Bạn có nghĩ rằng email doanh nghiệp của mình an toàn không? Câu trả lời có thể khiến bạn giật mình khi Microsoft vừa phát cảnh báo về một lỗ hổng zero-day nghiêm trọng trên Exchange Server đang bị tin tặc khai thác tích cực. Đây không phải lời đe dọa suông - các cuộc tấn công thực sự đang diễn ra ngay lúc này, nhắm vào những người dùng Outlook on the web. Chúng tôi cho rằng đây là một trong những cảnh báo bảo mật cần được xử lý khẩn cấp nhất trong năm 2024.

Khi kẻ thù đã vượt qua cánh cửa

Lỗ hổng được đánh giá ở mức độ nghiêm trọng cao này cho phép tin tặc thực thi mã độc tùy ý thông qua kỹ thuật Cross-Site Scripting (XSS - kỹ thuật chèn mã độc vào website để tấn công người dùng). Điều đáng lo ngại nhất là đây là lỗ hổng zero-day, nghĩa là Microsoft chưa kịp phát hành bản vá chính thức mà tin tặc đã phát hiện và bắt đầu khai thác. Theo kinh nghiệm 10 năm theo dõi các vụ tấn công mạng, chúng tôi nhận thấy những lỗ hổng zero-day luôn tạo ra những đợt tấn công lan truyền cực nhanh.

Target chính của cuộc tấn công này là người dùng Outlook on the web - giao diện email trực tuyến mà hàng triệu doanh nghiệp trên thế giới đang sử dụng hàng ngày. Kẻ tấn công có thể lợi dụng lỗ hổng để chiếm quyền điều khiển tài khoản email, đánh cắp thông tin nhạy cảm hoặc thậm chí xâm nhập sâu vào hệ thống mạng nội bộ của tổ chức. Với Exchange Server được sử dụng rộng rãi tại Việt Nam, từ các ngân hàng, tập đoàn lớn đến doanh nghiệp vừa và nhỏ, mức độ rủi ro là cực kỳ cao.

Phẫu thuật kỹ thuật: Khi XSS trở thành vũ khí chết người

Cross-Site Scripting hay XSS là kỹ thuật tấn công cho phép tin tặc chèn các đoạn mã JavaScript độc hại vào các trang web hợp pháp. Khi người dùng truy cập vào Outlook on the web, đoạn mã độc này sẽ được thực thi trên trình duyệt của họ mà không hề hay biết. Điều đặc biệt nguy hiểm ở lỗ hổng lần này là nó cho phép thực thi arbitrary code (mã tùy ý) - nghĩa là tin tặc có thể chạy bất kỳ lệnh nào họ muốn trên hệ thống mục tiêu.

Chúng tôi phân tích rằng quy trình tấn công có thể diễn ra theo kịch bản sau: tin tặc gửi email có chứa payload độc hại đến nạn nhân, khi nạn nhân mở email trên Outlook web, mã độc sẽ kích hoạt và cho phép kẻ tấn công chiếm quyền điều khiển phiên làm việc. Từ đó, chúng có thể đọc toàn bộ email, gửi email giả mạo, thậm chí leo thang đặc quyền để xâm nhập vào các hệ thống khác trong mạng nội bộ. Đây chính là lý do Microsoft đánh giá đây là lỗ hổng có mức độ nghiêm trọng cao.

Tác động domino: Khi một lỗ hổng lay chuyển cả hệ thống

Theo thống kê của Microsoft, Exchange Server được sử dụng bởi hàng trăm ngàn tổ chức trên toàn cầu, xử lý hàng tỷ email mỗi ngày. Tại Việt Nam, theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), có khoảng 60% doanh nghiệp lớn sử dụng giải pháp email dựa trên Microsoft Exchange. Con số này cho thấy quy mô tiềm ẩn của những tổ chức có thể bị ảnh hưởng bởi lỗ hổng này tại thị trường trong nước.

Chúng tôi đánh giá tác động của lỗ hổng này không chỉ dừng lại ở việc đánh cắp thông tin email. Một khi tin tặc đã kiểm soát được tài khoản email của nhân viên, đặc biệt là cấp lãnh đạo, họ có thể thực hiện các cuộc tấn công Business Email Compromise (BEC - lừa đảo email doanh nghiệp), yêu cầu chuyển tiền, chia sẻ thông tin mật, hoặc làm bàn đạp để tấn công các đối tác kinh doanh. Theo báo cáo của FBI, thiệt hại từ các vụ tấn công BEC trên toàn cầu năm 2023 lên tới 2.9 tỷ USD.

Lá chắn phòng thủ: Hành động ngay trước khi quá muộn

Microsoft đã khẩn cấp phát hành các biện pháp giảm thiểu rủi ro (mitigations) thay vì chờ đợi bản vá chính thức. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam thực hiện ngay các bước sau: Thứ nhất, kiểm tra và cập nhật Exchange Server lên phiên bản mới nhất có sẵn. Thứ hai, tạm thời hạn chế quyền truy cập Outlook on the web đối với các tài khoản không thực sự cần thiết, ưu tiên sử dụng ứng dụng Outlook desktop. Thứ ba, kích hoạt tính năng Multi-Factor Authentication (MFA - xác thực đa yếu tố) cho toàn bộ tài khoản email để tạo thêm lớp bảo vệ.

Đồng thời, các bộ phận IT cần theo dõi sát sao các log truy cập bất thường, đặc biệt chú ý đến những phiên đăng nhập từ địa chỉ IP lạ hoặc vào thời gian ngoài giờ làm việc. Thiết lập cảnh báo tự động khi có các hoạt động đáng ngờ như gửi email hàng loạt hoặc truy cập vào các thư mục nhạy cảm. Cuối cùng, đào tạo nhân viên nhận biết các dấu hiệu email khả nghi và báo cáo ngay cho bộ phận IT khi phát hiện. Thời gian vàng để ngăn chặn tổn thất lớn hơn chỉ tính bằng giờ, không phải ngày.