Cảnh báo lỗ hổng nghiêm trọng trong máy chủ Microsoft Exchange

  • by

Ngày 02/03, Microsoft đã phát hành bản vá khẩn cấp cho 4 lỗ hổng bảo mật mới được phát hiện trong Exchange Server ( các lỗ hổng này được đánh giá ở mức nguy hiểm và đang được hacker sử dụng trong thực tế.

Đối tượng bị ảnh hưởng trong các cuộc tấn công này bao gồm các máy chủ Exchange các phiên bản 2013/2016/2019.
Microsoft quy kết chiến dịch cho một nhóm hacker có tên HAFNIUM, được chính phủ Trung Quốc bảo trợ và cũng nghi ngờ các nhóm khác cũng có thể tham gia.

4 lỗ hổng zero-day được các nhà nghiên cứu từ Volexity và Dubex phát hiện được sử dụng trong chuỗi tấn công gồm:

  • CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange
  • CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý
  • CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
  • CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

Chuỗi bốn lỗ hổng này được liên kết với nhau để giành quyền truy cập vào máy chủ Microsoft Exchange, đánh cắp email và tạo thêm phần mềm độc hại để tăng khả năng truy cập vào mạng.

Kẻ tấn công từ xa, không được xác thực có thể khai thác lỗ hổng này bằng cách gửi một gói tin HTTP được chế tạo đặc biệt tới máy chủ Exchange có lỗ hổng thông qua các kết nối không đáng tin cậy trên cổng 443.

Để kiểm tra máy chủ của đơn vị mình có tồn tại lỗ hổng không, quản trị viên có thể sử dụng công cụ được cung cấp tại đường dẫn: https://github.com/dpaulson45/HealthChecker#download . Đồng thời kiểm tra các file lạ, nghi ngờ mới được tạo trong hệ thống.

Microsoft đã cung cấp bản vá KB5000871 cho các máy chủ Exchange bị ảnh hưởng tại đường dẫn:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Qua hệ thống giám sát, VNIST đã phát hiện rất nhiều tổ chức tại Việt Nam đang tồn tại lỗ hổng. Chúng tôi khuyến cáo các quản trị viên lập tức cập nhật bản vá cho các máy chủ Exchange để tránh nguy cơ tấn công khai thác.

VNIST tiếp nhận các yêu cầu hỗ trợ qua số hotline: 0986 986 247 . Email: office@vnist.vn


5 1 vote
Article Rating
Nhận thông báo qua email
Nhận thông báo cho
guest
0 Comments
Inline Feedbacks
View all comments