اصلاحیههای اضطراری مایکروسافت برای Exchange
شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است.
شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است.
به گفته مایکروسافت مهاجمان در حال اکسپلویت کردن این آسیبپذیریها هستند و لذا اعمال فوری اصلاحیهها توصیه اکید میشود.
به گزارش آدفا به نقل از مایکروسافت، سوءاستفاده از مجموعه آسیبپذیریهای مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیلها و توزیع بدافزارهای بیشتر و گسترده کردن دامنه نفوذ در سطح شبکه میکند.
لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت ۴۴۳ اعلام شده است.
در صورت فراهم بودن دسترسی، امکان بهرهجویی از آسیبپذیریهای زیر فراهم میشود:
CVE-۲۰۲۱-۲۶۸۵۵: ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – در Exchange است که سوءاستفاده از آن مهاجم را قادر به ارسال درخواستهای HTTP و اصالتسنجی شدن بهعنوان سرور Exchange میکند.
CVE-۲۰۲۱-۲۶۸۵۷ ضعفی از نوع به اصطلاح Deserialization غیرامن در سرویس Unified Messaging است که سوءاستفاده از آن امکان اجرای کد با سطح دسترسی SYSTEM را ممکن میکند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر برای مهیا کردن این الزام است.
CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ هر دو ضعفهایی از نوع Post-authentication Arbitrary File Write در Exchange هستند که در صورت فراهم بودن امکان اصالتسنجی مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم میتواند با بکارگیری از شناسه آسیبپذیری CVE-۲۰۲۱-۲۶۸۵۵ یا هک یک کاربر معتبر به این منظور دست پیدا کند.
بر اساس گزارشی که شرکت مایکروسافت شب گذشته آن را منتشر کرد Hafnium که گروهی منتسب به مهاجمان چینی است در حال اکسپلویت کردن آسیبپذیریهای مذکور هستند.
مطالعه بیشتر: آسیب پذیری جدید و بحرانی در Microsoft Exchange
به گفته مایکروسافت، این مهاجمان پس از دستیابی به سرور آسیبپذیر Microsoft Exchange با نصب Web Shell اقدام به سرقت دادهها، آپلود فایلها و اجرای فرامین دلخواه خود بر روی سیستم هک شده میکنند.
Hafnium با در اختیار گرفتن کنترل حافظه فایل LSASS.exe، اطلاعات اصالتسنجی کَش شده را از طریق Web Shell استخراج میکند.
این مهاجمان در ادامه با ارسال (Export) صندوقهای پستی و دادههای سرقت شده از روی سرور Exchange و آنها را بر روی سرویسهای اشتراک فایل (نظیر MEGA) آپلود میکنند.
در نهایت Hafnium با ایجاد یک ارتباط به اصطلاح Remote Shell Back به سرورهایشان به ماشین و شبکه داخلی سازمان دسترسی پیدا میکنند.
به دلیل حساسیت آسیبپذیریهای مذکور نصب فوری اصلاحیهها توصیه شده است.
راهبران میتوانند با استفاده از اسکریپت Nmap که در مسیر زیر به اشتراک گذاشته شده سرورهای آسیبپذیر Exchange را در شبکه خود شناسایی کنند.
اسکریپت مذکور را میتوان پس از ذخیرهسازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:
nmap –script http-vuln-exchange
بهمحض شناسایی هر سرور آسیبپذیر لازم است که نسبت به بهروزرسانی آن اقدام شود.
علاوه بر امکان دریافت اصلاحیهها از طریق Automatic Updating، امکان دریافت نسخ موسوم به Standalone نیز از طریق لینکهای زیر فراهم است:
Exchange Server ۲۰۱۰ (update requires SP ۳ or any SP ۳ RU – this is a Defense in Depth update)
Exchange Server ۲۰۱۳ (update requires CU ۲۳)
Exchange Server ۲۰۱۶ (update requires CU ۱۹ or CU ۱۸)
Exchange Server ۲۰۱۹ (update requires CU ۸ or CU ۷)
مشروح گزارش مایکروسافت و نشانه های آلودگی آن در لینک زیر قابل دریافت و مطالعه است:
پاسخی بگذارید