Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

CISA và NSA ban hành hướng dẫn khẩn cấp để bảo mật máy chủ WSUS và Microsoft Exchange

14:18 | 03/11/2025
Hồng Đạt

Ngày 30/10, hai tổ chức của Chính phủ Mỹ là Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Cơ quan An ninh Quốc gia (NSA), cùng với các đối tác quốc tế từ Úc và Canada, đã ban hành hướng dẫn nhằm tăng cường bảo mật cho các phiên bản Microsoft Exchange Server on-premise trước nguy cơ bị tấn công.

CISA cho biết: “Bằng cách hạn chế quyền truy cập quản trị, triển khai xác thực đa yếu tố, thực thi cấu hình bảo mật truyền tải nghiêm ngặt và áp dụng các nguyên tắc của mô hình bảo mật Zero Trust, các tổ chức có thể tăng cường đáng kể khả năng phòng thủ trước các cuộc tấn công mạng tiềm ẩn”.

Các cơ quan này cho biết, hoạt động độc hại nhắm vào Microsoft Exchange Server vẫn tiếp diễn, với các máy chủ không được bảo vệ và cấu hình sai đang phải đối mặt với nguy cơ bị tấn công cao nhất. Các tổ chức được khuyến cáo nên ngừng hoạt động các máy chủ Exchange Server on-premise hoặc máy chủ Exchange hybrid sau khi chuyển đổi sang Microsoft 365. Một số phương pháp được khuyến nghị bao gồm:

- Duy trì cập nhật bảo mật và các bản vá lỗi.

- Migrate máy chủ Exchange hết vòng đời.

- Đảm bảo Exchange Emergency Mitigation Service vẫn được bật.

- Áp dụng và duy trì baseline Exchange Server, baseline Windows security và baseline mail client security.

- Sử dụng các giải pháp chống vi-rút, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR),…

- Hạn chế quyền truy cập quản trị vào Exchange Admin Center (EAC) và PowerShell từ xa và áp dụng nguyên tắc đặc quyền tối thiểu.

- Tăng cường xác thực và mã hóa bằng cách cấu hình TLS, HTSTS, Kerberos và Server Message Block (SMB) thay vì xác thực bằng NTLM.

- Vô hiệu hóa quyền truy cập PowerShell từ xa của người dùng trong Exchange Management Shell (EMS)

“Việc bảo mật máy chủ Exchange Server là điều cần thiết để duy trì tính toàn vẹn và bảo mật của các hoạt động truyền thông và chức năng của doanh nghiệp. Việc liên tục đánh giá và tăng cường an ninh mạng cho các máy chủ này là rất quan trọng để đón đầu các mối đe dọa mạng đang phát triển và đảm bảo khả năng bảo vệ mạnh mẽ cho Exchange như một phần cốt lõi hoạt động của nhiều tổ chức”, các cơ quan lưu ý.

Hướng dẫn này được đưa ra một ngày sau khi CISA cập nhật cảnh báo của mình để bao gồm thông tin bổ sung liên quan đến CVE-2025-59287, một lỗ hổng bảo mật mới được vá trong thành phần Windows Server Update Services (WSUS) có thể dẫn đến thực thi mã từ xa.

Cơ quan này khuyến nghị các tổ chức xác định các máy chủ ảnh hưởng, áp dụng bản cập nhật bảo mật ngoài băng tần do Microsoft phát hành và điều tra các dấu hiệu hoạt động đe dọa trên mạng của họ. Giám sát và kiểm tra hoạt động đáng ngờ và các tiến trình con được tạo ra với quyền SYSTEM, đặc biệt là những tiến trình bắt nguồn từ wsusservice.exe hoặc w3wp.exe.

Diễn biến này diễn ra sau báo cáo từ Công ty an ninh mạng Sophos, cho thấy các tác nhân đe dọa đang khai thác lỗ hổng để thu thập dữ liệu nhạy cảm từ các tổ chức ở Mỹ, bao gồm trường đại học, công ty công nghệ, sản xuất và chăm sóc sức khỏe. Hoạt động khai thác này được phát hiện lần đầu tiên vào ngày 24/10/2025, một ngày sau khi Microsoft phát hành bản cập nhật.

Twitter Zalo Facebook YouTube Copy Link QR Code
LỖ HỔNG BẢO MẬT ZERO TRUST BAN HÀNH HƯỚNG DẪN WSUS THỰC THI MÃ TỪ XA CISA CVE-2025-59287 CẢNH BÁO MICROSOFT NSA EXCHANGE SERVER
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết