Hiển thị các bài đăng có nhãn an ninh mạng. Hiển thị tất cả bài đăng
Hiển thị các bài đăng có nhãn an ninh mạng. Hiển thị tất cả bài đăng

Chủ Nhật, 28 tháng 6, 2020

Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange


3sthuthuat - Microsoft cảnh báo việc tin tặc khai thác lỗ hổng thực thi mã từ xa máy chủ Exchange. Lỗ hổng bị tin tặc khai thác là CVE-2020-0688. Microsoft đã tung ra bản vá an ninh cho lỗ hổng này từ tháng 2/2020.





Tin tặc đang khai thác lỗ hổng trong các server Exchange





Máy chủ Microsoft Exchange không thể tạo khóa duy nhất cho mỗi phiên đăng nhập. Nghĩa là 10 năm qua sử dụng các khóa giống hệt nhau (verifyKey và decryptKey).
Kẻ tấn công gửi các yêu cầu đến bảng điều khiển Exchange với dữ liệu serialized độc hại.





Vì tin tặc biết các khóa mã hóa của bảng điều khiển, khiến dữ liệu serialized được unserialized. Dẫn đến mã độc chạy trên phần backend của máy chủ Exchange.





Mã độc chạy với các đặc quyền hệ thống. Cho phép kẻ tấn công toàn quyền kiểm soát máy chủ.Tin tặc bắt đầu khai thác mạnh lỗ hổng này từ tháng 4/2020 bằng nhiều công nghệ tiên tiến. Nhằm vượt qua cơ chế bảo mật và triển khai webshell trên hệ thống mục tiêu.
Để khai thác lỗ hổng trong các máy chủ Exchange. Tin tặc thường sử dụng phương thức tấn công phi kỹ thuật (social engineering). Hoặc lừa người dùng của một tổ chức tải file độc hại về để đánh cắp tài khoản người dùng.





Từ đó xâm nhập vào mạng tổ chức và chiếm quyền kiểm soát các máy chủ Exchange. Tin tặc đang tìm cách dò quét và khai thác trên các máy chủ Exchange chưa cập nhật.





Cập nhật bản vá trong các máy chủ server Exchange





Theo thống kê của Microsoft, tính đến tháng 4/2020, hơn 82% máy chủ Exchange chưa được cập nhật bản vá. Trước đó, Microsoft cũng cảnh bảo hacker đang khai thác lỗ hổng này để chạy mã độc đào tiền ảo.





Microsoft: Tin tặc đang khai thác lỗ hổng trong các server Exchange
Exchange server attach chain




Máy chủ Exchange là mục tiêu có giá trị cao. Sử dụng các kỹ thuật tiên tiến. Thiết bị đứng đầu danh sách các tài sản quan trọng nhất cần bảo vệ.





Hạn chế quyền truy cập nhanh nhất có thể





Microsoft khuyến cáo khách hàng luôn cập nhật phiên bản mới nhất. Sử dụng các giải pháp chống phần mềm độc hại. Đảm bảo rằng các nhóm và vai trò (roles) thường xuyên được kiểm tra. Để nhận biết các hành động thêm hoặc xóa đáng ngờ. Hạn chế quyền truy cập bằng cách áp dụng nguyên tắc đặc quyền tối thiểu. Và điều tra ngay lập tức khi có cảnh báo.
Theo: Microsoft


Khai thác lỗ hổng Ripple20 tấn công hàng tỷ thiết bị mạng


3sthuthuat -  Khai thác lỗ hổng Ripple20 tấn công hàng tỷ thiết bị mạng. Hai chục lỗ hổng mới tên Ripple20 vừa bị phát hiện. Ảnh hưởng đến hàng tỷ thiết bị kết nối mạng hơn 500 nhà cung cấp. Ripple20 gồm 19 lỗ hổng trong thư viện phần mềm TCP/IP cấp thấp.


