Microsoft Exchange تحت تأثیر چهار آسیبپذیری Zero-Day قرار دارد که مهاجمان میتوانند از راه دور (Remote Code Execution) برای اجرای کد دلخواه یا افشای اطلاعات از آنها سوء استفاده کنند. این آسیبپذیریهای روز ۳ نوامبر ۲۰۲۳ توسط Trend Micro’s Zero Day Initiative (ZDI) فاش شد که البته آنها را در تاریخ ۷ و ۸ سپتامبر ۲۰۲۳ به مایکروسافت گزارش کرده بود.
علیرغم تایید مایکروسافت، این گزارشها مهندسان امنیتی به این نتیجه رسیدند که نقصها به اندازه کافی جدی نیستند که نیاز به اقدام فوری داشته باشد، و اصلاحات را به بعد موکول کردند. ZDI با این پاسخ موافق نبود و تصمیم گرفت نقص ها را تحت شناسههای ZDI ردیابی و خودش منتشر کند تا به مدیران Exchange در مورد خطرات امنیتی هشدار دهد.
خلاصهای از ایرادات مورد نظر عبارتند از:
ZDI-23-1578: یک نقص اجرای کد از راه دور (RCE) در کلاس ‘Chained Serialization Binder’، که در آن داده های کاربر به اندازه کافی اعتبار سنجی نشده اند و به مهاجمان اجازه می دهد تا داده های نامعتبر را سریال سازی کنند. بهره برداری موفقیت آمیز، مهاجم را قادر می سازد تا کد دلخواه را به عنوان «SYSTEM»، بالاترین سطح امتیازات در ویندوز، اجرا کند.
ZDI-23-1579: این نقص که در روش «دانلود دادهها از Uri» یا Download Data From Uri قرار دارد، به دلیل اعتبارسنجی ناکافی یک URI قبل از دسترسی به منبع است. مهاجمان می توانند از آن برای دسترسی به اطلاعات حساس از سرورهای Exchange سوء استفاده کنند.
ZDI-23-1580: این آسیبپذیری، در روش «دانلود دادهها از بازار Office»، همچنین از اعتبارسنجی نادرست URI ناشی میشود که به طور بالقوه منجر به افشای اطلاعات غیرمجاز میشود.
ZDI-23-1581: این نقص که در روش Create Attachment From Uri وجود دارد، شبیه باگهای قبلی با اعتبارسنجی URI ناکافی است، که مجدداً دادههای حساس را در معرض خطر قرار میدهد.
چرا مایکروسافت این آسیبپذیری را در اولویت قرار نداده است؟
همه این آسیبپذیریها برای بهرهبرداری نیاز به احراز هویت دارند، که شدت رتبهبندی CVSS آنها را بین ۷.۱ تا ۷.۵ کاهش میدهد. علاوه بر این، نیاز به احراز هویت یک عامل کاهش دهنده است و احتمالاً دلیلی برای اینکه مایکروسافت رفع اشکالات را در اولویت قرار نداده است. با این حال، باید توجه داشت که مجرمان سایبری راههای زیادی برای به دست آوردن اعتبار Exchange دارند، از جمله گذرواژههای ضعیف، انجام حملات فیشینگ، خرید آنها یا بهدست آوردن آنها از گزارشهای دزد اطلاعات. با این حال، Zero-Day های بالا نباید بیاهمیت تلقی شوند، به خصوص ZDI-23-1578 (RCE)، که میتواند منجر به به خطر افتادن کامل سیستم شود.
اما برای ایجاد امنیت در مقابل این آسیب پذیری چه راهکاری پیشنهاد میشود؟
ZDI پیشنهاد می کند که تنها استراتژی کاهش خطر، محدود کردن تعامل با برنامه های Exchange است. با این حال، این موضوع ممکن است برای بسیاری از سازمانهایی که از این محصول استفاده میکنند، غیر قابل قبول باشد. همچنین پیشنهاد میکند احراز هویت چندعاملی را برای جلوگیری از دسترسی مجرمان سایبری به نمونههای Exchange اجرا کنید.
برای اطلاعات بیشتر و آخرین به روزرسانی اینجا کلیک کنید.