Được gán mã định danh CVE-2024-21410 (điểm CVSS: 9,8), đây là một lỗ hổng leo thang đặc quyền ảnh hưởng đến các máy chủ Exchange Server. Microsoft cho biết kẻ tấn công có thể nhắm mục tiêu vào máy khách NTLM như Outlook với lỗ hổng rò rỉ thông tin xác thực NTLM. Các thông tin đăng nhập này sau đó có thể được chuyển tiếp tới máy chủ Exchange để giành được các đặc quyền với tư cách là máy khách nạn nhân và thực hiện các hoạt động trên máy chủ Exchange.
Gã khổng lồ công nghệ lưu ý rằng nguyên nhân cốt lõi của lỗ hổng bảo mật là do tính năng NTLM credentials Relay Protections hoặc Extended Protection for Authentication (EPA) không được bật theo mặc định trong máy chủ Exchange Server 2019.
EPA được thiết kế để tăng cường chức năng xác thực của máy chủ Windows Server bằng cách giảm thiểu các cuộc tấn công chuyển tiếp xác thực và Man-in-the-Middle (MitM). Microsoft lần đầu tiên giới thiệu tính năng hỗ trợ Exchange Server EPA vào tháng 8/2022. Cũng trong ngày 14/02, Microsoft đã thông báo rằng EPA sẽ được bật theo mặc định trên tất cả các máy chủ Exchange Server sau khi triển khai bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14).
Quản trị viên cũng có thể sử dụng tập lệnh PowerShell ExchangeExtendsProtectionManagement để kích hoạt tính năng EPA trên các phiên bản trước của máy chủ Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ giúp các doanh nghiệp có thể bảo vệ hệ thống của họ trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá CVE-2024-21410.
Tuy nhiên, trước khi kích hoạt EPA trên máy chủ Exchange Server, quản trị viên nên đánh giá môi trường của họ và xem xét các vấn đề được đề cập trong tài liệu của Microsoft về tập lệnh chuyển đổi EPA để tránh ảnh hưởng đến các chức năng của hệ thống.
Hiện tại, thông tin chi tiết về cách thức của việc khai thác và danh tính của các tác nhân đe dọa có thể lạm dụng lỗ hổng này chưa được tiết lộ. Tuy nhiên, các nhóm tin tặc có liên kết với Chính phủ Nga như APT28 (còn gọi là Forest Blizzard) trước đây đã từng khai thác lỗ hổng trong Microsoft Outlook để thực hiện các cuộc tấn công NTLM Relay.
Đầu tháng 02/2024, hãng bảo mật Trend Micro (Mỹ) cho rằng các tin tặc đã thực hiện các cuộc tấn công NTLM Relay nhắm vào các thực thể có giá trị cao ít nhất kể từ tháng 4/2022. Các cuộc xâm nhập nhắm vào các tổ chức liên quan đến các lĩnh vực như đối ngoại, năng lượng, quốc phòng và vận tải cũng như các tổ chức phúc lợi xã hội, tài chính,…
Bên cạnh đó, Microsoft cũng đã bổ sung thêm hai lỗ hổng khác trên Windows, bao gồm: CVE-2024-21351 (điểm CVSS: 7,6) và CVE-2024-21412 (điểm CVSS: 8,1). Việc khai thác lỗ hổng CVE-2024-21412, một lỗi cho phép vượt qua các biện pháp bảo vệ Windows SmartScreen, được cho là do một nhóm tin tặc APT có tên là Water Hydra (còn gọi là DarkCasino), trước đây đã tận dụng lỗ hổng zero-day trong WinRAR để triển khai Trojan DarkMe.
Trend Micro cho biết: “Các tin tặc đã sử dụng Internet shortcut được ngụy trang dưới dạng hình ảnh JPEG mà khi được người dùng chọn, sẽ cho phép kẻ tấn công khai thác lỗ hổng CVE-2024-21412. Sau đó, tin tặc có thể vượt qua Microsoft Defender SmartScreen và xâm phạm hoàn toàn máy chủ Windows như một phần trong chuỗi tấn công của chúng”.
Bản cập nhật Patch Tuesday của Microsoft cũng giải quyết lỗ hổng CVE-2024-21413 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng khác ảnh hưởng đến phần mềm email Outlook, có thể dẫn đến việc thực thi mã từ xa bằng cách phá vỡ các biện pháp bảo mật thông thường như Protected View.
Lỗ hổng này bắt nguồn từ việc phân tích cú pháp không chính xác các siêu liên kết “file://”, khiến cho có thể thực thi mã bằng cách thêm dấu chấm than vào các URL trỏ đến payload tùy ý được lưu trữ trên các máy chủ do kẻ tấn công kiểm soát (ví dụ: “file:/// \\10[.]10[.]111[.]111\test\test.rtf!something”).
Hãng bảo mật Check Point (Mỹ) cho biết: “Lỗ hổng CVE-2024-21413 không chỉ cho phép rò rỉ thông tin NTLM cục bộ mà còn có thể cho phép thực thi mã từ xa và hơn thế nữa như một vectơ tấn công tinh vi. Nó cũng có thể vượt qua tính năng Protected View của Office khi nó được sử dụng làm vectơ tấn công nhằm vào các ứng dụng Office khác”.
Ngoài ra, các nhà nghiên cứu của Check Point lưu ý người dùng cá nhân và tổ chức nên áp dụng bất kỳ bản vá hoặc bản cập nhật bảo mật nào do Microsoft phát hành, bên cạnh đó tuân theo các biện pháp bảo mật được khuyến nghị và luôn cảnh giác trước các siêu liên kết (hyperlink) và email đáng ngờ.
Vũ Mạnh Hà
(Tổng hợp)
08:00 | 08/12/2023
16:00 | 15/03/2024
16:00 | 18/12/2023
08:00 | 06/03/2024
09:00 | 19/07/2023
09:00 | 29/02/2024
15:00 | 11/04/2024
Vừa qua, phiên bản mới nhất của FortiOS được công bố. Đây là hệ điều hành duy nhất hội tụ liền mạch mạng và bảo mật, cùng với các bản cập nhật Fortinet Security Fabric mang đến những tính năng AI tạo sinh thế hệ mới, khả năng bảo vệ dữ liệu, quản lý dịch vụ và tác nhân hợp nhất.
10:00 | 22/03/2024
Không lâu sau sự cố sập toàn cầu, tối 20/3, nhiều người dùng Facebook báo cáo rằng họ đã gặp sự cố khi sử dụng nền tảng mạng xã hội này. Cụ thể, mục Story hoàn toàn bị lỗi và chỉ hiển thị khung màu xám và không hiện bất cứ hình ảnh hay video nào.
16:00 | 08/03/2024
Microsoft đã phát hành bản cập nhật Windows 11 'Moment 5' cho các phiên bản 23H2 và 22H2, bắt đầu triển khai các tính năng mới, chẳng hạn như các plugin và kỹ năng Windows Copilot, truy cập bằng giọng nói, các cải tiến AI cho ClipChamp và Photos và trình tường thuật.
13:00 | 26/02/2024
Mới đây, Microsoft đã phát hành bản vá bảo mật hằng tháng (Patch Tuesday) của tháng 2/2024 để giải quyết 73 lỗ hổng, trong đó có 2 lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024
