سرورهای Microsoft Exchange مورد حمله قرار می‌گیرند

مایکروسافت برای چندین آسیب‌پذیری در Exchange Server، پچ‌های خارج از باند صادر کرده است. بر اساس گفته‌های این شرکت، چهار مورد از این آسیب‌پذیری‌ها همین حالا هم در حملات هدف‌دار مورد استفاده قرار گرفته‌اند پس عقل حکم می‌کند پچ‌های ASAP را نصب کنیم.

چه ریسکی وجود دارد؟

چهار مورد از خطرناک‌ترین آسیب‌پذیری‌هایی که همین حالا نیز در حال اکسپلویت شدن هستند به مهاجمین اجازه می‌دهند تا حمله‌ای سه مرحله‌ای انجام داده و در آن موفق شوند. ابتدا آن‌ها به یک Exchange server دسترسی پیدا نموده و بعد برای دسترسی ریموت سرور، وب شل می‌سازند. در آخر از همان دسترسی برای سرقت داده از شبکه اینترنتی قربانی استفاده می‌کنند. این آسیب‌پذیری‌ها عبارتند از:

• CVE-2021-26855- می‌تواند برای جعل درخواست سمت سرور مورد استفاده قرار گیرد که در نهایت به اجرای ریموت کد منتهی می‌شود.
• CVE-2021-26857- می‌تواند برای اجرای کد دلخواه به جای سیستم استفاده شود (هرچند این یا مستلزم حقوق ادمین است و یا اکسپلویت کردن از آسیب‌پذیری قبلی).
• CVE-2021-26858 و  CVE-2021-27065- می‌توانند توسط مهاجم برای اوررایت کردن فایل‌ها روی سرور مورد استفاده قرار گیرند.

مجرمان سایبری از این چهار آسیب‌پذیری در ارتباط با همدیگر استفاده می‌کنند؛ با این وجود به نقل از مایکروسافت به جای حمله اولیه آن‌ها برخی‌اوقات از اطلاعات محرمانه سرقتی استفاده کرده و خود را روی سرور بدون استفاده از آسیب‌پذیری CVE-2021-26855 احراز هویت می‌کنند. افزون بر این همان پچ، چندتایی آسیب‌پذیری جزئی‌ دیگر را نیز در Exchange برطرف می‌کند که مستقیماً (تا آنجا که می‌دانیم) هم به حملات هدف‌دار فعال ارتباطی ندارند.

چه کسی در معرض خطر است؟

نسخه‌ی کلود Exchange تحت‌الشعاع این آسیب‌پذیری‌ها قرار نمی‌گیرد؛ آن‌ها تنها برای سرورهای بکار گرفته‌شده در زیرساخت نوعی‌ تهدید محسوب می‌شوند. آن اوایل مایکروسافت آپدیت‌هایی را برای Microsoft Exchange Server 2013، Microsoft Exchange Server 2016 و Microsoft Exchange Server 2019 عرضه کرد و آپدیت اضافی Defense in Depth را نیز برای Microsoft Exchange Server 2010 منتشر نمود. با این حال به دلیل شدت میزان اکسپلویت، آن‌ها بعدها فیکس‌هایی را نیز برای Exchange Servers منسوخ‌شده نیز اضافه کردند. به گفته‌ی محققین مایکروسافت کار، کارِ گروه هکریِ  Hafnium بوده است که این آسیب‌پذیری‌ها را برای سرقت اطلاعات محرمانه اکسپلویت کرده‌اند. تارگت‌های آن‌ها عبارتند از شرکت‌های صنعتی آمریکا، محققین بیماری‌های عفونی، مؤسسات حقوقی، سازمان‌های غیرانتفاعی و تحلیلگرهای سیاسی. تعداد دقیق قربانیان هنوز مشخص نیست؛ اما بر اساس منابع KrebsOnSecurity دست‌کم 30 هزار سازمان در آمریکا –از جمله کسب و کارهای کوچک، ادارات شهر‌ها و دولت‌های محلی- با استفاده از همین آسیب‌پذیری‌ها هک شدند. متخصصین ما نیز پی بردند که نه تنها سازمان‌های آمریکایی در خطرند که مجرمان سایبری سراسر جهان دارند از این آسیب‌پذیری‌ها سوءاستفاده می‌کنند.

راهکارهای امنیتی

• اول از همه، نصب Microsoft Exchange Server را پچ کنید. اگر شرکت شما نتواند آپدیت‌ها را نصب کند، مایکروسافت راهکارهایی را به شما توصیه می‌کند.
• به نقل از مایکروسافت، انکار دسترسی غیرقابل‌اعتماد به  Exchange server روی پورت 443 یا به طور کلی محدود کردن کانکشن‌ها از خارج از شبکه اینترنتی سازمانی می‌تواند فاز اولیه‌ی حمله را متوقف سازد. اما اگر مهاجمین از قبل داخل زیرساخت باشند دیگر ای متود کارایی نخواهد داشت؛ همینطور اگر برای اجرای فایلی مخرب کاربری را بگیرند که حقوق ادمین دارد.
• راهکار Endpoint Detection and Response (اگر متخصصین داخلی دارید) یا متخصصین خارجی Managed Detection and Response service می‌توانند چنین رفتارهای مخربی را شناسایی کنند.
• همیشه در نظر داشته باشید که هر کامپیوتر وصل‌شده به اینترنت –خواه سرور باشد و یا ایستگاه کار- برای جلوگیری از اکسپلویت‌ها و شناسایی فعالانه‌ی رفتار آلوده به راهکار امنیتی اندپویت قابل‌اطمینان نیاز دارد.