Microsoft thừa nhận rằng họ đã có thông tin về việc tin tặc lợi dụng hai lỗ hổng zero-day trong Exchange server trong các cuộc tấn công có chủ đích. Họ hiện đang phát triển bản vá cho các lỗ hổng này.
Theo công ty an ninh mạng GTSC, hai lỗ hổng zero-day mới của Microsoft Exchange đã được sử dụng trong các cuộc tấn công. Công ty cho rằng có một tổ chức đứng sau các cuộc tấn công, nhằm vào cơ sở hạ tầng quan trọng từ đầu tháng 8. GTSC lưu ý rằng các hoạt động sau khai thác của tác nhân đe dọa là triển khai backdoor, leo thang đặc quyền và phân phối phần mềm độc hại.
Thông qua Sáng kiến Zero-day của Trend Micro, Microsoft đã được thông báo về các lỗ hổng bảo mật (ZDI). Microsoft đã thông báo trên blog của mình rằng họ đang nghiên cứu và khắc phục hai lỗ hổng. Đồng thời, họ cũng tuyên bố rằng hai lỗ hổng là RCE (CVE-2022-41082) và giả mạo yêu cầu phía máy chủ. Các lỗ hổng ảnh hưởng đến các Exchange Server 2013, 2016, 2019.
Microsoft hiện đã có thông tin về các cuộc tấn công có chủ đích lợi dụng các lỗ hổng này để xâm nhập PC của khách hàng. Các cuộc tấn công này cho phép các tác nhân độc hại được phép thực thi mã từ xa. Để khai thác hai lỗ hổng nêu trên cần có quyền truy cập ban đầu vào Exchange Server, theo Microsoft.
Doanh nghiệp đang cố gắng khắc phục lỗ hổng gấp. Trong khi đó, nhà cung cấp cũng đã đưa ra hướng dẫn toàn diện để hạn chế ảnh hưởng của lỗ hổng đến hệ thống. Theo Microsoft, phần mềm bảo mật của họ phải có thể xác định bất kỳ phần mềm độc hại nào sau khai thác và các hành vi liên quan. Khách hàng của Microsoft Exchange Online không cần thực hiện bất kỳ hành động nào.
