Cập nhật ngay: Microsoft phát hành bản vá cho 3 lỗ hổng Windows bị khai thác tích cực

Microsoft hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết 75 lỗ hổng trong danh mục sản phẩm của mình, ba trong số đó đã bị khai thác tích cực trong tự nhiên.

Các bản cập nhật bổ sung cho 22 lỗ hổng mà nhà sản xuất Windows đã vá trong trình duyệt Edge dựa trên Chromium của họ trong tháng qua. Hầu hết các lỗ hổng liên quan đến lỗ hổng khai thác thực thi mã từ xa chiếm đến 47%.

Trong số 75 lỗ hổng, 9 lỗ hổng được xếp hạng Nghiêm trọng và 66 lỗ hổng được xếp hạng Quan trọng về mức độ nghiêm trọng. 37 trong số 75 lỗi được phân loại là lỗi thực thi mã từ xa (RCE). Ba zero-days của lưu ý đã được khai thác như sau:

  • CVE-2023-21715 (điểm CVSS: 7,3) – Lỗ hổng bỏ qua tính năng bảo mật của Microsoft Office
  • CVE-2023-21823 (điểm CVSS: 7,8) – Độ cao của lỗ hổng đặc quyền của Cấu phần đồ họa Windows
  • CVE-2023-23376 (Điểm CVSS: 7,8) – Độ cao trình điều khiển của Hệ thống tệp nhật ký chung Windows (CLFS) của lỗ hổng đặc quyền

“Bản thân cuộc tấn công được thực hiện cục bộ bởi người dùng có xác thực với hệ thống được nhắm mục tiêu”, Microsoft cho biết trong lời khuyên cho CVE-2023-21715.

“Kẻ tấn công được xác thực có thể khai thác lỗ hổng bằng cách thuyết phục nạn nhân, thông qua kỹ thuật xã hội, tải xuống và mở một tệp được chế tạo đặc biệt từ một trang web có thể dẫn đến một cuộc tấn công cục bộ vào máy tính nạn nhân.”

Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ thù bỏ qua các chính sách macro của Office được sử dụng để chặn các tệp độc hại hoặc không đáng tin cậy hoặc giành được các đặc quyền HỆ THỐNG.

CVE-2023-23376 cũng là lỗ hổng zero-day được khai thác tích cực thứ ba trong thành phần CLFS sau CVE-2022-24521 và CVE-2022-37969 (điểm CVSS: 7,8), đã được Microsoft xử lý vào tháng 4 và tháng 9 năm 2022.

Nikolas Cemerikic của Immersive Labs cho biết: “Trình điều khiển hệ thống tệp nhật ký chung của Windows là một thành phần của hệ điều hành Windows quản lý và duy trì hệ thống tệp nhật ký dựa trên giao dịch, hiệu suất cao”.

“Đây là một thành phần thiết yếu của hệ điều hành Windows và bất kỳ lỗ hổng nào trong trình điều khiển này đều có thể có ý nghĩa quan trọng đối với tính bảo mật và độ tin cậy của hệ thống.”

Cần lưu ý rằng Microsoft OneNote dành cho Android dễ bị tấn công bởi CVE-2023-21823 và với việc dịch vụ ghi chú ngày càng nổi lên như một phương tiện phát tán phần mềm độc hại , điều quan trọng là người dùng phải áp dụng các bản sửa lỗi.

Microsoft cũng giải quyết nhiều lỗi RCE trong Exchange Server, Trình điều khiển ODBC, Trình điều khiển Máy in PostScript và SQL Server cũng như các sự cố từ chối dịch vụ (DoS) ảnh hưởng đến Dịch vụ iSCSI của Windows và Kênh Bảo mật Windows.

Ba trong số các lỗ hổng Exchange Server được công ty phân loại là “Khả năng khai thác cao hơn”, mặc dù việc khai thác thành công yêu cầu kẻ tấn công phải được xác thực.

