مهاجمان بهطور فعال اسکنهای فرصت طلبانه[۱] و بهرهبرداری[۲] از سرورهای Exchange را با استفاده از یک زنجیره بهرهبرداری جدید با سوءاستفاده از سه نقص که بر نصبهای در محل(۱) تأثیر میگذارد، انجام میدهند و آنها را تبدیل به آخرین مجموعه اشکالات پس از بهرهبرداری گسترده از آسیبپذیریهای ProxyLogon در آغاز سال میکنند.
اشکالات اجرای کد از راه دور بهطور جمعی “ProxyShell” نامیده شدهاند. بر اساس اسکن Shodan که توسط Jan Kopriva از SANS Internet Storm Center انجامشده، حداقل ۳۰ هزار دستگاه تحت تأثیر این آسیبپذیریها قرار دارند[۳].
Richard Warren از گروه NCC در توییتر خود با اشاره به اینکه یکی از نفوذها منجر به استقرار یکC# aspx webshell در /aspnet_client/directory شده است، در توییتی نوشت[۴]: “شروع به مشاهدهی تلاش در سطح اینترنت برای بهرهبرداری از زیرساختهای honeypot ما برای آسیبپذیریهای Exchange ProxyShell کرده است.”
ProxyLogon که در اوایل مارس ۲۰۲۱ وصله شده است[۵] و به نام CVE-2021-26855 است، یک آسیبپذیری جعلی درخواست سمت سرور در Exchange Server بوده که به مهاجم اجازه میدهد سرور آسیبپذیر را بهعنوان مدیر کنترل کند و میتواند با آسیبپذیری نوشتن فایل دلخواه از نوع post-authentication با نام CVE-2021-27065 زنجیر شود تا منجر به اجرای کد شود.
این آسیبپذیریها پس از افشاسازی مایکروسافت[۶] از یک عملیات هک تحت حمایت دولت پکن که ضعفهایی را برای ضربه زدن به نهادها در ایالاتمتحده بهمنظور افشای اطلاعات در آنچه این شرکت حملات محدود و هدفمند توصیف کرد، افشا شد.
از آن زمان به بعد، مایکروسافت شش نقص دیگر در اجزای سرور ایمیل خود برطرف کرده است که دو مورد از آنها ProxyOracle نامیده میشوند[۷] و به دشمن این امکان را میدهد که رمز عبور کاربر را در قالب یک متن ساده بازیابی کند.
سه مسئلهی دیگر و معروف به ProxyShell، میتوانند برای دور زدن کنترلهای ACL، افزایش سطح دسترسی در باطن(۲) Exchange PowerShell مورد بهرهبرداری قرار گیرند و مهاجم را تصدیق هویت کرده و اجازه اجرای کد از راه دور را بدهند. مایکروسافت خاطرنشان کرد که هر دوی آسیبپذیریهای CVE-2021-34473 و CVE-2021-34523 از نسخههای تا ماه جولای ۲۰۲۱ بهصورت ناخواسته حذف شدهاند.
ProxyLogon:
- CVE-2021-26855– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on March 2)
- CVE-2021-26857– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on March 2)
- CVE-2021-26858– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on March 2)
- CVE-2021-27065– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on March 2)
ProxyOracle:
- CVE-2021-31195– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on May 11)
- CVE-2021-31196– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on July 13)
ProxyShell:
- CVE-2021-31207– Microsoft Exchange Server Security Feature Bypass Vulnerability (Patched on May 11)
- CVE-2021-34473– Microsoft Exchange Server Remote Code Execution Vulnerability (Patched on April 13, advisory released on July 13)
- CVE-2021-34523– Microsoft Exchange Server Elevation of Privilege Vulnerability (Patched on April 13, advisory released on July 13)
Other:
- CVE-2021-33768– Microsoft Exchange Server Elevation of Privilege Vulnerability (Patched on July 13)
جزئیات فنی زنجیره حمله ProxyShell که در اصل در مسابقه هک Pwn2Own در آوریل امسال اثبات شده بود [۸]، توسط محقق DEVCORE یعنی Orange Tsai در کنفرانسهای امنیتی Black Hat USA 2021 و DEF CON در هفتهی گذشته فاش شد[۹و۱۰]. برای جلوگیری از این بهرهبرداریها، به سازمانها توصیه میشود که بهروزرسانیهای منتشرشده توسط مایکروسافت را هر چه زودتر نصب کنند.
منابع
[۱] https://twitter.com/bad_packets/status/1425598895569006594
[۲] https://twitter.com/GossiTheDog/status/1425844380376735746
[۳] https://isc.sans.edu/diary/27732
[۴] https://twitter.com/buffaloverflow/status/1425831100157349890
[۵] https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-1-ProxyLogon
[۶] https://apa.aut.ac.ir/?p=7863
[۷] https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-2-ProxyOracle
[۸] https://thehackernews.com/2021/04/windows-ubuntu-zoom-safari-ms-exchange.html
[۹] https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442
[۱۰] https://www.youtube.com/watch?v=5mqid-7zp8k
[۱۱] https://thehackernews.com/2021/08/hackers-actively-searching-for.html
(۱) on-premises installations
(2) backend
ثبت ديدگاه