Vào tháng 7 năm 2019, các hacker đã xâm nhập vào hàng chục máy chủ máy tính tại Vienna và Geneva thuộc Liên Hợp Quốc. Đây được xem như một trong những vụ xâm phạm thông tin lớn nhất trong lịch sử của tổ chức này, khi mà các hacker đã tiếp cận được hàng chục ngàn hồ sơ nhân viên, hợp đồng, cơ sở dữ liệu và mật khẩu chỉ trong nháy mắt. Khi các kỹ thuật viên phát hiện ra vụ tấn công, họ đã phải làm việc không ngừng nghỉ trong ít nhất hai tuần cuối tuần để cô lập hơn 40 máy tính bị ảnh hưởng. Hai mươi máy tính trong số đó buộc phải được xây dựng lại hoàn toàn.
Các hacker đã tiếp cận các máy chủ của Liên Hợp Quốc bằng cách khai thác một lỗ hổng trong phần mềm Microsoft SharePoint, một công cụ chia sẻ tập tin dùng để phối hợp làm việc, mang lại kết nối cho hàng trăm ngàn khách hàng, trong đó có nhiều tập đoàn đa quốc gia, ngân hàng, công ty bảo hiểm và các cơ quan chính phủ. Mặc dù Microsoft đã phát hành bản vá cho lỗ hổng SharePoint vào đầu năm 2019, nhưng khả năng cao là các bản cập nhật này không được cài đặt trên các máy chủ của Liên Hợp Quốc.
Theo ý kiến của bốn chuyên gia được Rest of World phỏng vấn, hàng trăm ngàn người dùng SharePoint trên toàn cầu vẫn có thể đối mặt với nguy cơ bị tấn công tương tự nếu họ không cài đặt bản cập nhật phần mềm. Vào đầu năm nay, các tác nhân có liên kết với chính phủ Iran đã có khả năng sử dụng chính lỗ hổng này để tấn công các máy chủ của chính phủ Albania trong suốt vài tháng. Sau khi vụ tấn công bị phát hiện, Albania đã cắt đứt quan hệ ngoại giao với Iran.
Dustin Childs, người đứng đầu bộ phận nhận thức về mối đe dọa tại Trend Micro's Zero Day Initiative, đã cho biết rằng “thật thú vị khi chúng ta vẫn còn ở đây, ba năm rưỡi sau khi các bản vá đã có sẵn, và nó vẫn được các tác nhân đe dọa sử dụng trong thực tế.” Zero Day Initiative chi trả cho các nhà nghiên cứu để phát hiện ra những yếu điểm trong phần mềm được sử dụng rộng rãi, trong đó có cả lỗ hổng CVE-2019-0604 mà hacker đã lợi dụng trong hơn ba năm qua để truy cập vào các hệ thống quan trọng trên toàn cầu.
Được ra mắt vào năm 2001, Microsoft SharePoint được nhiều tổ chức sử dụng để lưu trữ và chia sẻ tài liệu, cũng như làm cho chúng có thể truy cập được cho bất kỳ ai trong tổ chức. Đến năm 2017, Microsoft đã báo cáo rằng đã có hơn 250,000 tổ chức cài đặt SharePoint. Childs cho biết số lượng máy chủ đang chạy phần mềm này lên tới hàng triệu. Theo Childs, hacker có thể sử dụng CVE-2019-0604 để truy cập từ xa bất kỳ thông tin nào mà một tổ chức lưu trữ trong SharePoint. “Nó mang lại cho họ gần như tất cả mọi thứ,” Childs nói, “đó là loại lỗi mà các tác nhân đe dọa thực sự thích sử dụng.” CVE-2019-0604 đã trở thành một điểm truy cập phổ biến bị các nhóm hacker và các tác nhân có liên kết với nhà nước lợi dụng để xâm nhập vào các hệ thống nội bộ, thu thập thông tin nhạy cảm hoặc cài đặt ransomware.