Các máy chủ Exchange đã được chứng minh là mục tiêu có giá trị cao trong những năm gần đây vì chúng có thể cho phép truy cập trái phép vào thông tin nhạy cảm hoặc tạo điều kiện cho các cuộc tấn công Thỏa hiệp email doanh nghiệp (BEC).

Nguồn : https://thehackernews.com/2023/02/update-now-microsoft-releases-patches.html

Phương Nguyễn Dịch và biên soạn

The WinRM client cannot process the request. It cannot determine the content type of the EMS Exchange Shell

Microsoft_Exchange_(2019-present).svg

The WinRM client cannot process the request. It cannot determine the content type of the

Mã lỗi:

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

VERBOSE: Connecting to LAB-EX2013.phuongit.lab.

New-PSSession : [lab-ex2013.phuongit.lab] Connecting to remote server lab-ex2013.phuongit.lab failed with the

following error message : The WinRM client cannot process the request. It cannot determine the content type of the

HTTP response from the destination computer. The content type is absent or invalid. For more information, see the

about_Remote_Troubleshooting Help topic.

At line:1 char:1

+ New-PSSession -ConnectionURI “$connectionUri” -ConfigurationName Microsoft.Excha …

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin

gTransportException

+ FullyQualifiedErrorId : -2144108297,PSSessionOpenFailed

Failed to connect to an Exchange server in the current site.

Enter the server FQDN where you want to connect.:

YÊU CẦU

  • Set PowerShell Execution Policies
  • Verify WinRM IIS Extensions
  • Enable Windows Authentication for PowerShell Virtual Directory
  • Verify SSL setting for PowerShell Virtual Directory
  • Verify the application pool for PowerShell Virtual Directory
  • Verify the Security in for PowerShell Virtual Directory

Kiểm tra

  • Set PowerShell Execution Policies

  • Verify WinRM IIS Extensions => Nếu chưa cài phải cài

  • Enable Windows Authentication for PowerShell Virtual Directory
  • Verify SSL setting for PowerShell Virtual Directory

  • Verify the application pool for PowerShell Virtual Directory

Also, under Powershell Virtual Directory → Basic Settings → Make sure you have the Correct application pool (MSExchangePowerShellAppPool or MSExchangePowerShellFrontEndAppPool) and Physical path (C:\Program Files\Microsoft\Exchange Server\V<Exchange Version>\ClientAccess\PowerShell) selected to access the PowerShell virtual directory on the host under IIS root as shown:

  • Verify the Security in for PowerShell Virtual Directory
  • Also make sure the Exchange user has read permissions on the Physical path specified. To do this go to PowerShell Virtual Directory → Edit Permissions → Security tab → Assign read permissions to user performing the scan as shown:

Add-PSSnapin Microsoft.Exchange.Management.PowerShell.snapin;

Set-User “Administrator” -RemotePowerShellEnabled $true

Get-User -Identity “Administrator” | Format-List RemotePowerShellEnabled

KHỞI ĐỘNG SERVER LẠI NHÉ

TEST

TEST NEW USER FOR EMS

  • Add new user account in Active Directory
  • Add Roles/Group membership for new created user account
  • Enable Remote PowerShell for new created user account

NGUYÊN NHÂN

Có thể 1 trong các nguyên nhân sau

This problem occurs because one or more of the following conditions are true:

  • There is a configuration issue on the Exchange server with the Authentication Providers set on the PowerShell website.
  • The Kerbauth module is configured incorrectly in Internet Information Services (IIS) in one of the following ways:
    • The Kerbauth module is displayed as a Managed module instead of as a Native module.
    • The Kerbauth module has been loaded on the Default website level (instead of, or in addition to, the PowerShell virtual directory).
  • The user does not have Remote PowerShell Enabled status.
  • The WSMan module entry is missing from the Global modules section of the ApplicationHost.config file that is in the following location:
    C:\Windows\System32\Inetsrv\config\ApplicationHost.config

This causes the WSMan module to be displayed as a Managed module in the PowerShell virtual directory.

