Phan Văn Hảo – P. DV Giám sát ATTT, HSE

Phần I. Bản tin nổi bật

Thông qua việc thu thập, tổng hợp các tin tức an toàn thông tin trên toàn thế giới, nhóm thu thập HPT-Secnews tiếp tục gửi đến độc giả những tin tức bảo mật nổi bật và hữu ích như sau:

Cảnh báo 4 lỗ hổng mới nghiêm trọng trong máy chủ thư điện tử Microsoft Exchange, có thể gây thiệt hại lớn và lộ lọt thông tin nếu không vá lỗi kịp thời.

Hầu hết máy chủ thư điện tử tại Việt Nam đang sử dụng Microsoft Exchange. Có thể kể đến một số hệ thống như máy chủ thư điện tử của cơ quan tổ chức nhà nước, tổ chức ngân hàng, tài chính, các doanh nghiệp khác.

Với sự xuất hiện của 4 lỗ hổng bảo mật mới nghiêm trọng trong các máy chủ thư điện tử Microsoft Exchange, các cơ quan, tổ chức, doanh nghiệp trên toàn quốc cần chú trọng việc thực hiện các biện pháp vá lỗ hổng và ngăn chặn các cuộc tấn công liên quan.

Các lỗ hổng bảo mật trong Microsoft Exchange mới được các chuyên gia bảo mật cảnh báo từ đầu tháng 3/2021 đều được đánh giá ở mức độ nghiêm trọng, bao gồm: “CVE-2021-28480,” “CVE-2021-28481,” “CVE-2021-28482” và “CVE-2021-28483”.

Cả 4 lỗ hổng bảo mật kể trên đều cho phép đối tượng tấn công chèn và thực thi lệnh độc hại, cài cắm mã độc và chiếm quyền điều khiển hệ thống. Trong đó, có 2 lỗ hổng “CVE-2021-28480” và “CVE-2021-28481” đối tượng tấn công có thể khai thác thành công mà không cần xác thực.

Các lỗ hổng này ảnh hưởng tới nhiều phiên bản Microsoft Exchange, từ Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, đến Microsoft Exchange Server 2019. Hiện hãng Microsoft đã có bản vá để khắc phục 4 lỗ hổng bảo mật mới.

Theo thông tin từ đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cho biết, mặc dù chưa có mã khai thác công khai trên Internet, tuy nhiên có thể nhiều nhóm tấn công APT đã khai thác lỗ hổng này.

Trước thực trạng trên, HSOC (HPT SOC) khuyến nghị quản trị viên tại các cơ quan, tổ chức cần kiểm tra và cập nhật bản vá ngay khi có thể theo hướng dẫn của Microsoft.

Thư điện tử là hệ thống quan trọng đối với hoạt động của cơ quan tổ chức, đồng thời chứa nhiều dữ liệu nhạy cảm. Cũng vì thế các nhóm tấn công mạng thường tập trung khai thác các lỗ hổng của hệ thống này để đánh cắp thông tin, dữ liệu.

Phần II. Tổng hợp thông tin lỗ hổng bảo mật và tin tức đáng chú ý

1.    CVE-2021-20016: lỗ hổng Zero-day trong giải pháp SonicWall được tin tặc tận dụng để thực hiện các cuộc tấn công bằng Ransomeware FiveHands

Một nhóm đe dọa có động cơ tài chính “aggressive” đã khai thác một lỗ hổng zero-day trong các thiết bị SonicWall VPN trước khi nó được công ty vá để triển khai tấn công mạng bằng một dòng ransomeware mới có tên FIVEHANDS.

Một nhóm tin tặc được theo dõi bởi công ty an ninh mạng Mandiant với tên gọi UNC2447, đã lợi dụng một lỗ hổng “improper SQL command neutralization” trong sản phẩm SSL-VPN SMA100 (định danh lỗ hổng là CVE-2021-20016 với CVSS 9,8) cho phép kẻ tấn công không được xác thực thực hiện mã từ xa cực kì nguy hiểm.

Các nhà nghiên cứu của Mandiant cho biết nhóm UNC2447 trục lợi từ các cuộc xâm nhập bằng cách tống tiền nạn nhân của họ với FIVEHANDS ransomware, sau đó gây áp lực mạnh thông qua các mối đe dọa thu hút sự chú ý của giới truyền thông và cung cấp dữ liệu nạn nhân để bán trên các diễn đàn hacker. Chúng cũng phô diễn năng lực và các kỹ năng nâng cao được sử dụng trong cuộc tấn công để tránh bị phát hiện và khả năng xóa dấu vết sau xâm nhập.

Việc khai thác thành công lỗ hổng trên sẽ cấp cho kẻ tấn công khả năng truy cập thông tin đăng nhập cũng như thông tin phiên đăng nhập mà sau đó chúng có thể được sử dụng để đăng nhập vào thiết bị dòng SMA 100 chưa được vá lỗ hổng.

Theo công ty con thuộc sở hữu của FireEye, các cuộc xâm nhập có liên quan được cho là đã xảy ra vào tháng 1 và tháng 2 năm 2021 khi lỗ hổng chưa được công bố, với việc kẻ đe dọa sử dụng phần mềm độc hại có tên SombRAT để triển khai ransomware FIVEHANDS.

2.    Tin tặc khai thác lỗ hổng Zero-day Gatekeeper để tấn công máy tính macOS

Tuy nhiên gần đây lỗ hổng macOS, được xác định là CVE-2021-30657, được phát hiện và báo cáo cho Apple bởi kỹ sư bảo mật Cedric Owens vào ngày 25 tháng 3 năm 2021.

Lỗ hổng này được mô tả như sau:

“Một số ứng dụng độc hại unsigned, unnotarized, script-based […] lợi dụng lỗ hổng này có thể vượt qua tất cả các cơ chế bảo mật liên quan của macOS (File Quarantine, Gatekeeper, and Notarization Requirements), ngay cả trên hệ thống macOS M1 được vá đầy đủ”, nhà nghiên cứu bảo mật Patrick Wardle giải thích trong một bài viết. “Được trang bị khả năng như vậy, các tác giả phần mềm độc hại macOS có thể (và đang) quay trở lại và đưa các phương pháp tương tự để nhắm mục tiêu và tiếp tục lây nhiễm cho người dùng macOS.”

3.    CVE-2021-3156: Lỗ hổng sudo cho phép người dùng bình thường thực thi dưới đặc quyền root

Một lỗ hổng nghiêm trọng mới đã được công bố vào tháng 1 với hệ điều hành Unix và Linux, tuy nhiên nó vẫn ảnh hưởng tới đa số các bản Linux đang được chạy trong thực tế. Lỗ hổng này cho phép người dùng không có đặc quyền khai thác bằng cách sử dụng sudo, gây ra hiện tượng tràn bộ đệm để nâng đặc quyền lên đặc quyền root mà không cần xác thực.

Sudo là viết tắt của “substitute user do”, hay “super user do” – một chương trình của Unix cho phép quản trị hệ thống cấp các đặc quyền root giới hạn đến người dùng thông thường (nằm trong danh sách file sudoer) trong khi vẫn lưu trữ log các hoạt động của họ.

Khi thực thi các lệnh trên hệ điều hành Unix, người dùng thông thường có thể sử dụng sudo (super user) để thực thi các lệnh với quyền root nếu họ có quyền hoặc biết được mật khẩu của người dùng root – root là hệ thống của siêu người dùng, một dạng tài khoản quản trị hệ thống đặc biệt.

Sudo cũng có thể được cấu hình để cho phép người dùng thông thường chạy các lệnh với vai trò người dùng khác bằng cách thêm các lệnh đặc biệt vào file cấu hình sudoer.

Đây là một lỗi tràn bộ đệm trong bộ nhớ heap, có thể bị khai thác bởi người dùng cục bộ (bao gồm người dùng thông thường và người dùng hệ thống, được liệt kê trong danh sách sudoer hoặc không). Kẻ tấn công không cần biết mật khẩu người dùng vẫn có thể khai thác thành công lỗ hổng.

Qualys đã tạo ra 3 mã khai thác để chỉ ra cách lỗ hổng có thể bị khai thác thành công.

Sử dụng các mã khai thác này, các nhà nghiên cứu có thể có được các đặc quyền root trên nhiều bản phân phối Linux, gồm có Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) và Fedora (Sudo 1.9.2).

Các bản phân phối và hệ điều hành khác của Sudo cũng có thể bị khai thác bởi lỗ hổng này.

Khắc phục: SSH vào máy chủ, chạy script sau để upgrade sudo trên các OS Ubuntu 16/18/20, CentOS 6/7/8 và Debian 9/10 để fix CVE-2021-3156

curl –sSL https://raw.githubusercontent.com/nhanhoadocs/scripts/master/Utilities/update_sudo_CVE-2021-3156.sh| bash

4.    Lỗ hổng bảo mật nghiêm trọng ảnh hưởng các trình duyệt Chrome, Opera và Brave cho phép thực thi mã độc từ xa 

Một nhà nghiên cứu bảo mật người Ấn Độ đã công khai mã khai thác bằng chứng khái niệm (PoC) cho một lỗ hổng mới được phát hiện ảnh hưởng đến Google Chrome và các trình duyệt dựa trên Chromium khác như Microsoft Edge, Opera và Brave.

Được phát hành bởi Rajvardhan Agarwal, hoạt động khai thác liên quan đến lỗ hổng thực thi mã từ xa trong công cụ kết xuất JavaScript V8 hỗ trợ trình duyệt web. Nó được cho là cùng một lỗ hổng được chứng minh bởi Bruno Keith và Niklas Baumstark của Dataflow Security tại cuộc thi hack Pwn2Own 2021 vào tuần trước.

Keith và Baumstark đã được thưởng 100.000 đô-la vì đã tận dụng lỗ hổng để chạy mã độc bên trong Chrome và Edge.

Theo ảnh chụp màn hình được chia sẻ bởi Agarwal, tệp PoC HTML và tệp JavaScript liên quan của nó được load trong trình duyệt dựa trên Chromium để khai thác lỗ hổng bảo mật và khởi chạy ứng dụng máy tính Windows (calc.exe). Nhưng điều đáng chú ý là việc khai thác cần phải được xâu chuỗi với một lỗ hổng khác có thể cho phép nó thoát khỏi sự bảo vệ hộp cát (sandbox) của Chrome.

Các lỗ hổng có liên quan tới mã khai thác

CVE-2021-21227: Insufficient-data-validation vulnerability that exists in the V8 component.

CVE-2021-21228: Insufficient-policy-enforcement vulnerability that exists in extensions.

CVE-2021-21229: Incorrect-security-UI vulnerability exists in downloads.

CVE-2021-21230: Type-confusion vulnerability exists in the V8 component.

CVE-2021-21231: Insufficient-data-validation vulnerability exists in the V8 component.

CVE-2021-21232: Use-after-free vulnerability that exists in Dev Tools component.

CVE-2021-21233: Heap-buffer-overflow vulnerability that exists in the ANGLE component.