4 lỗ hổng bảo mật mới trên Microsoft Exchange có thể gây mất quyền điều khiển hệ thống

Vừa qua Microsoft đã đưa ra các bản vá lỗi trên Exchange server đang được các doanh nghiệp triển khai trong môi trường on-prem. Những bản vá này được cung cấp trong gói vá của tháng 4, và chúng biệt lập với những lỗ hổng Exchange server đã được cung cấp bản vá vào tháng trước.

Đây là những bản vá cho các lỗ hổng đặc biệt nghiêm trọng và được mô tả chi tiết trong security advisory, các phiên bản MS Exchange bị ảnh hưởng:

• Microsoft Exchange Server 2019
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2013

Những lỗ hổng này được đánh giá mức độ nguy hiểm lên đến 9.8 trên thang điểm 10 và Microsoft khuyến cáo Khách hàng “vá ngay lập tức” hoặc “càng sớm càng tốt”. Theo như các thông tin đã được công bố, kẻ tấn công sau khi khai thác thành công lỗ hổng bảo mật có thể thực hiện các đoạn mã phá hoại từ xa với quyền quản trị trên server, thao tác phá hoại có thể bao gồm cả việc tải lên backdoor để có thể kiểm soát hệ thống doanh nghiệp lâu dài, ngay cả khi sau đó hệ thống đã được cập nhật bản vá.

Các lỗ hổng được gắn mã CVE như sau:

• CVE-2021-28480 - Microsoft Exchange Server Remote Code Execution Vulnerability
• CVE-2021-28481 - Microsoft Exchange Server Remote Code Execution Vulnerability
• CVE-2021-28482 - Microsoft Exchange Server Remote Code Execution Vulnerability
• CVE-2021-28483 - Microsoft Exchange Server Remote Code Execution Vulnerability

Microsoft Exchange Online vẫn chưa được xác nhận là có bị ảnh hưởng hay không.

Đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cho biết mặc dù chưa có mã khai thác công khai trên Internet, tuy nhiên có thể nhiều nhóm tấn công APT đã khai thác lỗ hổng này.

Vì thế, NCSC khuyến nghị quản trị viên tại các cơ quan, tổ chức cần kiểm tra và cập nhật bản vá ngay khi có thể theo hướng dẫn của Microsoft.

Thư điện tử là hệ thống quan trọng đối với hoạt động của cơ quan tổ chức, đồng thời chứa nhiều dữ liệu nhạy cảm. Cũng vì thế các nhóm tấn công mạng thường tập trung khai thác các lỗ hổng của hệ thống này để đánh cắp thông tin, dữ liệu.

Hãng bảo mật Trend Micro ngay trong ngày 13 tháng 4 đã đưa ra các bản vá ảo cho những lỗ hổng bảo mật này cho các khách hàng đang sử dụng giải pháp TippingPoint IPS. Thông tin về bản cập nhật này có thể được tham khảo tại link: https://success.trendmicro.com/solution/TP000286253

Để đảm bảo hệ thống luôn được bảo mật đầy đủ, Trend Micro cũng khuyến nghị Khách hàng triển khai bảo mật ở nhiều lớp bảo mật khác nhau: máy trạm, server, network, và trên môi trường cloud.

Chúng tôi cũng được thông báo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) đã xây dựng công cụ ProxyNotFound để kiểm tra hệ thống có lỗ hổng hay không nhằm kịp thời đưa ra các biện pháp khắc phục. Bên cạnh đó, công cụ còn hỗ trợ kiểm tra lại một lần nữa để đảm bảo việc vá lỗi thành công.

Link công cụ check (tiếng Việt): https://khonggianmang.vn/check-proxynotfound
Link công cụ check (tiếng Anh): https://khonggianmang.vn/check-proxynotfound/en