Microsoft Exchange Server bị hack – Tình hình nghiêm trọng đến mức nào?

Microsoft Exchange Hacking

Bốn lỗ hổng bảo mật trên Microsoft Exchange server đang bị khai thác bởi một nhóm tin tặc do chính phủ Trung Quốc tài trợ. Đồng thời, các lỗ hổng này cũng đang bị lợi dụng bởi các nhóm tin tặc khác trên toàn cầu.

Một số người đang đặt ra hoài nghi rằng việc các Microsoft Exchange Server bị tấn công hàng loạt là một trong các hậu quả của SolarWind Supply Chain Attack – vụ tấn công làm ảnh hưởng tới 18000 tổ chức lớn nhỏ trên toàn cầu. Tuy nhiên đến thời điểm hiện tại, giả thiết này có vẻ không đúng và lý do các MS Exchange Server bị khai thác hàng loạt khả năng cao là do chậm trễ trong việc cập nhật các bản vá.

Dưới đây là những thông tin quan trọng mà bạn cần biết về vụ tấn công mạng lớn thứ 2 (bên cạnh SolarWind Attack) được công bố trong 2021 và những thông tin này sẽ được cập nhật thường xuyên.

Những sự kiện chính

Microsoft thông báo cho chuyên gia bảo mật Brian Krebs rằng họ đã phát hiện ra bốn lỗ hổng bảo mật vào đầu tháng 1.

Một chuyên gia bảo mật của DEVCORE, người đã phát hiện ra 2 trong 4 lỗ hổng bảo mật nói trên và thông báo cho Microsoft vào khoảng 5/1/2021, đã đăng một dòng trạng thái trên Twitter:

“Tôi vừa thông báo cho Microsoft một lỗ hổng bảo mật pre-auth RCE. Đây có lẽ là lỗ hổng RCE nghiêm trọng nhất mà tôi từng cảnh báo cho các công ty phần mềm”

Theo hãng Volexity, việc khai thác vào 4 lỗ hổng bảo mật của Microsoft Exchange có thể đã bắt đầu từ 6/1/2021, trong khi đó Dubex cho rằng chúng đã bị khai thác vào khoảng tháng 1.

Vào 2/3/2021, Microsoft đã đưa ra các bản vá cho 4 lỗ hổng bảo mật này trên Exchange Server. Vào thời điểm đó, hãng tuyên bố các lỗ hổng này đang bị khai thác một cách hạn chế và không quá nghiêm trọng.

Vào 12/3/2021, Microsoft bắt đầu điều tra xem làm cách nào các hacker có thể kiếm được các thông tin đăng nhập cần thiết để kết nối với các Exchange Server. Việc điều tra được tiến hành trên các đối tác của Microsoft, xem họ có hay không làm lộ các thông tin này. Đồng thời, người ta cũng đang điều tra rằng liệu các có hacker sở hữu các PoC attack code ( Các code này là các đoạn code được viết để khai thác các lỗ hổng bảo mật của Microsoft, chúng sẽ được share cho các công ty bán giải pháp AV, EDR để họ chứng minh rằng sản phẩm của họ đủ sức ngăn chặn các loại tấn công này) và sử dụng chính các code này để tấn công Microsoft trước khi chúng được vá lại.

Khách hàng của Microsoft Exchange bao gồm những khách hàng lớn cho đến những doanh nghiệp vừa và nhỏ, vì vậy lổ hổng bảo mật này được dự đoán là có tác động vô cùng sâu rộng.

Tuy rằng các bản vá đã được đưa ra, nhưng do số lượng của MS Exchange Server quá nhiều và trải khắp toàn cầu cũng như độ phức tạp của chúng, tốc độ triển khai các bản vá là khá chậm. Điều này khiến cho việc khai thác vào Exchange Server vẫn đang tiếp diễn và thậm chí đang gia tốc.

Bốn lỗ hổng bảo mật trên Exchange Server nghiêm trọng đến mức nào

Bốn lỗ hổng bảo mật đang bị khai thác được gọi bằng một tên chung là ProxyLogon và chúng đang tồn tại trong các phiên bản Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Exchange online không bị ảnh hưởng.

Điều này có nghĩa là các tổ chức đang sử dụng dịch vụ Exchange Online trên cloud của Microsoft sẽ không bị ảnh hưởng. Tuy nhiên, các tổ chức/doanh nghiệp cài đặt Exchange Server các phiên bản 2013, 2016 và 2019 vào DataCenter nội bộ sẽ cần ngay lập tức nâng cấp và cập nhật bản vá cho các Server Exchange.

Microsoft cũng đang update và nâng cấp Exchange Server 2010 để đề phòng rủi do bị tấn công trong tương lai.

Bốn lỗ hổng bảo mật đang tồn tại trên Exchange Server đó là:

  • CVE-2021-26855 (CVSS 9.1): Lỗ hổng giúp các Hacker buộc các Server bị tấn công tạo các http request đến các Server mà kẻ tấn công mong muốn. Vì các http request này có nguồn là 1 Server uy tín, chúng có thể được chấp thuận và có thể truy cập vào các Server nằm sâu trong mạng nội bộ của hệ thống.
  • CVE-2021-26857 (CVSS 7.8): Một lỗ hổng giúp các Hacker thực thi các đoạn code độc hại dưới quyền System.
  • CVE-2021-26858 (CVSS 7.8): Một lỗ hổng nhắm vào quá trình sau xác thực tài khoản (Post-Authentication).
  • CVE-2021-27065 (CVSS 7.8): Một lỗ hổng nhắm vào quá trình sau xác thực tài khoản (Post-Authentication).

