Trang chủ Bảo mật cơ bản Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange

Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange

bởi 3sThủThuật

3sthuthuat – Microsoft cảnh báo việc tin tặc khai thác lỗ hổng thực thi mã từ xa máy chủ Exchange. Lỗ hổng bị tin tặc khai thác là CVE-2020-0688. Microsoft đã tung ra bản vá an ninh cho lỗ hổng này từ tháng 2/2020.

Tin tặc đang khai thác lỗ hổng trong các server Exchange

Máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập. Nghĩa là 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey).
Kẻ tấn công gửi các yêu cầu đến bảng điều khiển Exchange với dữ liệu serialized độc hại.

Vì tin tặc biết các khóa mã hóa của bảng điều khiển, khiến dữ liệu serialized được unserialized. Dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.

Mã độc chạy với các đặc quyền hệ thống. Cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.Tin tặc bắt đầu khai thác mạnh lỗ hổng này từ tháng 4/2020 bằng nhiều công nghệ tiên tiến. Nhằm vượt qua cơ chế bảo mật và triển khai webshell trên hệ thống mục tiêu.
Để khai thác lỗ hổng trong các máy chủ Exchange. Tin tặc thường sử dụng phương thức tấn công phi kỹ thuật (social engineering). Hoặc lừa người dùng của một tổ chức tải file độc hại về để đánh cắp tài khoản người dùng.

Từ đó xâm nhập vào mạng tổ chức và chiếm quyền kiểm soát các máy chủ Exchange. Tin tặc đang tìm cách dò quét và khai thác trên các máy chủ Exchange chưa cập nhật.

Cập nhật bản vá trong các máy chủ server Exchange

Theo thống kê của Microsoft, tính đến tháng 4/2020, hơn 82% máy chủ Exchange chưa được cập nhật bản vá. Trước đó, Microsoft cũng cảnh bảo hacker đang khai thác lỗ hổng này để chạy mã độc đào tiền ảo.

Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange
Exchange server attach chain

Máy chủ Exchange là mục tiêu có giá trị cao. Sử dụng các kỹ thuật tiên tiến. Thiết bị đứng đầu danh sách các tài sản quan trọng nhất cần bảo vệ.

Hạn chế quyền truy cập nhanh nhất có thể

Microsoft khuyến cáo khách hàng luôn cập nhật phiên bản mới nhất. Sử dụng các giải pháp chống phần mềm độc hại. Đảm bảo rằng các nhóm và vai trò (roles) thường xuyên được kiểm tra. Để nhận biết các hành động thêm hoặc xóa đáng ngờ. Hạn chế quyền truy cập bằng cách áp dụng nguyên tắc đặc quyền tối thiểu. Và điều tra ngay lập tức khi có cảnh báo.
Theo: Microsoft

Bạn cũng có thể thích

Để lại bình luận

Comment moderation is enabled. Your comment may take some time to appear.