Lỗ hổng Microsoft nghiêm trọng ảnh hưởng nhiều hệ thống Việt Nam

Hai lỗ hổng bảo mật trên Microsoft Exchange đang tồn tại trên nhiều hệ thống tại Việt Nam và đã bị hacker khai thác.

Lỗ hổng này lần đầu được phát hiện bởi các chuyên gia tại Công nghệ An ninh mạng NCS (GTSC) của Việt Nam từ tháng 8. Trong quá trình giám sát bảo mật cho khách hàng, nhóm phát hiện một cơ sở hạ tầng quan trọng bị tấn công, đặc biệt là ứng dụng sử dụng Microsoft Exchange. Việc tấn công thực hiện qua lỗ hổng "zero-day", tức lỗ hổng chưa từng được phát hiện và công bố trước đó.

NCS cho biết đã gửi thông tin cho tổ chức bảo mật Zero Day Initiative (ZDI) và Microsoft. Hai lỗ hổng được chấm điểm nghiêm trọng CVSS 8,8 và 6,3. Công ty đã rà quét và phát hiện nhiều hệ thống công nghệ thông tin khác cũng đang bị tấn công từ lỗ hổng này.

Theo các kỹ sư bảo mật, sau khi khai thác thành công, kẻ tấn công có thể thu thập thông tin và tạo một "chỗ đứng" trong hệ thống của nạn nhân, đồng thời tạo các "cửa hậu", thực hiện các cuộc tấn công sang những hệ thống ngang hàng khác. "Lỗ hổng này nghiêm trọng đến mức cho phép kẻ tấn công có thể thực thi mã từ xa (RCE) ngay trên hệ thống bị xâm nhập", nhóm đánh giá.

"Trong hệ thống thông tin, email là một thành phần rất quan trọng, giống như lá phổi của cơ quan, doanh nghiệp. Nếu hacker khai thác lỗ hổng và chiếm quyền điều khiển máy chủ mail, sẽ rất nguy hiểm cho toàn bộ hệ thống thông tin của tổ chức. Các quản trị cần nhanh chóng rà soát các dấu hiệu bất thường, tăng cường biện pháp giám sát, kiểm tra xem máy chủ của mình đã bị tấn công hay chưa để có những biện pháp đối phó phù hợp", ông Vũ Ngọc Sơn, Giám đốc công nghệ của NCS, nói.

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam VNCERT/CC ngày 29/9 đã gửi cảnh báo về lỗ hổng này tới toàn bộ hệ thống công nghệ thông tin sử dụng Microsoft Exchange tại Việt Nam, đồng thời cung cấp công cụ để người quản trị có thể kiếm tra xem hệ thống có bị xâm nhập hay chưa.

"Qua theo dõi, chúng tôi nhận thấy rất nhiều máy chủ mail đang tồn tại lỗ hổng này", VNCERT/CC thông báo, đồng thời đề nghị các thành viên lập tức kiểm tra dấu hiệu xâm nhập để có biện pháp xử lý sớm.