RESOLUTION OTHER

The Kerberos authentication needs to be configured on the PowerShell website on the Exchange Mailbox Server:

  1. Establish a remote connection to the Exchange server in question.
  2. Click Run and enter inetmgr.
  3. Expand the server in the left-hand pane.
  4. Expand the Sites and Default Web Site trees, and then click PowerShell.
  5. Double-click Authentication under the IIS section.

  1. Chọn enable Windows Authentication-> Providers

  1. Right-click on Windows Authentication, and then select Providers.

  1. If the Negotiate:Kerberos item is not present, add it through the Available Providers dialog box.


The AppInsight for Exchange data will be populated during the next SAM polling process. You can also click on Poll Now to obtain results immediately.

Test-WsMan

In IIS Manager, Kerbauth should be listed as a Native module in the PowerShell virtual directory. The DLL location for this module should point to

C:\Program Files\Microsoft\Exchange Server\v15\Bin\kerbauth.dll.

Make sure that the WSMan module is registered but not enabled at the Server level. Also make sure that the WSMan module is enabled for the PowerShell virtual directory. Then, verify that the following WSMan module entry is included in the <globalModules> section of the C:\Windows\System32\Inetsrv\config\ApplicationHost.config file as follows:

XMLCopy

<globalModules>

<add name=”WSMan” image=”C:\Windows\system32\wsmsvc.dll” />

Kiểm tra thiếu chưa cài WinRM IIS Extension feature

Khởi động lại IIS hoặc máy chủ để test lại

Kiểm tra lại: C:\Windows\System32\Inetsrv\config\ApplicationHost.config

Đảm bảo có dòng này

<add name=”WSMan” image=”%windir%\system32\wsmsvc.dll” />

Fortigate SD-WAN ?

Đọc về lý thuyết sdwan thấy khá trừu tượng và khó hiểu. Khi mình cấu hình sdwan trên fortigate 60F thì nó có các mục sau (như trong hình):

+SDWAN zones: tại đây mình tạo mới 1 interface ảo (hoặc dùng cái mặc định có tên là virtual wan link) và add các member interfaces (là các wan interfaces vật lý có sẵn) vào interface ảo này. Gần giống kiểu mình dùng cisco etherchannel để gộp các ports vật lý vào trong 1 port ảo. Cái virtual wan link này là dùng để ra internet, còn nếu mình muốn vpn đến site khác thì mình tạo 1 vpn zone (ảo) và sau đó tạo và add các đường vpn (vpn1, vpn2 …) vào vpn zone đó (và nó là overlay, vì nó dựa trên cái underlay ở dưới là các đường wan). Việc tạo giao diện wan ảo (gộp các wan vật lý) là để giúp phối hợp và lựa chọn các wan vật lý để đem đến các tính năng như failover, load balancing, path selection, load distribution, lựa chọn đường wan dựa theo chất lượng đường wan và dựa theo app / service / ip / fqdn …

+SDWAN rules: phần này có 1 rule mặc định nằm dưới cùng và trong rule này nó cho mình chọn 1 số thuật toán load balance. Ngoài ra mình có thể tạo thêm rule mới để control vấn đề path selection dựa vào ip / fqdn / app / service / category … ví dụ mình định nghĩa là truy cập Office 365 phải đi qua đường wan1, hoặc tự động chọn đường wan nào có chất lượng tốt nhất dựa vào các SLA đã được định nghĩa và cấu hình, hoặc lựa chọn và phối hợp các đg wan sao cho tối đa bandwidth, hoặc có latency thấp nhất …

+Performance SLA: phần này mình định nghĩa cách thức mình monitor 1 server ngoài internet dựa vào các giao thức như ping, http, dns … để đo lường tính sẵn sàng và chất lượng các đường wan dựa vào nhiều tiêu chí như packet loss, latency, jitter … và dùng các kết quả này vào việc chọn đường wan ở mục sdwan rules. VD mình sẽ cấu hình để nó ping liên tục đến 8.8.8.8 và đo lường các thông số chất lượng của các đg wan thông qua kết quả gói ping.

