در تاریخ ۲ مارس ، چهار آسیب پذیری حیاتی Microsoft Exchange Server روز- صفر CVE-۲۰۲۱-۲۶۸۵۵ ، CVE-۲۰۲۱-۲۶۸۵۷ ، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ منتشر شد.
این آسیب پذیری ها به مهاجمان اجازه می دهد تا به سرورهای Exchange دسترسی پیدا کنند و به طور بالقوه به مدت طولانی به قربانیان دسترسی پیدا می کنند. در حالی که (MSTIC) کمپین اولیه را با اطمینان بالا به HAFNIUM نسبت می دهد، گروهی که آنها ارزیابی می کنند تحت حمایت دولت و خارج از چین فعالیت و چندین تیم اطلاعاتی تهدید، از جمله MSTIC و واحد ۴۲ ، نیز تهدیدهای متعددی را مشاهده می کنند. مهاجمان اکنون از این آسیب پذیری های روز صفر بهره برداری می کنند. تعداد تخمینی سازمانهای بالقوه در معرض خطر در سراسر جهان دهها هزار است و بسیار مهم اینکه، حداقل دو ماه قبل از در دسترس بودن وصله های امنیتی، از این آسیب پذیری ها به طور فعال استفاده می شده است. در نتیجه، حتی اگر بلافاصله به روزرسانی کنید، ممکن است سرورهای Exchange شما به خطر بیفتد. علاوه بر آن ، بر اساس اطلاعات جمع آوری شده از پلت فرم Palo Alto Networks Expanse ، ما تخمین می زنیم که بیش از ۱۲۵ هزار سرور Exchange آسیب پذیر در جهان باقی مانده باشد.
۱) همه Exchange Server ها را پیدا کرده و مشخص کنید که آیا آنها نیاز به وصله دارند
Exchange Online تحت تأثیر قرار نمی گیرد.
نسخه های آسیب پذیر Exchange Server شامل ۲۰۱۳ ، ۲۰۱۶ و ۲۰۱۹ است. در حالی که Exchange ۲۰۱۰ در برابر همان زنجیره حمله Exchange ۲۰۱۳/۲۰۱۶/۲۰۱۹ آسیب پذیر نیست ، مایکروسافت وصله CVE-۲۰۲۱-۲۶۸۵۷ را برای این نسخه از نرم افزار منتشر کرده است. مایکروسافت اخیراً راهنمایی های اضافی را برای نسخه های قدیمی و پشتیبانی نشده Exchange منتشر کرده است.
مایکروسافت توصیه می کند به روزرسانی ها را در همه سرورهای Exchange نصب کنید. حتی اگر سرورهای Exchange به اینترنت متصل نباشند، در صورت دستیابی به شبکه از طریق روشهای دیگر ، همچنان می توان از آسیب پذیری ها سوء استفاده کرد.
مایکروسافت اطلاعاتی را درباره به روزرسانی نسخه های خاص زیر Exchange Server منتشر کرده است:
Exchange Server ۲۰۱۹ (update requires Cumulative Update (CU) ۸ or CU ۷).
Exchange Server ۲۰۱۶ (update requires CU ۱۹ or CU ۱۸).
Exchange Server ۲۰۱۳ (update requires CU ۲۳).
Exchange Server ۲۰۱۰ (update requires SP ۳ or any SP ۳ RU – this is a Defense in Depth update)
۲) همه سرورهای Exchange را به روزرسانی کرده و ایمن کنید.
به روزرسانی های امنیتی خارج از برنامه (اضطراری) نسخه Exchange Server خود را نصب کنید.
اگر نمی توانید بلافاصله Exchange Server را به روز و یا وصله کنید، راه حل هایی وجود دارد که ممکن است احتمال سوء استفاده مهاجم از Exchange Server را کاهش دهد. این راه حل ها باید موقتی باشد تا زمانی که وصله کامل شود. Cortex XDR که در Exchange Server شما اجرا می شود فعالیت وب را که معمولاً در این حملات استفاده می شود ، شناسایی و از آن جلوگیری می کند.
حمله اولیه نیاز به امکان ایجاد ارتباط غیرمطمئن با پورت ۴۴۳ به Exchange Server دارد. شما می توانید با محدود کردن دسترسی کاربران به سیستم، از سیستم در برابر آن محافظت کنید. تنها با اجازه دسترسی از طریق کاربرانی که قبلاً از طریق VPN احراز هویت کرده اند ، یا با استفاده از فایروال برای محدود کردن دسترسی به میزبانهای خاص یا دامنه های IP ، می تواند به سیستم دسترسی بدهد. استفاده از این موارد فقط در برابر قسمت اولیه حمله محافظت می کند. اگر مهاجمی از قبل به شبکه دسترسی داشته باشد یا بتواند یک Administrator را مجاب کند که یک فایل مخرب را باز کند ، قسمتهای دیگر زنجیره همچنان فعال می شوند.
۳) مشخص کنید که آیا Exchange Server قبلاً به خطر افتاده است یا خیر
این آسیب پذیری ها بیش از یک ماه است که بوده و به طور فعال مورد بهره برداری قرار گرفته اند ، و اولین نشانه های بهره برداری به ۳ ژانویه باز می گردد. هر سازمانی که این نرم افزار آسیب پذیر را اجرا می کند، باید بررسی کند که آیا سرور خود به خطر افتاده است یا نه. وصله سیستم هیچ بدافزاری که قبلاً بر روی سیستم نصب شده است را برطرف نمی کند. بهتر است که فرض کنیم سرورهای Exchange که Outlook Web Access یا Exchange Web Services را در سمت اینترنت هستند آلوده شده اند مگر خلاف آن ثابت شود.
سرویس IIS ، فرایندهای برنامه Exchange ، مانند PowerShell ، Command shells (cmd.exe) و سایر برنامه های اجرا شده در فضای آدرس برنامه ها را بررسی کنید.
مایکروسافت اسکریپت های PowerShell و Nmap را برای بررسی Exchange Server شما برای یافتن نشانه های آلودگی (IOC) منتشر کرده است. آژانس امنیت سایبری و امنیت زیرساخت (CISA) همچنین لیستی از تاکتیک ها ، تکنیک ها و رویه ها (TTP) را منتشر کرده است.
همانطور که در جدول دوره های اقدام ارزیابی سنجش واحد ۴۲ مستند شده است ، TTP های پس از نفوذ که توسط مهاجمان برای حملات Exchange مورد استفاده قرار می گیرند شامل موارد زیر است:
- استفاده از Procdump برای تخلیه حافظه فرآیند LSASS
- استفاده از ۷-Zip برای فشرده سازی داده های سرقت شده
- افزودن Exchange PowerShell به snap-in برای خارج کردن داده های صندوق پستی
- استفاده از Nishang Invoke-PowerShellTcpOneLine برای گرفتن شل معکوس
- دانلود PowerCat از GitHub و سپس استفاده از آن برای باز کردن ارتباط به یک سرور از راه دور
از زمان حملات اولیه ، ما معتقدیم که سایر مهاجمان در تلاشند از آسیب پذیری های Exchange استفاده کنند، اما ممکن است انگیزه ها و اهداف آنها بسیار متفاوت باشد و TTP های آنها نیز ممکن است متفاوت باشد.
۴) اگر احتمال می دهید که در معرض خطر قرار گرفته اید،از یک تیم پاسخگوی حوادث کمک بگیرید
اگر فکر می کنید Exchange Server شما به خطر افتاده است، باید در جهت ایمن سازی آن در برابر آسیب پذیری همانطور که در بالا توضیح داده شد، اقدام کنید. این باعث می شود مهاجمان سیستم را بیشتر به خطر نیندازند. نصب به روزرسانی های امنیتی خارج ازبرنامه (اضطراری) برای نسخه Exchange Server بسیار مهم است، اما این کار هیچ بدافزاری را که از قبل روی سیستم نصب شده، حذف نمی کند و هیچ تهدیدی را که در شبکه وجود دارد برطرف نمی کند.
تأثیر بالقوه این وضعیت به دلیل فعالیت مداوم توصیف شده، آسیب پذیری های به کار رفته در حمله، حیاتی است. در حالی که بهره برداری از این آسیب پذیری ها ممکن است فعالیت های تجاری را متوقف نکند، دسترسی به اطلاعات و سیستم های حساس مطمئناً امکان پذیر است و باید تصور کرد که این اتفاق افتاده است. دسترسی به ایمیل های شرکتی همچنین می تواند منجر به حملات فیشینگ شود.
سایر منابع:
۱. Analyzing Attacks Against Microsoft Exchange Server With China Chopper Webshells
۲. Threat Assessment: Active Exploitation of Four Zero-Day Vulnerabilities in Microsoft Exchange Server
۳. Hunting for the Recent Attacks Targeting Microsoft Exchange
۴. HAFNIUM targeting Exchange Servers with ۰-day exploits
۶. Mass Exploitation of Exchange Server Zero-Day CVEs: What You Need to Know
دیدگاه شما