Microsoft Exchange

مایکروسافت وصله‌های اضطراری را برای رفع چهار نقص امنیتی فاش شده در Exchange Server منتشر کرده است[۱] که به گفته آن‌ها یک عامل جدید تهدید با حمایت مالی دولت چین با هدف سرقت داده‌هاست که به‌طور فعال مورد بهره‌برداری قرار گرفته است.

Microsoft Threat Intelligence Center (MSTIC) که این حملات را “محدود و هدفمند” توصیف می‌کند دراین‌باره گفت که دشمن از این آسیب‌پذیری‌ها برای دسترسی به سرورهای Exchange داخلی استفاده کرده و در عوض دسترسی به‌ حساب‌های ایمیل را فراهم کرده و راه را برای نصب دژافزار اضافی به‌منظور دسترسی طولانی‌مدت به سیستم قربانیان تسهیل می‌کند.

این غول فناوری در درجه اول این کمپین حمله را به فردی نسبت می‌دهد که آن را HAFNIUM می‌نامد که یک هکر حامی دولت است که در خارج از چین فعالیت می‌کند، هرچند که احتمال دارد گروه‌های دیگری نیز در آن دخیل باشند.

مایکروسافت برای اولین بار در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌های این گروه بحث می‌کند و HAFNIUM را به‌عنوان “یک هکر بسیار ماهر و پیشرفته” توصیف می‌کند که عمدتاً سازمان‌های خاصی در ایالات‌متحده را برای استفاده از اطلاعات حساسشان از بین دیگر بخش‌های صنعتی گلچین می‌کند، ازجمله محققان بیماری‌های عفونی، مؤسسات حقوقی، مؤسسات آموزش عالی، پیمانکاران دفاعی، اتاق‌های فکر و سازمان‌های غیردولتی.

اعتقاد بر این است که HAFNIUM با استفاده از سرورهای خصوصی مجازی اجاره‌ای در ایالات‌متحده، حملات خود را برای تلاش برای مخفی کردن فعالیت‌های مخرب خود ترتیب می‌دهد.

این حمله سه مرحله‌ای شامل دستیابی به Exchange Server یا با رمزهای عبور دزدیده‌شده  یا با استفاده از آسیب‌پذیری‌های قبلاً کشف نشده و به دنبال آن ایجاد یک پوسته وب(۱) برای کنترل سرور آسیب‌دیده از راه دور است. آخرین حلقه در زنجیره حمله استفاده از دسترسی از راه دور برای غارت صندوق‌های پستی از شبکه یک سازمان و صادر کردن داده‌های جمع‌آوری‌شده به سایت‌های اشتراک فایل مانند MEGA است.

برای رسیدن به این هدف، از چهار آسیب‌پذیری روز صفر[۲] که توسط محققان Volexity و Dubex کشف‌شده است به‌عنوان بخشی از زنجیره حمله استفاده می‌شود:

CVE-2021-26855: یک آسیب‌پذیری[۳] جعل درخواست در سمت سرور (SSRF) در Exchange Server

CVE-2021-26857: یک آسیب‌پذیر[۴] غیر امن deserialization در سرویس Unified Messaging

CVE-2021-26858: یک آسیب‌پذیری[۵] نوشتن فایل دلخواه post-authentication در Exchange و

CVE-2021-27065: یک آسیب‌پذیری[۶] نوشتن فایل دلخواه post-authentication در Exchange

اگرچه این آسیب‌پذیری‌ها رویMicrosoft Exchange Server 2013 ، Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 تأثیر می‌گذارند، اما مایکروسافت اعلام کرد که Exchange Server 2010 را برای اهداف “دفاع در عمق(۲)” به‌روز می‌کند.

Microsoft Exchange

علاوه بر این، ازآنجاکه حمله اولیه به اتصال غیرقابل‌اعتماد به پورت Exchange server 443 نیاز دارد، این شرکت خاطرنشان می‌کند که سازمان‌ها می‌توانند با محدود کردن اتصالات غیرقابل‌اعتماد یا با استفاده از VPN، سرور Exchange را از دسترسی خارجی جدا کنند.

مایکروسافت، علاوه بر تأکید بر اینکه این بهره‌برداری‌ها به رخنه‌ی مربوط به SolarWinds مرتبط نبود، گفت که آژانس‌های دولتی ایالات‌متحده را در مورد موج جدید حملات توجیه کرده است. اما این شرکت در مورد تعداد سازمان‌هایی که مورد هدف قرار گرفته و موفقیت در حملات توضیحاتی نداد.

Volexity با بیان اینکه به نظر می‌رسید فعالیت‌های نفوذ در حدود ۶ ژانویه ۲۰۲۱ آغاز شده است، هشدار داد که بهره‌برداری فعال در سطح اینترنت از چندین آسیب‌پذیری Microsoft Exchange را که برای سرقت ایمیل‌ها و شبکه‌های در معرض خطر استفاده می‌شود، شناسایی کرده است.

محققان Volexity، جوش گرونزویگ، متیو ملتزر، شان کوسل، استیون آدیر و توماس لنکستر، در این مورد توضیح دادند[۷]: “ازنظر Volexity، به نظر می‌رسد که این بهره‌برداری شامل اپراتورهای مختلفی است که از طیف گسترده‌ای از ابزارها و روش‌ها برای تخلیه اعتبار، حرکت جانبی و سیستم‌های درب پشتی استفاده می‌کنند.”

جدا از وصله‌ها، تحلیلگر ارشد Microsoft Threat Intelligence Analyst، کوین بومونت همچنین یک پلاگین nmap ایجاد کرده است[۸] که می‌تواند برای اسکن شبکه برای سرورهای Microsoft Exchange که احتمالاً آسیب‌پذیر هستند، استفاده شود.

با توجه به‌شدت نقص‌ها، تعجب‌آور نیست که وصله‌ها یک هفته زودتر از برنامه سه‌شنبه‌های هر ماه این شرکت که معمولاً برای سه‌شنبه دوم هر ماه منتشر می‌شوند، منتشرشده‌اند. به مشتریانی که از نسخه آسیب‌پذیر Exchange Server استفاده می‌کنند، توصیه می‌شود برای خنثی کردن این حملات، سریعاً به‌روزرسانی‌ها را نصب کنند.

تام برت، معاون امنیتی شرکت مشتری مایکروسافت، گفت[۹]: “حتی اگر ما برای استقرار به‌روزرسانی برای بهره‌برداری از HAFNIUM به‌سرعت تلاش کرده‌ایم، اما ما می‌دانیم که بسیاری از هکرهای تحت حمایت دولت‌های ملی و گروه‌های جنایتکار به‌سرعت برای سوءاستفاده از هرگونه سیستم وصله نشده حرکت می‌کنند. به همین خاطر استفاده سریع از وصله‌های منتشرشده بهترین محافظت در برابر این حمله است.”

 

منابع

[۱] https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server

[۲] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers

[۳] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855

[۴] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857

[۵] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858

[۶] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065

[۷] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

[۸] https://twitter.com/GossiTheDog/status/1366858907671552005

[۹] https://blogs.microsoft.com/on-the-issues/2021/03/02/new-nation-state-cyberattacks

[۱۰] https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html


(۱) web shell
(۲) Defense in Depth