Theo BleepingComputer, một nhóm ransomware mới được gọi là LockFile đã mã hóa các máy trong domain thuộc Windows sau khi xâm nhập vào máy chủ Microsoft Exchange bằng cách sử dụng các lỗ hổng ProxyShell. Được biết lỗ hổng ProxyShell là tên của một cuộc tấn công bao gồm 3 lỗ hổng Microsoft Exchange được xâu chuỗi dẫn đến việc thực thi mã từ xa.
Mặc dù Microsoft đã vá đầy đủ các lỗ hổng này vào tháng 5.2021, nhưng các chi tiết kỹ thuật gần đây đã được tiết lộ, cho phép các nhà nghiên cứu bảo mật và các tác nhân đe dọa tái tạo lại việc khai thác lỗ hổng. Điều này đã dẫn đến việc các kẻ đe dọa tích cực quét và hack các máy chủ Microsoft Exchange bằng cách sử dụng các lỗ hổng ProxyShell.
Sau khi khai thác máy chủ Exchange, các tác nhân đe dọa đã lây nhiễm các web shell có thể được sử dụng để tải lên các chương trình khác và thực thi chúng.
Kể từ đó, nhà nghiên cứu bảo mật Kevin Beaumont báo cáo một hoạt động ransomware mới được gọi là LockFile sử dụng Microsoft Exchange ProxyShell và các lỗ hổng Windows PetitPotam để tiếp quản các tên miền Windows và mã hóa thiết bị.
Vì LockFile sử dụng cả lỗ hổng Microsoft Exchange ProxyShell và lỗ hổng Windows PetitPotam NTLM Relay, nên quản trị viên Windows bắt buộc phải cài đặt các bản cập nhật mới nhất.
Đối với các lỗ hổng ProxyShell, bạn có thể cài đặt các bản cập nhật tích lũy Microsoft Exchange mới nhất để vá các lỗ hổng (thông tin tại địa chỉ tinyurl.com/msepatch). Nhưng với Windows PetitPotam thì có thể sẽ phức tạp vì bản cập nhật bảo mật của Microsoft chưa hoàn chỉnh và không vá tất cả các vector lỗ hổng.
Tất cả tổ chức doanh nghiệp được khuyến nghị áp dụng các bản vá lỗi càng sớm càng tốt và tạo bản sao lưu ngoại tuyến cho máy chủ Exchange.
Bình luận (0)