Cảnh báo: Microsoft Exchange bị ransomware LockFile tấn công qua lỗ hổng ProxyShell

InternetPosted on

Cơ quan An ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) vừa cảnh báo về việc tin tặc đang nỗ lực khai thác các lỗ hổng Microsoft Exchange ProxyShell đồng thời triển khai tấn công ransomware LockFile trên các hệ thống bị xâm nhập. 

1. Về lỗ hổng ProxyShell và ransomware LockFile

Theo BleepingComputer, một nhóm ransomware với tên gọi LockFile đã mã hóa các máy trong domain thuộc Windows sau khi xâm nhập vào máy chủ Microsoft Exchange bằng cách sử dụng các lỗ hổng ProxyShell. ProxyShell là tên gọi chung của ba lỗ hổng Microsoft Exchange với mã định danh: CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207. Chúng cho phép tin tặc qua mặt các kiểm soát truy cập, leo thang đặc quyền trên backend của Exchange PowerShell và thực thi mã từ xa mà không cần xác thực.

Microsoft Exchange bị ransomware LockFile tấn công

Vì Microsoft đã phát hành bản vá cho ba lỗ hổng nói trên vào tháng tư và tháng năm nên nhiều chi tiết kỹ thuật đã bị tiết lộ. Dựa vào những thông tin này, tin tặc có thể phát triển các kỹ thuật khai thác của mình. Hiện tại, tin tặc đang táo riết tìm các máy chủ Microsoft Exchange chưa cập nhật bản vá để tấn công.

Bằng cách lợi dụng ProxyShell, tin tặc sẽ xâm nhập vào các máy chủ Microsoft Exchange. Sau đó, chúng tiếp tục khai thác lỗ hổng Windows PetitPotam để chiếm quyền kiểm soát trình điều khiển tên miền và tiếp theo là tên miền Windows. Từ đây, chúng lây nhiễm ransomware ra toàn bộ mạng lưới của tổ chức bị tấn công.

Các chuyên gia an ninh mạng cho biết, LockFile là một ransomware khá rắc rối khi chiếm nhiều tài nguyên của hệ thống và khiến máy tính tạm thời “đóng băng” nếu nhiễm phải.

2. Hướng dẫn khắc phục lỗ hổng và ngăn chặn ransomware LockFile tấn công

Do ransomware LockFile lợi dụng cả lỗ hổng Microsoft ExchangeProxyShell và lỗ hổng Windows PetitPotam nên quản trị viên cần cập nhật ngay bản vá mới nhất của Windows 10 và của Microsoft Exchange. Bên cạnh đó, các tổ chức, doanh nghiệp cần tạo bản sao lưu ngoại tuyến cho máy chủ Exchange của mình. 

Nếu doanh nghiệp lo sợ bị tấn công và muốn bảo vệ hệ thống mạng của mình, hãy đăng ký để nhận tư vấn miễn phí từ SecurityBox.