Vụ Hack Email Lớn Của Microsoft

10/03/2021 12:28 Công nghệ số

Chuyện gì đã xảy ra ở microsoft, ai đã làm và tại sao nó lại quan trọng

Vụ Hack Email Lớn Của Microsoft

Vào ngày 2 tháng 3, Microsoft cho biết có lỗ hổng trong phần mềm thư và lịch Exchange Server dành cho các trung tâm dữ liệu của công ty và chính phủ. Các lỗ hổng bảo mật đã có từ 10 năm trước và đã bị tin tặc Trung Quốc khai thác ít nhất kể từ tháng Giêng.

Theo một bài đăng trên blog của Microsoft VP Tom Burt, nhóm được Microsoft đặt tên là Hafnium, nhằm thu thập thông tin từ các nhà thầu quốc phòng, trường học và các tổ chức khác ở Mỹ.

Vụ tấn công có thể khiến các công ty chi tiêu nhiều hơn vào phần mềm bảo mật và sử dụng email dựa trên đám mây thay vì chạy các máy chủ email riêng của họ trong nhà.

 

Satya Nadella, giám đốc điều hành của Microsoft Corp., dừng lại trong một sự kiện của Bloomberg vào ngày khai mạc Diễn đàn Kinh tế Thế giới (WEF) ở Davos, Thụy Sĩ, vào thứ Ba, ngày 21 tháng 1 năm 2020.
Satya Nadella, giám đốc điều hành của Microsoft Corp., dừng lại trong một sự kiện của Bloomberg vào ngày khai mạc Diễn đàn Kinh tế Thế giới (WEF) ở Davos, Thụy Sĩ, vào thứ Ba, ngày 21 tháng 1 năm 2020.

Một tuần trước, Microsoft tiết lộ rằng tin tặc Trung Quốc đã xâm nhập vào tài khoản email của các tổ chức thông qua các lỗ hổng trong phần mềm email Exchange Server của họ và đã phát hành các bản vá bảo mật.

Vụ hack có thể sẽ nổi bật như một trong những sự kiện an ninh mạng hàng đầu trong năm, bởi vì Exchange vẫn được sử dụng rộng rãi trên toàn thế giới. Nó có thể khiến các công ty chi tiêu nhiều hơn cho phần mềm bảo mật để ngăn chặn các vụ tấn công trong tương lai và chuyển sang email dựa trên đám mây thay vì chạy các máy chủ email nội bộ của riêng họ.

Các bộ phận CNTT đang làm việc để áp dụng các bản vá, nhưng điều đó mất thời gian và lỗ hổng bảo mật vẫn còn phổ biến. Hôm thứ Hai, công ty bảo mật internet Netcraft cho biết họ đã chạy một phân tích vào cuối tuần và quan sát thấy hơn 99.000 máy chủ trực tuyến đang chạy phần mềm Outlook Web Access chưa được vá lỗi.

Cổ phiếu của cổ phiếu Microsoft đã giảm 1,3% kể từ ngày 1/3, một ngày trước khi công ty tiết lộ vấn đề, trong khi chỉ số S&P 500 giảm 0,7% so với cùng kỳ.

Dưới đây là những điều bạn cần biết về các cuộc tấn công mạng của Microsoft:

Chuyện gì đã xảy ra?

Vào ngày 2 tháng 3, Microsoft cho biết có lỗ hổng trong phần mềm thư và lịch Exchange Server dành cho các trung tâm dữ liệu của công ty và chính phủ. Công ty đã phát hành các bản vá cho các phiên bản Exchange 2010, 2013, 2016 và 2019.

Nói chung, Microsoft phát hành các bản cập nhật vào Patch Tuesday, diễn ra vào thứ Ba thứ hai hàng tháng, nhưng thông báo về các cuộc tấn công vào phần mềm Exchange được đưa ra vào thứ Ba đầu tiên, nhấn mạnh tầm quan trọng của nó.

Microsoft cũng đã thực hiện một bước bất thường khi phát hành một bản vá cho phiên bản 2010, mặc dù hỗ trợ cho nó đã kết thúc vào tháng 10. “Điều đó có nghĩa là các lỗ hổng mà những kẻ tấn công khai thác đã nằm trong cơ sở mã Microsoft Exchange Server trong hơn 10 năm,” blogger bảo mật Brian Krebs đã viết trong một bài đăng trên blog hôm thứ Hai .

