FortiGuard Labs đã phát hiện một chuỗi khai thác mới, đặt tên là ToolShell, đang được nhiều tác nhân đe dọa sử dụng để nhắm mục tiêu vào các máy chủ Microsoft SharePoint tại chỗ. Cuộc tấn công tinh vi này kết hợp hai lỗ hổng đã được vá trước đó cùng hai biến thể lỗ hổng zero-day mới, nhằm đạt được khả năng thực thi mã từ xa hoàn toàn (Remote Code Execution) và chiếm quyền kiểm soát hệ thống.
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung các CVE này vào danh mục các Lỗ hổng đã bị Khai thác (Known Exploited Vulnerabilities) của mình. Quyết định này được đưa ra do mức độ đe dọa leo thang và việc khai thác tích cực trong thực tế.
Tổng quan về Chiến dịch ToolShell
Đặc điểm và Mức độ Nghiêm trọng
Chiến dịch ToolShell thể hiện sự leo thang đáng kể trong các cuộc tấn công nhắm vào hạ tầng SharePoint. Chiến dịch này tận dụng sự kết hợp của bốn lỗ hổng riêng biệt để vượt qua các biện pháp bảo mật và thiết lập quyền truy cập liên tục vào các máy chủ doanh nghiệp.
Các tác nhân đe dọa đang khai thác các lỗ hổng này để triển khai các web shell tinh vi và công cụ trinh sát. Điều này cung cấp quyền kiểm soát hành chính hoàn toàn đối với các hệ thống bị xâm nhập.
Mức độ nghiêm trọng của cuộc tấn công được phân loại là nghiêm trọng. Phân loại này dựa trên khả năng chiếm quyền điều khiển hệ thống hoàn toàn và việc khai thác tích cực đang được quan sát trên nhiều nhóm tác nhân đe dọa.
Mục tiêu Tấn công
Cuộc tấn công đặc biệt nhắm mục tiêu vào Microsoft SharePoint Enterprise Server 2016, Microsoft SharePoint Server 2019 và Microsoft SharePoint Server Subscription Edition. Điều này có khả năng ảnh hưởng đến bất kỳ tổ chức nào đang sử dụng các nền tảng này.
Phân tích Kỹ thuật Các Lỗ hổng Zero-day và Công cụ Khai thác
GhostWebShell: Vỏ Web Tinh vi
Thành phần đầu tiên được sử dụng cho các hoạt động hậu khai thác là GhostWebShell. Đây là một web shell ASP.NET tinh vi được thiết kế để thực thi mã từ xa và truy cập liên tục.
Công cụ này nhúng một trang ASP.NET được mã hóa Base64, phơi bày một tham số lệnh. Điều này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý thông qua các hoạt động cmd.exe /c.
Mã hóa Base64 giúp che giấu mục đích của web shell, khiến việc phát hiện ban đầu trở nên khó khăn hơn.
KeySiphon: Thu thập Thông tin và Thông tin xác thực
Thành phần thứ hai là KeySiphon, tập trung vào trinh sát và thu thập thông tin xác thực. Công cụ này thu thập dấu vân tay của máy chủ bị xâm nhập bằng cách thu thập thông tin hệ thống. Các thông tin bao gồm ổ đĩa logic, tên máy, thông số kỹ thuật CPU và chi tiết hệ điều hành.
Quan trọng nhất, KeySiphon trích xuất các khóa xác thực ứng dụng và giải mã. Điều này cho phép kẻ tấn công giả mạo các mã thông báo xác thực và thao túng dữ liệu được bảo vệ. Khả năng này có thể dẫn đến việc chiếm quyền truy cập sâu hơn vào các tài nguyên nội bộ của tổ chức.
Các Chỉ số Thỏa hiệp (IOCs) và Biện pháp Phòng ngừa
Các Công cụ và Chữ ký Phát hiện
Fortinet đã phát hành các biện pháp bảo vệ toàn diện chống lại chiến dịch ToolShell. Dịch vụ FortiGuard Antivirus phát hiện và chặn các thành phần mã độc liên quan.
Ngoài ra, chữ ký IPS MS.SharePoint.ToolShell.Remote.Code.Execution cung cấp khả năng bảo vệ cấp độ mạng. Các IOC chính liên quan đến chiến dịch này bao gồm:
- Web Shell: GhostWebShell (ASP.NET web shell)
- Công cụ Trinh sát/Thu thập thông tin xác thực: KeySiphon
- Chữ ký IPS: MS.SharePoint.ToolShell.Remote.Code.Execution
Để biết thêm chi tiết về chiến dịch, có thể tham khảo nghiên cứu của Fortinet: Inside the ToolShell Campaign.
Khuyến nghị Bảo mật và Phòng thủ
Các tổ chức được khuyến nghị thực hiện cập nhật bản vá nhanh chóng để giải quyết các lỗ hổng zero-day và các lỗ hổng liên quan. Việc triển khai phát hiện mạng đa lớp và giám sát nhật ký nghiêm ngặt là rất cần thiết để giảm thiểu rủi ro bị lộ.
Chiến dịch ToolShell chứng minh mục tiêu có giá trị cao liên tục của cơ sở hạ tầng SharePoint bởi các tác nhân đe dọa tinh vi. Với việc khai thác tích cực đang tăng tốc và sự liên quan của nhiều lỗ hổng zero-day, việc vá lỗi ngay lập tức và tăng cường giám sát là rất cần thiết cho an ninh mạng của tổ chức.
