سازمانها در وصله کردن آسیبپذیری Microsoft Exchange Server که در بهروزرسانیهای ماه فوریهی سال ۲۰۲۰ میلادی مایکروسافت رفع شد و درحالحاضر هدف حملات قرار گرفته است، عقب ماندهاند.
این مسأله که بهخاطر منحصر به فرد نبودن کلیدهای ایجادشده در زمان نصب به وجود میآید، با شناسهی CVE-2020-0688 ردیابی میشود و Microsoft Exchange نسخههای ۲۰۱۰، ۲۰۱۳،۲۰۱۶ و ۲۰۱۹ را تحت تأثیر قرار میدهد. یک مهاجم میتواند از آن برای فریب سرور برای deserialize کردن دادهی مخرب ViewState سوءاستفاده کند.
پژوهشگران امنیتی هشدار دادند که حملاتی که Exchange Serverهای آسیبپذیر را هدف قرار میدهند، رو به افزایش است، اما اولین اسکن این آسیبپذیری چند هفته قبل، پس از آنکه پژوهشگران ZDI جزئیات بیشتری دربارهی آن و نحوهی بهرهبرداری از آن منتشر کنند، مشاهده شد.
هم US-CERT و هم NSA در مورد وجود این آسیبپذیری هشدار دادند و سازمانها را به اعمال هرچه سریعتر وصلههای موجود ترغیب کردند.
بهرهبرداریها Exchange Control Panel را هدف قرار میدهند که مؤلفهای است که بهطور پیشفرض فعال است و مهاجمان را ملزم میکند که بدون در نظر گرفتن سطح امتیازات تنها یک گواهینامهی معتبر واحد در اختیار داشته باشند. چنین گواهینامههایی را از طریق روشهای مختلف بهآسانی میتوان به دست آورد.
بنابراین، با مهاجمانی که بهطور فعال این اشکال را هدف قرار میدهند و با وجود یک بهرهبرداری که به چارچوب Metasploit Rapid7 اضافه شده است، انتظار میرود که سازمانها برای اطمینان از محافظت خود در برابر تهدید، روند وصله کردن را سرعت ببخشند.
بااینحال، Kenna Security اعلام کرد که شرکتها بااینکه میدانند این مسأله میتواند Active Directory آنها را در معرض خطر قرار دهد، اما همچنان در رفع آن بسیار کند عمل میکنند.
Kenna Security بیان میکند که با بررسی نرخ باز و بسته شدن نمونههای آسیبپذیری، مشاهده کرده است که اصلاحات صورت گرفته تا کمتر از ۱۵ درصد پیش رفته است. بهطور عادی با توجه به اینکه بیش از یک ماه از زمان انتشار وصلهها گذشته است، فرآیند وصله کردن باید تا حدود ۵۰ درصد پیش میرفت.
شاید این سرورها مستقیماً در معرض اینترنت نیستند، یا شاید کاربران ECP را غیرفعال کردهاند، یا شاید آنها در یک دامنهی ایمیلی فعالیت میکنند که به اندازهی فیشینگ یا سایر افشاها در معرض دید نیست.
تحقیقات بیشتر نشان داد که از ۲۲۰ هزار سرور Outlook Web Acces در اینترنت، بیشتر آنها نسخههای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ هستند.
پژوهشگران تشخیص دادهاند که حدود سه چهارم از این سرورها آسیبپذیر هستند، درحالیکه یک چهارم باقیمانده بالقوه آسیبپذیر هستند.
با توجه به اینکه بهرهبرداری از این آسیبپذیری همانند دستیابی به گواهینامههای موردنیاز برای آن بسیار ساده است، این شرکت امنیتی سازمانها را تشویق میکند تا در اسرع وقت وصلههای موجود را اعمال کنند و یا حداقل دسترسی به ECP را مسدود کنند. Kenna Security یادآور شد که در بسیاری از سازمانهای مایکروسافت محور، Exchange یک سرویس سازمانی حیاتی است و درنتیجه برای برنامههای ماهانهی وصله محدودیتی ندارد. در حقیقت این آسیب پذیری دسترسی SYSTE سرور در معرض خطر قرار میدهد و Exchange گواهینامهها را به حالت متن ساده در حافظه ذخیره میکند و آن را به یک هدف بسیار جذاب برای مهاجمان تبدیل میکند.
