Microsoft đang kêu gọi người dùng nhanh chóng cập nhật máy chủ Exchange cũng như thực hiện các bước để củng cố môi trường của họ, như kích hoạt Windows Extended Protection và thiết lập cấu hình certificate-based signing của các PowerShell serialization payload.
Exchange Team cho biết những kẻ tấn công vẫn luôn tìm cách khai thác các máy chủ Exchange chưa được vá. "Có quá nhiều vấn đề của môi trường Exchange vật lý chưa được giải quyết có giá trị đối với những kẻ xấu đang tìm cách lấy cắp dữ liệu hoặc thực hiện các hành vi nguy hiểm khác".
Microsoft cũng nhấn mạnh các biện pháp giảm thiểu do công ty đưa ra chỉ là giải pháp tạm thời và chúng có thể "không đủ để bảo vệ khỏi các biến thể của cuộc tấn công", đòi hỏi người dùng phải cài đặt các bản cập nhật bảo mật cần thiết để bảo vệ máy chủ.
Exchange Server là một mục tiêu thường xuyên bị tấn công trong những năm gần đây, với một số lỗ hổng bảo mật trong phần mềm bị khai thác dưới dạng các zero-day để xâm nhập vào hệ thống.
Chỉ trong hai năm qua, nhiều lỗ hổng bảo mật đã được phát hiện trong Exchange Server - bao gồm ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell, và một biến thể của ProxyNotShell được gọi là OWASSRF - một số lỗ hổng này đã bị khai thác rộng rãi trong thực tế.
Trong một tư vấn bảo mật được chia sẻ gần đây, Bitdefender đã mô tả Exchange là một "mục tiêu lý tưởng", đồng thời nêu ra một số cuộc tấn công trong thực tế liên quan đến chuỗi khai thác ProxyNotShell/OWASSRF kể từ cuối tháng 11 năm 2022.
Martin Zugec của Bitdefender lưu ý rằng: “Có một mạng phức tạp gồm các dịch vụ frontend và backend [trong Exchange], với mã kế thừa (legacy code) để cung cấp khả năng tương thích ngược”. “Các dịch vụ backend chấp nhận các yêu cầu (request) từ frontend [Dịch vụ truy cập ứng dụng khách]”.
Một nguyên nhân khác là trên thực tế, nhiều dịch vụ backend chạy dưới dạng Exchange Server, được cấp quyền SYSTEM và việc khai thác có thể cấp quyền cho kẻ tấn công truy cập trái phép vào dịch vụ PowerShell từ xa, tạo điều kiện cho việc thực thi các lệnh độc hại.
Các cuộc tấn công lạm dụng lỗ hổng ProxyNotShell và OWASSRF đã nhắm vào các ngành nghệ thuật và giải trí, tư vấn, luật, sản xuất, bất động sản và buôn bán ở Áo, Kuwait, Ba Lan, Thổ Nhĩ Kỳ và Mỹ.
Công ty bảo mật Romania cho biết: “Các kiểu tấn công giả mạo yêu cầu phía máy chủ (SSRF) này cho phép kẻ tấn công gửi các request độc hại từ máy chủ bị xâm phạm đến các máy chủ khác để truy cập vào tài nguyên hoặc thông tin không thể truy cập trực tiếp”.
Hầu hết các cuộc tấn công được cho là mang tính cơ hội, nhằm triển khai các web shell và phần mềm quản lý và giám sát từ xa (RMM) như ConnectWise Control và GoTo Resolve.
Web shell không chỉ cung cấp cơ chế truy cập từ xa liên tục mà còn cho phép kẻ tấn công thực hiện một loạt các hoạt động độc hại sau đó, thậm chí bán quyền truy cập cho các nhóm tin tặc khác để kiếm lời.
Trong một số trường hợp, các máy chủ được sử dụng để lưu trữ các payload đã bị chính các máy chủ Microsoft Exchange xâm nhập, điều này cho thấy kỹ thuật tương tự có thể đã được áp dụng để mở rộng quy mô của các cuộc tấn công.
Cũng được phát hiện là những nỗ lực khai thác không thành công của các đối tượng để tải xuống mã độc Cobalt Strike cũng như công cụ độc hại có tên là GoBackClient với khả năng thu thập thông tin hệ thống và tạo ra các reverse shell.
Việc lạm dụng các lỗ hổng Microsoft Exchange cũng là một chiến thuật thường được sử dụng bởi UNC2596 (còn gọi là Tropical Scorpius), nhóm tin tặc đứng sau phần mềm ransomware Cuba (hay COLDDRAW), với một cuộc tấn công lạm dụng chuỗi khai thác ProxyNotShell để triển khai BUGHATCH downloader.
Zugec cho biết: “Mặc dù cách thức lây nhiễm ban đầu có thể biến đổi khác nhau và các tác nhân đe dọa luôn tận dụng bất kỳ cơ hội khai thác mới nào, nhưng các hoạt động sau khi khai thác thành công của chúng đã trở nên quen thuộc”. "Cách bảo vệ tốt nhất chống lại các cuộc tấn công mạng hiện đại là triển khai các biện pháp bảo vệ tuân theo mô hình phòng thủ theo chiều sâu (defense-in-depth)."
Nguồn: thehackernews.com.
Tín nhiệm mạng | Người dùng Zoho ManageEngine đang được khuyến nghị nhanh chóng vá một lỗ hổng bảo mật nghiêm trọng trước khi mã khai thác (PoC) cho lỗ hổng được phát hành.
Tín nhiệm mạng | Bốn dịch vụ Microsoft Azure khác nhau đã được phát hiện có chứa lỗ hổng cho phép tấn công giả mạo yêu cầu phía máy chủ (SSRF). Các cuộc tấn công này có thể bị khai thác để truy cập trái phép vào dữ liệu trên cloud.
Tín nhiệm mạng | Một cơ sở hạ tầng lớn gồm hơn 250 tên miền đang được sử dụng để phát tán mã độc đánh cắp thông tin như Raccoon và Vidar kể từ đầu năm 2020.
Tín nhiệm mạng | Phần lớn các máy chủ Cacti có kết nối internet chưa vá lỗ hổng bảo mật nghiêm trọng mới được tiết lộ gần đây đang bị tin tặc khai thác tấn công.
Tín nhiệm mạng | Phát hiện nhiều lỗ hổng kiến trúc trong bộ điều khiển logic lập trình (programmable logic controllers-PLC) SIMATIC và SIPLUS S7-1500 của Siemens có thể bị kẻ xấu khai thác để lén cài đặt firmware độc hại trên các thiết bị bị ảnh hưởng và chiếm quyền kiểm soát thiết bị.
Tín nhiệm mạng | Twitter cho biết cuộc điều tra của họ không phát hiện bằng chứng nào cho thấy dữ liệu của người dùng được rao bán trực tuyến có được bằng cách khai thác bất kỳ lỗ hổng bảo mật nào trong hệ thống của họ.