Microsoft cho biết tin tặc Trung Quốc đứng đằng sau cuộc tấn công 0 ngày của SolarWinds Serv-U SSH

Microsoft đã chia sẻ chi tiết kỹ thuật về một lỗ hổng bảo mật quan trọng hiện đã được khắc phục, được khai thác tích cực ảnh hưởng đến dịch vụ truyền tệp được quản lý SolarWinds Serv-U mà họ cho là có “độ tin cậy cao” đối với một tác nhân đe dọa hoạt động bên ngoài Trung Quốc.

Vào giữa tháng 7, công ty có trụ sở tại Texas khắc phục một lỗ hổng thực thi mã từ xa (CVE-2021-35211) bắt nguồn từ việc Serv-U triển khai giao thức Secure Shell (SSH), giao thức này có thể bị kẻ tấn công lợi dụng để chạy mã tùy ý trên hệ thống bị nhiễm, bao gồm khả năng cài đặt các chương trình độc hại và xem, thay đổi hoặc xóa dữ liệu nhạy cảm.

“Máy chủ Serv-U SSH có lỗ hổng thực thi mã từ xa pre-auth có thể bị khai thác dễ dàng và đáng tin cậy trong cấu hình mặc định”, nhóm Nghiên cứu tấn công và Kỹ thuật bảo mật của Microsoft cho biết trong một viết chi tiết mô tả việc khai thác.

“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách kết nối với cổng SSH đang mở và gửi yêu cầu kết nối xác thực trước không đúng định dạng. Khi khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công cài đặt hoặc chạy các chương trình, chẳng hạn như trong trường hợp tấn công có chủ đích. chúng tôi đã báo cáo trước đây “, các nhà nghiên cứu nói thêm.

Trong khi Microsoft liên kết các cuộc tấn công vào DEV-0322, một tập thể có trụ sở tại Trung Quốc trích dẫn “nạn nhân, chiến thuật và quy trình được quan sát”, công ty hiện đã tiết lộ rằng lỗ hổng từ xa, trước khi xác thực xuất phát từ cách quy trình Serv-U xử lý vi phạm truy cập mà không chấm dứt quá trình này, do đó giúp dễ dàng thực hiện các nỗ lực khai thác lén lút, đáng tin cậy.

“Lỗ hổng bị khai thác là do cách Serv-U ban đầu tạo bối cảnh OpenSSL AES128-CTR”, các nhà nghiên cứu cho biết. “Điều này, đến lượt nó, có thể cho phép sử dụng dữ liệu chưa được khởi tạo làm con trỏ hàm trong quá trình giải mã các thông báo SSH liên tiếp.”

“Do đó, kẻ tấn công có thể khai thác lỗ hổng này bằng cách kết nối với cổng SSH đang mở và gửi yêu cầu kết nối xác thực trước không đúng định dạng. Chúng tôi cũng phát hiện ra rằng những kẻ tấn công có khả năng sử dụng các tệp DLL được biên dịch mà không có ngẫu nhiên bố cục không gian địa chỉ (ASLR) được tải bởi Serv- Các nhà nghiên cứu cho biết thêm.

ASLR đề cập đến một cơ chế bảo vệ được sử dụng để tăng độ khó khi thực hiện tấn công tràn bộ đệm bằng cách sắp xếp ngẫu nhiên các vị trí không gian địa chỉ nơi các tệp thực thi của hệ thống được tải vào bộ nhớ.

Microsoft, đã tiết lộ cuộc tấn công cho SolarWinds, cho biết họ khuyến nghị kích hoạt khả năng tương thích ASLR cho tất cả các tệp nhị phân được tải trong quy trình Serv-U. “ASLR là một biện pháp giảm thiểu bảo mật quan trọng đối với các dịch vụ tiếp xúc với đầu vào từ xa không đáng tin cậy và yêu cầu tất cả các tệp nhị phân trong quy trình này phải tương thích để có hiệu quả trong việc ngăn chặn kẻ tấn công sử dụng địa chỉ được mã hóa cứng trong việc khai thác của chúng, càng tốt trong Serv-U “, các nhà nghiên cứu cho biết.

Nếu có bất cứ điều gì, những tiết lộ nêu bật sự đa dạng của các kỹ thuật và công cụ được các tác nhân đe dọa sử dụng để xâm phạm mạng công ty, bao gồm cả việc cõng trên phần mềm hợp pháp.

Trở lại vào tháng 12 năm 2020, Microsoft tiết lộ rằng một nhóm gián điệp riêng biệt có thể đã lợi dụng phần mềm Orion của nhà cung cấp cơ sở hạ tầng CNTT để đánh rơi một cửa hậu liên tục được gọi là Supernova trên các hệ thống bị nhiễm. Công ty an ninh mạng Secureworks đã kết nối các cuộc xâm nhập với một tác nhân đe dọa có liên quan đến Trung Quốc được gọi là Xoắn ốc.

Content Protection by DMCA.com
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu