آنچه که باید در مورد حمله‌ی سایبری علیه Exchange مایکروسافت بدانید!

پس از انتشار وصله‌های خارج از موعد مایکروسافت برای رفع چندین آسیب‌پذیری روز صفرم (CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065) در نسخه‌های درون سازمانی محصول Exchange Server، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) نیز چند دستورالعمل‌ اضطراری را در مورد بهره‌برداری فعال از این آسیب‌پذیری‌ها منتشر کرده است.

هفته‌ی گذشته، مایکروسافت در مورد حملات فعال با بهره‌برداری از آسیب‌پذیری‌های موجود در سرورهای محصول Exchange خود هشدار داد. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها باعث می‌شود تا مهاجمان بتوانند در محیط‌های هدف به سرورهای Exchange Server نفوذ کنند و با هدف تسهیل دسترسی طولانی مدت به این سرورها، درب‌های پشتی غیرمجاز مبتنی بر وب را بر روی سیستم قربانی نصب کنند.

مهم‌ترین این آسیب‌پذیری‌ها که با شناسه CVE-2021-26855 ردیابی می‌شود، ProxyLogon نام دارد و به مهاجم اجازه می‌دهد تا احراز هویت را در یک Exchange Server درون سازمانی دور بزند. پس از دور زدن پروسه‌ی احراز هویت، بهره‌برداری از آسیب‌پذیری‌های CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065، دسترسی از راه دور به سیستم هدف را برای مهاجم امکان‌پذیر می‌کند.

دستورالعمل‌های آژانس CISA پس از آن منتشر شد که مایکروسافت اعلام کرد یک گروه تهدید در چین به نام HAFNIUM این آسیب‌پذیری‌ها را برای سرقت اطلاعات حساس از اهداف انتخابی مورد بهره‌برداری قرار داده است. علاوه بر این، شرکت امنیت سایبری ESET نیز اعلام کرده که شواهدی از بهره‌برداری فعال از اشکال CVE-2021-26855 در دنیای واقعی توسط چندین گروه جاسوسی سایبری از جمله LuckyMouse، Tick و Calypso وجود دارد. مهاجمان با بهره‌برداری از این آسیب‌پذیری‌ها ده‌ها هزار شرکت تجاری و نهاد دولتی را در‌‌ ایالات متحده، اروپا، آسیا و خاورمیانه هدف قرار داده‌اند. همچنین، محققان Huntress Labs با هشدار در مورد بهره‌برداری گسترده از آسیب‌پذیری‌های موجود در سرورهای Exchange، اعلام کردند که بیش از ۳۵۰ وب شِل در تقریباً ۲ هزار سرور آسیب‌پذیر شناسایی شده است.

۴ اشکال امنیتی مورد بحث در تاریخ ۲ ماه مارس توسط مایکروسافت وصله شدند. این واقعیت که مایکروسافت Exchange Server 2010 را نیز وصله کرده است، نشان می‌دهد که این آسیب‌پذیری‌ها برای بیش از ده سال در کد این محصول وجود داشته‌اند. هنوز مشخص نیست که آیا هیچ سازمان دولتی ایالات متحده در این کمپین نقض شده است یا خیر، اما دستورالعمل‌های CISA بر فوریت رفع این تهدید تأکید می‌کنند. این آژانس به شدت به سازمان‌ها توصیه می‌کند که هرچه سریع‌تر وصله‌ها را اعمال کرده و یا محصول آسیب‌پذیر را از شبکه جدا کنند؛ چون احتمال بهره‌برداری گسترده از این آسیب‌پذیری‌ها پس از افشای عمومی آنها وجود دارد.

منبع

پست‌های مشابه

Leave a Comment