Nguy cơ bị tấn công qua email server của Microsoft

Theo Check Point Research, ở Ấn Độ, tỷ lệ tấn công vào các tổ chức tài chính và ngân hàng có tỷ lệ là 28%, tiếp theo là các tổ chức chính phủ/quân đội (16%), nhà máy (12,5%), bảo hiểm/pháp luật (9,5%) và các tổ chức khác (34%).

Nhìn chung, những nỗ lực tấn công đều nhắm vào các tổ chức sử dụng dịch vụ của các máy chủ tại chỗ chưa được vá lỗi và tăng gấp 6 lần trong 72 giờ qua.

Quốc gia bị tấn công nhiều nhất là Mỹ (chiếm 21% tất cả các nỗ lực khai thác), tiếp theo là Hà Lan (12%) và Thổ Nhĩ Kỳ (12%),  Ấn Độ (cũng là 12%).

Các nhà nghiên cứu lưu ý rằng, các ngành/lĩnh vực bị nhắm tới là chính phủ/quân đội (chiếm 27% các nỗ lực khai thác), tiếp theo là sản xuất (22%) và các nhà cung cấp phần mềm (9%).

Theo các nhà nghiên cứu của công ty an ninh mạng: "Cuộc đua giữa những tin tặc và các chuyên gia bảo mật thực sự đã bắt đầu. Các chuyên gia trên toàn cầu đang hết sức nỗ lực ngăn chặn để chống lại những tin tặc đang ngày ngày lợi dụng, khai thác các lỗ hổng thực thi mã từ xa trong Microsoft Exchange".

Các báo cáo chỉ ra rằng có khoảng 5 nhóm tin tặc khác nhau đang tấn công các server email  dành cho doanh nghiệp của Microsoft. Gã khổng lồ công nghệ này cũng phát hiện ra một họ mã độc tống tiền (ransomware) mới có tên là "DearCry". Ransomware này được sử dụng sau khi các server Exchange có các lỗ hổng chưa được vá. Theo công bố của Microsoft, ransomware này khai thác 4 lỗ hổng tương tự nhau mà Microsoft cho rằng liên quan tới tin tặc mới "Hafnium".

Trong tháng 3, Microsoft đã phát hành một bản vá khẩn cấp cho server Exchange, được xem là server phổ biến nhất trên toàn thế giới của hãng công nghệ này. Tất cả các email đến và đi, lịch làm việc và hầu các tác vụ trong Outlook đều phải đi qua server Exchange này.

Orange Tsai, chuyên gia công nghệ của Devcore, một công ty bảo mật có trụ sở tại Đài Loan đã báo cáo hai lỗ hổng bảo mật vào tháng 1.

Do chưa nắm bắt được đầy đủ quy mô của những phát hiện này, Microsoft phải điều tra thêm về máy chủ Exchange. Kết quả điều tra đã phát hiện thêm 5 lỗ hổng nguy cấp. Các lỗ hổng này cho phép tin tặc đọc các email từ máy chủ Exchange mà không cần xác thực hay truy nhập vào tài khoản email cá nhân.

Việc nhiều lỗ hổng móc kết chuỗi lại với nhau cho phép những kẻ tấn công chiếm được toàn bộ máy chủ thư (mail).

Lotem Finkelsteen, Giám đốc phụ trách các vấn đề về các đe dọa của Check Point Software cảnh báo: "Nếu máy chủ Microsoft Exchange thuộc các tổ chức của bạn lộ diện trên Internet mà chưa được cập nhật những bản vá mới nhất cũng như chưa được bảo vệ bằng phần mềm của bên thứ ba thì khả năng lớn là máy chủ của bạn đã hoàn toàn bị xâm phạm".

Tuy nhiên, cho đến hiện tại, mục đích của cuộc tấn công và ý đồ của bọn tộ phạm mạng vẫn chưa được làm rõ.