Microsoft đã từ chối trả lời cụ thể về số lượng người dùng SharePoint vẫn còn bị dễ bị tổn thương với CVE-2019-0604. Một người phát ngôn của công ty chỉ đơn giản trả lời, “Để được bảo vệ hoàn toàn khỏi lỗ hổng này, Microsoft khuyên khách hàng nên cài đặt tất cả các bản cập nhật được liệt kê cho hệ thống của họ.”
Việc SharePoint được sử dụng rộng rãi bởi các tổ chức tài chính, các công ty đa quốc gia và cơ quan chính phủ đã khiến nó trở thành mục tiêu hấp dẫn cho hacker trên toàn cầu. Vào năm 2019, Trung tâm An ninh mạng Canada và Cơ quan An ninh mạng Quốc gia Ả Rập Saudi đã báo cáo các cuộc tấn công tương tự như vụ tấn công vào Liên Hợp Quốc. Cũng trong năm đó, nhóm hacker nổi tiếng Emissary Panda, hay APT27 — bị cáo buộc có liên kết với chính phủ Trung Quốc — đã tấn công các máy chủ SharePoint của hai chính phủ tại Trung Đông bằng cách khai thác CVE-2019-0604, theo báo cáo của công ty an ninh mạng Palo Alto Networks. Cũng trong năm 2019, các tác nhân có liên kết với chính phủ Iran đã sử dụng nó để tấn công một công ty năng lượng tại Trung Đông không được nêu tên. Đến năm 2020, các hacker chưa xác định đã tấn công hai chính quyền địa phương ở Hoa Kỳ, và chính phủ Úc đã tiết lộ rằng các hệ thống SharePoint đã được sử dụng để tấn công nhiều mục tiêu tại đất nước này. Trung tâm An ninh mạng Úc mô tả các cuộc tấn công này là “cuộc tấn công mạng có phối hợp lớn nhất nhằm vào các tổ chức của chính phủ Úc mà Chính phủ Úc từng chứng kiến.” Đến năm 2021, băng nhóm hacker Hello/WickrMe đã sử dụng nó để thực hiện nhiều cuộc tấn công ransomware.
Claire Tills, một kỹ sư nghiên cứu cấp cao tại công ty an ninh mạng Tenable, đã chia sẻ với Rest of World rằng “Các kẻ tấn công ưa thích những điểm yếu như thế này vì chúng tồn tại trong các sản phẩm phổ biến trong môi trường doanh nghiệp và cho phép họ tạo ra một điểm dừng từ đó để tiến hành các hoạt động khai thác tiếp theo.”
Lỗ hổng SharePoint đã trở nên phổ biến đến nỗi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), một phần của Bộ An ninh Nội địa, đã đưa lỗ hổng SharePoint vào danh sách 10 lỗ hổng bị khai thác nhiều nhất từ năm 2016 đến 2019.
Tất cả các cuộc tấn công này xảy ra sau khi Microsoft đã phát hành bản vá cho CVE-2019-0604 vào đầu năm 2019. Nhưng để bảo vệ hệ thống, người dùng cần cài đặt tất cả ba bản vá — được phát hành vào tháng 2, tháng 3 và tháng 4 năm 2019. Các chuyên gia an ninh mạng cho biết rằng người dùng SharePoint đã cài đặt bản cập nhật thứ nhất và thậm chí cả thứ hai vẫn còn có nguy cơ nếu họ không nhận ra rằng họ cần cài đặt bản cập nhật thứ ba. Lý tưởng thay, một lỗi như thế này nên được vá trong một lần, giúp cho người dùng có thể chỉ cần áp dụng một bản sửa lỗi và tiếp tục công việc. Thay vào đó, Microsoft đã làm chậm quá trình vá lỗi, yêu cầu ba bản cập nhật riêng biệt trong ba tháng. Và các bản vá này cũng không hoàn hảo — chỉ trong vòng một giờ sau khi Microsoft phát hành bản vá đầu tiên, chính nhà nghiên cứu phát hiện ra CVE-2019-0604 đã có thể vượt qua bản vá này. “Chúng ta có những bản vá kém và việc giao tiếp không rõ ràng xung quanh chúng đang khiến ngành công nghiệp chậm trễ trong việc áp dụng những bản cập nhật quan trọng,” Childs cho biết.
