اصلاحیه‌های اضطراری مایکروسافت برای Exchange

شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند و لذا اعمال فوری اصلاحیه‌ها توصیه اکید می‌شود.
به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت، سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و توزیع بدافزارهای بیشتر  و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.
لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت ۴۴۳ اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهره‌جویی از آسیب‌پذیری‌های زیر فراهم می‌شود:
CVE-۲۰۲۱-۲۶۸۵۵: ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – در Exchange است که سوءاستفاده از آن مهاجم را قادر به ارسال درخواست‌های HTTP و اصالت‌سنجی شدن به‌عنوان سرور Exchange می‌کند.
CVE-۲۰۲۱-۲۶۸۵۷ ضعفی از نوع به اصطلاح Deserialization غیرامن در سرویس Unified Messaging است که سوءاستفاده از آن امکان اجرای کد با سطح دسترسی SYSTEM را ممکن می‌کند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر برای مهیا کردن این الزام است.
CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ هر دو ضعف‌هایی از نوع Post-authentication Arbitrary File Write در Exchange هستند که در صورت فراهم بودن امکان اصالت‌سنجی مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم می‌تواند با بکارگیری از شناسه آسیب‌پذیری CVE-۲۰۲۱-۲۶۸۵۵ یا هک یک کاربر معتبر به این منظور دست پیدا کند.
بر اساس گزارشی که شرکت مایکروسافت شب گذشته آن را منتشر کرد Hafnium که گروهی منتسب به مهاجمان چینی است در حال اکسپلویت کردن آسیب‌پذیری‌های مذکور هستند.
به گفته مایکروسافت، این مهاجمان پس از دستیابی به سرور آسیب‌پذیر Microsoft Exchange با نصب Web Shell اقدام به سرقت داده‌ها، آپلود فایل‌ها و اجرای فرامین دلخواه خود بر روی سیستم هک شده می‌کنند.
Hafnium با در اختیار گرفتن کنترل حافظه فایل LSASS.exe، اطلاعات اصالت‌سنجی کَش شده را از طریق Web Shell استخراج می‌کند.
این مهاجمان در ادامه با ارسال (Export) صندوق‌های پستی و داده‌های سرقت شده از روی سرور Exchange و آن‌ها را بر روی سرویس‌های اشتراک فایل (نظیر MEGA) آپلود می‌کنند.
در نهایت Hafnium با ایجاد یک ارتباط به اصطلاح Remote Shell Back به سرورهایشان به ماشین و شبکه داخلی سازمان دسترسی پیدا می‌کنند.
به دلیل حساسیت آسیب‌پذیری‌های مذکور نصب فوری اصلاحیه‌ها توصیه شده است.
راهبران می‌توانند با استفاده از اسکریپت Nmap که در مسیر زیر به اشتراک گذاشته شده سرورهای آسیب‌پذیر Exchange را در شبکه خود شناسایی کنند.

https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

اسکریپت مذکور را می‌توان پس از ذخیره‌سازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:

nmap –script http-vuln-exchange


به‌محض شناسایی هر سرور آسیب‌پذیر لازم است که نسبت به به‌روزرسانی آن اقدام شود.
علاوه بر امکان دریافت اصلاحیه‌ها از طریق Automatic Updating، امکان دریافت نسخ موسوم به Standalone نیز از طریق لینک‌های زیر فراهم است:

Exchange Server ۲۰۱۰ (update requires SP ۳ or any SP ۳ RU – this is a Defense in Depth update)

Exchange Server ۲۰۱۳ (update requires CU ۲۳)

Exchange Server ۲۰۱۶ (update requires CU ۱۹ or CU ۱۸)

Exchange Server ۲۰۱۹ (update requires CU ۸ or CU ۷)


مشروح گزارش مایکروسافت و نشانه های آلودگی آن در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۰۲/hafnium-targeting-exchange-servers/

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.