مایکروسافت وصلههای اضطراری را برای رفع چهار نقص امنیتی فاش نشده در Exchange Server منتشر کرده است، به گفته آنها این نقصها در حال حاضر درحال استفاده توسط یک مهاجم تحت حمایت دولت چین با هدف سرقت دادهها هستند.
Microsoft Threat Intelligence Center (MSTIC) حملات را “محدود و هدفمند” توصیف کرد و گفت که دشمن از این آسیبپذیریها برای دسترسی به سرورهای Exchange داخلی استفاده کرده است و در عوض با دسترسی به حسابهای ایمیل راه را برای نصب یک بدافزار، برای تسهیل دسترسی طولانی مدت به محیط قربانیان هموار کرده است.
این غول فناوری با اطمینان بالا این حمله را به یك مهاجم كه آن را HAFNIUM مینامد (یك هكر با حمایت دولتی كه از خارج از چین فعالیت میكند) نسبت داد، اگرچه احتمال دارد كه گروههای دیگر نیز در این امر مشاركت داشته باشند.
مایکروسافت برای اولین بار با بحث در مورد تاکتیکها، تکنیکها و رویهها (TTP)، HAFNIUM را به عنوان “یک بازیگر بسیار ماهر و پیشرفته” توصیف میکند که عمدتاً واحدهای موجود در ایالات متحده را برای استفاده از اطلاعات حساس از دیگر مجموعههای صنعت جدا میکند، از جمله محققان بیماریهای عفونی، موسسات حقوقی، موسسات آموزش عالی، پیمانکاران دفاعی، اتاق های فکر و سازمانهای غیردولتی.
اعتقاد بر این است که HAFNIUM با استفاده از سرورهای مجازی اجارهای در ایالات متحده، در تلاش است تا حملات خود را مخفی نگه دارد.
این حمله سه مرحلهای شامل دستیابی به یک Exchange Server با رمزهای عبور دزدیده شده یا آسیبپذیریهای کشف نشده و به دنبال آن ایجاد یک Web Shell برای کنترل سرور آسیبپذیر است.
آخرین حلقه در زنجیره حمله استفاده از دسترسی ریموت برای غارت Mailboxهای موجود در شبکه داخلی سازمان و ارسال دادههای جمعآوری شده به سایتهای اشتراک فایل مانند MEGA است.
برای دستیابی به این هدف از چهار آسیبپذیری Zero-Day که توسط محققان Volexity و Dubex کشف شده است به عنوان بخشی از زنجیره حمله استفاده میشود:
- CVE-2021-26855: آسیبپذیری SSRF در Exchange Server
- CVE-2021-26857: یک آسیبپذیری در سرویس Unified Messaging
- CVE-2021-26858: یک آسیبپذیری post-authentication arbitrary file write در Exchange و
- CVE-2021-27065: یک آسیبپذیری post-authentication arbitrary file write در Exchange
اگرچه این آسیبپذیریها بر Microsoft Exchange Server 2013 ،Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 تأثیر میگذارند، اما مایکروسافت اعلام کرد که Exchange Server 2010 را بروز میکند.
از آنجا که حمله اولیه به یک untrusted connection به پورت Exchange Server 443 نیاز دارد، این شرکت خاطرنشان میکند که سازمانها میتوانند با محدود کردن اتصالات نامعتبر یا با استفاده از VPN، سرور Exchange را از دسترسیهای خارجی دور کنند.
مایکروسافت علاوه بر تأکید بر اینکه این آسیبپذیریها به نقض مربوط به SolarWinds مرتبط نبوده است، گفت: آژانسهای دولتی ایالات متحده را در مورد موج جدید حملات مطلع کرده است.
اما این شرکت در مورد تعداد سازمانهایی که به طور موفقیتآمیز مورد هدف قرار گرفتهاند توضیحاتی ارائه نداد.
Volexity با بیان اینکه به نظر میرسد فعالیتهای نفوذ در حدود ۶ ژانویه ۲۰۲۱ آغاز شده است، هشدار داد که تعدادی حمله با استفاده از چندین آسیبپذیری Microsoft Exchange با هدف سرقت ایمیلها و کنترل شبکههای آسیبپذیر کشف کرده است.
کوین بومونت، تحلیلگر ارشد Microsoft Threat Intelligence همچنین یک پلاگین nmap ایجاد کرده است که میتواند برای اسکن شبکه برای سرورهای Microsoft Exchange که احتمالاً آسیبپذیر هستند استفاده شود.
تام برت، معاون شرکت Customer Security مایکروسافت گفت: ما برای آمادهسازی بروزرسانی برای جلوگیری از بهرهبرداری از این آسیبپذیری به سرعت تلاش کردهایم، اما میدانیم که بسیاری از مهاجمهای تحت حمایت دولتها و گروههای جنایتکار سریعاً برای استفاده از هرگونه سیستم وصله نشده دست به کار میشوند. برت همچنین گفت: استفاده سریع از وصلههای امروز بهترین محافظت در برابر این حمله است.
با توجه به شدت نقصهای امنیتی توصیه میشود کاربران مایکروسافت هرچه سریعتر Microsoft Exchange خود را بروزرسانی کنند.
یک نظر