Bên trong bối cảnh mối đe dọa bảo mật của Microsoft (và cách bạn có thể bảo vệ công ty của mình)

Trong vài năm qua, Microsoft đã phải đối mặt với một loạt các tin tức tiêu cực qua một loạt các lỗ hổng và hack. Vì vậy, không có gì lạ khi các lỗ hổng trong các sản phẩm của Microsoft là một vectơ tấn công hấp dẫn. Theo một báo cáo từ Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Hệ thống của Microsoft đã có 238 lỗ hổng bảo mật được báo cáo kể từ đầu năm 2022, chiếm 30% tổng số lỗ hổng được phát hiện cho đến nay trong năm nay.

Vào năm 2021, các cơ quan lớn như Cơ quan An ninh Quốc gia (NSA), FBI, CISA và CIA đã trình bày chi tiết về 15 phổ biến nhất các lỗ hổng và sự phơi nhiễm (CVE) bị tin tặc khai thác. Trong số đó, 60% (chín) là do thiếu sót trong các hệ thống do Microsoft thiết kế, vận hành và sở hữu, bao gồm bảy CVE trong Exchange Server của Microsoft.

Điều này thậm chí còn đáng báo động hơn khi bạn cho rằng Microsoft nắm giữ cổ phần chi phối (85%) của hệ thống mua sắm và công nghệ thông tin tại nơi làm việc của chính phủ Hoa Kỳ, về cơ bản đặt toàn bộ chính phủ vào nguy cơ bị tấn công.

Microsoft thực hiện tiêu đề một lần nữa vào cuối năm 2021, khi nó cảnh báo khách hàng rằng nền tảng đám mây Azure có lỗi cấu hình trong một thành phần, được kích hoạt theo mặc định, đã làm lộ dữ liệu trong hai năm qua. Kết quả là, hàng nghìn khách hàng dựa vào Azure Cosmos DB – bao gồm các tên tuổi gia đình như Exxon và Coca-Cola, đã phải đối mặt với khả năng kẻ tấn công có thể đọc, ghi hoặc xóa dữ liệu mà không được phép.

Các kẻ đe dọa đã khai thác nhiều lỗ hổng chưa được tiết lộ của Microsoft và lỗi zero-day, cho phép các cuộc tấn công được thực hiện từ xa, theo tuyên bố của các nhà nghiên cứu bảo mật tại Cục An ninh mạng Việt Nam GTSCngười đầu tiên phát hiện và báo cáo rằng những kẻ tấn công đang xâu chuỗi cặp số không ngày để triển khai các trình bao web Chopper của Trung Quốc trên các máy chủ bị xâm nhập vì liên tục và đánh cắp dữ liệu.

Do các vụ hack và lỗ hổng bảo mật liên tục được phát hiện trong hệ sinh thái sản phẩm của Microsoft, các công ty cùng thời khác, chẳng hạn như Google, hiện được cho là đang vượt qua không gian đổi mới bảo mật. Gần đây, tại sự kiện Cloud Next ’22, Google đã công bố Dịch vụ phát hiện lỗ hổng nhanh chóng. Công cụ này là một dịch vụ không cấu hình trong Security Command Center Premium để phát hiện các lỗ hổng như giao diện quản trị viên bị lộ, thông tin đăng nhập yếu và cài đặt phần mềm chưa hoàn chỉnh.

Với tư cách là một cái tên nổi tiếng và là một gã khổng lồ công nghệ, các thực hành an ninh mạng của Microsoft thiếu ở đâu? Và tương lai của những mối đe dọa như vậy sẽ như thế nào?

Con cá mập có lỗ hổng lớn

Trong suốt 15 năm qua, Microsoft đã đạt được nhiều tiến bộ trong việc củng cố nhân Windows, cốt lõi của hệ điều hành (OS) mà tin tặc phải quản lý để kiểm soát máy một cách hiệu quả. Đưa ra các giới hạn mới nghiêm ngặt về tải trình điều khiển hệ thống có thể hoạt động ở chế độ hạt nhân là nền tảng của sự phát triển đó.

