Hơn 1.900 máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell

10:00 | 27/08/2021 | LỖ HỔNG ATTT

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo các lỗ hổng Microsoft Exchange ProxyShell hiện đang bị tin tặc khai thác tích cực kèm theo phát tán ransomware LockFile trên các hệ thống bị xâm nhập. Được biết, các lỗ hổng này đã được phát hành bản vá từ tháng 4 - 5/2021.

Hơn 1.900 máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell

Cụ thể, các lỗ hổng định danh CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 cho phép tin tặc qua mặt các danh sách điều khiển truy cập (Acces-Control List - ACL), leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực thi mã từ xa không cần xác thực.

Chiến dịch khai thác của tin tặc diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.

ProxyShell, ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật Orange Tsai (DEVCORE). Trong đó, ProxyOracle liên quan đến hai lỗ hổng thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.

Theo các nhà nghiên cứu từ Huntress Labs (Hoa Kỳ), có ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 - 18/8. Các Web shell giúp tin tặc giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của tin tặc là gì và các lỗ hổng đã bị khai thác đến mức độ nào.

Kyle Hanslovan, Giám đốc điều hành Huntress Labs cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng...".

Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchanger hiện chưa được vá.

M.H

‹ › ×

Tin liên quan

Botnet Prometei khai thác lỗ hổng Microsoft Exchange Server chưa được vá

11:00 | 07/05/2021

Tin tặc đang khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server, biến chúng thành các bot trong mạng botnet tiền điện tử có tên Prometei.

Lỗ hổng trên Exchange làm lộ mật khẩu của hàng trăm ngàn email

09:00 | 06/10/2021

Các nhà nghiên cứu bảo mật mới đây đã phát hiện ra hàng trăm nghìn thông tin đăng nhập email, tài khoản và mật khẩu để đăng nhập Active Directory đã bị lộ lọt thông qua một lỗ hổng của tính năng Autodiscover trên Microsoft Exchange.

Hydra mạng darknet lớn nhất thế giới bị đánh sập

10:00 | 14/04/2022

Đầu tháng 4/2022, Tổ chức Chống Tội phạm Mạng ZIT và Văn phòng Cảnh sát Hình sự Liên bang BKA của Đức đã thông báo đã đóng Hydra, mạng darknet lớn nhất thế giới. Qua đó, cảnh sát đã thu giữ máy chủ của trang web này cùng hơn 543 Bitcoin, tương đương hơn 25 triệu USD. Giao diện của Hydra cũng đã bị thay đổi thành thông báo của ZIT và BKA.

Cảnh báo lỗ hổng bảo mật trong máy chủ Microsoft Exchange

11:00 | 14/04/2021

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) vừa phát đi cảnh báo về 04 lỗ hổng bảo mật nghiêm trọng: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 trong các máy chủ thư điện tử sử dụng Microsoft Exchange.

Microsoft cảnh báo nguy cơ Windows bị lây nhiễm mã độc qua tập tin Office

13:00 | 14/09/2021

Microsoft vừa phát đi cảnh báo về nguy cơ bảo mật mới cho phép tin tặc tận dụng các tập tin Office để cài đặt mã độc lên máy tính của nạn nhân.

Khẩn trương bảo vệ hệ thống trước các lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange

16:00 | 04/03/2021

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam được đề nghị kiểm tra, rà soát, xác minh hệ thống thông tin có khả năng bị ảnh hưởng bởi 4 lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange để có phương án xử lý, khắc phục.

Tin cùng chuyên mục

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.

Ukraine tấn công mạng và làm rò rỉ dữ liệu cơ quan hàng không của Nga

14:00 | 30/11/2023

Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.