Ngày 13/02/2024 MS đang công bố tính khả dụng của Bản cập nhật tích lũy H1 2024 (CU) cho Exchange Server 2019 (hay còn gọi là CU14). CU14 bao gồm các bản sửa lỗi cho các sự cố được khách hàng báo cáo, thay đổi bảo mật và tất cả các Bản cập nhật bảo mật (SU) đã phát hành trước đó.
Cài đặt Bản cập nhật tích lũy ngay lập tức để giải quyết các vấn đề được tìm thấy trong Exchange Server 2019 và bảo vệ môi trường của bạn.
1. Với Exchange 2019 CU14 khi cài mặt định enable Extended Protection hoặc chúng ta không muốn bật thêm tham số /DoNotEnableEP or /DoNotEnableEPFEEWS trong quá trình setup
2. Hỗ trợ .NET Framework 4.8.1 trên Windows Server 2022
3. TLS 1.3 dự kiến EX2019CU15
4. Lưu ý sau phiên bản sẽ không hỗ trợ bản vá bảo mật trong tương lai: EX2019CU12, EX2016CU22.
CVE dưới đây được giải quyết bằng Bản cập nhật tích lũy:
CVE-2024-21410 – Microsoft Exchange Server nâng cao lỗ hổng đặc quyền
Xin lưu ý rằng CVE-2024-21410 cũng áp dụng cho Exchange Server 2016. Đối với các máy chủ Exchange 2016, hãy làm theo Cấu hình Bảo vệ Mở rộng Windows trong Máy chủ Trao đổi nếu Bảo vệ Mở rộng chưa được bật trong tổ chức của bạn
Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt
Lưu ý rằng Exchange Server 2013 KHÔNG được hỗ trợ và bạn phải nâng cấp lên Exchange Server 2019 hoặc Exchange Online càng sớm càng tốt.
P/s: Khuyến cáo Quản trị viên cần triển khai cập nhật trong môi trường Lab trước khi thực hiện triển khai update trong môi trường Production
Theo như thông báo của Gmail thì bắt đầu tháng 02 năm 2024 có 1 số đổi mới bảo mật gửi vào gmail
Quan trọng: Kể từ tháng 2 năm 2024, Gmail sẽ yêu cầu những người gửi từ 5.000 thư trở lên mỗi ngày đến các tài khoản Gmail phải làm các việc sau: Xác thực email gửi đi, tránh gửi email không mong muốn, đồng thời giúp người nhận dễ dàng huỷ đăng ký.
Các nguyên tắc trong bài viết này có thể giúp bạn gửi và chuyển thành công email đến các tài khoản Gmail cá nhân. Tài khoản Gmail cá nhân là tài khoản có đuôi là @gmail.com hoặc @googlemail.com.
Người gửi trên Google Workspace: Nếu bạn sử dụng Google Workspace để gửi số lượng lớn email thì phải tuân thủ theo chính sách Gmail của Google Workspace.
Nội dung cập nhật về các yêu cầu đối với người gửi
Điểm mới trong tháng 12/2023 Gmail đã cập nhật đối với người gửi bắt buộc phải dùng kết nối TLS để truyền email.
Yêu cầu đối với tất cả người gửi vào gmail
Kể từ ngày 1 tháng 2 năm 2024, tất cả những người gửi email đến các tài khoản Gmail đều phải đáp ứng các yêu cầu trong mục này.
Quan trọng: Nếu bạn gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail, hãy tuân theo Các yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày.
Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR (PTR record hay dân gian gọi là IP Reverse). Tìm hiểu thêm hướng dẫn tại đây (https://support.google.com/mail/answer/81126)
IP Adress: Địa chỉ IP gửi của bạn phải có bản ghi PTR. Bản ghi PTR xác minh rằng tên máy chủ gửi được liên kết với địa chỉ IP gửi. Mỗi địa chỉ IP phải liên kết với một tên máy chủ trong bản ghi PTR. Tên máy chủ trong bản ghi PTR phải có DNS chuyển tiếp tham chiếu đến địa chỉ IP gửi.
