نفوذگران به دنبال سرورهای Exchange مایکروسافت هستند که تحت تأثیر آسیب‌پذیری اخیر قرار گرفته‌اند

نفوذگران به دنبال یافتن نمونه‌هایی از سرور Exchange مایکروسافت در اینترنت هستند که تحت تأثیر یک آسیب‌پذیری اجرای کد از راه دور وصله‌شده در اوایل ماه جاری قرار گرفته‌اند.

این آسیب‌پذیری امنیتی که با شناسه‌ي CVE-2020-0688 ردیابی می‌شود، زمانی به وجود می‌آید که سرور نتواند به‌درستی کلیدهای رمزنگاری منحصر به فردی در زمان نصب ایجاد کند.

پژوهش‌گران امنیتی ZDI تشریح کردند که این مسأله در مؤلفه‌ی Exchange Control Panel وجود دارد و شامل نصب Exchange Server می‌شود که به جای استفاده از کلیدهای تولیدشده به‌طور تصادفی، همان مقادیر validationKey و decryptionKey را در web.config دارند.

این کلیدها برای تأمین امنیت ViewState استفاده می‌شوند. ViewState داده‌ی سمت سروری است که برنامه‌های تحت وب ASP.NET در سمت کلاینت ذخیره می‌کنند.

استفاده از کلیدهای ثابت به یک مهاجم احراز هویت‌شده اجازه می‌دهد که سرور را فریب دهد تا داده‌ی ViewState مخرب را deserializ کند. سپس مهاجم می‌تواند از YSoSerial.net برای اجرای کد .NET دلخواه در سرور با امتیازهای SYSTEM استفاده کند.

مایکروسافت بیان می‌کند که داشتن کلید اعتبارسنجی به یک کاربر احراز هویت‌شده با یک صندوق پستی اجازه می‌دهد تا اشیای دلخواه را برای deserialize شدن توسط برنامه‌ی تحت وب که به عنوان SYSTEM اجرا می‌شود، ارسال کند.

مایکروسافت در وصله‌ی روز سه‌شنبه‌ی ماه فوریه وصله‌هایی برای این آسیب‌پذیری منتشر کرد، اما مجرمان سایبری همچنان به دنبال یافتن سیستم‌های آسیب‌پذیر هستند.

این اقدام نفوذگران تنها چند روز پس از آن‌که ZDI جزئیات مربوط به نحوه‌ی سوءاستفاده از CVE-2020-0688 را منتشر کرد، مشاهده شد.

یکی از پژوهش‌گران این آسیب‌پذیری را در مورد شرکت‌هایی که سرورهای Exchange را در معرض اینترنت قرار می‌دهند، بحرانی ارزیابی کرده و اعلام کرده است که نفوذگران به‌طور گسترده به دنبال یافتن سرورهای Exchage هستند که تحت تأثیر این آسیب‌پذیری قرار گرفته‌اند.

وی همچنین خاطرنشان کرد که مهاجمان می‌توانند به‌راحتی حملاتی را انجام دهند که از این آسیب‌پذیری بهره‌برداری می‌کند، زیرا احراز هویت برای سرورهای هدف مانع بزرگی نیست و این به‌خاطر وجود ابزارهایی برای گرفتن اطلاعات کارکنان از لینکدین و استفاده از ان برای هدف قرار دادن Outlook Web Access است.

ZDI همچنین بیان می‌کند که به دلیل این‌که هر کاربر در یک سازمان یا شرکت می‌تواند در سرور Exchange احراز هویت کند، یک مهاجم باید گواهی‌نامه‌هی یک کاربر را در معرض خطر قرار دهد تا خود را احراز هویت کند و از این آسیب‌پذیری بهره‌برداری کند.

مایکروسافت این آسیب‌پذیری را با ایندکس بهره‌برداری ۱ فهرست می‌کند، به این معنا که انتظار دارد در مدت ۳۰ روز پس از انتشار وصله بهره‌برداری‌هایی را مشاهده کند.

مایکروسافت وصله‌هایی برای سرور Exchange  نسخه‌ی ۲۰۱۰، ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ منتشر کرده است، اما سرور Exchange نسخه‌ی ۲۰۰۷ که عمر آن به پایان رسیده، ممکن است تحت تأثیر قرار گرفته باشد.

به سازمان‌ها توصیه می‌شود که وصله‌های موجود را هر چه سریع‌تر اعمال کنند و یا در صورت لزوم به یک نسخه‌ی پشتیبانی‌شده‌ی سرور Exchange به‌روزرسانی کنند.

منبع