سازمان‌ها در وصله کردن آسیب‌پذیری Microsoft Exchange که هدف قرار گرفته است، کند عمل می‌کنند

سازمان‌ها در وصله کردن آسیب‌پذیری Microsoft Exchange Server که در به‌روزرسانی‌های ماه فوریه‌ی سال ۲۰۲۰ میلادی مایکروسافت رفع شد و درحال‌حاضر هدف حملات قرار گرفته است، عقب مانده‌اند.

این مسأله که به‌خاطر منحصر به فرد نبودن کلیدهای ایجادشده در زمان نصب به وجود می‌آید، با شناسه‌ی CVE-2020-0688 ردیابی می‌شود و Microsoft Exchange نسخه‌های ۲۰۱۰، ۲۰۱۳،۲۰۱۶ و ۲۰۱۹ را تحت تأثیر قرار می‌دهد. یک مهاجم می‌تواند از آن برای فریب سرور برای deserialize کردن داده‌ی مخرب ViewState سوءاستفاده کند.

پژوهش‌گران امنیتی هشدار دادند که حملاتی که Exchange Serverهای آسیب‌پذیر را هدف قرار می‌دهند، رو به افزایش است، اما اولین اسکن این آسیب‌پذیری چند هفته قبل، پس از آن‌که پژوهش‌گران ZDI جزئیات بیشتری درباره‌ی آن و نحوه‌ی بهره‌برداری از آن منتشر کنند، مشاهده شد.

هم US-CERT و هم NSA در مورد وجود این آسیب‌پذیری هشدار دادند و سازمان‌ها را به اعمال هرچه سریع‌تر وصله‌های موجود ترغیب کردند.

بهره‌برداری‌ها Exchange Control Panel را هدف قرار می‌دهند که مؤلفه‌ای است که به‌طور پیش‌فرض فعال است و مهاجمان را ملزم می‌کند که بدون در نظر گرفتن سطح امتیازات تنها یک گواهی‌نامه‌ی معتبر واحد در اختیار داشته باشند. چنین گواهی‌نامه‌هایی را از طریق روش‌های مختلف به‌آسانی می‌توان به دست آورد.

بنابراین، با مهاجمانی که به‌طور فعال این اشکال را هدف قرار می‌دهند و با وجود یک بهره‌برداری که به چارچوب Metasploit Rapid7 اضافه شده است، انتظار می‌رود که سازمان‌ها برای اطمینان از محافظت خود در برابر تهدید، روند وصله کردن را سرعت ببخشند.

بااین‌حال، Kenna Security اعلام کرد که شرکت‌ها بااین‌که می‌دانند این مسأله می‌تواند Active Directory آن‌ها را در معرض خطر قرار دهد، اما همچنان در رفع آن بسیار کند عمل می‌کنند.

Kenna Security بیان می‌کند که با بررسی نرخ باز و بسته شدن نمونه‌های آسیب‌پذیری، مشاهده کرده است که اصلاحات صورت گرفته تا کمتر از ۱۵ درصد پیش رفته است. به‌طور عادی با توجه به این‌که بیش از یک ماه از زمان انتشار وصله‌ها گذشته است، فرآیند وصله کردن باید تا حدود ۵۰ درصد پیش می‌رفت.

شاید این سرورها مستقیماً در معرض اینترنت نیستند، یا شاید کاربران ECP را غیرفعال کرده‌اند، یا شاید آن‌ها در یک دامنه‌ی ایمیلی فعالیت می‌کنند که به اندازه‌ی فیشینگ یا سایر افشاها در معرض دید نیست.

تحقیقات بیشتر نشان داد که از ۲۲۰ هزار سرور Outlook Web Acces در اینترنت، بیشتر آن‌ها نسخه‌های ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ هستند.

پژوهش‌گران تشخیص داده‌اند که حدود سه چهارم از این سرورها آسیب‌پذیر هستند، درحالی‌که یک چهارم باقیمانده بالقوه آسیب‌پذیر هستند.

با توجه به این‌که بهره‌برداری از این آسیب‌پذیری همانند دست‌یابی به گواهی‌نامه‌های موردنیاز برای آن بسیار ساده است، این شرکت امنیتی سازمان‌ها را تشویق می‌کند تا در اسرع وقت وصله‌های موجود را اعمال کنند و یا حداقل دسترسی به ECP را مسدود کنند. Kenna Security یادآور شد که در بسیاری از سازمان‌های مایکروسافت محور، Exchange یک سرویس سازمانی حیاتی است و درنتیجه برای برنامه‌های ماهانه‌ی وصله محدودیتی ندارد. در حقیقت این آسیب پذیری دسترسی SYSTE سرور در معرض خطر قرار می‌دهد و Exchange گواهی‌نامه‌ها را به حالت متن ساده در حافظه ذخیره می‌کند و آن را به یک هدف بسیار جذاب برای مهاجمان تبدیل می‌کند.

منبع

Related posts

Leave a Comment

یک × چهار =