Những điều cần biết về vụ hack Microsoft Exchange Server

Ngày 02/03/2021, Microsoft đã phải phát hành bản vá khẩn cấp nhằm khắc phục 4 lỗ hổng zero-day cực kỳ nghiêm trọng trong máy chủ Exchange Server phiên bản 2013/2016/2019. Cả 4 lỗ hổng này trước đó đều đang bị khai thác tích cực bởi một nhóm hacker có tên HAFNIUM. Cùng với đó là sự tham gia của hàng loạt nhóm tin tặc không xác định khác, tạo thành một chiến dịch tấn công trên diện rộng có thể gây hậu quả cực kỳ nghiêm trọng cho Microsoft và các đối tác trên toàn cầu.

Hoàn toàn không có bằng chứng nào chỉ ra mối liên hệ giữa chiến dịch Exchange Server này với cuộc tấn công chuỗi cung ứng SolarWinds đã gây ảnh hưởng đến hơn 18.000 tổ chức trên toàn thế giới diễn ra trước đó không lâu. Tuy nhiên, sự chậm trễ trong việc vá các máy chủ Exchange Server dễ bị tấn công hoàn toàn có thể gây ra tác động tương tự, hoặc tệ hơn đối với các doanh nghiệp toàn cầu.

Dưới đây là mọi thông tin bạn cần biết về các vấn đề bảo mật cũng như hướng dẫn của giới chuyên gia về vụ việc nghiêm trọng này.

Microsoft Exchange Server là gì?

Microsoft Exchange Server là một giải pháp cộng tác, lịch và hộp thư email phổ biến trong cộng đồng doanh nghiệp. Đối tượng sử dụng máy chủ này rất đa dạng, từ các tập đoàn khổng lồ đến những doanh nghiệp vừa và nhỏ trên toàn thế giới.

Có rất nhiều máy chủ thư điện tử của Việt Nam đang sử dụng Microsoft Exchange, như máy chủ thư điện tử của các cơ quan tổ chức nhà nước, tổ chức ngân hàng, tài chính, các doanh nghiệp và nhiều tổ chức lớn khác.

Điều gì đã xảy ra với Exchange Server?

Đầu tháng 1/2021: Microsoft đã phát hiện những manh mối đầu tiên về 4 lỗ hổng zero-day Exchange Server.

Ngày 05/01: Một nhà nghiên cứu an ninh mạng của DEVCORE tìm ra 2 trong số 4 lỗ hổng, và báo cáo chúng cho Microsoft. Đồng thời cho biết “Đây có thể là RCE nghiêm trọng nhất mà tôi từng báo cáo".

Ngày 06/01: Cuộc tấn công khai thác 4 lỗ hổng zero-day đầu tiên bắt đầu

Trong tháng 1: Dubex cũng đã báo cáo hoạt động đáng ngờ trên các máy chủ Microsoft Exchange.

Ngày 02/03: Microsoft phát hành các bản vá để khắc phục 4 lỗ hổng nghiêm trọng của Exchange Server. Đồng thời, thừa nhận rằng các lỗ hổng đang bị khai thác tích cực trong "những cuộc tấn công có mục tiêu cụ thể".

Ngày 12/03:  Microsoft triển khai một cuộc điều tra chuyên sâu nhằm xác định xem liệu tin tặc có nắm trong tay thông tin xác thực cần thiết để chiếm được quyền truy cập vào máy chủ Exchange Server của các đối tác của Microsoft hay không.

Ngày 10/03: Mã tấn công Proof-of-Concept (PoC) đã được đẩy lên GitHub, sau đó GitHub đã xóa nó.

Ngày 14/03: Mã PoC mới được phát hành bởi một nhà nghiên cứu khác, với mô tả là một phương pháp đưa các khai thác của máy chủ Exchange xuống cấp độ "script-kiddie".

Người ta nghi ngờ rằng các nhóm hacker sở hữu mã PoC mà Microsoft đã chia sẻ với các đối tác antivirus trong khuôn khổ chương trình Microsoft Active Protections Program (Mapp).

Mặc dù các bản sửa lỗi đã được ban hành, phạm vi xâm nhập Exchange Server tiềm ẩn lại phụ thuộc vào tốc độ tiếp nhận và áp dụng các bản vá từ doanh nghiệp. Do đó, số lượng nạn nhân ước tính sẽ còn tiếp tục tăng lên.

Thông tin về các lỗ hổng trên Exchange Server

Các lỗ hổng nghiêm trọng này, được gọi chung là ProxyLogon, ảnh hưởng đến Exchange Server 2013, Exchange Server 2016 và Exchange Server 2019. Tuy nhiên, Exchange Online lại không chịu tác động. Danh sách cụ thể như sau:

• CVE-2021-26855: lỗ hổng giả mạo yêu cầu phía máy chủ (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và xác thực là máy chủ Exchange
• CVE-2021-26857: Lỗ hổng trong dịch vụ Unified Messaging, cho phép kẻ tấn công thực thi mã tùy ý
• CVE-2021-26858: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.
• CVE-2021-27065: Lỗ hổng ghi file trong Exchange, kẻ tấn công có thể tùy ý ghi vào bất kỳ đường dẫn nào trên máy chủ.

Nếu được sử dụng trong một chuỗi tấn công, tất cả các lỗ hổng này có thể dẫn đến hành vi thực thi mã từ xa (RCE), chiếm quyền điều khiển máy chủ, backdoor, đánh cắp dữ liệu và khả năng triển khai thêm phần mềm độc hại.

Tóm lại, Microsoft cho biết những kẻ tấn công có thể truy cập an toàn vào Exchange Server thông qua các lỗi này hoặc thông tin đăng nhập bị đánh cắp. Và sau đó, chúng có thể tạo một web shell để chiếm quyền điều khiển hệ thống và thực thi các lệnh từ xa.

“Các lỗ hổng này được sử dụng như một phần của chuỗi tấn công. Cuộc tấn công ban đầu yêu cầu khả năng tạo kết nối không đáng tin cậy đến cổng máy chủ Exchange 443. Điều này có thể được đối phó bằng cách hạn chế các kết nối tạm hoặc bằng cách thiết lập VPN để tách máy chủ Exchange khỏi những truy cập bên ngoài.

Việc sử dụng biện pháp giảm thiểu này sẽ chỉ giúp bảo vệ khỏi phần ban đầu của cuộc tấn công. Các phần khác của chuỗi có thể được kích hoạt nếu kẻ tấn công đã có quyền truy cập hoặc có thể thuyết phục (đánh lừa) quản trị viên hệ thống chạy một tệp độc hại”.

Đối tượng chịu trách nhiệm

Microsoft cho biết, khi dò theo dấu vết các cuộc tấn công sử dụng lỗ hổng zero-day, khả năng cao là chúng được thực hiện bởi Hafnium, một nhóm hacker APT có kỹ năng cao và tinh vi.

Hafnium sử dụng VPS đặt tại Mỹ để cố gắng che giấu vị trí thực sự của mình. Những đối tượng bị nhóm này nhắm mục tiêu trước đây bao gồm các tổ chức tư vấn, tổ chức phi lợi nhuận, nhà thầu quốc phòng và tổ chức nghiên cứu.

Vào ngày 10/03, ESET cho biết 10 nhóm APT đã góp mặt các cuộc tấn công khai thác lỗ hổng Exchange Server, bao gồm LuckyMouse, Tick, Winnti Group và Calypso.

Mức độ ảnh hưởng

Theo chuyên gia an ninh mạng Brian Krebs, có khoảng 30.000 tổ chức ở Mỹ đã bị tấn công cho đến nay. Ước tính của Bloomberg đưa con số này lên gần 60.000, tính đến ngày 8 tháng 3. Trong khi Palo Alto Networks khẳng định có ít nhất 125.000 máy chủ chưa được vá lỗi trên toàn thế giới.

Trong bản cập nhật vào ngày 5/3, Microsoft cho biết công ty "tiếp tục nhận thấy hành vi lạm dụng các lỗ hổng ngày càng tăng trong các cuộc tấn công nhắm vào những hệ thống chưa được vá bởi nhiều tác nhân độc hại ngoài Hafnium".

Từ 11/3 - 15/3, Check Point Research cho biết những nỗ lực tấn công đã tăng gấp 10 lần dựa trên dữ liệu thu thập được trong những ngày này. Mỹ, Đức và Anh là những quốc gia bị nhắm mục tiêu nhiều nhất. Các mục tiêu chính phủ và quân sự chiếm 23% tổng số nỗ lực tấn công, tiếp theo là sản xuất, dịch vụ tài chính và nhà cung cấp phần mềm.

Trong một tình huống gợi nhớ đến đợt bùng phát ransomware WannaCry năm 2017, vào ngày 12 tháng 3, Microsoft cho biết một biến thể ransomware có tên DearCry đang tận dụng các lỗ hổng để triển khai ransomware trên những máy chủ Exchange dễ bị tấn công.

Giải pháp ứng phó với lỗ hổng trên Exchange Server

Microsoft kêu gọi các quản trị viên CNTT và công ty sử dụng Exchange Server trên toàn thế giới áp dụng các bản sửa lỗi bảo mật ngay lập tức. Đồng thời xuất bản một tập lệnh trên GitHub dành cho các quản trị viên CNTT để chạy bao gồm các chỉ báo về sự xâm phạm (IOC) liên kết với bốn lỗ hổng. IoC được liệt kê riêng ở đây.

Ngoài ra, các công ty cũng cần chủ động tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng. Đối với các cơ quan tổ chức có nhân sự kỹ thuật, tốt có thể thử nghiệm xâm nhập vào hệ thống thông qua các lỗ hổng bảo mật nghiêm trọng nêu trên.