Vào tháng 2 năm 2019, công ty phần mềm SolarWinds đã bị tấn công bởi các tin tặc quốc gia bị tình nghi được gọi là Nobelium. Nhóm đã giành được quyền truy cập vào hàng nghìn mạng, hệ thống và dữ liệu của khách hàng SolarWinds, dẫn đến vụ hack lớn nhất từng được ghi nhận. Hơn nữa, theo một Reuters độc quyền vào ngày 17 tháng 12 năm 2020, rõ ràng là các lỗ hổng bảo mật cụ thể của Microsoft đã làm trầm trọng thêm thiệt hại trong cuộc tấn công SolarWinds.

Andrew Grotto, cựu giám đốc chính sách mạng của Nhà Trắng, nói rằng một phần của các cuộc tấn công như vậy nằm ở vấn đề cơ sở mã kế thừa.

Ông nói: “Các sản phẩm của Microsoft đòi hỏi nhiều nỗ lực để cấu hình đúng cách và do các vấn đề cấu hình như vậy nên các sản phẩm này rất dễ bị khai thác.

“Đối với các hệ thống của Microsoft mà khách hàng của SolarWinds đang sử dụng, những kẻ tấn công ngày càng đào sâu vào mạng của nạn nhân và lợi dụng các vấn đề cấu hình trong các sản phẩm của Microsoft,” Grotto nói với VentureBeat.

Đây chỉ là sự khởi đầu, vào tháng 3 năm 2021, một nhóm tin tặc được gọi chung là Hafnium đã có thể khai thác các điểm yếu trong phần mềm Exchange của Microsoft, cho phép Hafnium kiểm soát các máy chủ và có quyền truy cập vào thông tin nhạy cảm của tổ chức chính phủ và công ty.

FBI cần phải xâm nhập vào hàng trăm máy chủ máy tính của các công ty Mỹ để loại bỏ phần mềm độc hại Hafnium. Microsoft phát hành một bản vá để sửa chữa 114 lỗ hổng nghiêm trọng vào tháng 4 năm 2021.

Tương tự, vào tháng 3 năm 2022, Microsoft thông báo rằng họ đã bị nhóm hacker tội phạm xâm nhập Lapsus $, giải thích rằng nhóm đã xâm phạm một trong các tài khoản của mình, điều này khiến nhóm có “quyền truy cập hạn chế” vào dữ liệu của công ty. Tuy nhiên, công ty bác bỏ thông tin rằng nhóm đã lấy được dữ liệu của bất kỳ khách hàng nào của Microsoft.

Công ty sau đó đã thừa nhận rằng nhóm này đã đánh cắp các phần của mã nguồn liên quan đến một số sản phẩm của Microsoft. Lapsus $ tuyên bố đã lấy được mã nguồn cho công cụ tìm kiếm Bing và trợ lý giọng nói Cortana. (Tuy nhiên, Microsoft tuyên bố rằng họ không dựa vào bí mật mã nguồn của mình như một biện pháp bảo mật.)

Dan Schiappa, giám đốc sản phẩm tại Sói tuyết và cựu giám đốc bảo mật của Microsoft, giải thích rằng mã của Microsoft thường là sự pha trộn giữa cũ và mới, khiến việc đảm bảo không có lỗ hổng bảo mật càng trở nên khó khăn hơn đối với họ.

“Tôi nghĩ rằng hệ sinh thái an ninh mạng sẽ giúp bảo vệ nền tảng công nghệ khổng lồ của Microsoft. Microsoft sẽ tiếp tục thực hiện những thay đổi gia tăng để cải thiện tình hình bảo mật của họ, nhưng tôi không tin rằng họ sẽ làm bất cứ điều gì để giảm đáng kể rủi ro, ”ông nói. “Do đó, có danh mục hoặc dịch vụ bảo mật thích hợp là cách tốt nhất để đảm bảo bạn được bảo mật của Microsoft.”

Điểm nghẽn hệ sinh thái sản phẩm của Microsoft

Là một nhà cung cấp doanh nghiệp thống trị trên thị trường, các tác nhân đe dọa đã làm việc suốt ngày đêm để nhắm mục tiêu và khai thác các sản phẩm trong hệ sinh thái của Microsoft. Đây là vài ví dụ:

Công ty tình báo đe dọa, Cluster25, báo cáo gần đây APT28 (hay còn gọi là Fancy Bear), một tổ chức đe dọa GRU (Cục tình báo chính của Bộ Tổng tham mưu Nga), đã sử dụng một chiến lược mới để triển khai phần mềm độc hại Graphite gần đây vào ngày 9 tháng 9.