IP Sharing (Dạng sài chung host): Địa chỉ IP dùng chung (IP dùng chung) là địa chỉ IP được nhiều người gửi email sử dụng. Hoạt động của bất kỳ người gửi nào sử dụng địa chỉ IP dùng chung cũng sẽ ảnh hưởng đến danh tiếng của tất cả người gửi sử dụng IP dùng chung đó.
Danh tiếng xấu có thể ảnh hưởng đến tần suất gửi thư của bạn.
Nếu bạn sử dụng một IP dùng chung để gửi email, bạn cần:
Đảm bảo địa chỉ IP dùng chung đó không thuộc bất kỳ danh sách chặn nào trên Internet. Thư được gửi từ địa chỉ IP trong danh sách chặn sẽ có nhiều khả năng bị đánh dấu là thư rác.
Nếu bạn sử dụng một nhà cung cấp dịch vụ email cho IP dùng chung của mình, hãy sử dụng Công cụ Postmaster để giám sát danh tiếng của địa chỉ IP dùng chung.
Sử dụng kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace. Xem hướng dẫn tại đây (https://support.google.com/a/answer/2520500)
Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Xem hướng dẫn tại (https://gmail.com/postmaster). Phần này nên đăng ký và add domain của các bạn vào để giám sát
Rate dưới 0.1%, và không cao hơn 0.3% sẽ bị khoá ngay lập tức này gặp rồi Gmail block luôn domain gửi vào.
5. Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322) (https://tools.ietf.org/html/rfc5322)
6 Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly theo DMARC, và việc mạo danh trong phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email (https://support.google.com/a/answer/10032169#policy-options)
7. Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi. (https://support.google.com/mail/answer/81126?hl=vi&sjid=11774976608095956067-AP#arc)
Yêu cầu đối với việc gửi từ 5.000 email trở lên mỗi ngày gửi vào Gmail
Kể từ ngày 1 tháng 2 năm 2024, những người gửi hơn 5.000 thư mỗi ngày đến các tài khoản Gmail phải đáp ứng các yêu cầu trong mục này.
Thiết lập phương thức xác thực email DKIM hoặc SPF cho miền của bạn.
Đảm bảo rằng địa chỉ IP hoặc miền gửi thư có bản ghi DNS chuyển tiếp và bản ghi DNS ngược hợp lệ, còn được gọi là bản ghi PTR. Tìm hiểu thêm
Sử dụng một kết nối TLS để truyền email. Để biết các bước thiết lập TLS trong Google Workspace, hãy xem bài viết Cần có một kết nối bảo mật cho email.
Giữ cho tỷ lệ thư rác được báo cáo trong Công cụ Postmaster dưới 0,1% và đừng để tỷ lệ thư rác bằng hoặc cao hơn 0,3%. Tìm hiểu thêm về tỷ lệ thư rác.
Định dạng thư theo Tiêu chuẩn định dạng thư trên Internet (RFC 5322).
Không được mạo danh ở phần đầu thư Từ: của Gmail. Gmail sẽ bắt đầu sử dụng chính sách thực thi cách ly giao thức DMARC, và việc mạo danh phần đầu thư Từ: của Gmail có thể ảnh hưởng đến việc gửi email.
Nếu bạn thường xuyên chuyển tiếp email, kể cả việc sử dụng danh sách gửi thư hoặc cổng thư đến, hãy thêm phần đầu ARC vào email gửi đi. Phần đầu ARC cho biết thư đã được chuyển tiếp và xác định bạn là người chuyển tiếp. Người gửi danh sách gửi thư cũng phải thêm phần đầu List-id:. Phần đầu này chỉ định danh sách gửi thư cho các thư gửi đi.
Thiết lập phương thức xác thực email bằng DMARC cho miền gửi thư của bạn. Bạn có thể đặt Chính sách thực thi bằng DMARC thành none. Tìm hiểu thêm
Đối với thư trực tiếp, miền trong phần Từ: của người gửi phải khớp với miền SPF hoặc miền DKIM. Đây là điều kiện bắt buộc để vượt qua yêu cầu phù hợp với DMARC.
Thư tiếp thị và thư gửi cho những người đã đăng ký phải hỗ trợ tính năng nhấp một lần để huỷ đăng ký, đồng thời phải có một đường liên kết huỷ đăng ký rõ ràng trong nội dung thư. Tìm hiểu thêm
Nếu bạn gửi hơn 5.000 email mỗi ngày trước ngày 1 tháng 2 năm 2024, hãy làm theo các nguyên tắc trong bài viết này càng sớm càng tốt. Việc đáp ứng các yêu cầu dành cho người gửi trước thời hạn trên có thể giúp cải thiện khả năng gửi email. Nếu bạn không đáp ứng các yêu cầu được mô tả trong bài viết này, email của bạn có thể không được gửi như mong đợi hoặc có thể bị đánh dấu là thư rác.
Để tìm hiểu thêm về cách thiết lập SPF, DKIM và DMARC, hãy truy cập vào bài viết Ngăn chặn thư rác, hành vi giả mạo và lừa đảo bằng phương thức xác thực của Gmail (https://support.google.com/a/answer/10583557 )
Lời kết
Đối với Quản trị viên IT Admin đơn vị, công ty cơ quan mình đang quản lý nên xem lại cách gửi email hiện tại của để đảm bảo bảo mật Email đám ứng đủ các tiêu chí trên:
Authentication (SPF, DKIM và DMARC), PTR, mà Gmail hay Yahoo yêu cầu… Nếu cần, hãy cập nhật cấu hình SPF, DKIM và DMARC của bạn để tuân thủ các yêu cầu mới.
PTR Record
Kiểm tra Email System dùng giao thức TLS connection tranmission
Tận dụng tối đa công cụ Postmaster giám sát các chỉ số của Gmail đưa ra: Authenticated (SPF, DKIM, DMARC), Spam rate luôn dưới 0,1% và không vượt 0.3%, IP reputation, domain reputation (High), Encryption traffic(TLS incoming/ TLS Outgoing),…
Đối với hệ thống marketing thường dùng bulk email cần đáp ứng tiêu chí Gmail nếu không sẽ dính chưởng block domain trường hợp này Phương Nguyễn đã gặp rồi ít nhất hơn 3 khách hàng.
Hạn chế thấp nhất các email vào gmail quảng cáo mà bị report là spam thì sẽ dính spam. Trương hợp có dùng để gửi email dạng thông báo hoặc tiếp thị liên kết cho khách thì nên có phương thức dễ đăng ký (subscribe) và huỷ đăng (List-Unsubscribe=One-Click) một lần nếu có.
Thiết nghĩ đây là yêu cầu bắt buộc với 1 hệ thống email mà bạn đang quản trị hệ thống nhà làm (on-premise) hay thuê hosting hay đi thuê cloude GG, 365, Zoho,.. Cũng nên xem và kiểm tra chặt chẽ để tránh Spam không đáng có.
Bài viết có tham khảo gmail và hiệu chỉnh theo ý cá nhân.
MỘT SỐ BIỆN PHÁP NGĂN NGỪA HỆ THỐNG CHỐNG SPAM EMAIL SERVER EXCHANGE
Hệ thống Email Server Exchange Server Nhà làm (On-Premises) Để ngăn chặn spam trên máy chủ Exchange Server, bạn có thể thực hiện một số biện pháp phòng ngừa và bảo mật. Dưới đây là một số gợi ý mà Phương Nguyễn chia sẻ từ kinh nghiệm thực tế nhé:
Sử dụng các bộ lọc chống spam:
Kích hoạt và cấu hình các tính năng chống spam tích hợp của Exchange. Bật Antispam nội tại của Exchange sẵn có cũng quét khá ok.
Cấu hình thêm 1 số tính năng của Antispam protection: Content filter, Sender Filter, sender id, Recipient, attachment,…
Nếu có tiền thì nên xem xét việc triển khai các giải pháp bộ lọc chống spam bên ngoài phần cứng hay appliance phần mềm: SpamAssassin, Barracuda, hoặc Proofpoint, FortiMail,
Giải pháp mail gateway đối tác thứ 3:
Microsoft Exchange Server 2019.
Paubox.
Mimecast Email Security with Targeted Threat Protection.