Kevin Beaumont, một chuyên gia an ninh mạng từng làm việc tại Microsoft, đã theo dõi lỗ hổng SharePoint từ năm 2019. Lúc đó, Beaumont cho biết lỗi này có khả năng gây ảnh hưởng lâu dài. “Tôi nghĩ đây sẽ là một trong những lỗ hổng lớn nhất trong nhiều năm qua. Nó sẽ chiếm lĩnh nhiều doanh nghiệp. Thực sự là NHIỀU,” ông viết trên Twitter.
Dự đoán của Beaumont đã trở thành sự thật. Ngay cả khi các tổ chức chưa bị hack, những tổ chức đã sử dụng SharePoint từ 2019 hoặc trước đó có thể vẫn bị dễ bị tổn thương nếu họ chưa cài đặt tất cả các bản cập nhật đã được phát hành kể từ đó. Ví dụ, vào năm 2020, Dhiraj Mishra, lúc đó là tư vấn viên tại công ty an ninh mạng Cognosec, phát hiện rằng Cục Thuế Ấn Độ và Trường Quản lý Sloan thuộc MIT đều bị phơi bày bởi lỗ hổng SharePoint. Sau khi ông báo cáo phát hiện của mình cho Đội ứng cứu khẩn cấp máy tính Ấn Độ và MIT, các tổ chức này đã vá lỗi.
Beaumont cho biết rằng vấn đề là các tổ chức sử dụng SharePoint chưa vá lỗi, một phần là vì quá trình vá lỗi không đơn giản. “Vá lỗi SharePoint cũng nổi tiếng là phức tạp — tốt hơn là xem phiên bản mở rộng của bộ phim The Hobbit và bộ phim The Lord of the Rings từ đầu đến cuối còn nhanh hơn là cố gắng cập nhật một nông trại SharePoint lớn bình thường,” Beaumont đã nói trong một cuộc trò chuyện.
Đó là lý do tại sao SharePoint lại trở thành mục tiêu hấp dẫn — và khó khăn để vá lỗi: với rất nhiều công ty và chính phủ dựa vào phần mềm này như một mạng lưới nội bộ, nó thường được cấu hình để chạy song song với các hệ thống thiết yếu khác, khiến việc cập nhật trở nên phức tạp và tốn thời gian. Không ai muốn máy tính của mình gặp phải màn hình xanh trong khi chờ cập nhật — chưa kể đến mạng máy chủ cho cả một chính quyền địa phương hoặc một tập đoàn trị giá hàng tỷ đô la.
Một phức tạp khác, theo Beaumont, là Microsoft đã cho ra mắt phiên bản đám mây của SharePoint, có tên là SharePoint Online, giúp việc vá lỗi trở nên dễ dàng hơn — nhưng không phải tất cả người dùng đã chuyển sang đám mây. “Nếu SharePoint Online không tồn tại, tất cả khách hàng sẽ phải than phiền về việc vá lỗi ngay bây giờ, theo ý kiến của tôi. Thay vào đó, nghiên cứu và phát triển đã chuyển sang đám mây,” Beaumont nói.
Các công ty phụ thuộc vào doanh thu thường tập trung vào việc phát triển sản phẩm mới hơn là sửa chữa các hệ thống mà họ đã bán, theo Childs từ Zero Day Initiative, điều này có nghĩa là việc phát triển bản vá hiếm khi đứng trên danh sách ưu tiên. “Tình trạng vá lỗi thực sự không tiến triển nhiều trong 15 năm qua,” Childs cho biết, thêm rằng đến 20% các lỗ hổng mà tổ chức của ông chi trả cho các nhà nghiên cứu là từ các bản vá không thành công. “Thật khó tin.”
