Hơn 1.900 máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell

10:00 | 27/08/2021 | LỖ HỔNG ATTT

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo các lỗ hổng Microsoft Exchange ProxyShell hiện đang bị tin tặc khai thác tích cực kèm theo phát tán ransomware LockFile trên các hệ thống bị xâm nhập. Được biết, các lỗ hổng này đã được phát hành bản vá từ tháng 4 - 5/2021.

Hơn 1.900 máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell

Cụ thể, các lỗ hổng định danh CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 cho phép tin tặc qua mặt các danh sách điều khiển truy cập (Acces-Control List - ACL), leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực thi mã từ xa không cần xác thực.

Chiến dịch khai thác của tin tặc diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.

ProxyShell, ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật Orange Tsai (DEVCORE). Trong đó, ProxyOracle liên quan đến hai lỗ hổng thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.

Theo các nhà nghiên cứu từ Huntress Labs (Hoa Kỳ), có ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 - 18/8. Các Web shell giúp tin tặc giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của tin tặc là gì và các lỗ hổng đã bị khai thác đến mức độ nào.

Kyle Hanslovan, Giám đốc điều hành Huntress Labs cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng...".

Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchanger hiện chưa được vá.

M.H

‹ › ×

Tin liên quan

Botnet Prometei khai thác lỗ hổng Microsoft Exchange Server chưa được vá

11:00 | 07/05/2021

Tin tặc đang khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server, biến chúng thành các bot trong mạng botnet tiền điện tử có tên Prometei.

Lỗ hổng trên Exchange làm lộ mật khẩu của hàng trăm ngàn email

09:00 | 06/10/2021

Các nhà nghiên cứu bảo mật mới đây đã phát hiện ra hàng trăm nghìn thông tin đăng nhập email, tài khoản và mật khẩu để đăng nhập Active Directory đã bị lộ lọt thông qua một lỗ hổng của tính năng Autodiscover trên Microsoft Exchange.

Hydra mạng darknet lớn nhất thế giới bị đánh sập

10:00 | 14/04/2022

Đầu tháng 4/2022, Tổ chức Chống Tội phạm Mạng ZIT và Văn phòng Cảnh sát Hình sự Liên bang BKA của Đức đã thông báo đã đóng Hydra, mạng darknet lớn nhất thế giới. Qua đó, cảnh sát đã thu giữ máy chủ của trang web này cùng hơn 543 Bitcoin, tương đương hơn 25 triệu USD. Giao diện của Hydra cũng đã bị thay đổi thành thông báo của ZIT và BKA.

Cảnh báo lỗ hổng bảo mật trong máy chủ Microsoft Exchange

11:00 | 14/04/2021

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) vừa phát đi cảnh báo về 04 lỗ hổng bảo mật nghiêm trọng: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 trong các máy chủ thư điện tử sử dụng Microsoft Exchange.

Microsoft cảnh báo nguy cơ Windows bị lây nhiễm mã độc qua tập tin Office

13:00 | 14/09/2021

Microsoft vừa phát đi cảnh báo về nguy cơ bảo mật mới cho phép tin tặc tận dụng các tập tin Office để cài đặt mã độc lên máy tính của nạn nhân.

Khẩn trương bảo vệ hệ thống trước các lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange

16:00 | 04/03/2021

Các cơ quan, tổ chức, doanh nghiệp tại Việt Nam được đề nghị kiểm tra, rà soát, xác minh hệ thống thông tin có khả năng bị ảnh hưởng bởi 4 lỗ hổng bảo mật mới trong máy chủ Microsoft Exchange để có phương án xử lý, khắc phục.

Tin cùng chuyên mục

Mã độc mới có khả năng đánh cắp dữ liệu từ ảnh trên iPhone

15:00 | 11/02/2025

Mới đây, Kaspersky Lab đã ghi nhận một loại mã độc mới có khả năng đánh cắp dữ liệu từ ảnh trên iPhone bằng cách sử dụng WannaCry và kỹ thuật nhận dạng ký tự quang học (OCR).

DeepSeek bị tin tặc tấn công và mạo danh lừa đảo

22:00 | 31/01/2025

Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.

Người dùng iPhone nên cập nhật ngay lập tức trong mùa Tết

22:00 | 31/01/2025

Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.

Hàng trăm nghìn người Mỹ bị đánh cắp dữ liệu cá nhân

12:00 | 26/12/2024

Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.