Microsoft cảnh báo về lỗ hổng nghiêm trọng mới trên Exchange Server đang bị khai thác

14:05 | 22/02/2024

Ngày 14/02/2024, Microsoft đã lên tiếng cảnh báo về một lỗ hổng bảo mật nghiêm trọng mới trong máy chủ Exchange Server đang bị khai thác rộng rãi, một ngày sau khi hãng phát hành các bản sửa lỗi cho lỗ hổng này như một phần của bản cập nhật Patch Tuesday.

Được gán mã định danh CVE-2024-21410 (điểm CVSS: 9,8), đây là một lỗ hổng leo thang đặc quyền ảnh hưởng đến các máy chủ Exchange Server. Microsoft cho biết kẻ tấn công có thể nhắm mục tiêu vào máy khách NTLM như Outlook với lỗ hổng rò rỉ thông tin xác thực NTLM. Các thông tin đăng nhập này sau đó có thể được chuyển tiếp tới máy chủ Exchange để giành được các đặc quyền với tư cách là máy khách nạn nhân và thực hiện các hoạt động trên máy chủ Exchange.

Gã khổng lồ công nghệ lưu ý rằng nguyên nhân cốt lõi của lỗ hổng bảo mật là do tính năng NTLM credentials Relay Protections hoặc Extended Protection for Authentication (EPA) không được bật theo mặc định trong máy chủ Exchange Server 2019.

EPA được thiết kế để tăng cường chức năng xác thực của máy chủ Windows Server bằng cách giảm thiểu các cuộc tấn công chuyển tiếp xác thực và Man-in-the-Middle (MitM). Microsoft lần đầu tiên giới thiệu tính năng hỗ trợ Exchange Server EPA vào tháng 8/2022. Cũng trong ngày 14/02, Microsoft đã thông báo rằng EPA sẽ được bật theo mặc định trên tất cả các máy chủ Exchange Server sau khi triển khai bản cập nhật Exchange Server 2019 Cumulative Update 14 (CU14).

Quản trị viên cũng có thể sử dụng tập lệnh PowerShell ExchangeExtendsProtectionManagement để kích hoạt tính năng EPA trên các phiên bản trước của máy chủ Exchange Server, chẳng hạn như Exchange Server 2016. Điều này cũng sẽ giúp các doanh nghiệp có thể bảo vệ hệ thống của họ trước các cuộc tấn công nhắm mục tiêu vào các thiết bị chưa được vá CVE-2024-21410.

Tuy nhiên, trước khi kích hoạt EPA trên máy chủ Exchange Server, quản trị viên nên đánh giá môi trường của họ và xem xét các vấn đề được đề cập trong tài liệu của Microsoft về tập lệnh chuyển đổi EPA để tránh ảnh hưởng đến các chức năng của hệ thống.

Hiện tại, thông tin chi tiết về cách thức của việc khai thác và danh tính của các tác nhân đe dọa có thể lạm dụng lỗ hổng này chưa được tiết lộ. Tuy nhiên, các nhóm tin tặc có liên kết với Chính phủ Nga như APT28 (còn gọi là Forest Blizzard) trước đây đã từng khai thác lỗ hổng trong Microsoft Outlook để thực hiện các cuộc tấn công NTLM Relay.

Đầu tháng 02/2024, hãng bảo mật Trend Micro (Mỹ) cho rằng các tin tặc đã thực hiện các cuộc tấn công NTLM Relay nhắm vào các thực thể có giá trị cao ít nhất kể từ tháng 4/2022. Các cuộc xâm nhập nhắm vào các tổ chức liên quan đến các lĩnh vực như đối ngoại, năng lượng, quốc phòng và vận tải cũng như các tổ chức phúc lợi xã hội, tài chính,…

Bên cạnh đó, Microsoft cũng đã bổ sung thêm hai lỗ hổng khác trên Windows, bao gồm: CVE-2024-21351 (điểm CVSS: 7,6) và CVE-2024-21412 (điểm CVSS: 8,1). Việc khai thác lỗ hổng CVE-2024-21412, một lỗi cho phép vượt qua các biện pháp bảo vệ Windows SmartScreen, được cho là do một nhóm tin tặc APT có tên là Water Hydra (còn gọi là DarkCasino), trước đây đã tận dụng lỗ hổng zero-day trong WinRAR để triển khai Trojan DarkMe.

Trend Micro cho biết: “Các tin tặc đã sử dụng Internet shortcut được ngụy trang dưới dạng hình ảnh JPEG mà khi được người dùng chọn, sẽ cho phép kẻ tấn công khai thác lỗ hổng CVE-2024-21412. Sau đó, tin tặc có thể vượt qua Microsoft Defender SmartScreen và xâm phạm hoàn toàn máy chủ Windows như một phần trong chuỗi tấn công của chúng”.

Bản cập nhật Patch Tuesday của Microsoft cũng giải quyết lỗ hổng CVE-2024-21413 (điểm CVSS: 9,8), một lỗ hổng nghiêm trọng khác ảnh hưởng đến phần mềm email Outlook, có thể dẫn đến việc thực thi mã từ xa bằng cách phá vỡ các biện pháp bảo mật thông thường như Protected View.

Lỗ hổng này bắt nguồn từ việc phân tích cú pháp không chính xác các siêu liên kết “file://”, khiến cho có thể thực thi mã bằng cách thêm dấu chấm than vào các URL trỏ đến payload tùy ý được lưu trữ trên các máy chủ do kẻ tấn công kiểm soát (ví dụ: “file:/// \\10[.]10[.]111[.]111\test\test.rtf!something”).

Hãng bảo mật Check Point (Mỹ) cho biết: “Lỗ hổng CVE-2024-21413 không chỉ cho phép rò rỉ thông tin NTLM cục bộ mà còn có thể cho phép thực thi mã từ xa và hơn thế nữa như một vectơ tấn công tinh vi. Nó cũng có thể vượt qua tính năng Protected View của Office khi nó được sử dụng làm vectơ tấn công nhằm vào các ứng dụng Office khác”.

Ngoài ra, các nhà nghiên cứu của Check Point lưu ý người dùng cá nhân và tổ chức nên áp dụng bất kỳ bản vá hoặc bản cập nhật bảo mật nào do Microsoft phát hành, bên cạnh đó tuân theo các biện pháp bảo mật được khuyến nghị và luôn cảnh giác trước các siêu liên kết (hyperlink) và email đáng ngờ.