Tác nhân đe dọa thu hút các mục tiêu bằng tệp PowerPoint (.PPT) được cho là được liên kết với Tổ chức Hợp tác và Phát triển Kinh tế (OECD), một tổ chức liên chính phủ hoạt động nhằm thúc đẩy tiến bộ kinh tế và thương mại trên toàn thế giới. Bên trong tệp PPT là hai trang trình bày có hướng dẫn bằng tiếng Anh và tiếng Pháp để sử dụng tùy chọn Phiên dịch trong ứng dụng hội nghị truyền hình Zoom.

Khi nạn nhân mở tài liệu ở chế độ trình bày và di chuột qua siêu liên kết, một tập lệnh PowerShell độc hại sẽ được khởi chạy, tải xuống tệp JPEG từ tài khoản Microsoft OneDrive. Tài liệu cũng bao gồm một siêu liên kết kích hoạt việc thực thi tập lệnh PowerShell độc hại thông qua công cụ SyncAppvPublishingServer. Do đó, phần mềm độc hại có thể sử dụng Microsoft Graph API và OneDrive trên máy tính của nạn nhân để thực hiện các giao tiếp lệnh và kiểm soát hơn nữa.

Trên hết, các máy chủ Microsoft SQL dễ bị tấn công cũng đang bị nhắm mục tiêu trong một làn sóng tấn công mới với FARGO ransomware. Máy chủ MS-SQL là hệ thống quản lý cơ sở dữ liệu, lưu trữ dữ liệu cho các dịch vụ và ứng dụng internet, mà những kẻ tấn công chủ yếu nhắm mục tiêu vì việc phá vỡ chúng có thể gây ra rắc rối kinh doanh nghiêm trọng. FARGO là một trong những chủng ransomware nổi bật nhất tập trung vào các máy chủ MS-SQL, cùng với GlobeImposter.

Dòng ransomware FARGO loại trừ phần mềm và thư mục cụ thể khỏi mã hóa để ngăn hệ thống bị lây nhiễm trở nên hoàn toàn vô dụng. Nạn nhân cũng bị tống tiền với lời đe dọa sẽ công khai tài liệu bị đánh cắp nếu nạn nhân không trả tiền chuộc.

Sau đó, người ta phát hiện ra rằng các lỗ hổng là do việc sử dụng thông tin đăng nhập yếu và thiếu bản vá bảo mật cập nhật trên một phần của các máy chủ nạn nhân, điều này lặp lại các vấn đề trước đó với Microsoft là khó định cấu hình.

Hệ điều hành Windows của Microsoft không bị tụt hậu xa trong các vấn đề về nút cổ chai. Dựa theo nghiên cứu của Lansweeper, chỉ 2,6% người dùng đã nâng cấp lên Windows 11 một năm sau khi phát hành lần đầu ra công chúng. Và 42% PC thậm chí không đủ điều kiện để nâng cấp tự động do các yêu cầu hệ thống nghiêm ngặt từ Microsoft. Điều này khiến các nhà quản lý CNTT doanh nghiệp gặp khó khăn trong việc nâng cấp hoặc thay thế hàng triệu máy trước năm 2025, đó là khi Microsoft cho biết họ sẽ ngừng hỗ trợ Windows 10.

Cách CISO và các nhà lãnh đạo bảo mật có thể giảm thiểu rủi ro

Theo Steve Benton, Phó chủ nhiệm nghiên cứu mối đe dọa tại Anomaliviệc khai thác các lỗ hổng khi chúng được biết đến chỉ là một phương tiện để kết thúc, một phần của chuỗi tấn công với một số thành phần phải thành công.

