Cuộc tấn công HAFNIUM – Sophos đã bảo vệ khách hàng như thế nào?
13/04/2021 16:57 3966 lần Chuyên mục: Tin tức
Các trang báo về an ninh mạng đang ngập tràn các thông tin về cuộc tấn công Hafnium vào Microsoft. Hãy tìm hiểu cuộc tấn công này và cách Sophos bảo vệ.
Hafnium là gì?
Theo một cảnh báo của CISA (Cybersecurity & Infrastructure Security Agency): Microsoft đã phát hành các bản cập nhật bảo mật ngoài băng tần để giải quyết các lỗ hổng ảnh hưởng đến Microsoft Exchange Server 2013, 2016 và 2019. Kẻ tấn công từ xa có thể khai thác ba lỗ hổng thực thi mã từ xa — CVE-2021-26857, CVE-2021-26858 và CVE- 2021-27065 — để kiểm soát một hệ thống bị ảnh hưởng. Và có thể khai thác một lỗ hổng — CVE-2021-26855 — để có được quyền truy cập vào thông tin nhạy cảm. Những lỗ hổng này đang được khai thác tích cực trong tự nhiên.
CISA cũng đã ban hành một chỉ thị khẩn cấp kêu gọi các tổ chức vá các Máy chủ Exchange tại chỗ và tìm kiếm các dấu hiệu tấn công trên mạng của họ.
Để biết tổng quan về HAFNIUM và lời khuyên về cách bạn nên phản hồi, hãy xem video ngắn này từ Mat Gangwer, người quản lý dịch vụ Managed Threat Response (MTR) của Sophos.
Các biện pháp bảo vệ của Sophos chống lại Hafnium
Khách hàng của Sophos sẽ được bảo vệ để chống lại Hafnium với Sophos MTR, Sophos Firewall và Sophos Intercept X Advanced
Sophos MTR
Nhóm Sophos MTR đã theo dõi môi trường khách hàng để biết các hành vi liên quan đến các lỗ hổng bảo mật này kể từ lúc có thông báo. Nếu chúng tôi xác định bất kỳ hoạt động độc hại nào liên quan đến các lỗ hổng này, chúng tôi sẽ tạo một trường hợp và liên hệ trực tiếp với khách hàng.
Sophos Firewall
IPS signatures dành cho khách hàng chạy SFOS và XFOS:
Các signatures này cũng có trên Endpoint IPS trong Intercept X Advanced.
| CVE | SID |
| CVE-2021-26855 | 57241, 57242, 57243, 57244, 2305106, 2305107 |
| CVE-2021-26857 | 57233, 57234 |
| CVE-2021-26858 | 57245, 57246 |
| CVE-2021-27065 | 57245, 57246 |
Signatures IPS dành cho khách hàng chạy Sophos UTM:
| CVE | SID |
| CVE-2021-26855 | 57241, 57242, 57243, 57244 |
| CVE-2021-26857 | 57233, 57234 |
| CVE-2021-26858 | 57245, 57246 |
| CVE-2021-27065 | 57245, 57246 |
Nếu bạn thấy những tên phát hiện này trên mạng của mình, bạn nên điều tra thêm và xử lý ngay.
Sophos Intercept X Advanced và Sophos Antivirus (SAV)
Khách hàng có thể theo dõi các signatures AV sau để xác định các cuộc tấn công HAFNIUM tiềm ẩn:
Web shell liên quan:
- Troj/WebShel-L
- Troj/WebShel-M
- Troj/WebShel-N
- Troj/ASPDoor-T
- Troj/ASPDoor-U
- Troj/ASPDoor-V
- Troj/AspScChk-A
- Troj/Bckdr-RXD
- Troj/WebShel-O
- Troj/WebShel-P
Payloads khác:
- Mal/Chopper-A
- Mal/Chopper-B
- ATK/Pivot-B
- AMSI/PowerCat-A (Powercat)
- AMSI/PSRev-A (Invoke-PowerShellTcpOneLine reverse shell)
Do tính chất động của các trình bao web, các trình bao bị chặn nhưng cần được gỡ bỏ theo cách thủ công. Nếu bạn thấy những tên phát hiện này trên mạng của mình, bạn nên điều tra thêm và xử lý ngay.
Chúng tôi cũng đã chặn các điểm đến IP C2 có liên quan, nơi có thể an toàn để làm như vậy.
Ngoài ra, các giai đoạn “kết xuất lsass” của cuộc tấn công bị chặn bởi bảo vệ thông tin xác thực (CredGuard) có trong tất cả các đăng ký Intercept X Advanced.
Sophos EDR
Khách hàng của Sophos EDR có thể tận dụng các truy vấn chuẩn bị trước để xác định các trình bao web tiềm năng để điều tra. Xem chi tiết ở đây.
Nguồn: Sophos
CÔNG TY CỔ PHẦN DASS – NHÀ PHÂN PHỐI HÀNG ĐẦU GIẢI PHÁP BẢO MẬT SOPHOS
HCM: 114/17 Đề Thám, P. Cầu Ông Lãnh, Quận 1, TP.HCM
Điện thoại: 028 3841 2306
Hà Nội: Số 29, Lê Đại Hành, Quận Hai Bà Trưng, Hà Nội
Điện thoại: 024 3555 3030
Email: info@dass.vn
Fanpage: Công ty cổ phần DASS
