Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Cơ quan An ninh Quốc gia (NSA), cùng với các đối tác quốc tế từ Úc và Canada, đã ban hành hướng dẫn để tăng cường bảo mật các phiên bản Microsoft Exchange Server tại chỗ khỏi các cuộc tấn công khai thác tiềm năng.
"Bằng cách hạn chế quyền truy cập quản trị, triển khai multi-factor authentication, áp dụng cấu hình bảo mật truyền tải nghiêm ngặt và nguyên tắc mô hình bảo mật zero trust (ZT), các tổ chức có thể củng cố đáng kể khả năng phòng thủ của mình trước các cuộc tấn công mạng tiềm tàng," CISA cho biết.
Các cơ quan cho biết hoạt động độc hại nhắm vào Microsoft Exchange Server vẫn tiếp diễn, với các phiên bản không được bảo vệ và cấu hình sai đang phải hứng chịu phần lớn các cuộc tấn công. Các tổ chức được khuyến nghị ngừng hoạt động các máy chủ Exchange tại chỗ hoặc hybrid đã hết hạn sử dụng sau khi chuyển sang Microsoft 365.
Một số biện pháp tốt nhất được nêu dưới đây:
- Duy trì các bản cập nhật bảo mật và tần suất vá lỗi
- Di chuyển các máy chủ Exchange đã hết vòng đời
- Đảm bảo Exchange Emergency Mitigation Service vẫn được bật
- Áp dụng và duy trì các baseline bảo mật của Exchange Server, Windows và các mail client có liên quan
- Bật giải pháp antivirus, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR), AppLocker và App Control for Business, Endpoint Detection and Response, và các tính năng chống spam, chống malware của Exchange Server
- Hạn chế quyền truy cập quản trị vào Exchange Admin Center (EAC) và remote PowerShell, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu (least privilege)
- Tăng cường xác thực và mã hóa bằng cách cấu hình Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos và Server Message Block (SMB) thay vì NTLM, và multi-factor authentication
- Tắt quyền truy cập remote PowerShell của người dùng trong Exchange Management Shell (EMS)
"Bảo mật các máy chủ Exchange là điều cần thiết để duy trì tính toàn vẹn và bảo mật của các chức năng và truyền thông doanh nghiệp," các cơ quan lưu ý. "Liên tục đánh giá và tăng cường tư thế an ninh mạng của các máy chủ truyền thông này là rất quan trọng để đi trước các mối đe dọa mạng đang phát triển và đảm bảo khả năng bảo vệ vững chắc cho Exchange như một phần cốt lõi hoạt động của nhiều tổ chức."
CISA Cập nhật cảnh báo về CVE-2025-59287
Hướng dẫn này được đưa ra một ngày sau khi CISA cập nhật cảnh báo của mình để bao gồm thông tin bổ sung liên quan đến CVE-2025-59287, một lỗ hổng bảo mật mới được vá lại trong thành phần Windows Server Update Services (WSUS) có thể dẫn đến remote code execution.
Cơ quan này khuyến nghị các tổ chức xác định các máy chủ dễ bị khai thác, áp dụng bản cập nhật bảo mật out-of-band do Microsoft phát hành và điều tra các dấu hiệu hoạt động đe dọa trên mạng của họ:
- Theo dõi và kiểm tra các hoạt động đáng ngờ cũng như các tiến trình con được tạo ra với quyền SYSTEM, đặc biệt là những tiến trình có nguồn gốc từ wsusservice.exe và/hoặc w3wp.exe
- Theo dõi và kiểm tra các tiến trình PowerShell lồng nhau sử dụng các lệnh PowerShell được mã hóa base64
Sự phát triển này tiếp nối một báo cáo từ Sophos cho biết các threat actor đang khai thác lỗ hổng này để thu thập dữ liệu nhạy cảm từ các tổ chức ở Hoa Kỳ thuộc nhiều ngành khác nhau, bao gồm các trường đại học, công nghệ, sản xuất và y tế. Hoạt động khai thác lần đầu tiên được phát hiện vào ngày 24 tháng 10 năm 2025, một ngày sau khi Microsoft phát hành bản cập nhật.
Trong các cuộc tấn công này, những kẻ tấn công đã được phát hiện lợi dụng các máy chủ Windows WSUS dễ bị tổn thương để chạy các lệnh PowerShell được mã hóa Base64 và trích xuất kết quả đến một endpoint webhook[.]site, củng cố các báo cáo khác từ Darktrace, Huntress và Palo Alto Networks Unit 42.
Công ty an ninh mạng này nói với The Hacker News rằng họ đã xác định được sáu sự cố trong môi trường khách hàng của mình cho đến nay, mặc dù nghiên cứu sâu hơn đã chỉ ra ít nhất 50 nạn nhân.
"Hoạt động này cho thấy các threat actor đã nhanh chóng khai thác lỗ hổng nghiêm trọng này trong WSUS để thu thập dữ liệu có giá trị từ các tổ chức dễ bị tổn thương," Rafe Pilling, giám đốc tình báo mối đe dọa tại Sophos Counter Threat Unit, cho biết trong một tuyên bố với The Hacker News.
"Có thể đây là giai đoạn thử nghiệm hoặc trinh sát ban đầu, và những kẻ tấn công hiện đang phân tích dữ liệu thu thập được để xác định các cơ hội xâm nhập mới. Chúng tôi chưa thấy sự khai thác hàng loạt nào nữa vào thời điểm này, nhưng vẫn còn sớm và các nhà phòng thủ nên coi đây là một cảnh báo sớm. Các tổ chức nên đảm bảo hệ thống của mình được vá đầy đủ và các máy chủ WSUS được cấu hình an toàn để giảm nguy cơ khai thác."
Michael Haag, kỹ sư nghiên cứu mối đe dọa chính tại Splunk thuộc sở hữu của Cisco, lưu ý trong một bài đăng trên X rằng CVE-2025-59287 "sâu hơn dự kiến" và họ đã tìm thấy một chuỗi tấn công thay thế liên quan đến việc sử dụng tệp nhị phân Microsoft Management Console ("mmc.exe") để kích hoạt thực thi "cmd.exe" khi quản trị viên mở WSUS Admin Console hoặc nhấn "Reset Server Node."
"Đường dẫn này kích hoạt lỗi Event Log 7053," Haag chỉ ra, và thêm rằng nó khớp với stack trace được phát hiện bởi Huntress tại "C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log."