 

Các tin tặc ban đầu đã theo đuổi các mục tiêu cụ thể, nhưng vào tháng 2, họ bắt đầu truy lùng nhiều máy chủ hơn với phần mềm dễ bị tấn công mà họ có thể phát hiện, Krebs viết.

Mọi người có đang khai thác các lỗ hổng không?

Đúng. Microsoft cho biết nhóm khai thác lỗ hổng chính là một nhóm quốc gia-nhà nước có trụ sở tại Trung Quốc mà họ gọi là Hafnium.

Các cuộc tấn công bắt đầu khi nào?

Các cuộc tấn công vào phần mềm Exchange bắt đầu vào đầu tháng 1, theo công ty bảo mật Volexity , công ty được Microsoft cấp tín dụng cho việc xác định một số vấn đề.

Cuộc tấn công hoạt động như thế nào?

Tom Burt, phó chủ tịch tập đoàn Microsoft, đã mô tả trong một bài đăng trên blog vào tuần trước về cách kẻ tấn công sẽ thực hiện nhiều bước:

Đầu tiên, nó sẽ có quyền truy cập vào Máy chủ Exchange bằng mật khẩu bị đánh cắp hoặc bằng cách sử dụng các lỗ hổng chưa được phát hiện trước đó để ngụy trang thành người nên có quyền truy cập. Thứ hai, nó sẽ tạo ra cái được gọi là web shell để điều khiển máy chủ bị xâm nhập từ xa. Thứ ba, nó sẽ sử dụng quyền truy cập từ xa đó – chạy từ các máy chủ riêng của Hoa Kỳ – để lấy cắp dữ liệu từ mạng của một tổ chức.

Trong số những thứ khác, những kẻ tấn công đã cài đặt và sử dụng phần mềm để lấy dữ liệu email, Microsoft cho biết.

Các lỗ hổng có ảnh hưởng đến các dịch vụ đám mây như Office 365 không?

 

Không. Bốn lỗ hổng mà Microsoft tiết lộ không ảnh hưởng đến Exchange Online, dịch vụ lịch và email dựa trên đám mây của Microsoft được bao gồm trong gói đăng ký Office 365 và Microsoft 365 thương mại.

Những kẻ tấn công đang nhắm mục tiêu là gì?

Burt viết, nhóm này đã nhằm thu thập thông tin từ các nhà thầu quốc phòng, trường học và các tổ chức khác ở Mỹ. Các nạn nhân bao gồm các nhà bán lẻ Hoa Kỳ, theo công ty bảo mật FireEye , và thành phố Lake Worth Beach, Fla., Theo Palm Beach Post . Cơ quan Ngân hàng Châu Âu cho biết họ đã bị tấn công.

Tổng cộng có bao nhiêu nạn nhân?

Các hãng truyền thông đã công bố các ước tính khác nhau về số lượng nạn nhân của các vụ tấn công. Hôm thứ Sáu, tờ Wall Street Journal dẫn lời một người giấu tên, cho biết có thể có 250.000 hoặc hơn.

Các bản vá sẽ trục xuất bất kỳ kẻ tấn công nào khỏi hệ thống bị xâm nhập?

Microsoft nói không.

Điều này có liên quan gì đến SolarWinds không?

Không, các cuộc tấn công vào Exchange Server dường như không liên quan đến mối đe dọa SolarWinds, mà cựu Ngoại trưởng Mike Pompeo nói rằng Nga có thể có liên quan. Tuy nhiên, tiết lộ được đưa ra chưa đầy ba tháng sau khi các cơ quan chính phủ và công ty Hoa Kỳ cho biết họ đã tìm thấy nội dung độc hại trong các bản cập nhật cho phần mềm Orion của công ty công nghệ thông tin SolarWinds trong mạng của họ.

Microsoft đang làm gì?

