VỤ TẤN CÔNG SOLARWINDS: NẮM RÕ TÌNH HÌNH BẢO MẬT CỦA HÃNG CUNG CẤP

Đã một năm trôi qua kể từ khi cuộc tấn công nhằm vào chuỗi cung ứng phần mềm SolarWinds được công bố, các chuyên gia an ninh mạng vẫn đang cố gắng giải mã loại tấn công này. Tin tặc đã tiến hành các chiến dịch một cách âm thầm và chỉ bị phát hiện khi một trong những công ty bị ảnh hưởng như FireEye có khả năng để theo dõi và phát hiện các cuộc xâm nhập.

Qua đó, các tổ chức và doanh nghiệp cần tự xem xét hiện trạng trong những tình huống này, liệu doanh nghiệp có đủ công cụ và nguồn lực để nhận biết khi một cuộc tấn công như vậy có xảy ra hay không. Theo Microsoft, các tin tặc có khả năng giả mạo SAML (Security Assertion Markup Language) token để mạo danh bất kỳ người dùng và tài khoản hiện có nào của tổ chức, bao gồm cả các tài khoản có đặc quyền cao. Điều này buộc tất cả các tổ chức phải xem xét kỹ càng nguồn gốc của các phần mềm đã cài đặt và tự đặt ra câu hỏi liệu rằng có thể tin tưởng các nhà cung cấp phần mềm và các quy trình bảo mật của họ hay không.

Do đó, các tổ chức, doanh nghiệp cần kiểm tra và xem xét quy trình bảo mật của nhà cung cấp phần mềm bên thứ ba; Tìm kiếm các hành vi bất thường, đặc biệt là việc sử dụng các tài khoản có đặc quyền cao; Kiểm tra lại khi các liên kết mới được tạo hoặc thêm thông tin xác thực vào các tiến trình có thể thực hiện các hành động như mail. read hoặc mail.readwrite; Nên chủ động thực hiện chặn các IP, tên miền độc hại đã được công bố trên tường lửa của doanh nghiệp.

TẤN CÔNG EXCHANGE SERVER: BẢO VỆ CÁC HỆ THỐNG CŨ

Tháng 3/2021, cuộc tấn công Exchange Server gây ra nhiều sự gián đoạn. Các máy chủ Exchange được cài đặt ở mạng nội bộ đã bị tấn công trực tiếp bằng cách khai thác một lỗ hổng zero-day. Microsoft ban đầu thông báo rằng các cuộc tấn công hướng đến một số mục tiêu cụ thể, nhưng những dấu hiệu sau đó cho thấy cuộc tấn công đã lan rộng hơn nhiều. Microsoft cũng nhận thấy rằng nhiều máy chủ email đã rất chậm trễ trong việc cập nhật bản vá khiến cho việc cập nhật nhanh chóng trở nên vô cùng khó khăn. Microsoft đã phải cung cấp bản vá cho các nền tảng cũ hơn để giữ an toàn cho người dùng.

Người dùng cần đảm bảo rằng mọi máy chủ cũ đều được bảo vệ, đặc biệt là đối với máy chủ Exchange tại chỗ, do chúng thường được nhắm mục tiêu hơn và đảm bảo rằng các nguồn lực thích hợp được chỉ định để vá các hệ thống cũ. Email là một điểm quan trọng để xâm nhập các hệ thống mạng, với những rủi ro mà các cuộc tấn công lừa đảo qua email đem lại cũng như thực tế là những kẻ tấn công hiểu được sự khó khăn trong việc vá lỗi cho các máy chủ này.

Ngoài ra, không nên tin tưởng hoàn toàn vào các bản đánh giá mối đe dọa và rủi ro mà các hãng cung cấp. Ban đầu, Microsoft chỉ ra rằng các cuộc tấn công này có giới hạn và có mục tiêu cụ thể, nhưng thực tế các cuộc tấn công đã diễn ra trên diện rộng và thậm chí ảnh hưởng đến cả những công ty nhỏ.

