CẢNH BÁO: Microsoft Exchange đang bị tấn công với lỗ hổng ProxyShell
Cơ quan An ninh mạng Mỹ đang cảnh báo về lỗ hổng trên máy chủ email Microsoft Exchange với tên ProxyShell đang được khai thác rất tích cực. Đặc biệt rất nhiều trường hợp ghi nhận hacker triển khai mã độc tống tiền ransomware với tên LockFile sau khi khai thác thành công.
Các lỗ hổng bảo mật được công bố liên quan đến ProxyShell bao gồm CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207. Với các lỗ hổng này, hacker có thể bypass cơ chế ACL của Windows, thực hiện leo thang đặc quyền, tấn công thực thi mã từ xa mà không cần đăng nhập hay chứng thực.
ProxyShell là gì?
Được phát hiện bởi nhà nghiên cứu bảo mật người Đài Loan Orange Tsai, ProxyShell là tập hợp của ba lỗi bảo mật khác nhau, được sử dụng để chiếm quyền điều khiển các máy chủ email Microsoft Exchange. Ngoài ra, anh còn phát hiện thêm các lỗ hổng khác như ProxyLogon, ProxyOracle
Tsai đã sử dụng ProxyShell trong cuộc thi hack Pwn2Own vào tháng 04 năm 2021, anh đã kiếm được 200,000$ tiền thưởng vì đã xâm nhập vào máy chủ thành công.
Hiện theo nghiên cứu từ Huntress Labs, có ít nhất 5 loại web shell đã được cài cắm trên các máy chủ Microsoft Exchange, với hơn 100 thiệt hại được báo cáo từ ngày 17 đến ngày 18 tháng 08. Web shell được hacker cài vào máy chủ sau khi khai thác thành công lỗ hổng để thực thi các lệnh và quyền điều khiển từ xa.
Kyle Hanslovan, Giám đốc điều hành và đồng sáng lập của Huntress Labs cho biết qua Tweeter: “Các tổ chức bị ảnh hưởng cho đến nay bao gồm các công ty sản xuất vật liệu xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân cư nhỏ và hơn thế nữa”.