Nhóm nghiên cứu ATP của Microsoft Defender (Microsoft Defender ATP Research Team) mới đây đã ra thông cáo cho biết các cuộc tấn công BlueKeep được phát hiện vào ngày 2 tháng 11 vừa qua, về bản chất, được kết nối với một chiến dịch khai thác tiền điện tử từ tháng 9, sử dụng cùng một cơ sở hạ tầng máy chủ chỉ huy và kiểm soát (C2).
BlueKeep là một lỗ hổng thực thi mã từ xa chưa xác thực ảnh hưởng đến hầu hết các sản phẩm đang được sử dụng phổ biến của Microsoft như Remote Desktop Services trên Windows 7, Windows Server 2008 và Windows Server 2008 R2. Bản vá đã được công ty tung ra vào ngày 14 tháng 5.
Tuy nhiên lỗ hổng này đang có dấu hiệu quay trở lại với hàng loạt các báo cáo mới được ghi nhận, khiến Microsoft Defender ATP Research Team phải đưa ra thông báo kêu gọi người dùng ngay lập tức triển khai bản vá đối với những hệ thống Windows dễ bị tấn công BlueKeep.
Microsoft dự báo tin tặc sẽ lợi dụng BlueKeep để triển khai các cuộc tấn công nguy hiểm và phức tạp hơn trong tương lai gần: "BlueKeep sẽ được tin tặc sử dụng như một yếu tố giúp triển khai các payload độc hại mạnh mẽ hơn, hiệu quả hơn, và từ đó gây thiệt hại lớn hơn so với việc bị lạm dụng bởi những kẻ khai thác tiền ảo như trước đây”.
Sau khi thu thập và phân tích các chỉ số về mức độ thỏa hiệp (Indicators of Compromise - IoC) cũng như một vài dữ liệu liên quan khác, các nhà nghiên cứu bảo mật của Microsoft phát hiện ra rằng một chiến dịch khai thác tiền ảo trước đó vào tháng 9 có liên hệ chặt chẽ với cơ sở hạ tầng máy chủ C2 vốn được sử dụng trong chiến dịch BlueKeep Metasploit vào tháng 10 vừa qua. Điều này cho thấy hacker đã dàn dựng các cuộc tấn công khai thác tiền ảo và cuối cùng kết hợp với BlueKeep để triển khai các hoạt động độc hại tinh vi hơn.
BlueKeep sẽ không còn là mối đe dọa trừ khi người dùng cài đặt bản vá mới nhất, đồng thời tình trạng bảo mật tổng thể được kiểm soát chặt chẽ.
Bạn có thể truy cập vào địa chỉ dưới đây để tìm kiếm thêm thông tin về các bản vá bảo mật được Microsoft tung ra nhằm ứng phó với các lỗ hỏng bảo mật hiện hành, trong đó có BlueKeep:
Quantrimang.com đã có hướng dẫn vá lỗ hổng BlueKeep này rất chi tiết rồi, bạn tham khảo nếu cần nhé.