مایکروسافت وصله‌های اضطراری را برای رفع چهار نقص امنیتی فاش نشده در Exchange Server منتشر کرده است، به گفته آنها این نقص‌ها در حال حاضر درحال استفاده توسط یک مهاجم تحت حمایت دولت چین با هدف سرقت داده‌ها هستند.

برای دیدن سایز بزرگ روی عکس کلیک کنید  نام: ms-exchnage.jpg مشاهده: 0 حجم: 36.9 کیلو بایت

Microsoft Threat Intelligence Center (MSTIC) حملات را “محدود و هدفمند” توصیف کرد و گفت که دشمن از این آسیب‌پذیری‌ها برای دسترسی به سرورهای Exchange داخلی استفاده کرده است و در عوض با دسترسی به حساب‌های ایمیل راه را برای نصب یک بدافزار، برای تسهیل دسترسی طولانی مدت به محیط قربانیان هموار کرده است.

این غول فناوری با اطمینان بالا این حمله را به یك مهاجم كه آن را HAFNIUM می‌نامد (یك هكر با حمایت دولتی كه از خارج از چین فعالیت می‌كند) نسبت داد، اگرچه احتمال دارد كه گروه‌های دیگر نیز در این امر مشاركت داشته باشند.

مایکروسافت برای اولین بار با بحث در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP)، HAFNIUM را به عنوان “یک بازیگر بسیار ماهر و پیشرفته” توصیف می‌کند که عمدتاً واحدهای موجود در ایالات متحده را برای استفاده از اطلاعات حساس از دیگر مجموعه‌های صنعت جدا می‌کند، از جمله محققان بیماری‌های عفونی، موسسات حقوقی، موسسات آموزش عالی، پیمانکاران دفاعی، اتاق های فکر و سازمان‌های غیردولتی.

اعتقاد بر این است که HAFNIUM با استفاده از سرورهای مجازی اجاره‌ای در ایالات متحده، در تلاش است تا حملات خود را مخفی نگه دارد.

این حمله سه مرحله‌ای شامل دستیابی به یک Exchange Server با رمزهای عبور دزدیده شده یا آسیب‌پذیری‌های کشف نشده و به دنبال آن ایجاد یک Web Shell برای کنترل سرور آسیب‌پذیر است.
آخرین حلقه در زنجیره حمله استفاده از دسترسی ریموت برای غارت Mailboxهای موجود در شبکه داخلی سازمان و ارسال داده‌های جمع‌آوری شده به سایت‌های اشتراک فایل مانند MEGA است.

برای دستیابی به این هدف از چهار آسیب‌پذیری Zero-Day که توسط محققان Volexity و Dubex کشف شده است به عنوان بخشی از زنجیره حمله استفاده می‌شود:

  • CVE-2021-26855: آسیب‌پذیری SSRF در Exchange Server
  • CVE-2021-26857: یک آسیب‌پذیری در سرویس Unified Messaging
  • CVE-2021-26858: یک آسیب‌پذیری post-authentication arbitrary file write در Exchange و
  • CVE-2021-27065: یک آسیب‌پذیری post-authentication arbitrary file write در Exchange

اگرچه این آسیب‌پذیری‌ها بر Microsoft Exchange Server 2013 ،Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 تأثیر می‌گذارند، اما مایکروسافت اعلام کرد که Exchange Server 2010 را بروز می‌کند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: image_745.jpg
مشاهده: 21
حجم: 52.1 کیلو بایت

از آنجا که حمله اولیه به یک untrusted connection به پورت Exchange Server 443 نیاز دارد، این شرکت خاطرنشان می‌کند که سازمان‌ها می‌توانند با محدود کردن اتصالات نامعتبر یا با استفاده از VPN، سرور Exchange را از دسترسی‌های خارجی دور کنند.

مایکروسافت علاوه بر تأکید بر اینکه این آسیب‌پذیری‌ها به نقض مربوط به SolarWinds مرتبط نبوده است، گفت: آژانس‌های دولتی ایالات متحده را در مورد موج جدید حملات مطلع کرده است.
اما این شرکت در مورد تعداد سازمان‌هایی که به طور موفقیت‌آمیز مورد هدف قرار گرفته‌اند توضیحاتی ارائه نداد.

Volexity با بیان اینکه به نظر می‌رسد فعالیت‌های نفوذ در حدود ۶ ژانویه ۲۰۲۱ آغاز شده است، هشدار داد که تعدادی حمله با استفاده از چندین آسیب‌پذیری Microsoft Exchange با هدف سرقت ایمیل‌ها و کنترل شبکه‌های آسیب‌پذیر کشف کرده است.

کوین بومونت، تحلیلگر ارشد Microsoft Threat Intelligence همچنین یک پلاگین nmap ایجاد کرده است که می‌تواند برای اسکن شبکه برای سرورهای Microsoft Exchange که احتمالاً آسیب‌پذیر هستند استفاده شود.

تام برت، معاون شرکت Customer Security مایکروسافت گفت: ما برای آماده‌سازی بروزرسانی برای جلوگیری از بهره‌برداری از این آسیب‌پذیری به سرعت تلاش کرده‌ایم، اما می‌دانیم که بسیاری از مهاجم‌های تحت حمایت دولت‌ها و گروه‌های جنایتکار سریعاً برای استفاده از هرگونه سیستم وصله نشده دست به کار می‌شوند. برت همچنین گفت: استفاده سریع از وصله‌های امروز بهترین محافظت در برابر این حمله است.

با توجه به شدت نقص‌های امنیتی توصیه می‌شود کاربران مایکروسافت هرچه سریع‌تر Microsoft Exchange خود را بروزرسانی کنند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

68

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *