مایکروسافت Patchهایی اضطراری برای رفع چهار نقص امنیتی در Exchange Server منتشر کرده است که پیش از این فاش نشده بودند. گفته میشود که یک عامل مخرب با حمایت دولت چین و با هدف دزدی داده، در حال بهرهبرداری از این نقصهای امنیتی است.
مرکز هوش تهدیدات مایکروسافت یا MSTIC با توصیف این حملات به عنوان «محدود و هدفمند»، گفت که مهاجم برای دسترسی به Exchange Serverهای On-Premises از این آسیبپذیریها استفاده کرده است که موجب دسترسی به حسابهای ایمیل و باز کردن راهی برای نصب بدافزارهای بیشتر جهت تسهیل دسترسی طولانیمدت به محیطهای قربانیان میشود.
این شرکت بزرگ با اطمینان زیادی این حملات را به عامل مخربی به نام HAFNIUM نسبت داد، یک گروه هکر با حمایت دولت که خارج از کشور چین عملیات انجام میدهد، هرچند احتمال درگیری گروههای دیگر نیز وجود دارد.
مایکروسافت با صحبت در مورد تاکتیکها، تکنیکها و فرایندهای (TTPهای) این گروه برای اولین بار HAFNIUM را یک «عامل مخرب پیچیده، با مهارت بالا» توصیف کرد که اغلب برای استخراج اطلاعات حساس از بخشهای صنعتی مختلف به سراغ نهادهایی در ایالات متحده میرود، از جمله پژوهشگران بیماریهای مسری، شرکتهای حقوقی، مؤسسات تحصیلات عالی، پیمانکاران دفاعی، اتاقهای فکر سیاسی و سازمانهای مردمنهاد یا NGOها. به نظر میرسد HAFNIUM برای انجام حملات خود از سرورهای خصوصی و مجازی اجارهای در ایالات متحده استفاده میکند تا فعالیت مخرب خود را مخفی کند.
این حمله سه مرحلهای شامل دسترسی به یک Exchange Server، با رمزهای عبور دزدی و یا با استفاده از آسیبپذیریهای قبلی کشف نشده و به دنبال آن پیادهسازی یک Web Shell برای کنترل سرور در معرض خطر است. آخرین مرحله در این زنجیرهی حمله، استفاده از دسترسی از راه دور برای حمله به صندوقهای ایمیل از شبکهی یک سازمان و استخراج دادههای جمعآوری شده به سایتهای اشتراکی مثل MEGA است.
۴ آسیبپذیری Zero-Day کشف شده در Microsoft Exchange
برای انجام کارهای ذکر شده، از چهار آسیبپذیری Zero-Day استفاده میشود که توسط پژوهشگرانی از سازمانهایی مثل Volexity و Dubex کشف شدهاند.
- CVE-2021-26855 یک آسیبپذیری جعل درخواست سمت سرور[۱] یا SSRF در Exchange Server که سوءاستفاده از آن مهاجم را قادر به ارسال درخواستهای HTTP و اصالتسنجی بهعنوان سرور Exchange میکند.
- CVE-2021-26857 یک آسیبپذیری Deserialization مورد استفاده از سرویس Unified Messaging که سوءاستفاده از آن، امکان اجرای کد با سطح دسترسی SYSTEM را ممکن میکند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر در سیستم است.
- CVE-2021-26858 یک آسیبپذیری نوشتن فایل دلخواه پس از احراز هویت در Exchange که در صورت فراهم بودن امکان احراز هویت، مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم با بکارگیری از شناسه آسیبپذیری CVE-2021-26855 یا هک یک کاربر معتبر قادر به استفاده از این آسیبپذیری خواهد بود.
- CVE-2021-27065این آسیبپذیری نیز مانند آسیبپذیری CVE-2021-26858 امکان دخیره فایل در هر مسیری از سرور را، پس از احراز هویت به مهاجم خواهد داد.
با اینکه این آسیبپذیریها روی Microsoft Exchange Server 2013، Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 تأثیرگذار است، مایکروسافت میگوید که درحال بروزرسانی Exchange Server 2010 برای هدف دفاع عمقی یا «Defense in Depth» است.
بهعلاوه ازآنجاییکه حملهی اولیه نیازمند یک اتصال بدون اعتماد[۲] به پورت ۴۴۳Exchange Server است، مایکروسافت بیان کرد که سازمانها میتوانند با استفاده از یک VPN برای جداسازی Exchange Server از دسترسی خارجی، مشکل را برطرف کنند.
مایکروسافت علاوه بر تأکید روی اینکه این آسیبپذیریها ارتباطی به نقضهای امنیتی SolarWinds ندارند، گفت که در مورد این موج جدید از حملات به سازمانهای دولتی ایالات متحده گزارشات لازم را ارائه داده است. اما این شرکت توضیح نداد که چند سازمان هدف قرار گرفتند و آیا حملات موفقیتآمیز بودهاند یا خیر.
سازمان Volexity با بیان اینکه این حملات نفوذ حدوداً از ششم ژانویهی ۲۰۲۱ آغاز شدند، هشدار داد که سوءاستفاده از چندین آسیبپذیری Microsoft Exchange را مشاهده کرده است که برای دزدیدن ایمیل و شبکههای در معرض خطر مورد استفاده قرار گرفتهاند.
جاش گروزویگ، متیو ملزر، شان کوسل، استیون آدیر و توماس لنکستر، پژوهشگران Volexity در گزارشی توضیح دادند: «با اینکه به نظر میرسد مهاجمان در ابتدای کار صرفاً با دزدیدن ایمیلها از دیدها مخفی ماندند، اما اخیرا برای استحکام جای پای خود، به سراغ بهرهبرداری از آسیبپذیریها رفتهاند.»
نحوه شناسایی Microsoft Exchnageهای آسیبپذیر
علاوه بر Patchها، تحلیلگر هوش تهدیدات ارشد مایکروسافت، کوین بومونت، یک افزونهی nmap ساخته که میتوان با استفاده از آن یک شبکه را اسکن کرد تا Exchange Serverهای آسیبپذیر، شناسایی گردند.
اسکریپت مذکور را میتوان پس از ذخیرهسازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:
با توجه به شدت این نقصها، جای تعجب ندارد که Patchها یک هفته زودتر از برنامهی شرکت برای انتشار Patchها در سهشنبه دوم هر ماه، منتشر شدند. به مشتریانی که از نسخهی آسیبپذیر Exchange Server استفاده میکنند، پیشنهاد میشود بلافاصله بروزرسانیها را نصب کنند تا از این حملات در امان باشند.
شرکت امنپردازان کویر (APK) از شرکتهای پیشگام کشور در حوزهی ارائه خدمات امنیت سایبری به سازمانها و شرکتها، با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، آماده ارائه خدمات امنیتی به شرکتها و سازمانها است. جهت کسب اطلاعات بیشتر و مشاوره میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] server-side request forgery
[۲] Untrusted
منبع:
https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html