Cisco Secure Email Threat Defense.
FortiMail.
Symantec Email Security.Cloud.
Cloudflare Area 1 Security.
Barracuda Email Security Gateway.
Cập nhật phần mềm và bảo mật:
Đảm bảo bạn đang sử dụng phiên bản Exchange Server mới nhất và đã áp dụng tất cả các bản vá bảo mật (CU, SU), bằng cách theo dõi thường xuyên trên trang Microsoft Exchange check bản vá.
Theo dõi và thường xuyên cập nhật phần mềm chống virus và bảo mật trên máy chủ chạy Exchange.
Cấu hình xác thực người gửi bằng cách cấu hình bảo mật DNS cho Email:
Kích hoạt các cơ chế xác thực như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), và DMARC (Domain-based Message Authentication, Reporting, and Conformance), IP resever (PTR)
Xác minh và thiết lập các quy tắc xác thực người gửi trong các bộ lọc spam.
Nếu tự làm email không có email gateway nên tìm IP sạch tí.
Quản lý danh sách đen (blacklist) và trắng (whitelist):
Thiết lập các quy tắc để tự động thêm địa chỉ email vào danh sách đen hoặc trắng dựa trên các tiêu chí cụ thể.
Kiểm tra định kỳ và cập nhật danh sách đen và trắng của bạn.
Ngoài ra 1 số hãng dbspam hoặc trang Spam phải mua thêm gở spam blocklist hoặc add ip mail server vào Whitelist (nhất là ông UCEPROTECT phải mua gở), nếu trang spam free thì email gở spam,
Thường xuyên dùng các công cụ kiểm tra xem IP có spam không nhé: Mxtoolbox, dnschecker, Testtls, spamhaus, Barracuda, Spamcop,..Dĩ nhiên phổ biến thôi còn nhiều các bạn có thể tìm thêm.
Quản lý và đào tạo người dùng cuối:
Các giải pháp công nghệ tốt đến đâu thì con người vận hành và sử dụng cũng là users nên yếu tố con người cũng quyết định thành công trong việc góp phần ngăn ngừa.
Cung cấp hướng dẫn và đào tạo người dùng về cách nhận biết và xử lý email spam, fishing email.
Khuyến khích họ không mở các đính kèm từ nguồn không rõ, click link nặc danh dẫn tới spam hoặc mã hoá dữ liệu.
Kiểm soát đồng bộ hóa (synchronization):
Hạn chế quá trình đồng bộ hóa với các danh bạ không tin cậy và ngăn chặn các kết nối không mong muốn từ các nguồn không rõ.
Giám sát log và thống kê:
Thường xuyên theo dõi các log và bản thống kê để phát hiện các hoạt động bất thường từ Log của Exchange transport, Ngoài các công cụ sẵn có của Exchange Server: Message tracking. Có thể dùng ManageEngine Exchange Reporter Plus khá ok dĩ nhiên phải tốn phí 😊
Thực hiện giám sát thời gian thực để nhanh chóng phát hiện và xử lý các vấn đề liên quan đến spam.
Sử dụng các giải pháp chống thấp hóa (greylisting):
Cài đặt các giải pháp chống thấp hóa để tạm thời chặn các email từ nguồn chưa được xác minh, và chỉ chấp nhận chúng khi được gửi lại từ cùng một nguồn. Này gần giống mục 3, dùng thêm các giải pháp tốn tiền
Rules Transport Exchange Server
Có thể tận dụng tạo các bộ lộc rules sẵn có của Exchange vẫn có khả năng ngănn chặn được nhiều đó, Mình nghỉ bộ công cụ này khá mạnh mọi người cần khai thác triệt để vì miễn phí mà có sẵn tận dụng có gì sài nấy trước khi đầu tư.
Lời Kết cho bài post
Bảo mật email là câu chuyện muôn thuở và nhiều tầng nhiều lớp, dĩ nhiên tuỳ thuộc vào nhu cầu và ngân sách doanh nghiệp nếu lên Cloud Email Online (Google Workspace, MS365-Microsoft Defender for Office 365 công nghệ mới XDR..) thì khá tốt rồi.
