مایکروسافت نسبت به افزایش شدید سوءاستفادههای سایبری از آسیبپذیریهای بحرانی در سرورهای Exchange و SharePoint که بهصورت محلی (On-Premises) اجرا میشوند هشدار داده است. این حملات به مهاجمان امکان دسترسی مداوم و سطح بالا را به محیطهای هدف میدهند، که منجر به اجرای کد از راه دور (RCE)، حرکت جانبی در شبکه و سرقت دادههای حساس میشود.
🚨 حملات NTLM Relay و پایداری مخفیانه
هکرها اکنون با تکنیکهای پیشرفتهتری به پروتکل احراز هویت NTLM حمله میکنند. در این حملات، هشهای سرقتشدهی NTLM به سرورهای آسیبپذیر منتقل میشوند و امکان ربودن اعتبارنامهها و نفوذ بیشتر را فراهم میکنند.
در نمونههای اخیر، مهاجمان حسابهای دارای سطح دسترسی بالا را هدف قرار دادهاند.
در مورد SharePoint Server نیز تاکتیکها پیچیدهتر شدهاند. هکرها با درج وبشل در صفحات قانونی و نصب ابزارهای مدیریت و نظارت از راه دور (RMM) بهصورت مخفی، دسترسی پایداری ایجاد کردهاند که تشخیص آن بسیار دشوار است.
🛡️ افزایش امنیت با یکپارچهسازی AMSI
برای مقابله با این تهدیدات، مایکروسافت رابط اسکن ضدبدافزار ویندوز (AMSI) را در Exchange و SharePoint Server ادغام کرده است. AMSI بهعنوان فیلتر امنیتی در لایه IIS عمل میکند و درخواستهای HTTP ورودی (از جمله بدنه درخواست) را پیش از رسیدن به برنامه بررسی میکند.
در صورت تشخیص تهدید، درخواست در همان لحظه مسدود میشود و کد HTTP 400 بازگردانده میشود. این مکانیسم دفاعی، بخصوص در برابر آسیبپذیریهای روز صفر (Zero-Day)، بسیار مؤثر است.
AMSI قابلیت شناسایی حملاتی نظیر SSRF، وبشل، و سرقت اعتبارنامه را دارد و هشدارها را به Microsoft Defender ارسال میکند.
✅ توصیههای امنیتی مایکروسافت:
-
بهروزرسانی فوری سرورها و نصب آخرین پچهای امنیتی
-
فعالسازی AMSI و اطمینان از اجرای راهکارهای آنتیویروس سازگار
-
بازبینی و تقویت تنظیمات NTLM و فعالسازی قابلیت Extended Protection for Authentication (EPA)
-
مانیتورینگ دقیق فعالیتهای مشکوک مانند درخواستهای غیرعادی HTTP یا دسترسی غیرمجاز به ایمیلها
با توجه به افزایش نوآوری مهاجمان، استفاده از دفاع چندلایه، شناسایی سریع تهدیدات، و پاسخدهی هوشمندانه برای محافظت از زیرساختهای حیاتی کسبوکار ضروری است.
یک نظر