Cụ thể, các lỗ hổng định danh CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 cho phép tin tặc qua mặt các danh sách điều khiển truy cập (Acces-Control List - ACL), leo thang đặc quyền trên backend của Exchange PowerShell và cho phép thực thi mã từ xa không cần xác thực.
Chiến dịch khai thác của tin tặc diễn ra hơn một tuần sau khi các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng cách lợi dụng chuỗi tấn công ProxyShell.
ProxyShell, ProxyLogon và ProxyOracle, là bộ ba chuỗi khai thác được phát hiện bởi nhà nghiên cứu bảo mật Orange Tsai (DEVCORE). Trong đó, ProxyOracle liên quan đến hai lỗ hổng thực thi mã từ xa có thể được sử dụng để khôi phục mật khẩu của người dùng ở dạng plaintext.
Theo các nhà nghiên cứu từ Huntress Labs (Hoa Kỳ), có ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng với hơn 100 sự cố được báo cáo liên quan đến việc khai thác từ ngày 17 - 18/8. Các Web shell giúp tin tặc giành quyền truy cập từ xa đến các máy chủ bị xâm nhập. Tuy nhiên, hiện chưa rõ mục tiêu cuối cùng của tin tặc là gì và các lỗ hổng đã bị khai thác đến mức độ nào.
Kyle Hanslovan, Giám đốc điều hành Huntress Labs cho biết: “Các tổ chức bị ảnh hưởng cho đến nay hoạt động trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng...".
Cho đến nay, hơn 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchanger hiện chưa được vá.
M.H
11:00 | 07/05/2021
09:00 | 06/10/2021
10:00 | 14/04/2022
11:00 | 14/04/2021
13:00 | 14/09/2021
16:00 | 04/03/2021
10:00 | 18/01/2023
Mới đây, các nhà nghiên cứu bảo mật tại Trend Micro đã cảnh báo về biến thể mới của phần mềm độc hại ngân hàng Dridex, được phát tán thông qua các tệp đính kèm trong email.
15:00 | 24/11/2022
Ba lỗ hổng mới được phát hiện trong Zoom có thể cho phép kẻ tấn công thực thi mã tùy ý và leo thang đặc quyền đối với người dùng root hoặc SYSTEM.
14:00 | 17/11/2022
Mới đây, Medibank - hãng bảo hiểm tư nhân Australia đã cảnh báo về mối đe dọa đáng lo ngại khi một tin tặc công bố dữ liệu các khách hàng của hãng sau khi đánh cắp thông tin của 10 triệu người.
17:00 | 30/09/2022
Công ty phần mềm an ninh máy tính và bảo mật phần cứng Sophos (Anh) đã cảnh báo về lỗ hổng bảo mật nghiêm trọng trong sản phẩm Firewall của hãng đang bị khai thác trong thực tế.
20 đối tượng gồm 5 người quốc tịch Ấn Độ và 15 người Thái Lan bị bắt với cáo buộc liên quan đến mạng lưới lừa đảo qua điện thoại nhằm vào người trung niên ở Mỹ.
08:00 | 28/03/2023