Tóm lại, sau khi cấu hình 3 mục trên thì ta có 1 giao diện wan ảo mới là virtual wan link (hoặc tên khác do ta đặt) trong đó nó gộp các đường wan vật lý là wan1, wan2 … Ta cũng tạo Perf SLA để monitor và đo chất lượng các đg wan1, wan2 … và tạo sdwan rule để control path selection dựa vào thông tin source, destination và kết quả của perf sla. Nhưng cái virtual wan link này chỉ là để truy cập internet, nếu ta muốn kết nối vpn giữa HQ và branch thì ta phải tạo thêm VPN theo 1 trong 2 cách sau:

+cách 1: tạo và cấu hình IPsec s2s vpn tunnel truyền thống, việc cấu hình khá đơn giản, chú ý cấu hình phase 1 và phase 2 trên fortigate đầu này phải tương thích với phase 1 và phase 2 trên fortigate đầu kia

+cách 2: vào mục sdwan/sdwan zones và tạo 1 vpn zone (ảo) và sau đó tạo và add các vpn thành viên (vd: vpn1 dựa trên wan1, vpn2 dựa trên wan2) vào vpn zone này, việc tạo và add vpn thành viên làm ngay trong giao diện của mục sdwan chứ ko làm trong giao diện của mục VPN như thông thường. Cấu hình vpn theo cách này thì ta phải tạo nhiều đường vpn (vpn1, vpn2) để hệ thống tự động lựa chọn đường vpn phù hợp với từng traffic. Cấu hình khá lằng nhằng nhiều bước, phức tạp hơn so với cách 1, nên mình ko thích cách này lắm, và nó cũng failed trong test lab của mình.

Như vậy với fortigate sdwan thì có 2 dạng virtual link: virtual link dùng để truy cập internet (như cái virtual wan link), và virtual link dùng để kết nối các sites (như vpn zone). SDwan phục vụ truy cập internet thì khá ngon và cấu hình khá đơn giản nên ok, 

Nguồn từ fb minhconan

Những lưu ý đối với bản vá Exchange Server ngày 10 tháng 01 năm 2023

Microsoft_Exchange_(2019-present).svg

Các Chú ý liên quan bản cập nhật vá lổ hổng (SU) của Exchange Server ngày 10/01/2023

Thông tin

Exchange 2019:
Exchange 2019CU12-KB5022193 (SU5)
Exchange 2019CU11-KB5022193 (SU9)
Exchange 2016:
Exchange2016-KB50221431(SU5)

Tính năng được giới thiệu mới:

Certificate signing of PowerShell serialization payload in Exchange Server, lưu ý khi cài đặt update bản vá thì sẽ bật tính năng này


Cập nhật các vá lỗ hổng:


Vấn đề vá lỗi:

  • Store Worker Process stops and returns “System.NullReferenceExceptions” lặp lại nhiều lần.
  • Không ghi âm và play được Exchange Unified Messaging
  • Log Exchange Application bị tràn liên quan có mã event ID: 6010

Các lỗi khi update có thể gặp phải:

  • Dịch vụ Microsoft Exchange AD Topology service có thể không start tự động hoặc lỗi treo làm die hệ thống (Đối với Exchange server 2016 chạy trên Windows Server 2012R2)
  • Bản xem trước trang web cho các URL được chia sẻ trong Outlook trên web (OWA) không được hiển thị chính xác.
  • Không thể mở công cụ quản lý Exchange Toolbox MMC snapin


Khuyến cáo Phương nguyễn:


Hiện bản này đang có nhiều lỗi liên quan khuyến cáo mạnh mẽ anh em IT System chưa hãy update nhé để ăn tết vui vẻ chờ MS confirm các bản vá trong tương lai. Vì có rất nhiều người bị lỗi rồi.
Khuyến cáo đặc biệt: Tuyệt đối không chạy bản vá này cho Exchange 2013

