+ Microsoft đã phát hành các bản vá cho bốn lỗ hổng nghiêm trọng đang được sử dụng để nhắm mục tiêu vào các phiên bản Microsoft Exchange Server tại chỗ trong các cuộc tấn công “có giới hạn và có mục tiêu”. Hoạt động này được cho là một nhóm có tên là Hafnium, được cho rằng được nhà nước bảo trợ và hoạt động bên ngoài Trung Quốc.
Trong chi tiết kỹ thuật của một bài đăng trên blog được chia sẻ ngày 2 tháng 3 , Microsoft cho biết CVE-2021-26855 là một lỗ hổng server-side request (SSRF) cho phép kẻ tấn công gửi các yêu cầu HTTP tùy ý và sau đó xác thực như máy chủ Exchange. CVE-2021-26857 là một lỗ hổng insecure deserialization flaw trong Unified Messaging service; khai thác điều này cho phép những kẻ tấn công chạy code như SYSTEM trên máy chủ.
CVE-2021-26858 và CVE-2021-27065 đều là lỗ hổng post-authentication arbitrary file trong Exchange. Nếu kẻ tấn công có thể xác thực với máy chủ Exchange, chúng có thể sử dụng những lỗ hổng này để ghi tệp vào bất kỳ đường dẫn nào trên máy chủ. Microsoft lưu ý rằng trước tiên họ có thể xác thực bằng cách khai thác lỗ hổng SSRF CVE-2021-26855 hoặc bằng cách xâm phạm thông tin đăng nhập quản trị viên.
Khi được liên kết với nhau, các lỗ hổng này được gọi là ‘ ProxyLogon ‘ và cho phép các attacker thực hiện mã độc từ xa trên các máy chủ Microsoft Exchange bị lộ công khai sử dụng Outlook trên web (OWA).
Các phiên bản bị ảnh hưởng là:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Giải pháp được đề nghị:
Kiểm tra Microsoft Exchange có bị lỗ hổng hay không: Microsoft đã phát hành tập lệnh PowerShell trên kho lưu trữ GitHub của kỹ sư hỗ trợ Microsoft Exchange có tên Test-ProxyLogon.ps1 để tự động hóa các tác vụ này cho quản trị viên.
Cài đặt bản vá bảo mật: Chi tiết về cách cài đặt bản cập nhật bảo mật: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
Kiểm tra webshells trên máy chủ Microsoft Exchange: https://github.com/cert-lv/exchange_webshell_detection
+ VMWare đã tiết lộ hai lỗ hổng ảnh hưởng đến vCenter Server và Cloud Foundation. Trước khi công bố các lỗ hổng, công ty đã xuất bản một giải pháp để bảo vệ các máy chủ được coi là giải pháp tạm thời cho đến khi các bản cập nhật với bản vá bảo mật có thể được triển khai. Đây là một phản ứng nhanh đáng ngạc nhiên từ công ty, mặc dù họ đang làm việc để nhanh chóng khắc phục sự cố trong khi những kẻ tấn công cũng đang chạy đua để tìm ra những cách mới để kiếm lợi từ các lỗ hổng. Những lỗ hổng được gọi là CVE-2021-21972 và CVE-2021-21973, có thể bị kẻ tấn công sử dụng để tiết lộ thông tin và thực thi mã lệnh thông qua một plugin vCenter Server.
Giải pháp được đề nghị:
Có thể loại bỏ khả năng bị khai thác và tấn công, bằng cách thực hiện các bước được nêu chi tiết ở: Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 on VMware vCenter Server (82374)