Cảnh báo lỗ hổng nghiêm trọng trong máy chủ Microsoft Exchange Hafnium

Thông tin

Ngày 02/03, Microsoft đã phát hành bản vá khẩn cấp cho 4 lỗ hổng bảo mật mới được phát hiện trong Exchange Server ( các lỗ hổng này được đánh giá ở mức nguy hiểm và đang được hacker sử dụng trong thực tế.

Đối tượng Exchange Server

Đối tượng bị ảnh hưởng trong các cuộc tấn công này bao gồm các máy chủ Exchange các phiên bản 2013/2016/2019.
Microsoft quy kết chiến dịch cho một nhóm hacker có tên HAFNIUM, được chính phủ Trung Quốc bảo trợ và cũng nghi ngờ các nhóm khác cũng có thể tham gia.

4 lỗ hổng zero-day được các nhà nghiên cứu từ Volexity và Dubex phát hiện được sử dụng trong chuỗi tấn công gồm:

  • CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (server-side request forgery-SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange
  • CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý
  • CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
  • CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

Ảnh hưởng nghiêm trọng

Chuỗi bốn lỗ hổng này được liên kết với nhau để giành quyền truy cập vào máy chủ Microsoft Exchange, đánh cắp email và tạo thêm phần mềm độc hại để tăng khả năng truy cập vào mạng.

Kẻ tấn công từ xa, không được xác thực có thể khai thác lỗ hổng này bằng cách gửi một gói tin HTTP được chế tạo đặc biệt tới máy chủ Exchange có lỗ hổng thông qua các kết nối không đáng tin cậy trên cổng 443.

Kiểm tra lỗ hổng

Để kiểm tra máy chủ của đơn vị mình có tồn tại lỗ hổng không, quản trị viên có thể sử dụng công cụ được cung cấp tại đường dẫn: https://github.com/dpaulson45/HealthChecker#download . Đồng thời kiểm tra các file lạ, nghi ngờ mới được tạo trong hệ thống.

Khắc Phục

Microsoft đã cung cấp bản vá KB5000871 cho các máy chủ Exchange bị ảnh hưởng tại đường dẫn:
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Kinh nghiệm Phương Nguyễn khuyến cáo các Ae System admin lập tức cập nhật bản vá cho các máy chủ Exchange để tránh nguy cơ tấn công khai thác.

Phương Nguyễn