Microsoft đang khuyến khích khách hàng cài đặt các bản vá bảo mật mà họ đã cung cấp vào tuần trước. Nó cũng đã công bố thông tin để giúp khách hàng tìm hiểu xem mạng của họ có bị tấn công hay không.

microsoft

“Bởi vì chúng tôi nhận thức được việc khai thác tích cực các lỗ hổng liên quan trong tự nhiên (các cuộc tấn công có chủ đích hạn chế), khuyến nghị của chúng tôi là cài đặt các bản cập nhật này ngay lập tức để bảo vệ khỏi các cuộc tấn công này,” Microsoft cho biết trong một bài đăng trên blog .

Hôm thứ Hai, công ty đã giúp các công ty xử lý cơ sở hạ tầng của họ dễ dàng hơn bằng cách phát hành các bản vá bảo mật cho các phiên bản Exchange Server không có các bản cập nhật phần mềm có sẵn gần đây nhất. Cho đến thời điểm đó, Microsoft đã cho biết khách hàng sẽ phải áp dụng các bản cập nhật mới nhất trước khi cài đặt các bản vá bảo mật, điều này đã làm trì hoãn quá trình xử lý vụ hack.

“Chúng tôi đang hợp tác chặt chẽ với CISA [Cơ quan An ninh mạng và Cơ sở hạ tầng], các cơ quan chính phủ khác và các công ty bảo mật để đảm bảo chúng tôi đang cung cấp hướng dẫn và giảm thiểu tốt nhất có thể cho khách hàng của mình”, người phát ngôn của Microsoft nói với CNBC trong một email hôm thứ Hai.

“Cách bảo vệ tốt nhất là áp dụng các bản cập nhật càng sớm càng tốt trên tất cả các hệ thống bị ảnh hưởng. Chúng tôi tiếp tục trợ giúp khách hàng bằng cách cung cấp hướng dẫn điều tra bổ sung và giảm thiểu. Những khách hàng bị ảnh hưởng nên liên hệ với nhóm hỗ trợ của chúng tôi để được trợ giúp thêm và có thêm tài nguyên ”.

Những tác động là gì?

Các cuộc tấn công mạng cuối cùng có thể có lợi cho Microsoft. Bên cạnh việc tạo ra Exchange Server, nó còn bán phần mềm bảo mật mà khách hàng có thể có xu hướng bắt đầu sử dụng.

“Chúng tôi tin rằng cuộc tấn công này, giống như SolarWinds, sẽ giữ mức độ khẩn cấp về an ninh mạng cao và có khả năng thúc đẩy chi tiêu bảo mật trên diện rộng vào năm 2021, bao gồm cả với Microsoft và tăng tốc độ di chuyển sang đám mây,” các nhà phân tích của KeyBanc dẫn đầu bởi Michael Turits, người có xếp hạng mua cổ phiếu của Microsoft, đã viết trong một ghi chú được gửi cho khách hàng vào thứ Hai.

Nhưng nhiều khách hàng của Microsoft đã chuyển sang email dựa trên đám mây và một số công ty sử dụng Gmail dựa trên đám mây của Google, điều này không bị ảnh hưởng bởi các lỗ hổng của Exchange Server. Do đó, tác động của các vụ tấn công có thể còn tồi tệ hơn nếu chúng đến cách đây 5 hoặc 10 năm và sẽ không nhất thiết phải có một cuộc chạy đua lên đám mây do kết quả của Hafnium.

Ryan Noon, Giám đốc điều hành của công ty khởi nghiệp Material Security cho biết: “Tôi gặp rất nhiều tổ chức lớn và nhỏ, và đó là ngoại lệ hơn là quy luật khi ai đó đều là người tiền nhiệm,” Ryan Noon, CEO của công ty khởi nghiệp bảo mật e-mail Material Security.

Các nhà phân tích DA Davidson Andrew Nowinski và Hannah Baade đã viết trong một báo cáo hôm thứ Ba rằng các cuộc tấn công có thể tăng thông qua các sản phẩm từ các công ty bảo mật như Cyberark , Proofpoint và đứng vững được.


Tìm Hiểu Thêm

Bantintaichinh24h

Từ khoá:

Top 15 Sàn Giao Dịch Forex Uy Tín Hàng Đầu Tại Việt Nam Năm 2021

Top 15 Sàn Giao Dịch Forex Uy Tín Hàng Đầu Tại Việt Nam Năm 2021

Top 10 Crypto Currency

Chương Trình Bonus 1% Tài Khoản Cho Lần Nạp Đầu Tiên

Vay nhanh với Vietcombank