بلاگ
هشدار به کاربران Exchange در خصوص ProxyShell
هشدار به کاربران Exchange در خصوص ProxyShell

بررسی‌ها نشان می‌دهد که مهاجمان در حال پویش سرورهای Exchange آسیب‌پذیر به ProxyShell هستند.
به گزارش مرکز مدیریت راهبردی افتا، این پویش‌ها در حالی انجام می‌شود که برخی جزئیات فنی آسیب‌پذیری‌های ProxyShell در جریان کنفرانس Black Hat ارائه شد.

ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:

  •     CVE-۲۰۲۱-۳۴۴۷۳ – که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد. 
  •     CVE-۲۰۲۱-۳۴۵۲۳ – که ضعفی از نوع Elevation of Privilege است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد. 
  •      CVE-۲۰۲۱-۳۱۲۰۷ – ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد.

زنجیره آسیب‌پذیری‌‌های ProxyShell، از راه دور و از طریق Client Access Service (به‌اختصار CAS) در Microsoft Exchange بدون نیاز به هرگونه احرازهویت بر روی پورت ۴۴۳ در IIS صورت می‌گیرد. پس از اکسپلویت آسیب‌پذیری، مهاجم دسترسی اجرای کد از راه دور را بر روی Microsoft Exchange بدست‌می‌آورد.
محقق کاشف ProxyShell، در ۱۴ مرداد و در جریان کنفرانس Black Hat اقدام به ارائه اطلاعاتی در مورد نحوه کشف آن کرد. در بخشی از این ارائه، اشاره شد که هدف یکی از مولفه‌های زنجیره حمله ProxyShell، سرویس Autodiscover در Exchange است. Autodiscover سازوکاری است که از سوی مایکروسافت به‌منظور تسهیل پیکربندی خودکار نرم‌افزارهای مدیریت ایمیل با حداقل دخالت کاربر معرفی شده است.
پس از این سخنرانی، دو محقق دیگر با انتشار مقاله فنی زیر، به معرفی روش‌هایی برای اکسپلویت ProxyShell پرداختند:

https://peterjson.medium.com/reproducing-the-proxyshell-pwn۲own-exploit-۴۹۷۴۳a۴ea۹a۱

پیش‌تر نیز برخی کارشناسان گزارش کرده بودند که مهاجمان با روش‌هایی در تلاش هستند تا با سوءاستفاده از Autodiscover، سرورهای آسیب‌پذیر به ProxyShell را شناسایی کنند. درحالی‌که تلاش‌های اولیه مهاجمان موفق نبود، به نظر می‌رسد با انتشار جزئیات فنی بیشتر در روزهای گذشته، اکنون مهاجمان با الگوهایی جدید در حال کشف سرورهای آسیب‌پذیر هستند
سرورهای Exchange در بسیاری مواقع هدف مهاجمان با انگیزه‌های مختلف قرار داشته‌اند. از جمله می‌توان به اجرای حملات سایبری و انتشار چندین بدافزار مخرب از طریق سوءاستفاده از آسیب‌پذیری ProxyLogon در این سرورها اشاره کرد.
نظر به وصله شدن ضعف‌های امنیتی ProxyShell از سوی مایکروسافت و باتوجه ‌به تلاش مهاجمان در شناسایی سرورهای آسیب‌پذیر، کارشناسان امنیتی مرکز مدیریت راهبردی افتا به کلیه راهبران Exchange توصیه کرده‌اند که دراسرع‌وقت نسبت به نصب آخرین به‌روزرسانی‌های Cumulative Update اقدام کنند.
اسلایدهای ارائه شده در خصوص ProxyShell در کنفرانس Black Hat نیز در لینک زیر قابل دریافت است:

https://www.blackhat.com/us-۲۱/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-۲۳۴۴۲

منبع:

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.

دسته‌ها
نوشته‌های تازه
آخرین دیدگاه‌ها