Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Gần 2000 máy chủ Exchange bị tấn công bằng cách khai thác lỗ hổng ProxyShell

author Bùi Tấn Việt - 2021-08-25 16:15:10 (GMT+7)

Gần 2,000 máy chủ email Microsoft Exchange đã bị tấn công trong hai ngày qua và bị nhiễm backdoor. Nguyên nhân do các máy chủ này bị một các lỗ hổng bảo mật với tên gọi là ProxyShell.

Các cuộc tấn công được phát hiện bởi công ty bảo mật Huntress Labs, xảy ra sau khi các script proof-of-concept được công bố công khai vào đầu tháng này

ProxyShell là gì?

Được phát hiện bởi nhà nghiên cứu bảo mật người Đài Loan Orange Tsai, ProxyShell là tập hợp của ba lỗi bảo mật khác nhau, được sử dụng để chiếm quyền điều khiển các máy chủ email Microsoft Exchange. Bao gồm, CVE-2021-34473, CVE-2021-34523CVE-2021-31207 

Ngoài ra, anh còn phát hiện thêm các lỗ hổng khác như ProxyLogon, ProxyOracle

Tsai đã sử dụng ProxyShell trong cuộc thi hack Pwn2Own vào tháng 04 năm 2021, anh đã kiếm được 200,000$ tiền thưởng vì đã xâm nhập vào máy chủ thành công.

Hơn 30.400 máy chủ Exchange có khả năng bị tấn công

Sau cuộc thi trên, thông tin chi tiết về việc khai thác này ngay lập tức được chia sẻ với Microsoft và công ty đã vá ba lỗ hổng vào tháng 5 và tháng 7 năm nay. Tuy nhiên không phải tất cả các máy chủ đều được cập nhật bản vá một cách nhanh chóng.

Một cuộc scan diện rộng được thực hiện bởi ISC SANS vào ngày 8 tháng 8, hai ngày sau khi proof-of-concept của ProxyShell được công bố, cho thấy hơn 30.400 máy chủ Exchange trong tổng số 100.000 vẫn chưa được vá và vẫn dễ bị tấn công.

Hơn 1.900 máy chủ Exchange đã bị tấn công

Các cuộc tấn công bắt đầu gia tăng, thậm chí các mã độc Ransomware mới với tên là LockFile đã bắt đầu sử dụng ProxyShell như một cách để xâm nhập vào máy chủ.

Kyle Hanslovan, Giám đốc điều hành và đồng sáng lập của Huntress Labs cho biết: “Các tổ chức bị ảnh hưởng cho đến nay bao gồm các công ty sản xuất vật liệu xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân cư nhỏ và hơn thế nữa”.

Sự việc đi xa hơn khi vào đầu tuần này, một người dùng trên diễn đàn tội phạm mạng đã công bố danh sách tất cả hơn 100.000 máy chủ Exchange dễ bị tấn công và dễ khai thác lỗ hổng.


Ảnh: THE RECORD

Để giúp quản trị viên hệ thống điều tra các máy chủ Exchange của họ, Huntress Labs đã đưa ra các  Trích xuất các dấu vết tấn công hệ thống (Indicators of Compromise)

Qua các trích xuất trên, các quản trị viên hệ thống có thể kiểm tra máy chủ Exchange của mình xem có bị tấn công hay chưa và tìm cách khắc phục. Nếu bạn đang quản trị máy chủ email Microsft Exchange, hãy cập nhật ngay các bản vá mới nhất từ Microsoft nhằm đảm bảo an toàn cho máy chủ của bạn.

Theo: TheRecord

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021
BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021
BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021
tin.123host.vnTin tức SysAdmin

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm