HIỆP HỘI AN TOÀN THÔNG TIN VIỆT NAM

Cảnh báo về lỗ hổng nghiêm trọng trong Microsoft Exchange

Các chuyên gia an ninh mạng cảnh báo hacker đang lợi dụng một số lỗ hổng trong phần mềm máy chủ mail Microsoft Exchange để chiếm quyền điều khiển máy chủ mail Exchange ở nhiều nước

Đầu năm 2021, một số chuyên gia an ninh mạng quốc tế đã cảnh báo về việc phát hiện một số lỗ hổng trong phần mềm máy chủ mail Microsoft Exchange (CVE-2021-26855, CVE- 2021-26857, CVE-2021-26858 và CVE-2021-27065) có thể bị lợi dụng để vượt qua cơ chế đăng nhập và kiến trúc proxy của Exchange, cho phép kẻ tấn công chiếm quyền điều khiển máy chủ Exchange (do đó, lỗ hổng này còn được gọi là ProxyLogon).

Đầu tiên kẻ tấn công sẽ lợi dụng lỗ hổng vượt qua xác thực để kết nối tới máy chủ mail Exchange và sau đó lợi dụng lỗ hổng về ghi file để tạo file tùy ý trên trên máy chủ mail Exchange và có thể đọc toàn bọ email hoặc chạy file thực thi, kiểm soát máy chủ mail, cài đặt backdoor, kết nối tới các máy chủ điều khiển của hacker…

Theo hãng bảo mật ESET, có ít nhất 5.000 máy chủ mail Exchange ở nhiều nơi trên thế giới (Châu Âu, Châu Á, Châu Phi, Trung Đông, Nam Mỹ) đã bị tấn công, trong đó có các tổ chức quan trọng như các cơ quan chính phủ, các tổ chức tín dụng, ngân hàng.

Về số lượng người dùng email bị ảnh hưởng, Microsoft ước tính có khoảng 250.000 khách hàng trên toàn cầu của Microsoft bị ảnh hưởng, trong đó có khoảng 30.000 khách hàng ở Mỹ.

Theo hãng bảo mật ESET và Dr.Web, đã phát hiện nhiều máy chủ mail Exchange bị tấn công có dấu hiệu liên quan đến nhóm tin tặc Panda của Trung Quốc.

Hiện tại Microsoft đã đưa ra các bản vá cho Exchange từ 2013 trở lại đây, nhưng còn một số phiên bản Exchange cũ hơn không được hỗ trợ

Việt Nam cũng bị ảnh hưởng nghiêm trọng

Tại Việt Nam, có khá nhiều cơ quan, tổ chức và doanh nghiệp đang sử dụng mail Exchange và theo các chuyên gia, có thể hệ thống mail và hệ thống CNTT của một số đơn vị đã bị xâm phạm.

Đầu tháng 3/2021, Trung tâm giám sát an toàn Không gian mạng quốc gia (thuộc Cục ATTT) gửi công văn tới các đơn vị chuyên trách về CNTT/ATTT của các bộ, ngành, các sở TT&TT, các tập đoàn, tổng công ty nhà nước khuyến cáo về lỗ hổng trên. Sau đó, trung tâm VNCERT cũng gửi công văn tới các cơ quan sử dụng mail Exchange để hướng dẫn xử lý.

Khuyến nghị

– Tất cả các hệ thống CNTT của các cơ quan, tổ chức, doanh nghiệp đều nên kiểm tra về ATTT của hệ thống CNTT.

Lãnh đạo tất cả các Bộ, Ngành, Tỉnh/Thành phố, các Tập đoàn, Tổng công ty giao cho lực lượng chuyên trách ATTT kiểm tra, dò quét và khắc phục hệ thống CNTT (nếu cần) của đơn vị mình và cấp trực thuộc theo hướng dẫn của Cục ATTT (Bộ TT&TT).

Đối với các cơ quan, tổ chức, doanh nghiệp không có lực lượng chuyên trách về ATTT thì giao cho lực lượng chuyên trách về CNTT (hoặc thuê dịch vụ của các công ty về ATTT) để kiểm tra, dò quét và khắc phục hệ thống CNTT (nếu cần) của đơn vị mình.

– Yêu cầu kiểm tra ATTT đối với các hệ thống có máy chủ mail Exchange

Vá lỗ hổng: Kiểm tra phiên bản Exchange trên máy chủ để cập nhật bản vá từ Microsoft. Với các phiên bản Exchange từ 2013 về trước (không được Microsoft hỗ trợ nữa) cần liên hệ với Cục ATTT hoặc các công ty an ninh mạng như viettel, vnpt, … để được hỗ trợ

Kiểm tra xâm nhập: Rà soát các dấu hiệu bị xâm nhập máy chủ mail và các thiết bị khác trong hệ thống thông qua các báo cáo của các hãng bảo mật ESET, Dr.Web …

– Yêu cầu kiểm tra ATTT đối với các hệ thống không có máy chủ mail Exchange và với người dùng mail Exchange

Người dùng sử dụng tài khoản mail Exchange cần dò quét mã độc trên các thiết bị truy cập mail của mình, kiểm tra dấu hiệu bị xâm nhập dựa trên báo cáo của các hãng bảo mật

Các hệ thống CNTT không có máy chủ mail Exchange kiểm tra khả năng bị xâm nhập gián tiếp từ máy chủ mail Exchange ngoài hệ thống hoặc từ thiết bị khác, dựa theo dấu hiệu xâm nhập từ báo cáo của các hãng bảo mật