هشدارهای افتایی
شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند و لذا اعمال فوری اصلاحیه‌ها توصیه اکید می‌شود.
به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت، سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و توزیع بدافزارهای بیشتر  و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.
لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت 443 اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهره‌جویی از آسیب‌پذیری‌های زیر فراهم می‌شود:
CVE-2021-26855: ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – در Exchange است که سوءاستفاده از آن مهاجم را قادر به ارسال درخواست‌های HTTP و اصالت‌سنجی شدن به‌عنوان سرور Exchange می‌کند.
CVE-2021-26857 ضعفی از نوع به اصطلاح Deserialization غیرامن در سرویس Unified Messaging است که سوءاستفاده از آن امکان اجرای کد با سطح دسترسی SYSTEM را ممکن می‌کند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر برای مهیا کردن این الزام است.
CVE-2021-26858 و CVE-2021-27065 هر دو ضعف‌هایی از نوع Post-authentication Arbitrary File Write در Exchange هستند که در صورت فراهم بودن امکان اصالت‌سنجی مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم می‌تواند با بکارگیری از شناسه آسیب‌پذیری CVE-2021-26855 یا هک یک کاربر معتبر به این منظور دست پیدا کند.
بر اساس گزارشی که شرکت مایکروسافت شب گذشته آن را منتشر کرد Hafnium که گروهی منتسب به مهاجمان چینی است در حال اکسپلویت کردن آسیب‌پذیری‌های مذکور هستند.
به گفته مایکروسافت، این مهاجمان پس از دستیابی به سرور آسیب‌پذیر Microsoft Exchange با نصب Web Shell اقدام به سرقت داده‌ها، آپلود فایل‌ها و اجرای فرامین دلخواه خود بر روی سیستم هک شده می‌کنند.
Hafnium با در اختیار گرفتن کنترل حافظه فایل LSASS.exe، اطلاعات اصالت‌سنجی کَش شده را از طریق Web Shell استخراج می‌کند.
این مهاجمان در ادامه با ارسال (Export) صندوق‌های پستی و داده‌های سرقت شده از روی سرور Exchange و آن‌ها را بر روی سرویس‌های اشتراک فایل (نظیر MEGA) آپلود می‌کنند.
در نهایت Hafnium با ایجاد یک ارتباط به اصطلاح Remote Shell Back به سرورهایشان به ماشین و شبکه داخلی سازمان دسترسی پیدا می‌کنند.
به دلیل حساسیت آسیب‌پذیری‌های مذکور نصب فوری اصلاحیه‌ها توصیه شده است.
راهبران می‌توانند با استفاده از اسکریپت Nmap که در مسیر زیر به اشتراک گذاشته شده سرورهای آسیب‌پذیر Exchange را در شبکه خود شناسایی کنند. اسکریپت مذکور را می‌توان پس از ذخیره‌سازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:
nmap --script http-vuln-exchange

به‌محض شناسایی هر سرور آسیب‌پذیر لازم است که نسبت به به‌روزرسانی آن اقدام شود.
علاوه بر امکان دریافت اصلاحیه‌ها از طریق Automatic Updating، امکان دریافت نسخ موسوم به Standalone نیز از طریق لینک‌های زیر فراهم است:
مشروح گزارش مایکروسافت و نشانه های آلودگی آن در لینک زیر قابل دریافت و مطالعه است:

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.