Phương nguyễn

Exchange Server 2013 sắp kết thúc hỗ trợ

Microsoft_Exchange_(2019-present).svg

Exchange Server 2013 End of Support Coming Soon
Vào ngày 11 tháng 4 năm 2023, tức là chưa đầy 90 ngày kể từ hôm nay, Exchange Server 2013 sẽ kết thúc Hỗ trợ!
Sau ngày đó, Microsoft sẽ không còn cung cấp:
Hỗ trợ kỹ thuật cho các sự cố có thể xảy ra liên quan Exchange 2013
Bản vá sửa lỗi cho các sự cố được phát hiện và có thể ảnh hưởng đến tính ổn định cũng như khả năng sử dụng của máy chủ Exchange Server 2013
Các bản sửa lỗi bảo mật (SU, CU) cho các lỗ hổng (,vulnerabilities ) được phát hiện và có thể khiến máy chủ dễ bị xâm phạm bảo mật
Cập nhật múi giờ

Tất nhiên, Exchange Server 2013 sẽ tiếp tục chạy sau ngày 11/04/2023; tuy nhiên, do những rủi ro được liệt kê ở trên, Microsoft thực sự khuyên khuyến cáo AE System nên di chuyển khỏi Exchange Server 2013 càng sớm càng tốt. Hãy bắt đầu ngay bây giờ lên plan để migration.
Để tiếp tục được hỗ trợ Sản phẩm liên quan Exchange, bạn có thể:
Upgrade to Exchange Server 2019 hoặc
Migrate to Exchange Online

jsisen

phuongit

exchange2013_eos

New opt-in endpoint for POP3/IMAP4 clients that need legacy TLS

Microsoft_Exchange_(2019-present).svg

Exchange Online ended support for TLS1.0 and TLS1.1 in October 2020. This year, we plan to disable these older TLS versions for POP3/IMAP4 clients to secure our customers and meet compliance requirements. However, we know that there is still significant usage of POP3/IMAP4 clients that don’t support TLS 1.2, so we’ve created an opt-in endpoint for these clients so they can use TLS1.0 and TLS1.1. This way, an organization is secured with TLS1.2 unless they specifically decide to opt for a less secure posture.

Only WW tenants can use this new endpoint. Tenants in US government clouds have higher security standards and cannot use older versions of TLS.

To take advantage of this new endpoint, admins will have to:

  1. Use Set-TransportConfig to set the AllowLegacyTLSClients parameter to True.
  2. Configure legacy POP3/IMAP4 clients and devices to use pop-legacy.office365.com / imap-legacy.office365.com as the new endpoint. Customers who use Microsoft 365 operated by 21 Vianet need to configure their clients to use pop-legacy.partner.outlook.cn / imap-legacy.partner.outlook.cn.

Starting in February 2023, we will reject a small percentage of connections that use TLS1.0 for POP3/IMAP4. Clients should retry as they do with any other temporary error that can occur when connecting. Over time we will increase the percentage of rejected connections, causing delays in connecting that should be more and more noticeable. The error will be:

TLS 1.0 and 1.1 are not supported. Please upgrade/update your client to support TLS 1.2. Visit https://aka.ms/popimap_tls.

We intend to fully disable TLS 1.0 and TLS 1.1 for POP3/IMAP4 on the regular endpoint by the end of April 2023.  Affected customers will receive a Message Center post in a few days notifying them of this change.

Additional documentation can be found here: Opt in to the Exchange Online endpoint for legacy TLS clients using POP3 or IMAP4.

Exchange Team

HƯỚNG DẪN XOÁ VNPT CA TOKEN CŨ HẾT HẠN

Bước 1 Tải phần mềm VNPT CA Admin để xóa thông tin chữ ký số hết hạn

Link tại đây

Bước 2: Đóng app hiện tại quyền và chạy ứng dụng vừa download về

Chọn vào chứng thư số-> nhập pin-> xoá chọn thông tin chữ ký số hết hạn cần xoá, nhớ là phải check ký nhé không là xoá nhằm nguy hiểm lại tốn time để xin lại căng lắm

