Máy chủ Microsoft Exchange bị hack bởi ransomware LockFile

Nhóm hacker đứng đằng sau ransomware mới mang tên LockFile đã mã hóa tên miền Windows sau khi hack vào các máy chủ Microsoft Exchange bằng lỗ hổng ProxyShell.

ProxyShell là tên của kiểu tấn công bao gồm chuỗi 3 lỗ hổng Microsoft Exchange. Nếu khai thác thành công, hacker có thể thực thi code từ xa mà không cần xác thực.

Ba lỗ hổng này được phát hiện bởi một nhà nghiên cứu bảo mật. Ông này đã liên kết chúng lại với nhau để chiếm quyền kiểm soát một máy chủ Microsoft Exchange hồi tháng Tư tại cuộc thi hack Pwn2Own 2021.

Danh sách 3 lỗ hổng cụ thể như sau:

  • CVE-2021-34473 (được vá trong tháng Tư với bản cập nhật KB5001779)
  • CVE-2021-34523 (được vá trong tháng Tư với bản cập nhật KB5001779)
  • CVE-2021-31207 (được vá trong tháng Năm với bản cập nhật KB5003435)

Do Microsoft đã tung ra bản vá cho cả ba lỗ hổng nên nhiều chi tiết kỹ thuật đã được tiết lộ. Vì thế, các nhà nghiên cứu bảo mật và cả hacker đều có thể dễ dàng phát triển các phương thức khai thác.

Trong số này, xuất hiện một ransomware mới mang tên LockFile. Những kẻ đứng đằng sau ransomware này đang rất tích cực quét để tìm các máy chủ Microsoft Exchange chưa cập nhật bản vá lỗi.

Bằng cách tận dụng ProxyShell, kẻ tấn công sẽ xâm nhập vào các máy chủ Microsoft Exchange. Sau đó, chúng tiếp tục khai thác lỗ hổng PetitPotam để chiếm quyền kiểm soát trình điều khiển tên miền và sau đó là tên miền Windows.

Từ đây, chúng phát tán ransomware ra toàn bộ mạng lưới của công ty, tổ chức bị tấn công.

LockFile là một ransomware mới xuất hiện. Theo nghiên cứu của các chuyên gia, LockFile khá rắc rối khi chiếm nhiều tài nguyên hệ thống và khiến máy tính tạm thời bị đóng băng nếu nhiễm phải.

Để tránh bị tấn công bởi hacker, chuyên gia bảo mật khuyến cáo người dùng và quản trị viên IT của doanh nghiệp cập nhật ngay các bản vá mới nhất của Windows 10.

Thứ Hai, 23/08/2021 17:41
51 👨 321
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