Theo các chuyên gia, 4 lỗ hổng được khai thác trong chiến dịch tấn công có chủ đích có định danh: CVE-2021-26855 (Mail Exchange Pre-Auth SSRF), CVE-2021-26857 (Post-Auth Deserialization), CVE-2021-26858 (Post-Auth arbitrary file write) và CVE-2021-27065 (Post-Auth arbitrary file write).
Các entrypoint được sử dụng đều có dạng: “/ecp/x.js”. Điều đặc biệt của cuộc tấn công là chỉ với 1 request tới 1 file chưa từng tồn tại trên server, tin tặc có thể trigger được SSRF và gửi full request tới server backend.
Phiên bản để nghiên cứu là Microsoft Exchange Server 2016 CU 18 vá lỗ hổng định danh CVE-2021-26855. Phiên bản thực hiện để diff với patch mới nhất là bản patch được release ngay trước đó 2020 Dec Patch - KB4593465
Thông tin về bản Microsoft Exchange Server 2016 thử nghiệm để phân tích lỗ hổng
Bên trong các file update này có chứa các file binary/dll sẽ được patch, hoàn toàn có thể giải nén tất cả ra bằng nhiều công cụ (bài báo này dùng công cụ 7zip).
Giải nén Microsoft Exchange Server 2016
Các file dll được giải nén đa phần được viết bằng dotNet. Do đó, để tiếp tục phát triển sử dụng dnSpy để (giải nén) decompile tất cả file dll này ra dạng .cs và sử dụng cho việc diff sau đó.
Để decompile tất cả file dll, người dùng cần import vào dnSpy và chọn “Export to Project”.
Lưu ý rằng trong setting của dnspy, phần decompiler cần bỏ tick mục “Show tokens, RVA …” để bỏ qua các comment về địa chỉ, RVA… gây cản trở cho việc diff sau này.
Việc decompile sẽ tốn khoảng 30 phút cho cả 2 bản vá. Tuy nhiên, do quá trình decompile sẽ có một số lỗi xảy ra hoặc là một số string mà developer để lại, cần phải dọn dẹp gọn gàng lại một lần nữa trước khi diff, dưới đây là một ví dụ:
Quá trình diff cũng khá mất thời gian do có nhiều byte rác vẫn còn lại trong code.
Việc phát hiện lỗ hổng được thực hiện bằng diff, thay vì các challenge spotthebugs được phổ biến trên Internet. Sau khi diff, phát hiện ra có một vài thay đổi quan trọng tại dll: Microsoft.Exchange.FrontEndHttpProxy.
Tại BEResourceRequestHandler, method ShouldBackendRequestBeAnonymous() được thêm mới.
BEResourceRequestHandler là class sẽ được dùng vào việc handle các request có dạng resource (các file có đuôi .js, .css…). Việc xác định class này có thể handler request được hay không dựa vào method BEResourceRequestHandler.CanHandle().
Đầu tiên là sẽ kiểm tra sự tồn tại của một cookie đặc biệt với method GetBEResouceCookie(). Method này sẽ lấy và trả về giá trị cookie “X-BEResource”
Tiếp sau đó, BEResourceRequestHandler.IsResourceRequest() sẽ kiểm tra xem URL request có đuôi dạng các file resource hay không.
Giá trị “X-BEResource” sau đó tiếp tục được truyền vào BackEndServer.FromString() để xác định BackEnd Server cho request này.
BackEndServer.FromString() xử lý cookie X-BEResource như sau
Để thỏa mãn các điều kiện trên thì X-BEResource sẽ có dạng như sau:
X-BEResource=EXCHANGE2016~1942062522;
Tại ProxyRequestHandler.BeginProxyRequest() sẽ gọi tới GetTargetBackEndServerUrl() để xác định uri sắp được forward tới Method GetTargetBackEndServerUrl() có nội dung như sau:
Nội dung của đoạn này có chức năng xây dựng lại url sẽ chuyển tiếp vào backend. Trong đó, Host của request được xác định bằng BackEndServer.Fqdn, kết hợp với BEResourceRequestHandler phía trên, giá trị BackEndServer.Fqdn này lại có thể điều khiển được bằng cookie X-BEResource.
Bằng sự kết hợp ngẫu nhiên, lỗ hổng SSRF CVE-2021-26855 ra đời. Để khai thác cần chỉnh sửa cookie thành dạng:
X-BEResource=EXCHANGE2016/owa/auth/logon.aspx?a=~1942062522;
Sau khi được xử lý qua ProxyRequestHandler, url cuối cùng được forward tới Backend có dạng như sau:
Như vậy là đã có thể gửi request tới server Backend mà không bị cản trở. Việc quyết định request qua proxy có cần xác thực (Authenticated) hay không được quyết định tại ProxyRequestHandler.PrepareServerRequest().
Với trường hợp các request được xử lý bởi class BEResourceRequestHandler, luồng chương trình sẽ thực thi vào nhánh else cuối cùng, nghĩa là cho phép Authenticated.
Chính điều này khiến lỗ hổng SSRF trở nên đặc biệt hơn. Hãng Microsoft đã khắc phục lỗ hổng này bằng cách thêm method ShouldBackendRequestBeAnonymous() vào class BEResourceRequestHandler để không cho phép các request này được gửi cred vào backend.
Luồng đi của 1 request trên Exchange server có dạng như sau:
.png)
Nghiên cứu về log tấn công từ một số bài phân tích, có thể thấy tin tặc sử dụng tính năng ResetOAB trong Exchange admin center để ghi file.
Để khai thác lỗ hổng này, đầu tiên tin tặc sẽ cần một tài khoản Admin mail exchange, sau đó sửa param External URL trong Exchange admin > Servers > Virtual Directories.
Sau khi đã cài đặt tham số “External URL”, tiến hành sử dụng tính năng ResetOABVirtualDirectories và nhập path của file cần ghi.
Sau khi thực hiện, file sẽ được ghi vào đường dẫn đã định sẵn với nội dung có thể điều khiển tùy ý.
Như vậy là đã có thể ghi shell tùy ý, lỗ hổng CVE-2021-27065 này không quá khó khăn để phát hiện và thực thi. Phần tiếp theo của bài báo sẽ giới thiệu về sự kết hợp hoàn hảo giữa các lỗ hổng bảo mật.
Nguyễn Tiến Giang (VNPT)
08:00 | 21/11/2017
11:00 | 07/05/2021
16:00 | 04/03/2021
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
12:00 | 12/04/2024
