هشدار مهم: کشف چهار نقص امنیتی Zero-Day در Microsoft Exchange

مایکروسافت Patchهایی اضطراری برای رفع چهار نقص امنیتی در Exchange Server منتشر کرده است که پیش از این فاش نشده بودند. گفته می‌شود که یک عامل مخرب با حمایت دولت چین و با هدف دزدی داده، در حال بهره‌برداری از این نقص‌های امنیتی است.

مرکز هوش تهدیدات مایکروسافت یا MSTIC با توصیف این حملات به عنوان «محدود و هدفمند»، گفت که مهاجم برای دسترسی به Exchange Serverهای On-Premises از این آسیب‌پذیری‌ها استفاده کرده است که موجب دسترسی به حساب‌های ایمیل و باز کردن راهی برای نصب بدافزارهای بیشتر جهت تسهیل دسترسی طولانی‌مدت به محیط‌های قربانیان می‌شود.

این شرکت بزرگ با اطمینان زیادی این حملات را به عامل مخربی به نام HAFNIUM نسبت داد، یک گروه هکر با حمایت دولت که خارج از کشور چین عملیات انجام می‌دهد، هرچند احتمال درگیری گروه‌های دیگر نیز وجود دارد.

مایکروسافت با صحبت در مورد تاکتیک‌ها، تکنیک‌ها و فرایندهای (TTPهای) این گروه برای اولین بار HAFNIUM را یک «عامل مخرب پیچیده، با مهارت بالا» توصیف کرد که اغلب برای استخراج اطلاعات حساس از بخش‌های صنعتی مختلف به سراغ نهادهایی در ایالات متحده می‌رود، از جمله پژوهشگران بیماری‌های مسری، شرکت‌های حقوقی، مؤسسات تحصیلات عالی، پیمانکاران دفاعی، اتاق‌های فکر سیاسی و سازمان‌های مردم‌نهاد یا NGOها. به نظر می‌رسد HAFNIUM برای انجام حملات خود از سرورهای خصوصی و مجازی اجاره‌ای در ایالات متحده استفاده می‌کند تا فعالیت مخرب خود را مخفی کند.

این حمله سه مرحله‌ای شامل دسترسی به یک Exchange Server، با رمزهای عبور دزدی و یا با استفاده از آسیب‌پذیری‌های قبلی کشف نشده و به دنبال آن پیاده‌سازی یک Web Shell برای کنترل سرور در معرض خطر است. آخرین مرحله در این زنجیره‌ی حمله، استفاده از دسترسی از راه دور برای حمله به صندوق‌های ایمیل از شبکه‌ی یک سازمان و استخراج داده‌های جمع‌آوری شده به سایت‌های اشتراکی مثل MEGA است.

۴ آسیب‌پذیری Zero-Day کشف شده در Microsoft Exchange

برای انجام کارهای ذکر شده، از چهار آسیب‌پذیری Zero-Day استفاده می‌شود که توسط پژوهشگرانی از سازمان‌هایی مثل Volexity و Dubex کشف شده‌اند.

• CVE-2021-26855 یک آسیب‌پذیری جعل درخواست سمت سرور[۱] یا SSRF در Exchange Server که  سوءاستفاده از آن مهاجم را قادر به ارسال درخواست‌های HTTP و اصالت‌سنجی به‌عنوان سرور Exchange می‌کند.
• CVE-2021-26857 یک آسیب‌پذیری Deserialization مورد استفاده از سرویس Unified Messaging که سوءاستفاده از آن، امکان اجرای کد با سطح دسترسی SYSTEM را ممکن می‌کند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر در سیستم است.
• CVE-2021-26858 یک آسیب‌پذیری نوشتن فایل دلخواه پس از احراز هویت در Exchange که در صورت فراهم بودن امکان احراز هویت، مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم  با بکارگیری از شناسه آسیب‌پذیری CVE-2021-26855 یا هک یک کاربر معتبر قادر به استفاده از این آسیب‌پذیری خواهد بود.
• CVE-2021-27065این آسیب‌پذیری نیز مانند آسیب‌پذیری CVE-2021-26858 امکان دخیره فایل در هر مسیری از سرور را، پس از احراز هویت به مهاجم خواهد داد.

با اینکه این آسیب‌پذیری‌ها روی Microsoft Exchange Server 2013، Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 تأثیرگذار است، مایکروسافت می‌گوید که درحال بروزرسانی Exchange Server 2010 برای هدف دفاع عمقی یا «Defense in Depth» است.

به‌علاوه ازآنجایی‌که حمله‌ی اولیه نیازمند یک اتصال بدون اعتماد[۲] به پورت ۴۴۳Exchange Server  است، مایکروسافت بیان کرد که سازمان‌ها می‌توانند با استفاده از یک VPN برای جداسازی Exchange Server از دسترسی خارجی، مشکل را برطرف کنند.

مایکروسافت علاوه بر تأکید روی اینکه این آسیب‌پذیری‌ها ارتباطی به نقض‌های امنیتی SolarWinds ندارند، گفت که در مورد این موج جدید از حملات به سازمان‌های دولتی ایالات متحده گزارشات لازم را ارائه داده است. اما این شرکت توضیح نداد که چند سازمان هدف قرار گرفتند و آیا حملات موفقیت‌آمیز بوده‌اند یا خیر.

سازمان Volexity با بیان اینکه این حملات نفوذ حدوداً از ششم ژانویه‌ی ۲۰۲۱ آغاز شدند، هشدار داد که سوءاستفاده از چندین آسیب‌پذیری Microsoft Exchange را مشاهده کرده است که برای دزدیدن ایمیل و شبکه‌های در معرض خطر مورد استفاده قرار گرفته‌اند.

جاش گروزویگ، متیو ملزر، شان کوسل، استیون آدیر و توماس لنکستر، پژوهشگران Volexity در گزارشی توضیح دادند: «با اینکه به نظر می‌رسد مهاجمان در ابتدای کار صرفاً با دزدیدن ایمیل‌ها از دیدها مخفی ماندند، اما اخیرا برای استحکام جای پای خود، به سراغ بهره‌برداری از آسیب‌پذیری‌ها رفته‌اند.»

نحوه شناسایی Microsoft Exchnageهای آسیب‌پذیر

علاوه بر Patchها، تحلیلگر هوش تهدیدات ارشد مایکروسافت، کوین بومونت، یک افزونه‌ی nmap ساخته که می‌توان با استفاده از آن یک شبکه را اسکن کرد تا Exchange Serverهای آسیب‌پذیر، شناسایی گردند.

اسکریپت مذکور را می‌توان پس از ذخیره‌سازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:

با توجه به شدت این نقص‌ها، جای تعجب ندارد که Patchها یک هفته زودتر از برنامه‌ی شرکت برای انتشار Patchها در سه‌شنبه دوم هر ماه، منتشر شدند. به مشتریانی که از نسخه‌ی آسیب‌پذیر Exchange Server استفاده می‌کنند، پیشنهاد می‌شود بلافاصله بروزرسانی‌ها را نصب کنند تا از این حملات در امان باشند.

 شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت سایبری به سازمان‌ها و شرکت‌ها، با در اختیار داشتن مجموعه‌ای از حرفه‌ای‌ترین مهندسان امنیت سایبری، آماده ارائه خدمات امنیتی به شرکت‌ها و سازمان‌ها است. جهت کسب اطلاعات بیشتر و مشاوره می‌توانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.

[۱] server-side request forgery

[۲] Untrusted

منبع:

https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html