Cảnh báo nguy cơ tấn công mạng trong Microsoft Exchange

Theo thông tin từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC, thuộc Cục An toàn thông tin, Bộ TT-TT), qua công tác giám sát từ ngày 10.11 đến nay, NCSC đã ghi nhận dấu hiệu tấn công vào một số hệ thống thư điện tử tại Việt Nam, sử dụng lỗ hổng CVE-2021-42321 trong Microsoft Exchange Server. Các dấu hiệu này được phát hiện từ ngày 15.11.

Trong quá trình nghiên cứu, NCSC đã phát hiện các truy vấn được dùng khi khai thác lỗ hổng sử dụng các endpoint bình thường trong hệ thống Exchange, nên khả năng phát hiện thông qua log và ngăn chặn bằng WAF rất thấp.

Ngoài ra, Payload có thể được thay đổi một cách linh hoạt và có khả năng cao qua mặt được các công cụ, giải pháp bảo vệ nâng cao EDR, XDR… Để khai thác lỗ hổng, NCSC cho biết kẻ tấn công chỉ cần có thông tin truy cập của một tài khoản bình thường nên rủi ro với các doanh nghiệp là rất lớn.

Từ đó, NCSC khuyến nghị các cơ quan, tổ chức cần tăng cường giám sát hệ thống; kiểm tra các truy cập bất thường cũng như có cơ chế đổi mật khẩu hoặc xóa các tài khoản có khả năng bị lộ lọt. Đặc biệt, các cơ quan, tổ chức cần có kế hoạch cập nhật sớm nhất có thể.

Trước đó, NCSC cũng đã dự báo nguy cơ tấn công mạng qua lỗ hổng CVE-2021-42321 trong Microsoft Exchange.

Theo phân tích từ NCSC, lỗ hổng bảo mật CVE-2021-42321 ảnh hưởng tới máy chủ thư điện tử Microsoft Exchange Server; trong khi đó tại Việt Nam có tới 70% máy chủ thư điện tử sử dụng Microsoft Exchange. Để khai thác lỗ hổng CVE-2021-42321, kẻ tấn công cần xác thực vào hệ thống mục tiêu; tuy nhiên việc có một tài khoản email để vượt qua bước xác thực đối với hacker cũng không phải là việc khó khăn.

Thời gian qua, thông tin cảnh báo về các lỗ hổng bảo mật trong Microsoft liên tục được NCSC gửi tới các đơn vị chuyên trách về CNTT các bộ, cơ quan ngang bộ, cơ quan thuộc chính phủ; các sở TT-TT tỉnh thành; các tập đoàn, các ngân hàng, tổ chức tài chính; hệ thống các đơn vị chuyên trách về an toàn thông tin.

Các chuyên gia của NCSC cho biết vào ngày 10.11 Microsoft đã phát hành danh sách bản vá tháng 11 với 55 lỗ hổng bảo mật trong các sản phẩm của mình. Ngay sau đó, NCSC đã phát hành văn bản cảnh báo rộng rãi về các lỗ hổng bảo mật ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 11.2021.

Bản phát hành tháng này đặc biệt chú ý tới các lỗ hổng bảo mật, trong đó có lỗ hổng bảo mật CVE-2021-42321 trong Microsoft Exchange Server cho phép kẻ tấn công thực thi mã từ xa.

Hai lỗ hổng bảo mật CVE-2021-38631, CVE-2021-41371 trong Microsoft Remote Desktop Protocol (RDP) ảnh hưởng đến Windows 7 đến Windows 11, và trên Windows Server 2008-2019.

Ngoài ra, còn có lỗ hổng bảo mật CVE-2021-42292 trong Microsoft Excel ảnh hưởng đến Microsoft Excel phiên bản 2013-2021; lỗ hổng bảo mật CVE-2021-26443 trong Microsoft Virtual Machine Bus (VMBus), 2 lỗ hổng bảo mật CVE-2021-43208, CVE-2021-43209 trong 3D Viewer.

Các đơn vị cũng được khuyến nghị nên cập nhật, nâng cấp lên phiên bản mới nhất để khắc phục lỗ hổng bảo mật nói trên cũng như các lỗ hổng bảo mật mới phát hiện khác; đồng thời thực hiện tìm kiếm dấu hiệu tấn công theo hướng dẫn của NCSC.

Đặc biệt, các cơ quan, đơn vị, doanh nghiệp cần tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng…