết các khóa mã hóa của bảng điều khiển, chúng có thể đảm bảo dữ liệu serialized được unserialized, dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.
• Mã độc chạy với các đặc quyền hệ thống, cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.
Microsoft đã phát hành bản vá cho lỗ hổng này vào ngày 11 tháng 2, khi đó hãng cũng cảnh báo các quản trị hệ thống cài đặt bản sửa lỗi càng sớm càng tốt, dự đoán các cuộc tấn công trong tương lai.
Không có gì xảy ra trong gần hai tuần sau đó. Tuy nhiên, mọi thứ đã leo thang vào cuối tháng, khi nhóm Zero-Day Initiative, đơn vị đã báo cáo lỗi này cho Microsoft, xuất bản một báo cáo kỹ thuật chi tiết lỗi và cách thức hoạt động của lỗ hổng.
Báo cáo được dùng như một hướng dẫn cho các nhà nghiên cứu an ninh tạo ra proof-of-concept để kiểm tra máy chủ của họ. Ít nhất ba trong số các PoC này đã được tìm thấy trên GitHub.
Cũng giống như trong nhiều trường hợp khác, một khi các chi tiết kỹ thuật và PoC được công khai, tin tặc cũng bắt đầu chú ý.
Vào ngày 26 tháng 2, một ngày sau khi báo cáo chi tiết về lỗ hổng được phát hành, các nhóm tin tặc bắt đầu rà quét Internet tìm kiếm các máy chủ Exchange. Các bản quét đầu tiên được phát hiện bởi công ty Bad Packets.
Và giờ, theo Volexity, các bản quét tìm kiếm máy chủ Exchange đã biến thành các cuộc tấn công thực tế.
Lỗ hổng đã được sử dụng trong các cuộc tấn công APT. Các nhà nghiên cứu cũng dự đoán rằng lỗi này sẽ trở nên phổ biến với các băng đảng ransomware thường xuyên nhắm vào các mạng doanh nghiệp.
Vũ khí hóa các thông tin đăng nhập “vô dụng” trước đó
Lỗ hổng Exchange này không dễ khai thác. Các chuyên gia không thấy lỗi này bị lạm dụng bởi các kiddies script (thuật ngữ được dùng để mô tả các tin tặc cấp thấp, không có kỹ năng).
Để khai thác lỗi Exchange CVE-2020-0688, tin tặc cần thông tin đăng nhập cho tài khoản email trên máy chủ Exchange - thứ mà các kiddies script thường không có.
Lỗ hổng CVE-2020-0688 là một lỗi được gọi là lỗi sau xác thực. Trước tiên, tin tặc cần đăng nhập và sau đó chạy payload độc hại chiếm quyền điều khiển máy chủ email của nạn nhân.
Với điều kiện hạn chế này, chỉ các nhóm APT và ransomware là có khả năng vì họ thường dành phần lớn thời gian để khởi động các chiến dịch lừa đảo, sau đó có được thông tin email nhân viên của công ty.
Nếu một tổ chức thực thi xác thực hai yếu tố (2FA) cho tài khoản email, những thông tin đó về cơ bản là vô dụng vì tin tặc không thể vượt qua 2FA.
Lỗi CVE-2020-0688 cho phép các APT tìm thấy mục đích cho các tài khoản cũ hơn được bảo vệ bởi 2FA mà họ đã chiếm đoạt được nhiều tháng hoặc nhiều năm trước đó.
Họ có thể sử dụng bất kỳ thông tin đăng nhập cũ nào như một phần để khai thác CVE-2020-0688 mà không cần phải vượt qua 2FA, nhưng vẫn chiếm quyền máy chủ Exchange của nạn nhân.
Do đó, các tổ chức được khuyến cáo cập nhật máy chủ email Exchange của họ với bản cập nhật bảo mật tháng 2 năm 2020 càng sớm càng tốt.
Tất cả các máy chủ Microsoft Exchange được coi là dễ bị tấn công, ngay cả các phiên bản đã kết thúc vòng đời (EoL). Đối với các phiên bản EoL, các tổ chức nên xem xét cập nhật lên phiên bản Exchange mới hơn. Nếu cập nhật máy chủ Exchange không phải là một tùy chọn, các công ty nên buộc thiết lập lại mật khẩu cho tất cả các tài khoản Exchange.
Trước đó, Cục An toàn thông tin đã cảnh báo nguy cơ tấn công mạng vào các máy chủ thư điện tử sử dụng Microsoft Exchange. Trong thông tin cảnh báo mới phát ra, Cục An toàn thông tin (Bộ TT&TT) đề nghị các cơ quan, đơn vị rà soát các máy chủ có cài đặt Microsoft để phát hiện và xử lý kịp thời các máy chủ có khả năng đã bị đối tượng tấn công khai thác qua lỗ hổng “CVE-2020-0688”.
Theo NDZet
Chỉnh sửa lần cuối: