Microsoft Exchange Zero-Day mới bị tin tặc nghi từ Trung Quốc tấn công và chưa được vá

Đội ngũ chuyên gia BlueTeam xác định kẻ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng Zero-day để thực thi mã từ xa trên các hệ thống bị ảnh hưởng. GTSC SOC Team ngay lập tức đưa ra phương án ngăn chặn tạm thời.

Theo công ty an ninh mạng Việt Nam GTSC, công ty đã phát hiện ra những thiếu sót trong nỗ lực giám sát an ninh và ứng phó sự cố vào tháng 8 năm 2022. GTSC cho biết việc khai thác thành công các lỗ hổng có thể bị lạm dụng để xâm nhập vào hệ thống của nạn nhân, cho phép kẻ thù thả webshell và thực hiện các thao tác trên mạng bị xâm nhập.

Hai lỗ hổng, chưa được chính thức gán mã nhận dạng CVE, đang được theo dõi bởi Zero Day Initiative là ZDI-CAN-18333 (Điểm CVSS: 8,8) và ZDI-CAN-18802 (Điểm CVSS: 6,3).

Công ty cho biết: “Nhóm tấn công cũng sử dụng các kỹ thuật khác nhau nhằm tạo backdoor trên hệ thống bị ảnh hưởng và thực hiện lateral movement sang các máy chủ khác trong hệ thống.”

“Chúng tôi nghi ngờ các hành vi khai thác này xuất phát từ các nhóm tấn công Trung Quốc, dựa trên codepage trong webshell là 936 (trang mã Windows 936), một bảng mã ký tự Microsoft cho tiếng Trung giản thể (simplified Chinese).”

Đáng chú ý, trình bao web Chopper của Trung Quốc cũng được triển khai bởi Hafnium, một nhóm được cho là được nhà nước bảo trợ hoạt động từ Trung Quốc, khi các lỗ hổng ProxyShell bị khai thác rộng rãi vào năm ngoái.

Các hoạt động hậu khai thác khác được GTSC quan sát liên quan đến việc tiêm các tệp DLL độc hại vào bộ nhớ, thả và thực thi các tải trọng bổ sung trên các máy chủ bị nhiễm bằng cách sử dụng tiện ích dòng lệnh WMI (WMIC).

Công ty cho biết có ít nhất hơn một tổ chức trở thành nạn nhân của một chiến dịch tấn công khai thác lỗ hổng zero-day. “Thông tin kỹ thuật chi tiết về lỗ hổng tại thời điểm này chúng tôi xin phép chưa công bố”.

Chúng tôi đã liên hệ với Microsoft để nhận xét thêm và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.

Trong thời gian chờ đợi, để giải quyết tạm thời, bạn nên thêm quy tắc để chặn các yêu cầu có dấu hiệu xâm phạm bằng cách sử dụng URL Rewrite Rule Module cho Máy chủ IIS –

  • Trong Tự động phát hiện tại FrontEnd, chọn tab Ghi lại URL, sau đó chọn Chặn Yêu cầu
  • Thêm chuỗi “. * Autodiscover \ .json. * \ @. * Powershell. *” Vào đường dẫn URL và
  • Mục nhập điều kiện: chọn {REQUEST_URI}

Nhà nghiên cứu bảo mật Kevin Beaumont cho biết trong một loạt các tweet: “Tôi có thể xác nhận rằng một số lượng đáng kể các máy chủ Exchange đã bị kiểm duyệt, bao gồm cả honeypot”.

Beaumont nói: “Nếu bạn không chạy Microsoft Exchange tại chỗ và không có Outlook Web App kết nối Internet, thì bạn sẽ không bị ảnh hưởng.

Leave a Reply

Your email address will not be published. Required fields are marked *