Máy chủ Microsoft Exchange – hack với quy mô lớn – những điều bạn cần biết

Máy chủ Microsoft Exchange – hack với quy mô lớn – những điều bạn cần biết

Điều gì đang xảy ra?
Nếu bạn bỏ lỡ tin tức này - hàng trăm nghìn hệ thống Microsoft Exchange Server trên toàn thế giới được cho là đã bị xâm nhập bởi tin tặc, những kẻ đã khai thác lỗ hổng zero-day để đánh cắp email.

Trong số nạn nhân có cả European Banking Authority.

Các cuộc tấn công dường như bắt đầu nhắm mục tiêu cụ thể vào các tổ chức, hiện đang mở rộng và leo thang đáng kể.

Kết quả là, rất có thể nhiều doanh nghiệp nhỏ, công ty và chính phủ là nạn nhân của cuộc tấn công mà hiện vẫn không biết rằng họ đã trở thành nạn nhân.

Lỗ hổng zero-day là gì?
“Zero-day” nghĩa là những người chịu trách nhiệm vá lỗ hổng bảo mật liên tục không có ngày nghỉ nhằm bảo vệ hệ thống trước khi lỗ hổng bị lộ hoặc bị khai thác bởi các tin tặc.

Tóm lại, một bản vá bảo mật chính thức vẫn chưa được phát hành - và các tin tặc độc hại có thể đã lợi dụng lỗ hổng này.

Doanh nghiệp của tôi sử dụng Microsoft Exchange - chúng tôi có gặp rủi ro không? Làm thế nào để vá lỗi?
Điều đầu tiên xem xét ngay công ty của bạn đang sử dụng phiên bản Microsoft Exchange nào.

Các lỗ hổng nằm trong các phiên bản on-premise của Microsoft Exchange Server. Lỗ hổng này không có trong các dịch vụ email Exchange Online hoặc Microsoft 365 (hoặc O365) trên nền đám mây.

Kẻ nào đứng sau các vụ tấn công?
Trong một bài đăng trên blog, Microsoft nói rằng họ tin rằng một nhóm hack do nhà nước Trung Quốc tài trợ có tên “Hafnium” đứng sau các cuộc tấn công.

Trung Quốc đã phủ nhận bất kỳ sự liên quan nào.

Tuy nhiên, việc phát hành các bản vá bảo mật và sự chậm trễ của các doanh nghiệp để tự vệ gần như không tránh khỏi việc thúc đẩy tin tặc khác cũng nhắm mục tiêu vào các hệ thống dễ bị tấn công.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) nói rằng họ “nhận thức được các tác nhân đe dọa sử dụng các công cụ nguồn mở để tìm kiếm các Máy chủ Microsoft Exchange dễ bị tấn công”.

Đây có phải là cách nào đó liên quan đến cuộc tấn công SolarWinds mà mọi người bắt đầu nói về vài tuần trước không? Vấn đề này đang bị đổ lỗi cho Nga.
Microsoft đã nói rằng họ không thấy “bằng chứng nào cho thấy tác nhân đằng sau vụ SolarWinds đã phát hiện hoặc khai thác bất kỳ lỗ hổng nào trong các sản phẩm và dịch vụ của Microsoft”.

Vậy làm cách nào để tôi có thể xử lý vấn đề này cho doanh nghiệp của mình?
Microsoft đã phát hành các bản vá cho các lỗ hổng nghiêm trọng trong Microsoft Exchange Server vào tuần trước và khuyến nghị các doanh nghiệp nên cập nhật chúng như một vấn đề khẩn cấp.

Nếu doanh nghiệp của bạn không có khả năng vá lỗi ngay lập tức, thì bạn nên làm quen với các biện pháp giảm thiểu thay thế do Microsoft đề xuất và hạn chế hoặc chặn truy cập từ bên ngoài vào các máy chủ Exchange có kết nối internet.

Tuy nhiên, lời khuyên tốt nhất là vá càng sớm càng tốt. Bất cứ thứ gì khác chỉ là giải pháp tạm thời.

Cần làm thêm điều gì khác không?
Có. Rõ ràng là bạn đã vá các hệ thống của mình, nhưng điều đó sẽ không đảm bảo bất kỳ thiệt hại nào có thể sẽ xảy ra nếu bạn đã bị xâm phạm.

Bạn cũng nên cố gắng xác định xem doanh nghiệp của mình đã bị xâm phạm hay chưa và tin tặc đã có truy cập được những gì.

Microsoft đã phát hành công cụ quét các tệp nhật ký Exchange để tìm các chỉ báo về sự xâm nhập (IOC) liên quan đến các lỗ hổng.

Tôi có thể tìm them thông tin ở đâu?
Chúng tôi thực sự khuyên bạn nên xem các bài đăng trên blogtrung tâm tư vấn bảo mật của Microsoft.

BitdefenderTotal Security

Giá chuẩn: 790.000,00 ₫

Khuyến mãi:118.500,00 ₫

Giá đặc biệt: 671.500,00 ₫

Post Releases