“Sự thật phũ phàng là tất cả chúng ta nên chấp nhận ý tưởng rằng bạn không nên dựa vào bất kỳ sản phẩm nào để đảm bảo an toàn 100%,” Benton nói với VentureBeat. “Người ta phải phát triển và thực hiện một chiến lược đặt một bộ kiểm soát bảo mật chồng chéo và nhiều lớp tại chỗ. [The strategy should be] tập trung vào các chuỗi tấn công rộng lớn hơn được tạo thành từ TTP [tactics, techniques and procedures] được điều khiển bởi kẻ tấn công với động cơ và mục tiêu mà bạn đã hiểu thông qua trí thông minh có liên quan, có thể hành động. “

Benton khuyến nghị rằng cách tiếp cận, do đó, cần phải gấp ba lần:

• Đảm bảo bạn hiểu bề mặt tấn công và các nội dung quan trọng của mình và đã triển khai một bộ kiểm soát bảo mật chồng chéo và nhiều lớp. Ngoài ra, hãy đảm bảo rằng các thành phần này được triển khai đầy đủ đến phạm vi, hoạt động đầy đủ và được giám sát.

• Đảm bảo bạn đã xác định các chính sách và tiêu chuẩn cho tất cả các thành phần này sao cho chúng không để lộ các khía cạnh có thể khai thác (tức là không tự mình trả giá rẻ cho kẻ tấn công).

• Phân tích những loại tác nhân nào có khả năng tấn công bạn. Nghĩ về động lực hoặc mục tiêu cuối cùng của họ và cách họ có thể thực hiện nó. Trí tuệ quan trọng này cho phép bạn ưu tiên các nguồn lực của mình để bảo vệ doanh nghiệp và khách hàng của bạn, đồng thời thiết lập và duy trì một thế trận an ninh năng động chống lại các mối đe dọa hiện tại và mới nổi có liên quan đến bạn.

Mike Dausin, giám đốc nghiên cứu bảo mật và tình báo mối đe dọa tại Logic cảnh báo. “Đồng thời, điều quan trọng là phải lắng nghe các tín hiệu mà thiết bị của bạn tạo ra; nhiều cuộc tấn công thành công không được chú ý đơn giản vì nhật ký và tín hiệu từ các thiết bị bị ảnh hưởng không được chú ý. Việc thu thập, xử lý và giám sát các tín hiệu này là rất quan trọng để bắt được các mối đe dọa hiện đại ”.

Tương lai nào dành cho Microsoft

Jerrod Piker, nhà phân tích tình báo cạnh tranh tại Bản năng sâu sắccho biết, khi các giải pháp phần mềm của Microsoft tiếp tục được sử dụng rộng rãi trên toàn cầu trong các doanh nghiệp thuộc mọi quy mô, chúng ta có thể sẽ thấy các lỗ hổng bảo mật mới được phát hiện với tốc độ thậm chí còn nhanh hơn cho đến thời điểm này.

Piker cho biết: “Nếu các lỗ hổng gần đây là bất kỳ dấu hiệu nào, thì việc khai thác này sẽ tiếp tục phát triển về mức độ phức tạp và quy mô.

Piker nói rằng mặc dù Microsoft cung cấp một bộ giải pháp bảo mật phong phú, nhưng dường như không có bước tiến đáng kể nào được thực hiện trong việc đảm bảo vòng đời phát triển phần mềm.

“Microsoft dường như luôn phản ứng mạnh mẽ hơn với các nỗ lực bảo mật, thay vì xây dựng thành công bảo mật vào quy trình phát triển phần mềm. Điều này cần phải thay đổi. Cho đến khi thực hiện một sự thay đổi hoàn toàn để thắt chặt an ninh trong giai đoạn phát triển, rất có thể chúng ta sẽ không thấy sự cải thiện rõ rệt về số lượng lỗ hổng được phát hiện trong các giải pháp phần mềm của Microsoft, ”ông nói.

Tương tự như vậy, Grotto tin rằng những hứa hẹn về bảo mật chỉ có thể đạt được đầy đủ nếu các tính năng bảo mật cơ bản trở thành tiêu chuẩn cho tất cả các mức giá của các dịch vụ đám mây của Microsoft.

“Các tính năng bảo mật cơ bản như ghi nhật ký sự kiện và thực hiện xác thực đa yếu tố là một vài tính năng CNTT nên được coi là tiêu chuẩn. Thật không may, các tính năng cấp cơ bản như vậy dường như vẫn còn thiếu trong hệ sinh thái đám mây của Microsoft, ”ông nói. “Đây là một nhược điểm lớn đối với các hệ sinh thái dựa trên đám mây đang đạt được tiềm năng hoàn chỉnh của chúng, từ quan điểm bảo mật.”