Với hai lỗ hổng Zero-Day do hãng công nghệ Việt Nam GTSC phát hiện, các máy chủ Microsoft Exchange hiện bị tin tặc nhắm đến.
Theo The Hacker News, các nhà nghiên cứu bảo mật tại GTSC đã cảnh báo về lỗ hổng chưa được công bố trên các máy chủ Microsoft Exchange. Lỗi này đang bị khai thác thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Microsoft Exchange Server là hệ thống máy chủ ảo giúp doanh nghiệp quản lý email, lịch, danh bạ và hỗ trợ người dùng thông qua máy tính để bàn, điện thoại di động và trình duyệt web.
GTSC đã đăng chi tiết lỗ hổng bảo mật và cách tạm thời ngăn chặn bị khai thác trên blog của công ty. Ảnh: TL
Lỗ hổng bảo mật mới này nghiêm trọng vì cho phép kẻ tấn công có thể thực thi mã từ xa (RCE) trên hệ thống máy chủ bị xâm nhập. GTSC đã gửi báo cáo lỗ hổng cho Zero Day Initiative (ZDI), đồng thời đang tích cực làm việc với Microsoft để hãng tung ra bản vá chính thức.
Hai lỗ hổng hiện chưa được gán mã nhận dạng CVE, đang được theo dõi bởi ZDI với số hiệu ZDI-CAN-18333 (điểm CVSS: 8,8) và ZDI-CAN-18802 (điểm CVSS: 6,3). GTSC cho biết kẻ tấn công sử dụng một công cụ quản trị web đa nền tảng nguồn mở của Trung Quốc để quản lý các web shell, công ty này cho biết máy chủ bị nhắm mục tiêu đã được vá lỗi vào tháng 3/2021.
Công ty an ninh mạng của Việt Nam đưa ra giả thuyết cuộc tấn công bắt nguồn từ một nhóm hacker Trung Quốc do mã hóa của web shell bằng tiếng Trung giản thể. Được triển khai trong cuộc tấn công là web shell China Chopper, một backdoor giúp cấp quyền truy cập từ xa, cho phép hacker kết nối bất cứ lúc nào để khai thác máy chủ.
Công ty nói có hơn một tổ chức là nạn nhân của chiến dịch tấn công tận dụng lỗ hổng Zero-Day này. Thông tin chi tiết bổ sung về các lỗi đã được giữ lại.
Nhà nghiên cứu bảo mật Kevin Beaumont cũng xác nhận một số lượng đáng kể máy chủ Exchange đã dính backdoor. Nếu hệ thống không dùng Microsoft Exchange và không để Outlook Web App truy cập internet thì sẽ không bị ảnh hưởng.
Trước khi chờ giải pháp vá lỗi từ Microsoft, tạm thời người quản trị nên thêm các quy tắc (rule) để chặn các yêu cầu có dấu hiệu xâm phạm bằng cách sử dụng URL Rewrite Rule cho máy chủ IIS.
PV
Nguồn Báo Nhà báo và Công luận