Chọn CA hết hạn chọn xoá là xong

Phương nguyễn

CÁCH CÀI ĐẶT FREEPBX TRÊN VMWARE ESXI

THÔNG TIN

Download source mới nhất tại đây

https://downloads.freepbxdistro.org/ISO/SNG7-PBX16-64bit-2208-2.iso

https://downloads.freepbxdistro.org/ISO/SNG7-PBX-64bit-2203-2.iso

Copy lên datastore hoặc burn ra usb

Tạo Máy ảo

Chọn ISO vừa download về

Chọn Finish để cài máy ảo

CÀI ĐẶT FREEPBX

Reboot

Tắt firewall của Voice Server

fwconsole firewall --help

fwconsole firewall disable

fwconsole firewall stop

fwconsole firewall start

fwconsole firewall restart

fwconsole firewall trust 172.16.33.0/24

fwconsole firewall trust 172.16.17.0/24

fwconsole firewall list trusted

Logon Khởi tạo

CẤU HÌNH FREEPBX CƠ BẢN

Skip để qua nhé, nếu trường hợp chúng ta mua subscription tổng đài sẽ active, còn không chạy skip để lướt qua các quảng cáo

Mỗi khi cấu hình lưu ý phải apply config nhé.

Cấu hình firewall trust với server voice

Chọn No=> Not now skip trunk

Đây là giao diện sao khi init config

CẤU HÌNH SIP TRUNKING VÀ INCOMING OUTGOING để phần sau nhé.

Bài viết do phương nguyễn chủ biên, mọi thông tin reup vui lòng ghi rõ nguồn gốc.

Have nice good day

[Lỗ hổng] CVE-2022-41080 | Lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server

Thông tin

Thông tinMô Tả
Mức độCAO
Sản phẩmExchange Server
Phiên bảnMicrosoft Exchange Server 2016 Cumulative Update 22, Microsoft Exchange Server 2019
Cumulative Update 11, Microsoft Exchange Server 2013 Cumulative Update 23, Microsoft
Exchange Server 2019 Cumulative Update 12
Mã lỗiCVE-2022-41080
Bảng tóm tắt thông tin lỗ hổng Exchange CVE-2022-41080

Tổng quan

Microsoft cập nhật thông tin về CVE-2022-41080, lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server. Lỗ hổng đã được cảnh báo trong Patch Tuesday tháng 11 của Microsoft. Tin tặc đã xác thực có thể khai thác lỗ hổng Server-side request forgery (SSRF) để leo thang đặc quyền trên hệ thống hoặc kết hợp với CVE-2022-41082 để thực thi mã từ xa.
Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết

Dựa trên các tiêu chí:

  • Microsoft Exchange Server là sản phẩm được sử dụng phổ biến trong các doanh nghiệp.
  • Kết hợp với CVE-2022-41082, tin tặc có thể thực thi mã từ xa trên hệ thống mục tiêu.
  • Tin tặc cần xác thực để khai thác lỗ hổng.
  • Lỗ hổng đã có bản vá từ phía hãng.

Thông tin chi tiết:

CVE-2022-41080 đã được Microsoft cảnh báo trong Patch Tuesday tháng 11/2022. Lỗ hổng Server-side request forgery (SSRF) cho phép tin tặc đã xác thực có thể khai thác để nâng cao đặc quyền. Đặc biệt kết hợp với lỗ hổng CVE-2022-41082 , tin tặc có thể thực thi mã từ xa trên hệ thống.
Microsoft sẽ cập nhật thông tin về lỗ hổng ngay khi có thông tin mới nhất và cảnh báo cho khách hàng.
Kịch bản tấn công:

  1. Tin tặc đã xác thực khai thác CVE-2022-41080 để nâng cao đặc quyền trên hệ thống.
  2. Tin tặc tiếp tục khai thác lỗ hổng CVE-2022-41082 để thực thi mã và chiếm quyền điều khiển hệ thống mục tiêu.

Điều kiện khai thác
Hệ thống sử dụng Exchange Server các phiên bản:

  • Microsoft Exchange Server 2016 Cumulative Update 22
  • Microsoft Exchange Server 2019 Cumulative Update 11
  • Microsoft Exchange Server 2013 Cumulative Update 23
  • Microsoft Exchange Server 2019 Cumulative Update 12


Hệ thống chưa cài đặt bản vá Patch Tuesday tháng 11 hoặc bản vá trực tiếp cho lỗ hổng.
Tin tặc cần xác thực để khai thác lỗ hổng.


