​Ngày 30/9/2022, Cục An toàn thông tin có văn bản 1484/CATTT-NCSC về việc cảnh báo lỗ hổng bảo mật zero-day ảnh hưởng nghiêm trọng đến Microsoft Exchange. Theo đó, thông qua việc tăng cường hợp tác, chia sẻ tri thức tấn công mạng với doanh nghiệp an toàn thông tin trong nước, Cục An toàn thông tin tiếp nhận cảnh báo từ đội ngũ bảo mật của Công ty GTSC về việc đang xuất hiện chiến dịch tấn công mạng có chủ đích sử dụng lỗ hổng zero-day, mục tiêu nhắm đến là các hệ thống máy chủ Microsoft Exchange của các cơ quan, tổ chức trong nước.

Đây là lỗ hổng bảo mật có mức độ nghiêm trọng và hiện tại chưa có bản vá lỗi chính thức, lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa để dành quyền kiểm soát hệ thống, đe dọa đến tính bí mật, toàn vẹn của hàng ngàn máy chủ Mail Exchange đang được sử dụng bởi nhiều cơ quan, tổ chức trong nước (thông tin chi tiết về lỗ hổng trong phụ lục kèm theo).

Trước mức độ nghiêm trọng của lỗ hổng, ngày 29/9/2022, Cục An toàn thông tin đã tiến hành rà soát và ghi nhận hệ thống máy chủ Mail một số đơn vị đã bị xâm nhập với các dấu hiệu nhận diện liên quan đến tấn công có chủ đích. Đồng thời, Cục An toàn thông tin đã phát đi cảnh báo tới toàn bộ thành viên thuộc Mạng lưới ứng cứu sự cố an toàn thông tin mạng Việt Nam. Tuy nhiên, việc tuân theo khuyến nghị để ngăn chặn việc khai thác lỗ hổng vẫn chưa được thực hiện nghiêm túc.

Để tăng cường đảm bảo an toàn thông tin mạng trên địa bàn tỉnh, góp phần bảo đảm an toàn cho không gian mạng Việt Nam, ngày 03/11/2022, Sở Thông tin và Truyền thông có văn bản số 2867/STTTT-CNTTVT khuyến nghị Quý đơn vị thực hiện một số nội dung sau:

1. Cấu hình lại máy chủ để ngăn chặn đối tượng tấn công thực thi mã từ xa (chi tiết hướng dẫn trong phụ lục kèm theo).

2. Sử dụng công cụ thực hiện rà soát lại hệ thống máy chủ Mail và công cụ kiểm tra cấu hình ngăn chặn tấn công để phát hiện các dấu hiệu bị xâm nhập và tính hiệu của của biện pháp ngăn chặn nhằm kịp thời ứng phó trước khi sự cố xảy ra (công cụ gửi kèm theo).

3. Tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời, thường xuyên theo dõi kênh cảnh báo /Shared Documents/11452_+TEXoMVQDhNoyMDI1 để cập nhật kịp thời các nguy cơ, chiến dịch tấn công mạng.

Tải hướng dẫn tại đây: STTTT2867_zeroday_MS exchange (CATTT1484).pdf