PRINTNIGHTMARE: ĐẢM BẢO BỘ ĐỆM IN LUÔN ĐƯỢC CẬP NHẬT

Vào tháng 7/2021, Microsoft đã phát hành một bản cập nhật cho lỗ hổng có tên PrintNightmare. Đối với các quản trị viên mạng, lỗ hổng này đã biến thành “cơn ác mộng quản lý in ấn”. Phần mềm bộ đệm in (print spooler software) là mã nguồn cũ từ Windows NT. Do tình hình dịch bệnh diễn biến phức tạp, người dùng có xu hướng chuyển dịch từ in trực tiếp sang các quy trình in từ xa, ngay cả máy in PDF cũng dựa vào bộ đệm in để triển khai và in PDF.

Hiện tại, các bản vá khác nhau liên quan đến bộ đệm in vẫn đang được theo dõi và xử lý. Bản vá cho một số lỗi liên quan đến thao tác in đã được bao gồm trong bản cập nhật cuối tháng 12/2021 của Microsoft. Bản vá khắc phục sự cố xảy ra khi máy tính Windows có thể gặp các lỗi sau khi kết nối với máy in từ xa được chia sẻ trên một máy chủ in Windows:

0x000006e4 (RPC_S_CANNOT_SUPPORT)

0x0000007c (ERROR_INVALID_LEVEL)

0x00000709 (ERROR_INVALID_PRINTER_NAME)

Một số quản trị viên cho biết họ chọn phương án không cài đặt bản vá để tránh một số rủi ro của bản cập nhật này.

Do vậy, ngay cả trong đại dịch, nhu cầu in ấn vẫn hiện hữu. Khi có bản cập nhật bao gồm vá lỗi cho dịch vụ bộ đệm in, người dùng cần phân bổ nguồn lực phù hợp để kiểm thử trước khi cập nhật. Sử dụng các tài nguyên của bên thứ ba như PatchManagement.org hay các forum Sysadmin để theo dõi và lên phương án khắc phục có thể thực hiện, thay vì để hệ thống không được bảo vệ. Dịch vụ bộ đệm in cần được vô hiệu hóa trên các máy chủ và máy trạm không có nhu cầu in ấn, chỉ bật dịch vụ này trên các thiết bị và máy chủ cần tới chức năng này.

MÃ ĐỘC TỐNG TIỀN: CHẶN CÁC GIAO TIẾP RPC VÀ SMB

Trong số các sự cố bảo mật mà chúng ta sẽ thấy vào năm 2022, mã độc tống tiền vẫn sẽ là một hiểm họa lớn. Hiện nó được tích hợp vào các chính sách bảo hiểm mạng và chính phủ Hoa Kỳ đã tổ chức các lực lượng đặc nhiệm để cung cấp nhiều biện pháp bảo vệ, thông tin và hướng dẫn hơn cho các doanh nghiệp đối mặt với rủi ro này.

Các cơ quan, tổ chức cần sử dụng tường lửa mạng và máy trạm để ngăn chặn giao tiếp gọi hàm từ xa (RPC) và khối thông điệp máy chủ (SMB). Điều này sẽ giúp hạn chế lây nhiễm ngang hàng cũng như các hoạt động tấn công khác. Cùng với đó, người dùng cần bật các tính năng bảo vệ chống phá hoại để ngăn những kẻ tấn công dừng các dịch vụ bảo mật. Sau đó, thực thi chính sách mật khẩu mạnh, ngẫu nhiên cho các tài khoản quản trị viên. Giải pháp Local Administrator Password Solution (LAPS) được khuyến nghị sử dụng để đảm bảo mật khẩu sử dụng là ngẫu nhiên.

Đồng thời, cần giám sát việc xóa nhật ký sự kiện. Cụ thể, Windows tạo ra sự kiện bảo mật ID 1102 khi điều này xảy ra. Cùng với đó, người dùng cần đảm bảo các tài nguyên cho phép kết nối từ Internet nhận được các cập nhật bảo mật mới nhất. Cuối cùng, xác định nơi các tài khoản có đặc quyền cao đang đăng nhập và có khả năng để lộ thông tin. Theo dõi và điều tra thuộc tính loại đăng nhập của các sự kiện đăng nhập (sự kiện có ID 4624). Các tài khoản có đặc quyền cao không được xuất hiện trên các máy trạm.