CISA xác nhận BlueHammer hiện là vũ khí của ransomware
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) hôm thứ Hai xác nhận rằng các nhóm ransomware đã không còn giới hạn ở các cuộc tấn công zero-day có chủ đích mà hiện đang khai thác rộng rãi BlueHammer, một lỗ hổng leo thang đặc quyền nghiêm trọng trong Microsoft Defender. Sự chuyển dịch từ khai thác có chủ đích sang diện rộng là tín hiệu cảnh báo quan trọng cho bất kỳ tổ chức nào đang vận hành hệ thống Windows, đồng thời làm tăng đáng kể tính cấp bách của việc vá lỗi và phòng thủ theo lớp.
BlueHammer vốn đã thu hút sự chú ý trong giới bảo mật sau khi bị lạm dụng trong các cuộc tấn công zero-day trước đó. Việc xác nhận rằng các đối tượng vận hành ransomware đang tích hợp nó vào bộ công cụ đánh dấu một giai đoạn mới. Một khi lỗ hổng chuyển từ gián điệp có chủ đích hoặc tấn công đơn lẻ sang hạ tầng của các băng nhóm ransomware, mức độ phơi nhiễm tăng đột biến và khoảng thời gian để tổ chức tự bảo vệ bị thu hẹp nhanh chóng.
Leo thang đặc quyền có ý nghĩa gì trong một cuộc tấn công ransomware
Lỗ hổng leo thang đặc quyền đặc biệt có giá trị với đối tượng vận hành ransomware vì vị trí của nó trong chuỗi tấn công. Có được truy cập ban đầu vào mạng mới chỉ là bước một. Để triển khai ransomware hiệu quả trên toàn tổ chức, kẻ tấn công thường cần quyền nâng cao cho phép chúng di chuyển ngang, vô hiệu hóa công cụ bảo mật, truy cập hệ thống sao lưu, và cuối cùng là mã hóa hoặc đánh cắp dữ liệu trên quy mô lớn.
Lỗ hổng trong Microsoft Defender đặc biệt nghiêm trọng vì Defender được nhúng sâu trong hệ điều hành Windows và chạy với mức tin cậy cao. Nếu kẻ tấn công có thể khai thác mối quan hệ tin cậy đó, chúng có thể leo thang từ chỗ đứng hạn chế lên quyền kiểm soát hệ thống rộng hơn mà không kích hoạt các loại cảnh báo mà phần mềm độc hại độc lập có thể gây ra.
Tình huống này không chỉ riêng BlueHammer. Các nhóm ransomware thường xuyên kết hợp nhiều lỗ hổng, dùng lỗ hổng này để xâm nhập và lỗ hổng khác để leo thang và lan rộng. 40.000 máy chủ bị xâm nhập thông qua lỗ hổng cPanel đang bị khai thác cho thấy tốc độ mà các tác nhân đe dọa chuyển từ phát hiện sang khai thác hàng loạt khi một lỗ hổng mang lại đòn bẩy đáng kể.
Vì sao các băng nhóm ransomware nhắm riêng vào Windows Defender
Sự hiện diện gần như phổ quát của Microsoft Defender trên các máy Windows khiến nó trở thành mục tiêu hấp dẫn với đối thủ. Những tổ chức dựa vào Defender như lớp bảo vệ điểm cuối chính hoặc duy nhất đặc biệt lộ diện khi lỗ hổng Defender bị vũ khí hóa, bởi chính công cụ được dùng để bảo vệ họ lại trở thành vectơ tấn công.
Đây không phải lập luận chống lại việc dùng Defender. Đây là lập luận cho phòng thủ theo chiều sâu: nguyên tắc rằng không công cụ bảo mật đơn lẻ nào nên là thứ duy nhất đứng giữa kẻ tấn công và các hệ thống trọng yếu của bạn. Khi các băng ransomware đặc biệt khai thác lỗ hổng trong chính phần mềm bảo mật của bạn, việc có thêm các lớp bảo vệ độc lập càng quan trọng hơn bao giờ hết.
Kiểm soát cấp mạng là một lớp như vậy. Phân đoạn mạng nội bộ, thực thi kiểm soát truy cập nghiêm ngặt và giám sát di chuyển ngang bất thường đều có thể làm chậm hoặc chặn ransomware lan rộng ngay cả sau khi xâm nhập điểm cuối ban đầu. VPN, khi được cấu hình đúng cách trên mạng doanh nghiệp, có thể giới hạn hoạt động trinh sát của kẻ tấn công trong giai đoạn đầu xâm nhập bằng cách kiểm soát những đường dẫn mạng nào bị lộ. Cảnh báo gần đây của FBI về Nhóm Silent Ransom giả dạng nhân viên IT là lời nhắc nhở rằng kẻ tấn công cũng thăm dò kiến trúc mạng và kiểm soát truy cập trong quá trình chuẩn bị trước tấn công.
Điều này có ý nghĩa gì với bạn
Với người dùng Windows cá nhân, bước cấp thiết nhất là đảm bảo Windows Update được cập nhật và các định nghĩa cũng như thành phần nền tảng của Microsoft Defender đã hoàn toàn mới nhất. Microsoft thường phát hành bản vá cho các lỗ hổng mức nghiêm trọng này rất nhanh, và áp dụng chúng kịp thời là hành động hiệu quả nhất bạn có thể làm.
Với quản trị viên CNTT và các đội bảo mật, xác nhận từ CISA là lời kêu gọi rà soát xem các bản vá BlueHammer đã được áp dụng trên tất cả điểm cuối hay chưa, bao gồm cả người làm việc từ xa và kết hợp. Các tổ chức cũng nên xem xét lại khả năng phát hiện hành vi leo thang đặc quyền, vì vá lỗi chỉ xử lý lỗ hổng còn giám sát thì xử lý mẫu hình đe dọa rộng hơn.
Cũng cần lưu ý rằng CISA không thêm lỗ hổng vào danh mục Lỗ hổng đã biết bị khai thác một cách ngẫu nhiên. Một mục trong danh mục đó mang theo chỉ thị vận hành ràng buộc với các cơ quan liên bang Hoa Kỳ, và là tín hiệu mạnh mẽ cho khu vực tư nhân rằng việc khai thác đang diễn ra và đang tiếp diễn, không phải lý thuyết. Hồ sơ theo dõi của cơ quan này trong việc gắn cờ các lỗ hổng đã gây thiệt hại thực tế đã biến nó thành một hệ thống cảnh báo sớm đáng tin cậy. Chính sự tin cậy đó cũng khiến nó trở thành mục tiêu: một vụ lộ lọt GitHub liên quan đến nhà thầu của CISA hồi đầu năm nay đã nhấn mạnh cách ngay cả những tổ chức tập trung vào bảo mật cũng đối mặt rủi ro về hạ tầng.
Hành động cụ thể cần làm
- Vá ngay. Áp dụng tất cả bản cập nhật bảo mật Microsoft sẵn có, đặc biệt chú ý đến bất kỳ bản vá nào liên quan đến thành phần Microsoft Defender.
- Kiểm tra điểm cuối. Xác nhận rằng việc triển khai bản vá đã đến được người làm từ xa, văn phòng chi nhánh và bất kỳ thiết bị nào có thể đã bỏ lỡ chu kỳ cập nhật tự động.
- Phòng thủ nhiều lớp. Đừng dựa vào bất kỳ công cụ bảo mật đơn lẻ nào như chiến lược bảo vệ hoàn chỉnh. Kết hợp bảo mật điểm cuối với giám sát mạng, kiểm soát truy cập và phát hiện hành vi.
- Giám sát leo thang đặc quyền. Xem lại nhật ký các sự kiện nâng quyền bất thường, đặc biệt những sự kiện liên quan đến tiến trình phần mềm bảo mật.
- Rà soát phân đoạn mạng. Nếu ransomware có được chỗ đứng, phân đoạn mạng mạnh có thể giới hạn mức độ lây lan trước khi bị phát hiện và ngăn chặn.
Sự chuyển dịch của BlueHammer từ công cụ zero-day sang món hàng chủ lực của các băng ransomware là một mẫu hình mà cộng đồng bảo mật đã thấy trước đây, và nó sẽ lại xảy ra với các lỗ hổng tương lai. Xây dựng thói quen bảo mật tính đến diễn tiến có thể dự đoán này sẽ bền vững hơn là phản ứng với từng lỗ hổng riêng lẻ.




