Microsoft có phát hành các bản vá khẩn cấp để giải quyết bốn lỗi bảo mật chưa được tiết lộ trước đây trong Exchange Server mà nó cho biết đang bị một kẻ đe dọa mới do nhà nước Trung Quốc tài trợ khai thác với mục tiêu gây ra hành vi đánh cắp dữ liệu.
Mô tả các cuộc tấn công là “có giới hạn và có mục tiêu”, Trung tâm Tình báo Đe dọa của Microsoft (MSTIC) cho biết kẻ thù đã sử dụng các lỗ hổng này để truy cập các máy chủ Exchange tại chỗ, từ đó cấp quyền truy cập vào tài khoản email và mở đường cho việc cài đặt thêm phần mềm độc hại để tạo điều kiện truy cập lâu dài vào môi trường nạn nhân.
Gã khổng lồ công nghệ chủ yếu quy kết chiến dịch với sự tin tưởng cao đối với một kẻ đe dọa mà nó gọi là HAFNIUM, một tập thể hacker được nhà nước bảo trợ hoạt động bên ngoài Trung Quốc, mặc dù họ nghi ngờ các nhóm khác cũng có thể tham gia.
Lần đầu tiên thảo luận về các chiến thuật, kỹ thuật và thủ tục (TTP) của nhóm, Microsoft cho rằng HAFNIUM là một “tác nhân có kỹ năng cao và tinh vi”, chủ yếu chọn các thực thể ở Hoa Kỳ để lấy thông tin nhạy cảm từ một loạt các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, các công ty luật, các tổ chức giáo dục đại học, các nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi chính phủ.
HAFNIUM được cho là đã dàn dựng các cuộc tấn công của mình bằng cách tận dụng các máy chủ riêng ảo được cho thuê ở Hoa Kỳ trong một nỗ lực che giấu hoạt động độc hại của nó.
Cuộc tấn công ba giai đoạn liên quan đến việc giành quyền truy cập vào Máy chủ Exchange bằng mật khẩu bị đánh cắp hoặc bằng cách sử dụng các lỗ hổng chưa được phát hiện trước đó, tiếp theo là triển khai web shell để điều khiển máy chủ bị xâm nhập từ xa. Liên kết cuối cùng trong chuỗi tấn công sử dụng quyền truy cập từ xa để cướp hộp thư từ mạng của tổ chức và xuất dữ liệu thu thập được sang các trang web chia sẻ tệp như MEGA.
Để đạt được điều này, càng nhiều bốn lỗ hổng zero-day được phát hiện bởi các nhà nghiên cứu từ Volexity và Dubex được sử dụng như một phần của chuỗi tấn công –
- CVE-2021-26855: Lỗ hổng bảo mật giả mạo yêu cầu phía máy chủ (SSRF) trong Exchange Server
- CVE-2021-26857: Một lỗ hổng bảo mật không an toàn trong dịch vụ Nhắn tin Hợp nhất
- CVE-2021-26858: Một lỗ hổng ghi tệp tùy ý sau xác thực trong Exchange, và
- CVE-2021-27065: Lỗ hổng ghi tệp tùy ý sau xác thực trong Exchange
Mặc dù các lỗ hổng bảo mật ảnh hưởng đến Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 và Microsoft Exchange Server 2019, Microsoft cho biết họ đang cập nhật Exchange Server 2010 cho mục đích “Phòng thủ trong chiều sâu”.
Hơn nữa, vì cuộc tấn công ban đầu yêu cầu kết nối không đáng tin cậy đến cổng máy chủ Exchange 443, công ty lưu ý rằng các tổ chức có thể giảm thiểu vấn đề bằng cách hạn chế các kết nối không đáng tin cậy hoặc bằng cách sử dụng VPN để tách máy chủ Exchange khỏi truy cập bên ngoài.
Microsoft, bên cạnh việc nhấn mạnh rằng việc khai thác không liên quan đến các vi phạm liên quan đến SolarWinds, cho biết họ đã thông báo ngắn gọn cho các cơ quan chính phủ Hoa Kỳ thích hợp về làn sóng tấn công mới. Nhưng công ty không nói rõ có bao nhiêu tổ chức bị nhắm mục tiêu và liệu các cuộc tấn công có thành công hay không.
Nói rằng các chiến dịch xâm nhập dường như đã bắt đầu vào khoảng ngày 6 tháng 1 năm 2021, Volexity cảnh báo rằng họ đã phát hiện thấy hoạt động khai thác tích cực nhiều lỗ hổng Microsoft Exchange được sử dụng để đánh cắp email và xâm phạm mạng.
Các nhà nghiên cứu về Volexity, Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair và Thomas Lancaster, gần đây đã chuyển hướng sang việc tung ra các chiến dịch khai thác để có được chỗ đứng. giải thích trong một bài viết.
“Từ quan điểm của Volexity, việc khai thác này dường như liên quan đến nhiều nhà khai thác sử dụng nhiều công cụ và phương pháp để kết xuất thông tin xác thực, di chuyển ngang và các hệ thống hỗ trợ thêm.”
Ngoài các bản vá, Nhà phân tích tình báo về mối đe dọa cao cấp của Microsoft, Kevin Beaumont, cũng có tạo a plugin nmap có thể được sử dụng để quét mạng tìm các máy chủ Microsoft Exchange có khả năng bị tấn công.
Với mức độ nghiêm trọng của các sai sót, không có gì ngạc nhiên khi các bản vá đã được tung ra trước một tuần so với lịch trình Bản vá thứ Ba của công ty, thường được dành cho Thứ Ba thứ hai hàng tháng. Khách hàng sử dụng phiên bản Exchange Server dễ bị tấn công nên cài đặt các bản cập nhật ngay lập tức để ngăn chặn các cuộc tấn công này.
“Mặc dù chúng tôi đã làm việc nhanh chóng để triển khai bản cập nhật cho việc khai thác Hafnium, nhưng chúng tôi biết rằng nhiều tổ chức quốc gia-nhà nước và các nhóm tội phạm sẽ nhanh chóng di chuyển để tận dụng bất kỳ hệ thống chưa được vá lỗi nào”, Phó chủ tịch phụ trách bảo mật khách hàng của Microsoft, Tom Burt , nói. “Kịp thời áp dụng các bản vá lỗi ngày hôm nay là cách bảo vệ tốt nhất chống lại cuộc tấn công này.