Treck phát triển cho phép kẻ tấn công từ xa kiểm soát hoàn toàn các thiết bị mục tiêu. Theo JSOF, công ty ANM của Israel đã phát hiện ra những lỗ hổng này. Các thiết bị bị ảnh hưởng sử dụng trong nhiều ngành công nghiệp. Thiết bị gia dụng/tiêu dùng đến các trung tâm y tế, chăm sóc sức khỏe, dữ liệu. Các doanh nghiệp, viễn thông, dầu khí, hạt nhân, giao thông vận tải. Các bài viết phần mềm bảo mật máy tính mới nhất.


Đánh giá an toàn hệ thống mạng







Có bốn lỗ hổng nghiêm trọng trong ngăn xếp Treck TCP/IP. Với điểm CVSS trên 9, cho phép kẻ tấn công thực thi mã tùy ý trên các thiết bị từ xa. Một lỗi nghiêm trọng ảnh hưởng đến giao thức DNS.
Do có sự thay đổi mã và cấu hình Stack. Vì lý do tương tự, nhiều lỗ hổng khác cũng có một số biến thể chưa được vá. Cho đến khi các nhà cung cấp thực hiện đánh giá rủi ro toàn diện.






[caption id="attachment_1139" align="alignnone" width="728"]Hàng tỷ thiết bị kết nối mạng có nguy cơ bị tấn công qua loạt lỗ hổng Ripple20 Hàng tỷ thiết bị kết nối mạng có nguy cơ bị tấn công qua loạt lỗ hổng Ripple20[/caption]
Hàng tỷ thiết bị kết nối mạng có nguy cơ bị tấn công qua loạt lỗ hổng Ripple20





Hàng tỷ thiết bị kết nối mạng có nguy cơ bị tấn công qua loạt lỗ hổng Ripple20



CVE-2020-11896 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/UDP. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11897 (điểm CVSS v3 10,0): tồn tại do xử lý sai tham số chiều dài trong thành phần Ipv6. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến ghi thông tin ngoài giới hạn cho phép.
• CVE-2020-11898 (điểm CVSS v3 9,8): tồn tại do xử lý sai tham số chiều dài trong thành phần IPv4/ICMPv4. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11899 (điểm CVSS v3 9,8): tồn tại do xác thực sai đầu vào trong thành phần IPv6. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến lộ lọt thông tin nhạy cảm.
• CVE-2020-11900 (điểm CVSS v3 9,3): lỗ hổng double-free (cho phép thực thi mã từ xa) trong thành phần tunnel IPv4. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.
• CVE-2020-11901 (điểm CVSS v3 9,0): Việc xử lý sai dữ liệu đầu vào trong thành phần trình phân giải DNS. Khi xử lý gói tin do kẻ tấn công trái phép gửi tới. Lỗ hổng có thể dẫn đến thực thi mã từ xa.



Tập trung vá khai thác lỗ hổng nguy hiểm nhất


Các nhà nghiên cứu JSOF báo cáo cho Treck hãng đã vá hầu hết các lỗ hổng. Bằng việc phát hành TCP/IP 6.0.1.67 hoặc cao hơn.
Với hơn 500 nhà cung cấp sản xuất thiết bị và bán dẫn bị ảnh hưởng. Bao gồm cả HP, Schneider Electric, Intel, Rockwell Automatic, Caterpillar. Baxter và Quadros trước khi công khai thông tin chi tiết về các lỗ hổng.
Hàng triệu thiết bị không thể nhận được các bản cập nhật vá an ninh. Các nhà nghiên cứu và ICS-CERT đã khuyến nghị người dùng và các tổ chức:



Giảm thiểu việc mở mạng cho tất cả các thiết bị hoặc hệ thống điều khiển. Đồng thời đảm bảo các thiết bị, hệ thống này không thể truy cập được từ Internet.
Đặt mạng hệ thống điều khiển, các thiết bị từ xa phía sau tường lửa. Cách ly khỏi mạng doanh nghiệp.
Nên sử dụng các mạng riêng ảo để kết nối an toàn. Các thiết bị với các dịch vụ Đám mây qua Internet.
Trong tư vấn của mình, CISA cũng yêu cầu các tổ chức bị ảnh hưởng thực hiện phân tích tác động. Đánh giá rủi ro thích hợp trước khi triển khai các biện pháp khắc phục.






Nguồn: The Hacker News