Bài post này chỉ đề cập đến giải pháp email Server Exchange nhà làm (On-Premise). Chúng ta đi từ trong ra ngoài theo các tầng thì có thể gôm lại các cách phòng chống spam cho Email như sau:
Tầng 1: Nội tại email Exchange Server có Antispam and antimalware sẵn có free, dĩ nhiên phải cấu hình và bật lên (Content filter, Sender, IP reputation,..).
Tầng 2: Rules transport Exchange có sẵn free chỉ tốn cơm suy nghĩ, spam đâu block đó
Tầng 3: tầng cài thêm phần mềm thứ ba nếu không nhiều tiền mua phần cứng: Antispam của ESET Mail Security, Symantec tích họp email security, McAFee,..
Tầng 4 tường lửa nếu có sẵn: Forgiate mua tính năng hoặc sài hẵn phần cứng mail gateway như của Baracuda, Sophos, Fortimail, hoặc đẩy thẳng mail relay Cloud Online: Microsoft, GG, Amazon SES, SendinBlue, DNSexit,..Nhiều lắm mà tốn tiền 😊
..
Lưu ý rằng không có biện pháp nào là hoàn toàn hiệu quả 100% trong việc ngăn chặn spam, vì vậy việc kết hợp nhiều biện pháp cùng một lúc là quan trọng.
Bài Post mang tính chất chủ quan tham khảo va chắc lọc từ kinh nghiệm cá nhân, anh em nào có khác hãy comment để thảo luận nhé.
DNS Requirements for the vCenter Server Appliance, lên DNS tạo các record A, PTR
Name vCenter Server 8
vcsa.viettechgroup.lab
IP: 172.16.23.3
Host Esxi or vCenter
IP: 172.16.1.1
If you want to deploy the appliance on an ESXi host, verify that the ESXi host is not in lockdown or maintenance mode and not part of a fully automated DRS cluster
Gồm 8 bước điền các thông tin như các bước chuẩn bị
B1: Introduction -> next
B2: End user license agreement-> Chọn chấp chập và next
Bước 3: Khai báo thông tin host esxi hoặc vcenter cần triển khai
Chọn Yes trust SSL
Bước 4: Khai báo VM tên và user root của VM VCSA
Bước 5: Để default tiny
Bước 6: Chọn Datastores cần Setup
Bước 7: Bước này quan trọng khai báo về port group VM network nào cần sử dụng để VM VCSA có thể liên hệ với ADDS, khi báo như hình tùy theo nhu cầu thực tế mạng của các bạn để gỏ vào.
Bước 8: chỉ là confirm các setting vừa rồi chọn finish
và quản lý vcenter https://ip:443 bằng vsphere client html5
Đây là quản lý máy ảo của VCSA 8 nhé
Tại đây có thể cập nhật các tùy chỉnh theo ý đồ quản trị
Lưu ý ae quản trị viên hay quên, nhớ cập nhật lại lại hệ thống password không là bị change password sau 90 ngày. 😊 Ở đây tùy ae nhé. Tôi thì có mình nên chơi never expires cho chắc ăn.
Mật khẩu vẫn để phức tạp đi
Cái quản trọng nữa là backup config sau khi cấu hình ngon lành để có trường hợp còn khôi phục lại nhé.
Microsoft Outlook Zero-Day Vulnerability- Elevation of Privilege Vulnerability CVE-2023-23397
Tóm tắt:
Microsoft giải thích: CVE-2023-23397 là một lỗ hổng EoP nghiêm trọng trong Microsoft Outlook, được kích hoạt khi kẻ tấn công gửi thư có thuộc tính MAPI mở rộng với đường dẫn UNC đến chia sẻ SMB (TCP 445) trên máy chủ do tác nhân đe dọa kiểm soát. Không cần tương tác người dùng,”
Cơ chế
Kẻ tấn công đã khai thác thành công lỗ hổng này có thể truy cập hàm băm Net-NTLMv2 của người dùng, có thể được sử dụng làm cơ sở cho một cuộc tấn công Chuyển tiếp NTLM chống lại một dịch vụ khác để xác thực là người dùng.
