Được gán mã định danh CVE-2024-21410 (điểm CVSS: 9,8), đây là một lỗ hổng leo thang đặc quyền ảnh hưởng đến các máy chủ Exchange Server. Microsoft cho biết kẻ tấn công có thể nhắm mục tiêu vào máy khách NTLM như Outlook với lỗ hổng rò rỉ thông tin xác thực NTLM. Các thông tin đăng nhập này sau đó có thể được chuyển tiếp tới máy chủ Exchange để giành được các đặc quyền với tư cách là máy khách nạn nhân và thực hiện các hoạt động trên máy chủ Exchange.
Gã khổng lồ công nghệ lưu ý rằng nguyên nhân cốt lõi của lỗ hổng bảo mật là do tính năng NTLM credentials Relay Protections hoặc Extended Protection for Authentication (EPA) không được bật theo mặc định trong máy chủ Exchange Server 2019.
EPA được thiết kế để tăng cường chức năng xác thực của máy chủ Windows Server bằng cách giảm thiểu các cuộc tấn công chuyển tiếp xác thực và Man-in-the-Middle (MitM). Microsoft lần đầu tiên giới thiệu tính năng hỗ trợ Exchange Server EPA vào tháng 8/2022. Cũng trong ngày 14/02, Microsoft đã thông báo rằng EPA sẽ được bật theo mặc định trên tất cả các máy chủ Exchange Server sau khi triển khai bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14).
Quản trị viên cũng có thể sử dụng tập lệnh PowerShell ExchangeExtendsProtectionManagement để kích hoạt tính năng EPA trên các phiên bản trước của máy chủ Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ giúp các doanh nghiệp có thể bảo vệ hệ thống của họ trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá CVE-2024-21410.
Tuy nhiên, trước khi kích hoạt EPA trên máy chủ Exchange Server, quản trị viên nên đánh giá môi trường của họ và xem xét các vấn đề được đề cập trong tài liệu của Microsoft về tập lệnh chuyển đổi EPA để tránh ảnh hưởng đến các chức năng của hệ thống.
Hiện tại, thông tin chi tiết về cách thức của việc khai thác và danh tính của các tác nhân đe dọa có thể lạm dụng lỗ hổng này chưa được tiết lộ. Tuy nhiên, các nhóm tin tặc có liên kết với Chính phủ Nga như APT28 (còn gọi là Forest Blizzard) trước đây đã từng khai thác lỗ hổng trong Microsoft Outlook để thực hiện các cuộc tấn công NTLM Relay.
Đầu tháng 02/2024, hãng bảo mật Trend Micro (Mỹ) cho rằng các tin tặc đã thực hiện các cuộc tấn công NTLM Relay nhắm vào các thực thể có giá trị cao ít nhất kể từ tháng 4/2022. Các cuộc xâm nhập nhắm vào các tổ chức liên quan đến các lĩnh vực như đối ngoại, năng lượng, quốc phòng và vận tải cũng như các tổ chức phúc lợi xã hội, tài chính,…
Bên cạnh đó, Microsoft cũng đã bổ sung thêm hai lỗ hổng khác trên Windows, bao gồm: CVE-2024-21351 (điểm CVSS: 7,6) và CVE-2024-21412 (điểm CVSS: 8,1). Việc khai thác lỗ hổng CVE-2024-21412, một lỗi cho phép vượt qua các biện pháp bảo vệ Windows SmartScreen, được cho là do một nhóm tin tặc APT có tên là Water Hydra (còn gọi là DarkCasino), trước đây đã tận dụng lỗ hổng zero-day trong WinRAR để triển khai Trojan DarkMe.
Trend Micro cho biết: “Các tin tặc đã sử dụng Internet shortcut được ngụy trang dưới dạng hình ảnh JPEG mà khi được người dùng chọn, sẽ cho phép kẻ tấn công khai thác lỗ hổng CVE-2024-21412. Sau đó, tin tặc có thể vượt qua Microsoft Defender SmartScreen và xâm phạm hoàn toàn máy chủ Windows như một phần trong chuỗi tấn công của chúng”.
Bản cập nhật Patch Tuesday của Microsoft cũng giải quyết lỗ hổng CVE-2024-21413 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng khác ảnh hưởng đến phần mềm email Outlook, có thể dẫn đến việc thực thi mã từ xa bằng cách phá vỡ các biện pháp bảo mật thông thường như Protected View.
Lỗ hổng này bắt nguồn từ việc phân tích cú pháp không chính xác các siêu liên kết “file://”, khiến cho có thể thực thi mã bằng cách thêm dấu chấm than vào các URL trỏ đến payload tùy ý được lưu trữ trên các máy chủ do kẻ tấn công kiểm soát (ví dụ: “file:/// \\10[.]10[.]111[.]111\test\test.rtf!something”).
Hãng bảo mật Check Point (Mỹ) cho biết: “Lỗ hổng CVE-2024-21413 không chỉ cho phép rò rỉ thông tin NTLM cục bộ mà còn có thể cho phép thực thi mã từ xa và hơn thế nữa như một vectơ tấn công tinh vi. Nó cũng có thể vượt qua tính năng Protected View của Office khi nó được sử dụng làm vectơ tấn công nhằm vào các ứng dụng Office khác”.
Ngoài ra, các nhà nghiên cứu của Check Point lưu ý người dùng cá nhân và tổ chức nên áp dụng bất kỳ bản vá hoặc bản cập nhật bảo mật nào do Microsoft phát hành, bên cạnh đó tuân theo các biện pháp bảo mật được khuyến nghị và luôn cảnh giác trước các siêu liên kết (hyperlink) và email đáng ngờ.
Vũ Mạnh Hà
(Tổng hợp)
08:00 | 08/12/2023
16:00 | 15/03/2024
16:00 | 18/12/2023
08:00 | 06/03/2024
09:00 | 19/07/2023
09:00 | 29/02/2024
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
12:00 | 12/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
09:00 | 09/04/2024
Hãng tin The Information cho biết về việc Microsoft và OpenAI đang lên kế hoạch cho một dự án trung tâm dữ liệu với một siêu máy tính sử dụng hàng triệu chip máy chủ chuyên dụng. Dự án này có thể lên đến 100 tỷ USD, tức là đắt gấp 100 lần so với những dự án trung tâm dữ liệu hiện có ngày nay.
08:00 | 11/01/2024
Hãng sản xuất thiết bị chip hàng đầu thế giới - ASML đã hủy một số lô hàng sang Trung Quốc theo yêu cầu của chính phủ Mỹ vào thời điểm trước khi lệnh cấm xuất khẩu có hiệu lực.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
