Microsoft đang điều tra về hai lỗ hổng bảo mật zero-day ảnh hưởng đến Exchange Server 2013, 2016 và 2019 sau khi nhận được các báo cáo về việc khai thác lỗ hổng trong thực tế.
Lỗ hổng đầu tiên có định danh CVE-2022-41040, liên quan đến vấn đề giả mạo yêu cầu phía máy chủ (SSRF). Lỗ hổng thứ hai có định danh CVE-2022-41082, cho phép thực thi mã từ xa (RCE) nếu kẻ tấn công có thể truy cập PowerShell.
Theo thehackernews.com, Microsoft đã phát hiện các cuộc tấn công có chủ đích lạm dụng các lỗ hổng để giành được quyền truy cập ban đầu vào các hệ thống được nhắm mục tiêu, nhưng nhấn mạnh rằng cần có quyền truy cập vào Exchange Server bị ảnh hưởng để đạt được khai thác thành công.
Các cuộc tấn công được phát hiện cho thấy hai lỗ hổng đã được kết hợp với nhau trong một chuỗi khai thác, với lỗ hổng SSRF cho phép kẻ tấn công đã xác thực có thể thực thi mã tùy ý.
Hãng này cũng lưu ý, lỗ hổng chỉ ảnh hưởng đến người dùng Microsoft Exchange theo mô hình “on premises”, còn người dùng Exchange trực tuyến không bị ảnh hưởng. On-premises (phần mềm lưu trữ dữ liệu tại chỗ) là một dạng mô hình phần mềm được cài đặt và hoạt động từ chính máy chủ và hệ thống máy tính của doanh nghiệp
Hiện nay nhà cung cấp đang tập trung làm việc để đưa ra bản vá cho các lỗ hổng, đồng thời đưa ra giải pháp tạm thời bằng cách thêm một quy tắc chặn (blocking rule) trong IIS Manager để giảm thiểu các mối đe dọa tiềm ẩn.
Người dùng Microsoft Exchange “on premises” nên triển khai quy tắc chặn ngay lập tức và thường xuyên cập nhật thông tin từ Microsoft để có thể cập nhật bản vá ngay khi chúng được phát hành.
Các bước để thêm quy tắc chặn như sau:
- Mở IIS Manager > Chọn Default Web Site.
- Trong mục Feature View, nhấp vào URL Rewrite
- Trong phần Actions ở phía bên phải, nhấp vào Add Rule(s)
- Chọn Request Blocking và bấm OK
- Thêm chuỗi “.*autodiscover\.json.*\@.*Powershell.*” trong ô nhập pattern. Chọn Regular Expression ở phần Using và chọn Abort Request ở phần How to block sau đó nhấn OK.
- Mở rộng quy tắc vừa thêm: chọn rule với pattern ở trên và nhấp vào Edit trong phần Conditions (dưới phần Actions), thay đổi Condition input từ {URL} thành {REQUEST_URI}.
Trước đó, Cục An toàn thông tin tiếp nhận cảnh báo từ đội ngũ bảo mật của Công ty an ninh mạng GTSC về việc đang xuất hiện chiến dịch tấn công mạng có chủ đích sử dụng lỗ hổng zero-day, mục tiêu nhắm đến là các hệ thống máy chủ Microsoft Exchange của các cơ quan, tổ chức trong nước.
Các chuyên gia an ninh mạng cho biết, đây là lỗ hổng bảo mật có mức độ nghiêm trọng và chưa có bản vá lỗi chính thức. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa để dành quyền kiểm soát hệ thống, đe dọa đến tính bí mật, toàn vẹn của hàng ngàn máy chủ Mail Exchange đang được sử dụng bởi nhiều cơ quan, tổ chức trong nước.
Trước mức độ nghiêm trọng của lỗ hổng, Cục An toàn thông tin đã tiến hành rà soát và ghi nhận hệ thống máy chủ Mail một số đơn vị đã bị xâm nhập với các dấu hiệu nhận diện liên quan đến tấn công có chủ đích. Đồng thời đơn vị này cũng phát đi cảnh báo tới toàn bộ thành viên thuộc Mạng lưới ứng cứu sự cố an toàn thông tin mạng Việt Nam.