Preview Pane
Hacker tận dụng tính Preview Pane của email Outlook Email được chế tạo đặc biệt sẽ tự động kích hoạt khi nó được ứng dụng khách Outlook truy xuất và xử lý, cung cấp một vectơ tấn công lén lút để tin tặc khai thác. “Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một email được chế tạo đặc biệt, email này sẽ tự động kích hoạt khi nó được ứng dụng khách Outlook truy xuất và xử lý. Điều này có thể dẫn đến việc khai thác TRƯỚC KHI email được xem trong Preview Pane,”
Các phiên bản ảnh hưởng
Tất cả các phiên bản được hỗ trợ của Microsoft Outlook (2010, 2013,2016,2019, 365Apps)cho Windows đều bị ảnh hưởng.
Các phiên bản khác của Microsoft Outlook như Android, iOS, Mac, cũng như Outlook trên web và các dịch vụ M365 khác không bị ảnh hưởng.
Biện pháp làm khắc phục:
Thêm người dùng vào Nhóm bảo mật người dùng được bảo vệ (Protected Users Security Group), ngăn việc sử dụng NTLM làm cơ chế xác thực. Việc thực hiện giảm thiểu này giúp khắc phục sự cố dễ dàng hơn so với các phương pháp vô hiệu hóa NTLM khác.
Chặn TCP 445/SMB gửi đi từ mạng của bạn bằng cách sử dụng tường lửa vành đai(DMZ), tường lửa cục bộ và thông qua cài đặt VPN. Điều này sẽ ngăn việc gửi thông báo xác thực NTLM tới chia sẻ tệp từ xa.
Máy trạm Client
Yêu cầu tất cả máy trạm của Người dùng cuối cần upgrade Microsoft Outlook cho các Phiên bản:
Microsoft Outlook 2013 (64-bit edition):https://www.microsoft.com/en-us/download/details.aspx?id=105070
Microsoft Outlook 2016 (64-bit edition):https://www.microsoft.com/en-us/download/details.aspx?id=105058
Microsoft Office LTSC 2019/2021/365 for 64-bit editions:=> Cick upgrade
Microsoft hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết 75 lỗ hổng trong danh mục sản phẩm của mình, ba trong số đó đã bị khai thác tích cực trong tự nhiên.
Các bản cập nhật bổ sung cho 22 lỗ hổng mà nhà sản xuất Windows đã vá trong trình duyệt Edge dựa trên Chromium của họ trong tháng qua. Hầu hết các lỗ hổng liên quan đến lỗ hổng khai thác thực thi mã từ xa chiếm đến 47%.
Trong số 75 lỗ hổng, 9 lỗ hổng được xếp hạng Nghiêm trọng và 66 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng. 37 trong số 75 lỗi được phân loại là lỗi thực thi mã từ xa (RCE). Ba zero-days của lưu ý đã được khai thác như sau:
CVE-2023-21715 (điểm CVSS: 7,3) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Office
CVE-2023-21823 (điểm CVSS: 7,8) – Độ cao của lỗ hổng đặc quyền của Cấu phần đồ họa Windows
CVE-2023-23376 (Điểm CVSS: 7,8) – Độ cao trình điều khiển của Hệ thống tệp nhật ký chung Windows (CLFS) của lỗ hổng đặc quyền
“Bản thân cuộc tấn công được thực hiện cục bộ bởi người dùng có xác thực với hệ thống được nhắm mục tiêu”, Microsoft cho biết trong lời khuyên cho CVE-2023-21715.
“Kẻ tấn công được xác thực có thể khai thác lỗ hổng bằng cách thuyết phục nạn nhân, thông qua kỹ thuật xã hội, tải xuống và mở một tệp được chế tạo đặc biệt từ một trang web có thể dẫn đến một cuộc tấn công cục bộ vào máy tính nạn nhân.”
Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ thù bỏ qua các chính sách macro của Office được sử dụng để chặn các tệp độc hại hoặc không đáng tin cậy hoặc giành được các đặc quyền HỆ THỐNG.