Nguồn tham khảo: https://restofworld.org/2022/hackers-microsoft-sharepoint-vulnerability-world/
Các hacker đã tiếp cận các máy chủ của Liên Hợp Quốc bằng cách khai thác một lỗ hổng trong phần mềm Microsoft SharePoint, một công cụ chia sẻ tập tin dùng để phối hợp làm việc, mang lại kết nối cho hàng trăm ngàn khách hàng, trong đó có nhiều tập đoàn đa quốc gia, ngân hàng, công ty bảo hiểm và các cơ quan chính phủ. Mặc dù Microsoft đã phát hành bản vá cho lỗ hổng SharePoint vào đầu năm 2019, nhưng khả năng cao là các bản cập nhật này không được cài đặt trên các máy chủ của Liên Hợp Quốc.
Theo ý kiến của bốn chuyên gia được Rest of World phỏng vấn, hàng trăm ngàn người dùng SharePoint trên toàn cầu vẫn có thể đối mặt với nguy cơ bị tấn công tương tự nếu họ không cài đặt bản cập nhật phần mềm. Vào đầu năm nay, các tác nhân có liên kết với chính phủ Iran đã có khả năng sử dụng chính lỗ hổng này để tấn công các máy chủ của chính phủ Albania trong suốt vài tháng. Sau khi vụ tấn công bị phát hiện, Albania đã cắt đứt quan hệ ngoại giao với Iran.
Dustin Childs, người đứng đầu bộ phận nhận thức về mối đe dọa tại Trend Micro's Zero Day Initiative, đã cho biết rằng “thật thú vị khi chúng ta vẫn còn ở đây, ba năm rưỡi sau khi các bản vá đã có sẵn, và nó vẫn được các tác nhân đe dọa sử dụng trong thực tế.” Zero Day Initiative chi trả cho các nhà nghiên cứu để phát hiện ra những yếu điểm trong phần mềm được sử dụng rộng rãi, trong đó có cả lỗ hổng CVE-2019-0604 mà hacker đã lợi dụng trong hơn ba năm qua để truy cập vào các hệ thống quan trọng trên toàn cầu.
Được ra mắt vào năm 2001, Microsoft SharePoint được nhiều tổ chức sử dụng để lưu trữ và chia sẻ tài liệu, cũng như làm cho chúng có thể truy cập được cho bất kỳ ai trong tổ chức. Đến năm 2017, Microsoft đã báo cáo rằng đã có hơn 250,000 tổ chức cài đặt SharePoint. Childs cho biết số lượng máy chủ đang chạy phần mềm này lên tới hàng triệu. Theo Childs, hacker có thể sử dụng CVE-2019-0604 để truy cập từ xa bất kỳ thông tin nào mà một tổ chức lưu trữ trong SharePoint. “Nó mang lại cho họ gần như tất cả mọi thứ,” Childs nói, “đó là loại lỗi mà các tác nhân đe dọa thực sự thích sử dụng.” CVE-2019-0604 đã trở thành một điểm truy cập phổ biến bị các nhóm hacker và các tác nhân có liên kết với nhà nước lợi dụng để xâm nhập vào các hệ thống nội bộ, thu thập thông tin nhạy cảm hoặc cài đặt ransomware.
Microsoft đã từ chối trả lời cụ thể về số lượng người dùng SharePoint vẫn còn bị dễ bị tổn thương với CVE-2019-0604. Một người phát ngôn của công ty chỉ đơn giản trả lời, “Để được bảo vệ hoàn toàn khỏi lỗ hổng này, Microsoft khuyên khách hàng nên cài đặt tất cả các bản cập nhật được liệt kê cho hệ thống của họ.”
