آسیبپذیریهای Microsoft Exchange Server چندین ماه پس از اینکه افشا و Patch شدند، دوباره تهدیدی امنیتی ایجاد کردهاند.
سه آسیبپذیری که تحت عنوان «ProxyShell» شناخته میشوند، توسط یک محقق امنیتی به نام Orange Tsai، از شرکتی به نام Devcore که تست نفوذ انجام میدهد، کشف شدهاند. جدیترین نقص در بین این سه مورد، CVE-2021-34473 است که یک آسیبپذیری اجرای کد از راه دور است. دو آسیبپذیری دیگر عبارتند از CVE-2021-34523 که یک Bug حیاتی برای افزایش سطح دسترسی در Exchange Server است و CVE-2021-31207 که یک نقص برای دور زدن امنیت میباشد.
CVE-2021-34473 و CVE-34523، هر دو در ماه آوریل Patch شدند، اما تا قبل از انتشار Patch سهشنبه در جولای توسط مایکروسافت، این دو آسیبپذیری افشا نشدند. اما CVE-2021-31207، در ماه می Patch و افشا شد.
ProxyShell چیست؟
ProxyShell که توسط یک محقق امنیت تایوانی به نام Orange Tsai کشف شد، مجموعهای از سه نقص امنیتی متفاوت است که میتوان برای کنترل کردن سرورهای ایمیل Microsoft Exchange آنها را مورد استفاده قرار داد. این نقصهای امنیتی عبارتاند از:
- CVE-2021-34473 مکانیزمی را برای اجرای کد از راه دور، پیش از احراز هویت فراهم کرده و به عاملان مخرب این توانایی را میدهد که از راه دور کد را روی سیستمهای تحت تأثیر اجرا کنند.
- CVE-2021-34523 به عاملان مخرب این توانایی را میدهد که پس از احراز هویت روی Microsoft Exchange Servers کدهای دلخواهی را اجرا نمایند که دلیل این آسیبپذیری یک نقص در سرویس PowerShell است که بهدرستی Tokenهای دسترسی را بررسی نمیکند.
- CVE-2021-31207 به عاملان مخرب پس از احراز هویت این توانایی را میدهد که کدهای دلخواهی را در بافت سیستم (SYSTEM) اجرا کنند و فایلهای دلخواهی را بنویسند.
در کل ProxyShell بخشی از زنجیرهی حملات سهگانهای است که Tsai در سال گذشته کشف کرده و کنار هم قرار داده است؛ او از اواسط سال ۲۰۲۰ شروع کرده است به جستجو برای آسیبپذیری در Microsoft Exchange servers.
- ProxyLogon
- ProxyOracle
- ProxyShell
باوجوداینکه Patchهایی برای آسیبپذیریهای ProxyShell قابلدسترسی هستند، هفتهی گذشته Tsai در کنفرانس امنیتی Black Hat 2021 در لاس وگاس یافتههای خود را منتشر کرد و نشان داد که این نقصها را میتوان در یک حمله زنجیروار به هم متصل کرد. با اینکه Orange Tsai یک اکسپلویت اثباتکنندهی مفهوم را برای آسیبپذیریهای ProxyShell منتشر نکرد، دو محقق امنیتی دیگر براساس ارائهای که در Black Hat داده شد، یک اکسپلویت کارآمد را توسعه داده و منتشر کردند. بنا به گفتهی Tsai، آسیبپذیری ProxyShell تنها لایهی سطحی از یک شکاف امنیتی بزرگ در Exchange Servers است و رخ دادن حملات در آینده اجتنابناپذیر خواهد بود.
Tsai در خلاصهای از نقصها نوشت: «دلیل تأثیرگذاری بینظیر این آسیبپذیری این است که محققان امنیتی آسیبپذیریها را از دیدگاه بهخصوصی پیدا میکنند، مثلاً جستجو برای Bugهای حافظه، Injectionها یا نقصهای منطق. ولی رویکرد ما این بود که از یک نمای معماری سطح بالا به Exchange نگاه کردیم و این مجموعه آسیبپذیری که در سطح معماری وجود داشت را پیدا کردیم که خود چندین آسیبپذیری را به ما نشان داد.»
این ارائه، علاوه بر توجه به حملات آینده، توجه جدیدی را به آسیبپذیری معطوف کرد و کمی پس از ارائهی Tsai، اسکن برای آسیبپذیری افزایش پیدا کرد. کمی بعد، این خبر پخش شد که بسیاری از سیستمهایی که در مارس آلوده محسوب میشدند، همچنان در معرض خطر هستند.
از وقتی که نقصها افشا شدند، هزاران دستگاه هستند که هنوز بروزرسانی نشدهاند و در معرض خطر Bugی هستند که اکنون بهصورت عمومی شناخته شده است. اما متخصصان میگویند که نصب Patchها را میتوان به دلایل مختلفی عقب انداخت، از جمله به دلیل قطعی که برای انتشار یک راهکار برای یک سرور یا دستگاههای حیاتی دیگر لازم است.
وضعیت ProxyShell شبیه به مجموعهی دیگری از آسیبپذیریهای Exchange است که توسط Orange Tsai کشف شده بود. CVE-2021-26855 که به ProxyLogon معروف است، یک آسیبپذیری جعل درخواست از سمت سرور در Exchange است که به مهاجم توانایی کنترل کردن یک سرور آسیبپذیر را از طریق دستوراتی که روی پورت شبکهی ۴۴۳ ارسال میشوند، میدهد.
ProxyLogon Bug و سه آسیبپذیری مربوط به آن در ابتدای مارس افشا شدند، زمانی که مایکروسافت یک عملیات هک تحت حمایت پکن را افشاسازی کرده بود؛ این عملیات از Bugها، علاوه بر چندین نقص دیگر سوءاستفاده میکرد. حملات به گروههای چینی نسبت داده شدند. در زمان افشا، تخمین زده شد که دهها هزار Exchange Server نسبت به این نقص آسیبپذیر بودند.