اکسچنج 0 روزه مایکروسافت با شدت بالا، 220000 سرور را تهدید می کند


کلمه ZERO-DAY در میان یک صفحه پر از یک و صفر پنهان است.

مایکروسافت اواخر پنجشنبه وجود دو آسیب‌پذیری حیاتی را در برنامه Exchange خود تأیید کرد که قبلاً چندین سرور را در معرض خطر قرار داده‌اند و خطری جدی برای حدود 220000 سرور دیگر در سراسر جهان ایجاد می‌کنند.

نقص‌های امنیتی وصله‌نشده کنونی از اوایل آگوست، زمانی که شرکت امنیتی ویتنام GTSC متوجه شد شبکه‌های مشتریان به پوسته‌های وب مخرب آلوده شده‌اند و نقطه ورود اولیه نوعی آسیب‌پذیری Exchange است، تحت بهره‌برداری فعال قرار گرفته‌اند. این اکسپلویت اسرارآمیز تقریباً شبیه به یک Exchange zero-day از سال 2021 به نام ProxyShell بود، اما سرورهای مشتریان همه در برابر این آسیب‌پذیری وصله شده بودند که به عنوان CVE-2021-34473 ردیابی می‌شود. در نهایت، محققان دریافتند که هکرهای ناشناخته از یک آسیب پذیری جدید Exchange سوء استفاده می کنند.

پوسته های وب، درهای پشتی و سایت های جعلی

محققان در پستی که روز چهارشنبه منتشر شد، نوشتند: “پس از تسلط موفقیت آمیز بر این اکسپلویت، ما حملاتی را برای جمع آوری اطلاعات و ایجاد جای پایی در سیستم قربانی ضبط کردیم.” تیم حمله همچنین از تکنیک‌های مختلفی برای ایجاد درب‌های پشتی روی سیستم آسیب‌دیده و انجام حرکات جانبی به سرورهای دیگر در سیستم استفاده کرد.

عصر پنجشنبه، مایکروسافت تایید کرد که آسیب‌پذیری‌ها جدید هستند و گفت که در حال تلاش برای توسعه و انتشار یک پچ است. آسیب‌پذیری‌های جدید عبارتند از: CVE-2022-41040، یک آسیب‌پذیری جعل درخواست سمت سرور، و CVE-2022-41082، که امکان اجرای کد از راه دور را در زمانی که PowerShell در دسترس مهاجم باشد، می‌دهد.

اعضای تیم مرکز پاسخگویی امنیتی مایکروسافت نوشت: «در حال حاضر، مایکروسافت از حملات هدفمند محدودی که از این دو آسیب‌پذیری برای ورود به سیستم‌های کاربران استفاده می‌کنند آگاه است. “در این حملات، CVE-2022-41040 می تواند یک مهاجم احراز هویت شده را فعال کند تا از راه دور CVE-2022-41082 را راه اندازی کند.” اعضای تیم تاکید کردند که حملات موفقیت آمیز به اعتبارنامه های معتبر حداقل برای یک کاربر ایمیل روی سرور نیاز دارند.

این آسیب پذیری بر سرورهای Exchange داخلی و به عبارت دقیق تر، سرویس Exchange میزبانی شده مایکروسافت تأثیر می گذارد. نکته بزرگ این است که بسیاری از سازمان‌ها که از پیشنهاد ابری مایکروسافت استفاده می‌کنند، گزینه‌ای را انتخاب می‌کنند که از ترکیبی از سخت‌افزار داخلی و ابری استفاده می‌کند. این محیط های ترکیبی به اندازه محیط های مستقل داخلی آسیب پذیر هستند.

جستجو در Shodan نشان می دهد که در حال حاضر بیش از 200000 سرور Exchange در محل در معرض اینترنت و بیش از 1000 پیکربندی ترکیبی وجود دارد.

پست روز چهارشنبه GTSC می‌گوید مهاجمان از روز صفر برای آلوده کردن سرورها با پوسته‌های وب، یک رابط متنی که به آنها اجازه می‌دهد دستورات صادر کنند، سوء استفاده می‌کنند. این پوسته‌های وب حاوی نویسه‌های چینی ساده‌سازی شده‌اند، که باعث می‌شود محققان حدس بزنند هکرها به زبان چینی مسلط هستند. فرمان‌های صادر شده همچنین دارای امضای China Chopper است، پوسته‌ای که معمولاً توسط عوامل تهدید چینی زبان، از جمله چندین گروه تهدید دائمی پیشرفته که توسط جمهوری خلق چین حمایت می‌شوند، استفاده می‌شود.

GTSC ادامه داد که بدافزاری که عوامل تهدید در نهایت نصب می‌کنند از سرویس وب Exchange مایکروسافت تقلید می‌کنند. همچنین به آدرس IP 137 متصل می شود[.]184[.]67[.]33 که در باینری هاردکد شده است. محقق مستقل کوین بومونت گفت این آدرس میزبان یک وب سایت جعلی با تنها یک کاربر با یک دقیقه زمان ورود است و فقط از ماه اوت فعال بوده است.

کوین بومونت

سپس بدافزار داده‌هایی را ارسال و دریافت می‌کند که با یک کلید رمزگذاری RC4 که در زمان اجرا تولید می‌شود، رمزگذاری شده‌اند. Beaumont ادامه داد که به نظر می رسد بدافزار backdoor جدید است، به این معنی که این اولین بار است که در طبیعت استفاده می شود.

افرادی که سرورهای Exchange را در محل کار می کنند باید فوراً اقدام کنند. به طور خاص، آنها باید یک قانون مسدود کردن را اعمال کنند که از پذیرش الگوهای حمله شناخته شده توسط سرورها جلوگیری کند. این قانون را می توان با رفتن به “IIS Manager -> Default Web Site -> URL Rewrite -> Actions” اعمال کرد. در حال حاضر، مایکروسافت همچنین به افراد توصیه می کند که پورت HTTP 5985 و HTTPS 5986 را مسدود کنند، که مهاجمان برای سوء استفاده از CVE-2022-41082 نیاز دارند.

مشاوره مایکروسافت حاوی مجموعه ای از پیشنهادات دیگر برای شناسایی عفونت ها و جلوگیری از سوء استفاده ها تا زمانی که یک وصله در دسترس باشد.