Mục lục bài viết || Contents of the article

    Cơ quan An ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) vừa cảnh báo về việc tin tặc đang nỗ lực khai thác các lỗ hổng Microsoft Exchange ProxyShell đồng thời triển khai tấn công ransomware LockFile trên các hệ thống bị xâm nhập. 

    1. Về lỗ hổng ProxyShell và ransomware LockFile

    Theo BleepingComputer, một nhóm ransomware với tên gọi LockFile đã mã hóa các máy trong domain thuộc Windows sau khi xâm nhập vào máy chủ Microsoft Exchange bằng cách sử dụng các lỗ hổng ProxyShell. ProxyShell là tên gọi chung của ba lỗ hổng Microsoft Exchange với mã định danh: CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207. Chúng cho phép tin tặc qua mặt các kiểm soát truy cập, leo thang đặc quyền trên backend của Exchange PowerShell và thực thi mã từ xa mà không cần xác thực.

    Microsoft Exchange bị ransomware LockFile tấn công

    Vì Microsoft đã phát hành bản vá cho ba lỗ hổng nói trên vào tháng tư và tháng năm nên nhiều chi tiết kỹ thuật đã bị tiết lộ. Dựa vào những thông tin này, tin tặc đã phát triển các kỹ thuật khai thác của mình.

    Bằng cách lợi dụng ProxyShell, tin tặc sẽ xâm nhập vào các máy chủ Microsoft Exchange. Sau đó, chúng tiếp tục khai thác lỗ hổng Windows PetitPotam để chiếm quyền kiểm soát trình điều khiển tên miền và tiếp theo là tên miền Windows. Từ đây, chúng lây nhiễm ransomware LockFile ra toàn bộ mạng lưới của tổ chức bị tấn công.

    Các chuyên gia an ninh mạng cho biết, LockFile là một ransomware khá rắc rối khi chiếm nhiều tài nguyên của hệ thống và khiến máy tính tạm thời “đóng băng” nếu nhiễm phải.

    2. Hướng dẫn khắc phục lỗ hổng và ngăn chặn ransomware LockFile tấn công

    Do ransomware LockFile lợi dụng cả lỗ hổng Microsoft ExchangeProxyShell và lỗ hổng Windows PetitPotam nên quản trị viên cần cập nhật ngay bản vá mới nhất của Windows 10 và của Microsoft Exchange. Bên cạnh đó, các tổ chức, doanh nghiệp cần tạo bản sao lưu ngoại tuyến cho máy chủ Exchange của mình. 

    Nếu doanh nghiệp lo sợ bị tấn công và muốn bảo vệ hệ thống mạng của mình, hãy đăng ký để nhận tư vấn miễn phí từ SecurityBox. 

    Bài viết đề xuất || Recommended
    Trojan ngân hàng được coi là “tội phạm” đánh cắp tiền của chủ tài khoản. Tại Việt Nam, tỷ lệ nhiễm trojan ngân hàng là 7,04%, đứng thứ tư châu Á -...
    Mới đây, Acer đã xác nhận thông tin về việc bị đánh cắp hơn 60GB dữ liệu của khách hàng và các nhà bán lẻ các sản phẩm của mình.  1. Về sự cố...
    Apache Software Foundation vừa phát hành bản vá cho hai lỗ hổng tồn tại trong Apache HTTP Server. Trong đó, lỗ hổng zero-day CVE-2021-41773 liên quan đến lỗi truyền...