آسیب پذیری خطرناک در سرویس مایکروسافت - وبلاگ بانیما

به گزارش وبلاگ بانیما، مرکز افتا نسبت به سوءاستفاده گسترده از آسیب پذیری سرویس مایکروسافت Exchange هشدار داد و از سازمان ها خواست سرورهای خود را به روزرسانی نمایند.

هر مهاجم سایبری با استفاده از آسیب پذیری سرویس Microsoft Exchange که پیروز به هک دستگاه یا دستیابی به اطلاعات اصالت سنجی حداقل یکی از کاربران هر سازمانی گردد، امکان در اختیار دریافت کنترل سرور Exchange آن سازمان را خواهد داشت.

این آسیب پذیری که Exchange Control Panel از آن تأثیر می پذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزنگاری منحصربه فرد در زمان نصب محصول ناشی می گردد. بهره جویی (Exploit) از آسیب پذیری مذکور، مهاجم را قادر می سازد تا کد مورد نظر خود را به صورت از راه دور با سطح دسترسی SYSTEM روی سرور اجرا کند.

شرکت مایکروسافت، آسیب پذیری سرویس Microsoft Exchange را با شناسه CVE-2020-0688 ، به عنوان یک آسیب پذیری بسیار خطرناک معرفی نموده است.

هشدارهای سوء استفاده از این آسیب پذیری در ابتدای اسفند 1398 به صورت عمومی منتشر شد و شرکت مایکروسافت نیز اصلاحیه امنیتی مربوط به آن را بلافاصله منتشر کرد.

تمامی نسخه های Exchange که فاقد آخرین به روزرسانی های منتشر شده از سوی مایکروسافت هستند، آسیب پذیر هستند و باید بلافاصله به روزرسانی شوند.

نسخ از رده خارج شده Exchange که پشتیبانی مایکروسافت از آنها به خاتمه رسیده است، نیز نسبت به CVE-2020-0688 آسیب پذیر هستند. اگر چه در توصیه نامه این شرکت صریحاً از آنها نام برده نشده است.

مرکز افتا تاکید نمود: متأسفانه با وجود اطلاع رسانی های متعدد صورت پذیرفته، نشانه هایی از آسیب پذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به طور خلاصه به صورت زیر بوده است:

پویش سرورهای Exchange موجود در بستر اینترنت

کوشش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از طریق Brute-Force)

نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange

ارسال دستوراتی همچون net group domain admins و net group Exchange Trusted Subsystem به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain

بارگذاری سایرفایل های مخرب همچون Mimikatz بصورت یک پاورشل رمز شده

دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد می شوند (از طریق Mimikatz)

نفوذ به شبکه داخلی و سایر سرورهای سازمان

با توجه به موارد بیان شده، مرکز مدیریت راهبردی افتا از تمامی دستگاه ها درخواست می نماید، هر چه سریعتر سرورهای Exchange خود را به روز رسانی و از عدم وجود آلودگی روی این سرورها اطمینان حاصل نمایند.

کارشناسان افتا از همه دستگاه ها درخواست می نمایند تا برای به روزرسانی سرورهای Exchange این سرورها و تمامی فایل های قابل اجرا روی وب سرور را به طور دقیق آنالیز نمایند، این آنالیز بسته به تنظیمات وب سرور شامل فایل هایی با پسوند (aspx,asp,php,ps,ps1 py,…) نیز می گردد.

در گام بعدی ه بویژه در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوط را از شبکه خارج نموده و یک سرور جدید Exchange با استفاده از آخرین نسخه ارائه شده مایکروسافت، راه اندازی کنید.

درصورتی که نیازمند برگرداندن فایل های پشتیبان خود هستید، این نکته را در نظر داشته باشید که آغاز فعالیت مهاجمین دقیقا بعد از انتشار اخبار آسیب پذیری مربوطه بوده است، بنابراین بهتر است که از فایل های پشتیبان سالمِ قبل از 22 بهمن 98 بهره ببرید.

ضروری است تا دستگاه های اجرایی، در مرحله بعد، نام کاربری و رمزعبور تمامی کاربران به خصوص کاربران با دسترسی بالا را، روی سرور و شبکه تغییر دهند و سیاست های سختگیرانه ای مبنی بر انتخاب رمزعبور اتخاذ نمایند.

دو اطلاع رسانی پیشین مرکز مدیریت راهبردی افتا از آسیب پذیری سرویس Microsoft Exchange با امکان دریافت جزییات بیشتر همچون نحوه سوءاستفاده مهاجمین از این آسیب پذیری، در دو لینک https:،،b2n.ir،119824 و https:،،b2n.ir،452674 قابل مشاهده است.