Hôm thứ Sáu, Microsoft đã tiết lộ rằng một nhóm hoạt động duy nhất vào tháng 8 năm 2022 đã đạt được quyền truy cập ban đầu và vi phạm các máy chủ Exchange bằng cách xâu chuỗi hai lỗ hổng zero-day mới được tiết lộ trong một loạt các cuộc tấn công hạn chế nhằm vào dưới 10 tổ chức trên toàn cầu.
“Các cuộc tấn công này đã cài đặt trình bao web Chopper để tạo điều kiện cho việc truy cập bằng bàn phím, thứ mà những kẻ tấn công sử dụng để thực hiện trinh sát Active Directory và đánh cắp dữ liệu”, Microsoft Threat Intelligence Center (MSTIC) cho biết trong một báo cáo hôm thứ Sáu.
Microsoft cảnh báo thêm rằng việc vũ khí hóa các lỗ hổng bảo mật sẽ gia tăng trong những ngày tới, khi các phần tử độc hại phối hợp khai thác vào bộ công cụ của họ, bao gồm cả việc triển khai ransomware, do “hệ thống Exchange có quyền truy cập cao trao cho kẻ tấn công.”
Gã khổng lồ công nghệ cho rằng các cuộc tấn công đang diễn ra với độ tin cậy trung bình là do một tổ chức được nhà nước tài trợ, đồng thời cho biết thêm rằng họ đã điều tra các cuộc tấn công này khi Zero Day Initiative tiết lộ các lỗ hổng cho Trung tâm Ứng phó Bảo mật của Microsoft (MSRC) vào đầu tháng này vào ngày 8-9 tháng 9 năm 2022 .
Hai lỗ hổng được gọi chung là ProxyNotShelldo thực tế là “nó là cùng một đường dẫn và cặp SSRF / RCE” như ProxyShell nhưng có xác thực, đề xuất một bản vá chưa hoàn chỉnh.
Các vấn đề, được xâu chuỗi lại với nhau để đạt được việc thực thi mã từ xa, được liệt kê bên dưới:
CVE-2022-41040 – Lỗ hổng bảo mật phía máy chủ yêu cầu Microsoft Exchange Server
CVE-2022-41082 – Lỗ hổng thực thi mã từ xa của máy chủ Microsoft Exchange
“Mặc dù các lỗ hổng này yêu cầu xác thực, nhưng xác thực cần thiết để khai thác có thể là của người dùng tiêu chuẩn”, Microsoft cho biết. “Thông tin đăng nhập tiêu chuẩn của người dùng có thể được thu thập thông qua nhiều cuộc tấn công khác nhau, chẳng hạn như phun mật khẩu hoặc mua thông qua nền kinh tế tội phạm mạng.”
Các lỗ hổng này lần đầu tiên được phát hiện bởi công ty an ninh mạng Việt Nam GTSC trong khuôn khổ nỗ lực ứng phó sự cố cho một khách hàng vào tháng 8 năm 2022. Một kẻ đe dọa Trung Quốc bị tình nghi đứng sau các vụ xâm nhập.
Sự phát triển này diễn ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm hai lỗ hổng zero-day của Microsoft Exchange Server vào danh mục Các lỗ hổng được khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản vá trước ngày 21 tháng 10 năm 2022.
Microsoft cho biết họ đang làm việc trên một “dòng thời gian tăng tốc” để đưa ra bản sửa lỗi cho những thiếu sót. Nó cũng đã xuất bản một tập lệnh cho các bước giảm thiểu Viết lại URL sau mà nó cho là “thành công trong việc phá vỡ các chuỗi tấn công hiện tại” –
Mở Trình quản lý IIS Chọn Trang web Mặc định Trong Dạng xem Tính năng, nhấp vào Viết lại URL Trong ngăn Tác vụ ở phía bên phải, nhấp vào Thêm (các) Quy tắc… Chọn Chặn Yêu cầu và nhấp vào OK Thêm chuỗi “. * Autodiscover \ .json. * ‘. * Powershell. * Và nhấp vào Chỉnh sửa trong Điều kiện. Thay đổi đầu vào Điều kiện từ {URL} thành {REQUEST_URI}
Như các biện pháp phòng ngừa bổ sung, công ty đang thúc giục các công ty thực thi xác thực đa yếu tố (MFA), vô hiệu hóa xác thực kế thừa và hướng dẫn người dùng về việc không chấp nhận lời nhắc xác thực hai yếu tố (2FA) không mong muốn.
Travis Smith, phó chủ tịch nghiên cứu về mối đe dọa phần mềm độc hại tại Qualys, nói với The Hacker News: “Microsoft Exchange là một mục tiêu ngon lành để các tác nhân đe dọa khai thác vì hai lý do chính.
“Đầu tiên, Exchange […] được kết nối trực tiếp với internet tạo ra một bề mặt tấn công có thể truy cập được từ mọi nơi trên thế giới, làm tăng đáng kể nguy cơ bị tấn công. Thứ hai, Exchange là một chức năng quan trọng trong sứ mệnh – các tổ chức không thể chỉ rút hoặc tắt email mà không ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của họ theo cách tiêu cực. “
