Không mất nhiều thời gian. Các cơ quan tình báo và các nhà nghiên cứu an ninh mạng đã cảnh báo rằng các Máy chủ Exchange chưa được vá lỗi có thể mở ra con đường lây nhiễm ransomware sau khi các cuộc tấn công leo thang nhanh chóng kể từ tuần trước.
Bây giờ có vẻ như các tác nhân đe dọa đã bắt kịp.
Theo thông tin mới nhất báo cáo, tội phạm mạng đang tận dụng các lỗ hổng ProxyLogon Exchange Server bị khai thác nhiều để cài đặt một dòng ransomware mới có tên “DearCry”.
“Microsoft đã quan sát thấy một nhóm khách hàng tấn công bằng mã độc tống tiền do con người điều hành – được phát hiện là Ransom: Win32 / DoejoCrypt.A”, nhà nghiên cứu Phillip Misner của Microsoft đã tweet. “Các cuộc tấn công ransomware do con người điều hành đang sử dụng các lỗ hổng Microsoft Exchange để khai thác khách hàng.”
Trong một cố vấn chung do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI) công bố, các cơ quan này cảnh báo rằng “kẻ thù có thể khai thác những lỗ hổng này để xâm nhập mạng, đánh cắp thông tin, mã hóa dữ liệu để đòi tiền chuộc hoặc thậm chí thực hiện một cuộc tấn công phá hoại . “
Việc vũ khí hóa thành công các lỗ hổng cho phép kẻ tấn công truy cập Máy chủ Exchange của nạn nhân, cho phép họ có được quyền truy cập hệ thống liên tục và quyền kiểm soát mạng doanh nghiệp. Với mối đe dọa ransomware mới, các Máy chủ chưa được vá không chỉ có nguy cơ bị đánh cắp dữ liệu tiềm ẩn mà còn có khả năng bị mã hóa, ngăn chặn quyền truy cập vào hộp thư của tổ chức.
Trong khi đó, khi các tin tặc quốc gia và tội phạm mạng gia nhập để tận dụng các lỗ hổng ProxyLogon, một mã bằng chứng khái niệm (PoC) được chia sẻ trên GitHub thuộc sở hữu của Microsoft bởi một nhà nghiên cứu bảo mật đã bị công ty gỡ xuống, với lý do là khai thác đang bị tấn công tích cực.
Trong một tuyên bố cho Hành vi xấu xa, công ty cho biết, “Theo Chính sách sử dụng được chấp nhận, chúng tôi đã vô hiệu hóa các ý chính sau các báo cáo rằng nó chứa bằng chứng về mã khái niệm cho một lỗ hổng được tiết lộ gần đây đang được khai thác tích cực. “
Động thái này cũng đã làm dấy lên một cuộc tranh luận riêng, với các nhà nghiên cứu cho rằng Microsoft đang “bịt miệng các nhà nghiên cứu bảo mật” bằng cách loại bỏ các PoC được chia sẻ trên GitHub.
Dave Kennedy của TrustedSec cho biết: “Điều này rất lớn, loại bỏ mã của các nhà nghiên cứu bảo mật khỏi GitHub chống lại sản phẩm của chính họ và mã này đã được vá. “Đó là một PoC, không phải là một khai thác đang hoạt động – không có PoC nào có RCE. Ngay cả khi nó có, đó không phải là lời kêu gọi của họ về thời điểm thích hợp để phát hành. Đó là một vấn đề trong sản phẩm của chính họ và họ đang im lặng các nhà nghiên cứu bảo mật về điều đó. “
Điều này cũng được nhắc lại bởi nhà nghiên cứu Tavis Normandy của Google Project Zero.
“Nếu chính sách ngay từ đầu không có PoC / metasploit / etc – thì điều đó thật tệ, nhưng đó là dịch vụ của họ”, Normandy nói trong một tweet. “Thay vào đó, họ nói OK, và bây giờ nó đã trở thành tiêu chuẩn cho các chuyên gia bảo mật chia sẻ mã, họ đã tự bầu cho mình là trọng tài của những gì ‘chịu trách nhiệm.’ Tiện như thế nào.”
Nếu có bất cứ điều gì xảy ra, các cuộc tấn công sẽ được coi là một cảnh báo để vá tất cả các phiên bản của Exchange Server càng sớm càng tốt, đồng thời thực hiện các bước để xác định các dấu hiệu của sự xâm phạm liên quan đến các vụ tấn công, cho rằng những kẻ tấn công đang khai thác những điểm không- các lỗ hổng bảo mật trong ngày ít nhất hai tháng trước khi Microsoft phát hành các bản vá lỗi vào ngày 2 tháng 3.
Chúng tôi đã liên hệ với Microsoft để biết thêm chi tiết và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.
