آسیب‌پذیری Proxyshell مجدد سرورهای Microsoft Exchange را تحت حملات امنیتی قرار داد

راهکار EDR

آسیب‌پذیری‌های Microsoft Exchange Server چندین ماه پس از اینکه افشا و Patch شدند، دوباره تهدیدی امنیتی ایجاد کرده‌اند.

سه آسیب‌پذیری‌ که تحت عنوان «ProxyShell» شناخته می‌شوند، توسط یک محقق امنیتی به نام Orange Tsai، از شرکتی به نام  Devcore که تست نفوذ انجام می‌دهد، کشف شده‌اند. جدی‌ترین نقص در بین این سه مورد، CVE-2021-34473 است که یک آسیب‌پذیری اجرای کد از راه دور است. دو آسیب‌پذیری دیگر عبارتند از CVE-2021-34523 که یک Bug حیاتی برای افزایش سطح دسترسی در Exchange Server است و CVE-2021-31207 که یک نقص برای دور زدن امنیت می‌باشد.

CVE-2021-34473 و CVE-34523، هر دو در ماه آوریل Patch شدند، اما تا قبل از انتشار Patch سه‌شنبه در جولای توسط مایکروسافت، این دو آسیب‌پذیری افشا نشدند. اما CVE-2021-31207، در ماه می Patch و افشا شد.

ProxyShell چیست؟

ProxyShell که توسط یک محقق امنیت تایوانی به نام Orange Tsai کشف شد، مجموعه‌ای از سه نقص امنیتی متفاوت است که می‌توان برای کنترل کردن سرورهای ایمیل Microsoft Exchange آن‌ها را مورد استفاده قرار داد. این نقص‌های امنیتی عبارت‌اند از:

  • CVE-2021-34473 مکانیزمی را برای اجرای کد از راه دور، پیش از احراز هویت فراهم کرده و به عاملان مخرب این توانایی را می‌دهد که از راه دور کد را روی سیستم‌های تحت تأثیر اجرا کنند.
  • CVE-2021-34523 به عاملان مخرب این توانایی را می‌دهد که پس از احراز هویت روی Microsoft Exchange Servers کدهای دلخواهی را اجرا نمایند که دلیل این آسیب‌پذیری یک نقص در سرویس PowerShell است که به‌درستی Tokenهای دسترسی را بررسی نمی‌کند.
  • CVE-2021-31207 به عاملان مخرب پس از احراز هویت این توانایی را می‌دهد که کدهای دلخواهی را در بافت سیستم (SYSTEM) اجرا کنند و فایل‌های دلخواهی را بنویسند.

در کل ProxyShell  بخشی از زنجیره‌ی حملات سه‌گانه‌ای است که Tsai در سال گذشته کشف کرده و کنار هم قرار داده است؛ او از اواسط سال ۲۰۲۰ شروع کرده است به جستجو برای آسیب‌پذیری‌ در Microsoft Exchange servers.

  • ProxyLogon
  • ProxyOracle
  • ProxyShell

باوجوداینکه Patchهایی برای آسیب‌پذیری‌های ProxyShell قابل‌دسترسی هستند، هفته‌ی گذشته Tsai در کنفرانس امنیتی Black Hat 2021 در لاس وگاس یافته‌های خود را منتشر کرد و نشان داد که این نقص‌ها را می‌توان در یک حمله زنجیروار به هم متصل کرد. با اینکه Orange Tsai یک اکسپلویت اثبات‌کننده‌ی مفهوم را برای آسیب‌پذیری‌های ProxyShell منتشر نکرد، دو محقق امنیتی دیگر براساس ارائه‌ای که در Black Hat داده شد،  یک اکسپلویت کارآمد را توسعه داده و منتشر کردند. بنا به گفته‌ی Tsai، آسیب‌پذیری ProxyShell تنها لایه‌ی سطحی از یک شکاف امنیتی بزرگ در Exchange Servers است و رخ دادن حملات در آینده اجتناب‌ناپذیر خواهد بود.

Tsai در خلاصه‌ای از نقص‌ها نوشت: «دلیل تأثیرگذاری بی‌نظیر این آسیب‌پذیری این است که محققان امنیتی آسیب‌پذیری‌ها را از دیدگاه به‌خصوصی پیدا می‌کنند، مثلاً جستجو برای Bugهای حافظه، Injectionها یا نقص‌های منطق. ولی رویکرد ما این بود که از یک نمای معماری سطح بالا به Exchange نگاه کردیم و این مجموعه آسیب‌پذیری که در سطح معماری وجود داشت را پیدا کردیم که خود چندین آسیب‌پذیری را به ما نشان داد.»

این ارائه، علاوه بر توجه به حملات آینده، توجه جدیدی را به آسیب‌پذیری معطوف کرد و کمی پس از ارائه‌ی Tsai، اسکن برای آسیب‌پذیری افزایش پیدا کرد. کمی بعد، این خبر پخش شد که بسیاری از سیستم‌هایی که در مارس آلوده محسوب می‌شدند، همچنان در معرض خطر هستند.

از وقتی که نقص‌ها افشا شدند، هزاران دستگاه هستند که هنوز بروزرسانی نشده‌اند و در معرض خطر Bugی هستند که اکنون به‌صورت عمومی شناخته شده است. اما متخصصان می‌گویند که نصب Patchها را می‌توان به دلایل مختلفی عقب انداخت، از جمله به دلیل قطعی که برای انتشار یک راهکار برای یک سرور یا دستگاه‌های حیاتی دیگر لازم است.

وضعیت ProxyShell شبیه به مجموعه‌ی دیگری از آسیب‌پذیری‌های Exchange است که توسط Orange Tsai کشف شده بود. CVE-2021-26855 که به ProxyLogon معروف است، یک آسیب‌پذیری جعل درخواست از سمت سرور در Exchange است که به مهاجم توانایی کنترل کردن یک سرور آسیب‌پذیر را از طریق دستوراتی که روی پورت شبکه‌ی ۴۴۳ ارسال می‌شوند، می‌دهد.

ProxyLogon Bug و سه آسیب‌پذیری مربوط به آن در ابتدای مارس افشا شدند، زمانی که مایکروسافت یک عملیات هک تحت حمایت پکن را افشاسازی کرده بود؛ این عملیات از Bugها، علاوه بر چندین نقص دیگر سوءاستفاده می‌کرد. حملات به گروه‌های چینی نسبت داده شدند. در زمان افشا، تخمین زده شد که ده‌ها هزار Exchange Server نسبت به این نقص آسیب‌پذیر بودند.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.