CVE-2023-23376 cũng là lỗ hổng zero-day được khai thác tích cực thứ ba trong thành phần CLFS sau CVE-2022-24521 và CVE-2022-37969 (điểm CVSS: 7,8), đã được Microsoft xử lý vào tháng 4 và tháng 9 năm 2022.
Nikolas Cemerikic của Immersive Labs cho biết: “Trình điều khiển hệ thống tệp nhật ký chung của Windows là một thành phần của hệ điều hành Windows quản lý và duy trì hệ thống tệp nhật ký dựa trên giao dịch, hiệu suất cao”.
“Đây là một thành phần thiết yếu của hệ điều hành Windows và bất kỳ lỗ hổng nào trong trình điều khiển này đều có thể có ý nghĩa quan trọng đối với tính bảo mật và độ tin cậy của hệ thống.”
Cần lưu ý rằng Microsoft OneNote dành cho Android dễ bị tấn công bởi CVE-2023-21823 và với việc dịch vụ ghi chú ngày càng nổi lên như một phương tiện phát tán phần mềm độc hại , điều quan trọng là người dùng phải áp dụng các bản sửa lỗi.
Microsoft cũng giải quyết nhiều lỗi RCE trong Exchange Server, Trình điều khiển ODBC, Trình điều khiển Máy in PostScript và SQL Server cũng như các sự cố từ chối dịch vụ (DoS) ảnh hưởng đến Dịch vụ iSCSI của Windows và Kênh Bảo mật Windows.
Ba trong số các lỗ hổng Exchange Server được công ty phân loại là “Khả năng khai thác cao hơn”, mặc dù việc khai thác thành công yêu cầu kẻ tấn công phải được xác thực.
Các máy chủ Exchange đã được chứng minh là mục tiêu có giá trị cao trong những năm gần đây vì chúng có thể cho phép truy cập trái phép vào thông tin nhạy cảm hoặc tạo điều kiện cho các cuộc tấn công Thỏa hiệp email doanh nghiệp (BEC).
Đọc về lý thuyết sdwan thấy khá trừu tượng và khó hiểu. Khi mình cấu hình sdwan trên fortigate 60F thì nó có các mục sau (như trong hình):
+SDWAN zones: tại đây mình tạo mới 1 interface ảo (hoặc dùng cái mặc định có tên là virtual wan link) và add các member interfaces (là các wan interfaces vật lý có sẵn) vào interface ảo này. Gần giống kiểu mình dùng cisco etherchannel để gộp các ports vật lý vào trong 1 port ảo. Cái virtual wan link này là dùng để ra internet, còn nếu mình muốn vpn đến site khác thì mình tạo 1 vpn zone (ảo) và sau đó tạo và add các đường vpn (vpn1, vpn2 …) vào vpn zone đó (và nó là overlay, vì nó dựa trên cái underlay ở dưới là các đường wan). Việc tạo giao diện wan ảo (gộp các wan vật lý) là để giúp phối hợp và lựa chọn các wan vật lý để đem đến các tính năng như failover, load balancing, path selection, load distribution, lựa chọn đường wan dựa theo chất lượng đường wan và dựa theo app / service / ip / fqdn …
+SDWAN rules: phần này có 1 rule mặc định nằm dưới cùng và trong rule này nó cho mình chọn 1 số thuật toán load balance. Ngoài ra mình có thể tạo thêm rule mới để control vấn đề path selection dựa vào ip / fqdn / app / service / category … ví dụ mình định nghĩa là truy cập Office 365 phải đi qua đường wan1, hoặc tự động chọn đường wan nào có chất lượng tốt nhất dựa vào các SLA đã được định nghĩa và cấu hình, hoặc lựa chọn và phối hợp các đg wan sao cho tối đa bandwidth, hoặc có latency thấp nhất …
+Performance SLA: phần này mình định nghĩa cách thức mình monitor 1 server ngoài internet dựa vào các giao thức như ping, http, dns … để đo lường tính sẵn sàng và chất lượng các đường wan dựa vào nhiều tiêu chí như packet loss, latency, jitter … và dùng các kết quả này vào việc chọn đường wan ở mục sdwan rules. VD mình sẽ cấu hình để nó ping liên tục đến 8.8.8.8 và đo lường các thông số chất lượng của các đg wan thông qua kết quả gói ping.