Việc SharePoint được sử dụng rộng rãi bởi các tổ chức tài chính, các công ty đa quốc gia và cơ quan chính phủ đã khiến nó trở thành mục tiêu hấp dẫn cho hacker trên toàn cầu. Vào năm 2019, Trung tâm An ninh mạng Canada và Cơ quan An ninh mạng Quốc gia Ả Rập Saudi đã báo cáo các cuộc tấn công tương tự như vụ tấn công vào Liên Hợp Quốc. Cũng trong năm đó, nhóm hacker nổi tiếng Emissary Panda, hay APT27 — bị cáo buộc có liên kết với chính phủ Trung Quốc — đã tấn công các máy chủ SharePoint của hai chính phủ tại Trung Đông bằng cách khai thác CVE-2019-0604, theo báo cáo của công ty an ninh mạng Palo Alto Networks. Cũng trong năm 2019, các tác nhân có liên kết với chính phủ Iran đã sử dụng nó để tấn công một công ty năng lượng tại Trung Đông không được nêu tên. Đến năm 2020, các hacker chưa xác định đã tấn công hai chính quyền địa phương ở Hoa Kỳ, và chính phủ Úc đã tiết lộ rằng các hệ thống SharePoint đã được sử dụng để tấn công nhiều mục tiêu tại đất nước này. Trung tâm An ninh mạng Úc mô tả các cuộc tấn công này là “cuộc tấn công mạng có phối hợp lớn nhất nhằm vào các tổ chức của chính phủ Úc mà Chính phủ Úc từng chứng kiến.” Đến năm 2021, băng nhóm hacker Hello/WickrMe đã sử dụng nó để thực hiện nhiều cuộc tấn công ransomware.
Claire Tills, một kỹ sư nghiên cứu cấp cao tại công ty an ninh mạng Tenable, đã chia sẻ với Rest of World rằng “Các kẻ tấn công ưa thích những điểm yếu như thế này vì chúng tồn tại trong các sản phẩm phổ biến trong môi trường doanh nghiệp và cho phép họ tạo ra một điểm dừng từ đó để tiến hành các hoạt động khai thác tiếp theo.”
Lỗ hổng SharePoint đã trở nên phổ biến đến nỗi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), một phần của Bộ An ninh Nội địa, đã đưa lỗ hổng SharePoint vào danh sách 10 lỗ hổng bị khai thác nhiều nhất từ năm 2016 đến 2019.
Tất cả các cuộc tấn công này xảy ra sau khi Microsoft đã phát hành bản vá cho CVE-2019-0604 vào đầu năm 2019. Nhưng để bảo vệ hệ thống, người dùng cần cài đặt tất cả ba bản vá — được phát hành vào tháng 2, tháng 3 và tháng 4 năm 2019. Các chuyên gia an ninh mạng cho biết rằng người dùng SharePoint đã cài đặt bản cập nhật thứ nhất và thậm chí cả thứ hai vẫn còn có nguy cơ nếu họ không nhận ra rằng họ cần cài đặt bản cập nhật thứ ba. Lý tưởng thay, một lỗi như thế này nên được vá trong một lần, giúp cho người dùng có thể chỉ cần áp dụng một bản sửa lỗi và tiếp tục công việc. Thay vào đó, Microsoft đã làm chậm quá trình vá lỗi, yêu cầu ba bản cập nhật riêng biệt trong ba tháng. Và các bản vá này cũng không hoàn hảo — chỉ trong vòng một giờ sau khi Microsoft phát hành bản vá đầu tiên, chính nhà nghiên cứu phát hiện ra CVE-2019-0604 đã có thể vượt qua bản vá này. “Chúng ta có những bản vá kém và việc giao tiếp không rõ ràng xung quanh chúng đang khiến ngành công nghiệp chậm trễ trong việc áp dụng những bản cập nhật quan trọng,” Childs cho biết.