Dấu hiệu nhận biết/Cách khắc phục


Dấu hiệu nhận biết:

  • Gói tin tin tặc sử dụng để truy vấn lỗ hổng có các dấu hiệu sau:
  • Truy vấn HTTP phương thức GET.


Có chứa các chuỗi “X-OWA-ExplicitLogonUser” ,”owa/”, trong header.
Rule suricata:

alert http any any -> any any (msg:"Detecting CVE-2022-41082 attack"; flow:to_server,established; content:"GET";http_method; pcre:"/(X-OWA-ExplicitLogonUser:).(owa\/.)/Hi"; classtype:web-application-attack;sid:20224540;rev:1;)


Biện pháp khắc phục:

Lỗ hổng không có biện pháp khắc phục tạm thời. Microsoft khuyến nghị quản trị viên cập nhật bản vá cho lỗ hổng, chi tiết tại:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

Phương Nguyễn

CÁCH DI CHUYỂN BACKUP VERITAS SERVER SANG SERVER VERITAS BACKUP MỚI

Ngữ cảnh

Trong quản trị hệ thống vì lý do cần nâng cấp hệ thống backup chúng ta cần move hệ thống lưu trữ backup vertias cũ sang hệ thống server mới. Hôm nay Phương nguyễn sẽ giới thiệu các bạn cách move hệ thống backup veritas server từ server cũ sang hệ thống máy chủ mới.

Các bước thực hiện

Bước 1: Dĩ nhiên phải setup full máy mới

Bước 2: Ở Server cũ STOP ALL SERVICES SERVER VERITAS CŨ

Bước 3: Backup SQL Databases backup db

Sử dụng công cụ SQL manager nếu có hoặc dùng luôn tính năng của Vertias nhé.

Bước 4: Copy database hoặc restore vào server mới

Trước khi copy hoặc backup chúng ta phải stop all services Vertias và SQL

Hoặc dùng tools

Trước khi restored chúng ta phải stop all services Vertias và SQL hoặc đưa mode single

ALTER DATABASE [bedb] SET SINGLE_USER WITH ROLLBACK IMMEDIATE

Restored bedb.bak vào server mới hoặc attachment file bedb_dat.mdf và bedb.ldf vào nhé

Hoặc sài Tools backup util Copy databases của Veritas lun nhé

Sau khi restored ok hoặc attachment đưa về mode multi user

ALTER DATABASE bedb

SET MULTI_USER;

Bước 5: Copy cac dữ liệu cũ sang server mới

Copy thư mục catalogs theo đường dẫn C:\Program Files\Veritas\Backup Exec\Catalogs sang server Mới đúng bằng đường dẫn đó.

Copy all data except the msgq*.*.dat files from the following directory:

C:\Program Files\Veritas\Backup Exec\Data

Copy the catalog files and folders from the following directory:

C:\Program Files\Veritas\Backup Exec\Catalogs

Copy the job log files from the following directory:

C:\Program Files\Veritas\Backup Exec\Data

Copy the IDR files from the following directory:

C:\Program Files\Veritas\Backup Exec\\sdr\

Copy the report files from the following directory:

C:\Program Files\Veritas\Backup Exec\Reports

C:\Program Files\Common Files\Veritas Shared\SavedReports

Copy the user configuration file, user.config, from the Documents and Setting directory.

Bước 6: Start lại toàn bộ dịch vụ Vertias backup như hình nhé

Reboot lại rồi kiểm tra server đã chuyển đổi nhé.

Kiểm tra Job Backup còn nguyên nhé.

Chúc các bạn thành công.

Tài liệu được viết bởi Phương Nguyễn… Các bạn like share nhé. Ghi rõ nguồn từ web nếu có sao chép.

Phương Nguyễn

Nguồn : https://viettechgroup.vn/cach-di-chuyen-backup-vertias-server-sang-server-vertias-backup-moi.html