Hệ thống máy chủ mail Microsoft Exchange vẫn là mục tiêu hàng đầu của tin tặc

Cục An toàn thông tin vừa tiếp tục có cảnh báo về các lỗ hổng bảo mật mới trên hệ thống máy chủ thư điện tử Microsoft Exchange. Theo các chuyên gia, sản phẩm này của Microsoft vẫn đang là mục tiêu hàng đầu của các nhóm tấn công APT.

Ngày 21/8, Cục An toàn thông tin, Bộ TT&TT đã có cảnh báo các cơ quan, tổ chức, doanh nghiệp nhà nước về các lỗ hổng an toàn thông tin ảnh hưởng cao và nghiêm trọng trong các sản phẩm Microsoft công bố tháng 8.

Trên cơ sở phân tích đánh giá, Cục An toàn thông tin nhận định, trong 74 lỗ hổng an toàn thông tin mới được Microsoft phát hành bản vá, các cơ quan, tổ chức, doanh nghiệp lưu ý đến 14 lỗ hổng có mức ảnh hưởng cao và nghiêm trọng.

Trong đó, có 8 lỗ hổng an toàn thông tin tồn tại trong các giải pháp phần mềm của Microsoft cho phép đối tượng tấn công có thể thực thi mã từ xa, bao gồm: 3 lỗ hổng CVE-2023-35385, CVE-2023-36910, CVE 2023-36911 trong Microsoft Message Queuing; 2 lỗ hổng CVE-2023-29328, CVE-2023-29330 trong Microsoft Teams; lỗ hổng CVE-2023-36895 trong Microsoft Outlook; lỗ hổng CVE-2023-36896 trong Microsoft Excel; và lỗ hổng CVE-2023-35371 trong Microsoft Office cho phép đối tượng tấn công thực thi mã từ xa.

Đáng chú ý, cũng trong cảnh báo mới gửi các đơn vị chuyên trách CNTT, an toàn thông tin; các tập đoàn, tổng công ty nhà nước cùng các ngân hàng thương mại cổ phần, tổ chức tài chính, Cục An toàn thông tin đề nghị các đơn vị đặc biệt lưu ý đến 6 lỗ hổng mới trong hệ thống máy chủ thư điện tử Microsoft Exchange Server. Đây là phần mềm đang được nhiều cơ quan, tổ chức tại Việt Nam sử dụng.

Cụ thể, cảnh báo của Cục An toàn thông tin nêu rõ, lỗ hổng an toàn thông tin CVE-2023-38181 trong Microsoft Exchange Server cho phép đối tượng tấn công thực hiện tấn công Spoofing (một dạng tấn công giả mạo – PV). Đối tượng tấn công có thể khai thác lỗ hổng mới CVE-2023-38181 để vượt qua bản vá cho 1 lỗ hổng đã bị khai thác trong thực tế là CVE-2022-41082.

Bên cạnh đó, lỗ hổng an toàn thông tin CVE-2023-21709 trong Microsoft Exchange Server cho phép đối tượng tấn công thực hiện tấn công nâng cao đặc quyền.

Với 4 lỗ hổng CVE-2023-35368, CVE-2023-38185, CVE-2023-35388 và CVE-2023-38182 cũng tồn tại trong Microsoft Exchange Server, Cục An toàn thông tin cho biết, các lỗ hổng này cho phép đối tượng tấn công thực thi mã từ xa.

Để đảm bảo an toàn thông tin cho hệ thống thông tin của cơ quan, tổ chức, doanh nghiệp mình, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, Cục An toàn thông tin khuyến nghị các đơn vị kiểm tra, rà soát, xác định máy tính sử dụng hệ điều hành Windows có khả năng bị ảnh hưởng bởi 14 lỗ hổng bảo mật nêu trên. Trường hợp ảnh hưởng, các đơn vị cần nhanh chóng cập nhật bản vá để phòng tránh nguy cơ bị tấn công mạng từ khai thác các lỗ hổng này.

Các cơ quan, tổ chức, doanh nghiệp cũng được yêu cầu tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng. Đồng thời, thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin để phát hiện kịp thời các nguy cơ tấn công mạng.

Đặc biệt, riêng với hệ thống máy chủ thư điện tử - Microsoft Exchange Server, trong những năm gần đây, các cơ quan, doanh nghiệp làm an toàn thông tin thường xuyên có cảnh báo về nguy cơ bị tin tặc tấn công mạng qua khai thác các lỗ hổng trong sản phẩm công nghệ này.

Trong cảnh báo gửi ngày 21/8, Cục An toàn thông tin nêu rõ, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thuộc Cục đã đã phát hành các văn bản cảnh báo diện rộng về những lỗ hổng ảnh hưởng đến Microsoft Exchange Server. “Điều này cho thấy Microsoft Exchange Server vẫn luôn là mục tiêu hàng đầu được các đối tượng tấn công có chủ đích nhắm đến”, chuyên gia NCSC nhận định.

Vì vậy, để đảm bảo an toàn thông tin cho hệ thống của các cơ quan, tổ chức, Cục An toàn thông tin đề nghị các đơn vị rà soát lỗ hổng liên quan đến Microsoft Exchange Server để phát hiện và có phương án xử lý kịp thời, đồng thời tăng cường giám sát nhằm giảm thiểu nguy cơ bị tấn công thông qua các lỗ hổng này.

Trao đổi với phóng viên VietNamNet về lý do Microsoft Exchange Server được các nhóm tấn công có chủ đích - APT coi là mục tiêu hàng đầu, chuyên gia bảo mật Vũ Ngọc Sơn, Giám đốc kỹ thuật Công ty cổ phần Công nghệ an ninh mạng quốc gia Việt Nam (NCS) cho biết, hệ thống máy chủ mail Microsoft Exchange Server đang được nhiều cơ quan, tổ chức tại Việt Nam sử dụng. Việc tấn công và chiếm được hệ thống mail của các tổ chức sẽ giúp cho các nhóm tấn công có được nhiều thông tin để mở rộng tấn công sang các mục tiêu khác trong mạng.

“Cụ thể như, khi chiếm được hệ thống mail của tổ chức, nhóm tấn công sẽ lấy được tài khoản, từ đó đăng nhập hệ thống khác. Đồng thời, theo dõi được tình hình hoạt động của tổ chức vì email vẫn luôn là hình thức trao đổi thông tin mang tính chính thức, chỉ sau hệ thống văn bản. Ngoài ra, do yêu cầu gửi nhận với bên ngoài nên hệ thống máy chủ mail là một loại máy chủ bắt buộc phải hiện diện trên Internet, hacker có thể tấn công trực tiếp dễ dàng mà không phải tìm cách tiếp cận như các hệ thống máy chủ dịch vụ khác”, ông Vũ Ngọc Sơn phân tích.