افزایش سوءاستفاده مهاجمان از آسیب‌پذیری‌های Exchange

مایکروسافت در گزارشی به تکنیک‌های اخیر مهاجمان در حمله به سرورهای Exchange پرداخته است.

مبنای اطلاعات ارائه شده در این گزارش تحلیل‌های صورت گرفته در خصوص کارزارهای اخیری است که در جریان آنها مهاجمان اقدام به توزیع کدهای موسوم به Web Shell بر روی سرورهای Exchange قابل دسترس بر روی اینترنت می‌کنند.

در مراحلی از این حملات چندین تکنیک بدون فایل (Fileless) مورد استفاده قرار گرفته تا شناسایی آنها توسط راهکارهای امنیتی را بیش از پیش دشوار کند.

به گزارش شرکت مهندسی شبکه گستر، در حالی که یکی از روش‌های متدوال مهاجمان در دستیابی به سرورهای Exchange بکارگیری ترفندهای مهندسی اجتماعی و تکنیک‌های موسوم به دانلودهای سرراهی (Drive-by Download) برای سرقت اطلاعات اصالت‌سنجی کاربران سازمان و در ادامه استفاده از آنها برای رخنه در سطح شبکه و در نهایت رسیدن به سرور Exchange است در کارزارهای اخیر با بهره‌جویی (Exploit) از آسیب‌پذیری‌های از نوع “اجرای کد به‌صورت از راه دور” کنترل سرور در اختیار هکرها قرار می‌گیرد.

به گفته مایکروسافت در بسیاری موارد پس از آنکه مهاجمان کنترل سرور Exchange را در کنترل می‌گیرند اقدام به توزیع Web Shell در یکی از مسیرهای قابل دسترس در بستر وب سرور می‌کنند.

Web Shell ابزارهایی هستند که هکرها با توزیع آنها بر روی سرور هک شده جای پای خود را محکم کرده، فرامین و کدهای مورد نظر را به‌صورت از راه دور بر روی آن اجرا کرده، بدافزارهای جدید را دریافت نموده و دامنه نفوذ خود را در سطح شبکه گسترش می‌دهند.

از برنامه‌هایی که برای عرضه امکانات web shell ،Perl ،Python ،Ruby و اسکریپت‌های شل Unix طراحی شده‌اند گرفته تا افزونه‌ها و تکه‌کدهای PHP یا ASP که در برنامه‌های وب تزریق شده‌اند همگی می‌توانند مهاجمان را قادر به آپلود Web Shell کنند.

در ماه آوریل نیز آژانس امنیت ملی آمریکا و اداره Signals Directorate استرالیا در بیانیه‌ای مشترک نسبت به افزایش حملات به سرورهای وب آسیب‌پذیر برای توزیع درب‌های پشتی مبتنی بر Web Shell هشدار دادند.

محققان مایکروسافت اعلام کرده‌اند که در حملات اخیر بر ضد سرورهای Exchange شاهد بهره‌جویی از آسیب‌پذیری‌های امنیتی و به‌طور خاص سوءاستفاده از ضعف امنیتی CVE-2020-0688 در این سرویس‌دهنده بوده‌اند. این در حالی است که اصلاحیه آسیب‌پذیری مذکور ماه‌ها است که در دسترس قرار گرفته است.

CVE-2020-0688 که بخش Exchange Control Panel – به اختصار ECP – از آن تأثیر می‌پذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزگذاری منحصربه‌فرد در زمان نصب ناشی می‌شود.

بهره‌جویی موفق از CVE-2020-0688 مهاجم را قادر به اجرای کد به‌صورت از راه دور با سطح دسترسی SYSTEM بر روی سرور آسیب‌پذیر می‌کند.

نتایج تحقیقی که در ماه آوریل انجام شد نشان می‌داد که 82.5 درصد از سرورهای Exchange نسبت به CVE-2020-0688 آسیب‌پذیر هستند.

سرویس‌دهندگان Exchange به دلیل نقش حساس آنها در سازمان‌ها و اهمیت داده‌های آنها از جمله سرورهایی هستند که محافظت ازشان باید همواره در اولویت قرار داشته باشد.

نصب کامل اصلاحیه‌های امنیتی، بهره‌گیری از راهکارهای ضدبدافزار، بازبینی مستمر گروه‌ها و نقش‌های حساس از لحاظ اعمال هر گونه تغییر مشکوک، در حداقل نگاه داشتن سطوح دسترسی و بررسی فوری فعالیت‌های مشکوک از جمله نکاتی است که رعایت آنها نقشی کلیدی در ایمن نگاه داشتن این سرورها از گزند تهدیدات سایبری دارد.

مشروح گزارش مایکروسافت در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/