Những lỗ hổng trên có thể được lợi dụng để thực hiện các hình thức tấn công như Remote Code Execution (thực thi mã độc từ xa), Server Hijacking (Chiếm quyền quản lý Server), Data Theft (ăn cắp dữ liệu), Backdoor (tạo cổng sau) và cài các Malware khác vào hệ thống.

Theo Microsoft, các Hacker có thể lợi dụng các lỗ hổng trên hoặc các thông tin đăng nhập đánh cắp được để tấn công vào Server, để lại một Web Shell để có thể điều khiển Server và thực thi các mã độc.

Đáng chú ý, vào 10/3/2021, Một đoạn mã PoC attack Code đã được tung lên Github trước khi bị gỡ xuống. 

Nhóm tin tặc nào chịu trách nhiệm cho cuộc tấn công này

Theo Microsoft, Hafnium – một nhóm tin tặc do chính phủ Trung quốc tài trợ chịu trách nhiệm cho những cuộc tấn công này.

Nhóm này ở Trung Quốc nhưng lại sử dụng các Virtual Private Server tại mỹ để tấn công vào các tổ chức tại Mỹ cũng để che dấu danh tính thực sự. Nhóm này đã tấn công vào các mục tiêu như các tổ chức nghiên cứu, các tổ chức phi lợi nhuận, các nhà thầu quân sự và các nhà khoa học.

Chỉ Hafnium khai thác các lỗ hổng này?

Khi mà các lỗ hổng này được đưa ra ánh sáng và các bản vá được công bố, việc cập nhật và sửa chữa chúng trở nên vô cùng nặng nề trên các hệ thống lớn. Lý do là bởi, để cập nhật bản vá trên toàn bộ các Server tốn rất nhiều thời gian và công sức. Chưa kể một số hệ thống gặp vấn đề tương thích với các bản cập nhật và không thể cập nhật được nếu chưa chỉnh sửa lại các thông số. 

Nhiều nguồn tin ước tính số lượng tổ chức bị ảnh hưởng lên đến hơn 30000 chỉ riêng ở Mỹ. Blomberg gấp đôi con số này lên 60000 vào 8/3/2021. Palo Alto Networks cho rằng có khoảng 125000 Server trên toàn thế giới vẫn chưa được cập nhật các bản vá.

Vào 5/3/2021, Microsoft tuyên bố họ nhận thấy các nỗ lực tấn công và khai thác 4 lỗ hổng kể trên đang ngày càng gia tăng và chúng được thực hiện bởi các nhóm tin tặc khác ngoài Hafnium.

Vào 11/3/2021. Check Point tuyên bố các nỗ lực tấn công vào các lỗ hổng này tăng gấp đôi mỗi giờ. Vào 15/3/2021, CPR đưa ra một báo cáo nói rằng số lượng tấn công khai thác vào các lỗ hổng kể trên đã tăng 10 lần trong khoảng thời gian 11-15/3. US, Anh và Đức là ba nước bị khai thác và tấn công nhiều nhất. Trong đó, các tổ chức quân sự và chính phủ dẫn đầu trong danh sách này với 23% các cuộc tấn công nhắm vào họ. Các công ty sản xuất, tổ chức tài chính, công ty phần mềm cũng là những mục tiêu thường xuyên bị nhắm đến.

Vào 12/3, Microsoft công bố ít nhất 82000 Server vẫn chưa được cập nhật bản vá.

Làm thế nào để biết liệu bạn có phải là nạn nhân hay không?

Nếu bạn đang sử dụng dịch vụ Exchange Online của MS – một dịch vụ mail chạy trên nền tảng cloud, tính license theo số lượng người dùng – thì bạn sẽ không cần lo lắng về vấn đề bị tấn cống.

Tuy nhiên nếu bạn sử dụng các phiên bản Exchange Server 2013, 2016 và 2019 cho Mail Server của mình ở DataCenter, bạn cần ngay lập tức cập nhật bản vá.

Cần lưu ý, ngay kể cả khi đã cập nhật, bạn vẫn có thể là nạn nhân bởi Server của bạn đã bị khai thác và đặt Backdoor từ trước. Microsoft cũng đưa ra một hướng dẫn giảm thiểu thiệt hại cho các Server khi chưa thể cập nhật được bản vá ngay lập tức.

Hãng công nghệ Redmond đã xuất bản các IoC cho 4 lỗ hổng kể trên và đăng tải chúng lên Github. Bạn có thể tải về và sử dụng chúng.

Vào 15/3, Microsoft đã công bố Microsoft Exchange On-Premise Mitigation Tool cho các doanh nghiệp sử dụng dịch vụ Exchange Server và khẳng định đây là cách nhanh nhất để ngăn chặn các hậu quả mà 4 lỗ hổng bảo mật kể trên gây ra.

Vào 22/3, Microsoft tuyên bố 92% các doanh nghiệp và tổ chức sử dụng Exchange Server đã được cập nhật bản vá hoặc áp dụng các Mitigation Tool.

 

Tham khảo:

https://www.zdnet.com/article/everything-you-need-to-know-about-microsoft-exchange-server-hack/

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *