Hôm thứ Sáu, Microsoft đã cảnh báo về các cuộc tấn công tích cực khai thác Máy chủ Exchange chưa được vá do nhiều tác nhân đe dọa thực hiện, vì chiến dịch tấn công được cho là đã lây nhiễm cho hàng chục nghìn doanh nghiệp, tổ chức chính phủ ở Mỹ, châu Á và châu Âu.
Công ty nói “nó tiếp tục cho thấy việc sử dụng các lỗ hổng này ngày càng tăng trong các cuộc tấn công nhắm mục tiêu vào các hệ thống chưa được vá bởi nhiều tác nhân độc hại ngoài HAFNIUM”, báo hiệu một sự leo thang rằng các vi phạm không còn “giới hạn và được nhắm mục tiêu” như được cho là trước đây.
Theo nhà báo an ninh mạng độc lập Brian Krebs, ít nhất 30.000 tổ chức trên khắp Hoa Kỳ – chủ yếu là các doanh nghiệp nhỏ, thị trấn, thành phố và chính quyền địa phương – đã bị xâm nhập bởi một nhóm người Trung Quốc “hung hăng bất thường” đã để ý đánh cắp email từ các tổ chức nạn nhân bằng cách khai thác các lỗ hổng chưa được tiết lộ trước đây trong Exchange Người phục vụ.
Các nạn nhân cũng đang được báo cáo từ bên ngoài Hoa Kỳ, với hệ thống email của các doanh nghiệp trong Na Uy và Cộng hòa Séc bị ảnh hưởng trong một loạt các sự cố tấn công lạm dụng các lỗ hổng bảo mật. Cơ quan An ninh Quốc gia Na Uy cho biết họ đã thực hiện quét lỗ hổng địa chỉ IP tại nước này để xác định các máy chủ Exchange dễ bị tấn công và “liên tục thông báo cho các công ty này.”
Quy mô khổng lồ của cuộc tấn công đang diễn ra nhằm vào các máy chủ email của Microsoft cũng làm lu mờ SolarWinds hack spree được đưa ra ánh sáng vào tháng 12 năm ngoái, được cho là đã nhắm mục tiêu đến 18.000 khách hàng của nhà cung cấp công cụ quản lý CNTT. Nhưng giống như với vụ hack SolarWinds, những kẻ tấn công có khả năng chỉ truy lùng các mục tiêu có giá trị cao dựa trên sự trinh sát ban đầu của các máy nạn nhân.
Máy chủ Exchange chưa từng có với rủi ro khai thác
Một thành công khai thác các sai sót cho phép kẻ thù đột nhập vào Máy chủ Microsoft Exchange trong môi trường mục tiêu và sau đó cho phép cài đặt các cửa hậu trái phép dựa trên web để tạo điều kiện truy cập lâu dài. Với nhiều tác nhân đe dọa tận dụng các lỗ hổng zero-day này, các hoạt động sau khai thác dự kiến sẽ khác nhau giữa nhóm này với nhóm khác dựa trên động cơ của họ.
Bốn vấn đề bảo mật được đề cập là được vá bởi Microsoft như một phần của bản cập nhật bảo mật ngoài băng tần khẩn cấp vào thứ Ba tuần trước, đồng thời cảnh báo rằng “nhiều tổ chức quốc gia-nhà nước và các nhóm tội phạm sẽ nhanh chóng di chuyển để tận dụng bất kỳ hệ thống chưa được vá lỗi nào.”
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), đã phát hành một chỉ thị khẩn cấp cảnh báo “khai thác tích cực” các lỗ hổng, kêu gọi các cơ quan chính phủ đang chạy các phiên bản Exchange Server có lỗ hổng bảo mật cập nhật phần mềm hoặc ngắt kết nối sản phẩm khỏi mạng của họ.
“CISA nhận thức được việc khai thác rộng rãi trong nước và quốc tế đối với các lỗ hổng Microsoft Exchange Server và thúc giục quét nhật ký Exchange Server bằng công cụ phát hiện IoC của Microsoft để giúp xác định thỏa hiệp”, cơ quan này đã tweet vào ngày 6 tháng Ba.
Cần lưu ý rằng chỉ cài đặt các bản vá do Microsoft phát hành sẽ không ảnh hưởng đến các máy chủ đã được kiểm duyệt lại. Các tổ chức đã bị xâm phạm để triển khai web shell và các công cụ sau khai thác khác tiếp tục có nguy cơ bị xâm phạm trong tương lai cho đến khi các phần mềm tạo tác được hoàn toàn gốc khỏi mạng của họ.
Nhiều cụm đốm
Nhóm tình báo về mối đe dọa Mandiant của FireEye nói nó “đã quan sát thấy nhiều trường hợp lạm dụng Microsoft Exchange Server trong ít nhất một môi trường máy khách” kể từ đầu năm. Công ty an ninh mạng Volexity, một trong những công ty được cho là đã phát hiện ra các lỗ hổng, cho biết các chiến dịch xâm nhập dường như đã bắt đầu vào khoảng ngày 6 tháng 1 năm 2021.
Không có nhiều thông tin về danh tính của những kẻ tấn công, ngoại trừ việc Microsoft chủ yếu gán các vụ khai thác với độ tin cậy cao cho một nhóm mà họ gọi là Hafnium, một nhóm có kỹ năng được chính phủ hậu thuẫn hoạt động bên ngoài Trung Quốc. Mandiant đang theo dõi hoạt động xâm nhập trong ba cụm, UNC2639, UNC2640 và UNC2643, cho biết thêm họ hy vọng con số sẽ tăng lên khi phát hiện nhiều cuộc tấn công hơn.
Trong một tuyên bố cho Reuters, một phát ngôn viên của chính phủ Trung Quốc phủ nhận nước này đứng sau các vụ xâm nhập.
“Có ít nhất năm cụm hoạt động khác nhau dường như đang khai thác các lỗ hổng bảo mật” nói Katie Nickels, giám đốc tình báo về mối đe dọa tại Red Canary, trong khi lưu ý sự khác biệt về kỹ thuật và cơ sở hạ tầng so với diễn viên Hafnium.
Trong một trường hợp cụ thể, công ty an ninh mạng Được Quan sát rằng một số khách hàng bị xâm nhập máy chủ Exchange đã được triển khai với một phần mềm khai thác tiền điện tử có tên DLTminer, một phần mềm độc hại được ghi lại bởi Carbon Black vào năm 2019.
Nickels nói: “Một khả năng là các đối thủ của Hafnium đã chia sẻ hoặc bán mã khai thác, dẫn đến việc các nhóm khác có thể khai thác các lỗ hổng này. “Một điều khác là các đối thủ có thể đã thiết kế ngược các bản vá do Microsoft phát hành để tìm ra cách khai thác các lỗ hổng một cách độc lập.”
Hướng dẫn Giảm thiểu Sự cố của Microsoft
Bên cạnh việc tung ra các bản sửa lỗi, Microsoft đã xuất bản hướng dẫn giảm thiểu thay thế mới để giúp khách hàng Exchange cần thêm thời gian để vá các triển khai của họ, ngoài việc đưa ra bản cập nhật mới cho công cụ Microsoft Safety Scanner (MSERT) để phát hiện web shell và phát hành một kịch bản để kiểm tra các chỉ số HAFNIUM về sự thỏa hiệp. Chúng có thể được tìm thấy đây.
Mat Gangwer, giám đốc cấp cao về ứng phó mối đe dọa được quản lý tại Sophos cho biết: “Những lỗ hổng này rất đáng kể và cần phải được xem xét một cách nghiêm túc. “Chúng cho phép những kẻ tấn công thực hiện các lệnh từ xa trên các máy chủ này mà không cần thông tin xác thực và bất kỳ tác nhân đe dọa nào cũng có thể lạm dụng chúng.”
“Việc cài đặt rộng rãi Exchange và khả năng tiếp xúc với internet của nó có nghĩa là nhiều tổ chức đang chạy một máy chủ Exchange tại chỗ có thể gặp rủi ro,” Gangwer nói thêm.