Kevin Beaumont, một chuyên gia an ninh mạng từng làm việc tại Microsoft, đã theo dõi lỗ hổng SharePoint từ năm 2019. Lúc đó, Beaumont cho biết lỗi này có khả năng gây ảnh hưởng lâu dài. “Tôi nghĩ đây sẽ là một trong những lỗ hổng lớn nhất trong nhiều năm qua. Nó sẽ chiếm lĩnh nhiều doanh nghiệp. Thực sự là NHIỀU,” ông viết trên Twitter.
Dự đoán của Beaumont đã trở thành sự thật. Ngay cả khi các tổ chức chưa bị hack, những tổ chức đã sử dụng SharePoint từ 2019 hoặc trước đó có thể vẫn bị dễ bị tổn thương nếu họ chưa cài đặt tất cả các bản cập nhật đã được phát hành kể từ đó. Ví dụ, vào năm 2020, Dhiraj Mishra, lúc đó là tư vấn viên tại công ty an ninh mạng Cognosec, phát hiện rằng Cục Thuế Ấn Độ và Trường Quản lý Sloan thuộc MIT đều bị phơi bày bởi lỗ hổng SharePoint. Sau khi ông báo cáo phát hiện của mình cho Đội ứng cứu khẩn cấp máy tính Ấn Độ và MIT, các tổ chức này đã vá lỗi.
Beaumont cho biết rằng vấn đề là các tổ chức sử dụng SharePoint chưa vá lỗi, một phần là vì quá trình vá lỗi không đơn giản. “Vá lỗi SharePoint cũng nổi tiếng là phức tạp — tốt hơn là xem phiên bản mở rộng của bộ phim The Hobbit và bộ phim The Lord of the Rings từ đầu đến cuối còn nhanh hơn là cố gắng cập nhật một nông trại SharePoint lớn bình thường,” Beaumont đã nói trong một cuộc trò chuyện.
Đó là lý do tại sao SharePoint lại trở thành mục tiêu hấp dẫn — và khó khăn để vá lỗi: với rất nhiều công ty và chính phủ dựa vào phần mềm này như một mạng lưới nội bộ, nó thường được cấu hình để chạy song song với các hệ thống thiết yếu khác, khiến việc cập nhật trở nên phức tạp và tốn thời gian. Không ai muốn máy tính của mình gặp phải màn hình xanh trong khi chờ cập nhật — chưa kể đến mạng máy chủ cho cả một chính quyền địa phương hoặc một tập đoàn trị giá hàng tỷ đô la.
Một phức tạp khác, theo Beaumont, là Microsoft đã cho ra mắt phiên bản đám mây của SharePoint, có tên là SharePoint Online, giúp việc vá lỗi trở nên dễ dàng hơn — nhưng không phải tất cả người dùng đã chuyển sang đám mây. “Nếu SharePoint Online không tồn tại, tất cả khách hàng sẽ phải than phiền về việc vá lỗi ngay bây giờ, theo ý kiến của tôi. Thay vào đó, nghiên cứu và phát triển đã chuyển sang đám mây,” Beaumont nói.
Các công ty phụ thuộc vào doanh thu thường tập trung vào việc phát triển sản phẩm mới hơn là sửa chữa các hệ thống mà họ đã bán, theo Childs từ Zero Day Initiative, điều này có nghĩa là việc phát triển bản vá hiếm khi đứng trên danh sách ưu tiên. “Tình trạng vá lỗi thực sự không tiến triển nhiều trong 15 năm qua,” Childs cho biết, thêm rằng đến 20% các lỗ hổng mà tổ chức của ông chi trả cho các nhà nghiên cứu là từ các bản vá không thành công. “Thật khó tin.”
Nguồn tham khảo: https://restofworld.org/2022/hackers-microsoft-sharepoint-vulnerability-world/
