آژانسهای اطلاعاتی و محققان امنیت سایبری هشدار داده بودند که سرورهای Exchange وصله نشده میتوانند مسیر باجافزارها را در پی تشدید سریع حملات باز کنند.
بر اساس آخرین گزارشها مهاجمها از نقاط ضعف در ProxyLogon Exchange Server برای نصب یک باجافزار جدید به نام “DearCry” استفاده میکنند.
فیلیپ میسنر محقق مایکروسافت در توئیتر خود نوشت: مایکروسافت خانواده جدیدی از باجافزار را که توسط انسان کنترل میشود مشاهده کرد که با عنوان Ransom:Win32/DoejoCrypt.A شناسایی شد. حملات باجافزار از نقاط ضعف Microsoft Exchange برای سوءاستفاده از مشتریان بهره میبرد.
در اطلاعیه مشترک منتشر شده توسط آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) و اداره تحقیقات فدرال (FBI)، این سازمانها هشدار دادند که دشمنان میتوانند از این آسیبپذیریها برای به خطر انداختن شبکهها، سرقت اطلاعات، رمزگذاری دادهها برای باج یا حتی استفاده از آنها برای حملات تخریبی اقدام کنند.
استفاده موفقیتآمیز این معایب به مهاجم اجازه میدهد تا به سرورهای Exchange قربانیان دسترسی پیدا کند و آنها را قادر میسازد تا به سیستم دسترسی مداوم داشته و کنترل یک شبکه سازمانی را بدست آورند.
با تهدید جدید باجافزاری، سرورهای وصله نشده نه تنها در معرض خطر سرقت دادهها هستند، بلکه دادههای آنها رمزگذاری میشوند و از دسترسی به صندوقهای پستی سازمان جلوگیری میکنند.
همچنین PoCهایی که در این مورد در GitHub و سایر وبسایتها منتشر شده بود حذف و یا نمایش آنها موقتا غیرفعال شده است.
دیو کندی از TrustedSec گفت: این یک PoC بود، نه یک اکسپلویت فعال، هیچ یک از PoCها RCE نداشتهاند.
این مورد را Tavis Normandy، محقق Google Project Zero نیز تکرار کرد.
مشاهده سیل حملات باید هشداری برای وصله هر چه سریعتر نسخههای Exchange Server باشد، با این حال قبل از انتشار وصلهها توسط مایکروسافت، حداقل دو ماه بود که از این نقصها استفاده میشد.
هنوز جزئیات بیشتری در این مورد در دسترس نیست و همچنین تا این زمان مایکروسافت در این باره واکنشی نشان نداده است.
یک نظر