Tóm lại, sau khi cấu hình 3 mục trên thì ta có 1 giao diện wan ảo mới là virtual wan link (hoặc tên khác do ta đặt) trong đó nó gộp các đường wan vật lý là wan1, wan2 … Ta cũng tạo Perf SLA để monitor và đo chất lượng các đg wan1, wan2 … và tạo sdwan rule để control path selection dựa vào thông tin source, destination và kết quả của perf sla. Nhưng cái virtual wan link này chỉ là để truy cập internet, nếu ta muốn kết nối vpn giữa HQ và branch thì ta phải tạo thêm VPN theo 1 trong 2 cách sau:
+cách 1: tạo và cấu hình IPsec s2s vpn tunnel truyền thống, việc cấu hình khá đơn giản, chú ý cấu hình phase 1 và phase 2 trên fortigate đầu này phải tương thích với phase 1 và phase 2 trên fortigate đầu kia
+cách 2: vào mục sdwan/sdwan zones và tạo 1 vpn zone (ảo) và sau đó tạo và add các vpn thành viên (vd: vpn1 dựa trên wan1, vpn2 dựa trên wan2) vào vpn zone này, việc tạo và add vpn thành viên làm ngay trong giao diện của mục sdwan chứ ko làm trong giao diện của mục VPN như thông thường. Cấu hình vpn theo cách này thì ta phải tạo nhiều đường vpn (vpn1, vpn2) để hệ thống tự động lựa chọn đường vpn phù hợp với từng traffic. Cấu hình khá lằng nhằng nhiều bước, phức tạp hơn so với cách 1, nên mình ko thích cách này lắm, và nó cũng failed trong test lab của mình.
Như vậy với fortigate sdwan thì có 2 dạng virtual link: virtual link dùng để truy cập internet (như cái virtual wan link), và virtual link dùng để kết nối các sites (như vpn zone). SDwan phục vụ truy cập internet thì khá ngon và cấu hình khá đơn giản nên ok,
Store Worker Process stops and returns “System.NullReferenceExceptions” lặp lại nhiều lần.
Không ghi âm và play được Exchange Unified Messaging
Log Exchange Application bị tràn liên quan có mã event ID: 6010
Các lỗi khi update có thể gặp phải:
Dịch vụ Microsoft Exchange AD Topology service có thể không start tự động hoặc lỗi treo làm die hệ thống (Đối với Exchange server 2016 chạy trên Windows Server 2012R2)
Bản xem trước trang web cho các URL được chia sẻ trong Outlook trên web (OWA) không được hiển thị chính xác.
Không thể mở công cụ quản lý Exchange Toolbox MMC snapin
Khuyến cáo Phương nguyễn:
Hiện bản này đang có nhiều lỗi liên quan khuyến cáo mạnh mẽ anh em IT System chưa hãy update nhé để ăn tết vui vẻ chờ MS confirm các bản vá trong tương lai. Vì có rất nhiều người bị lỗi rồi. Khuyến cáo đặc biệt: Tuyệt đối không chạy bản vá này cho Exchange 2013
Để cập nhật admin BIG-IP Configuration qua web thì chúng ta còn nhớ mật khẩu mới vào được. Tuy nhiên vì lý do gì đó quên luôn mật khẩu admin trên web. Chúng ta phải dùng đến công cụ TMOS Shell (tsmh) của F5 nhé.
Thực hiện
Bước 1: logon vào Shell hoặc SSH gỏ lệnh tmsh
tmsh
Bước 2: gỏ lệnh bên dưới
modify auth password root
Nhập password mới và nhập lại cho root account
Bước 3 : để reset luôn tài khoản web admin dùng để cấu hình gỏ lệnh bên dưới
modify auth user admin prompt-for-password
Bước 4 : lưu cấu hình bằng lệnh save sys config
save sys config
Bước 5: Quit
Kiểm tra lại logon nhé
Như vậy là thành công rồi nhé. Chúc các bạn reset thành công trong công việc quản trị F5 network.
CVE-2024-21410 – Microsoft Exchange Server nâng cao lỗ hổng đặc quyền
