اصلاحیه‌های اضطراری مایکروسافت برای Exchange

شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال بهره‌جویی (Exploit) از این آسیب‌پذیری‌ها هستند و لذا اعمال فوری اصلاحیه‌ها توصیه اکید می‌شود.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به جزییات این آسیب‌پذیری‌ها پرداخته شده است.

سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و توزیع بدافزارهای بیشتر  و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.

لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت 443 اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهره‌جویی از آسیب‌پذیری‌های زیر فراهم می‌شود:

CVE-2021-26855: ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – در Exchange است که سوءاستفاده از آن مهاجم را قادر به ارسال درخواست‌های HTTP و اصالت‌سنجی شدن به‌عنوان سرور Exchange می‌کند.

CVE-2021-26857 ضعفی از نوع به اصطلاح Deserialization غیرامن در سرویس Unified Messaging است که سوءاستفاده از آن امکان اجرای کد با سطح دسترسی SYSTEM را ممکن می‌کند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر برای مهیا کردن این الزام است.

CVE-2021-26858 و CVE-2021-27065 هر دو ضعف‌هایی از نوع Post-authentication Arbitrary File Write در Exchange هستند که در صورت فراهم بودن امکان اصالت‌سنجی مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم می‌تواند با بکارگیری CVE-2021-26855 یا هک یک کاربر معتبر به این منظور دست پیدا کند.

بر اساس گزارشی که شرکت مایکروسافت شب گذشته آن را منتشر کرد Hafnium که گروهی منتسب به مهاجمان چینی است در حال اکسپلویت کردن آسیب‌پذیری‌های مذکور هستند.

به گفته مایکروسافت، این مهاجمان پس از دستیابی به سرور آسیب‌پذیر Microsoft Exchange با نصب Web Shell اقدام به سرقت داده‌ها، آپلود فایل‌ها و اجرای فرامین دلخواه خود بر روی سیستم هک شده می‌کنند.

Hafnium با در اختیار گرفتن کنترل حافظه فایل LSASS.exe، اطلاعات اصالت‌سنجی کش شده را از طریق Web Shell استخراج می‌کند.

این مهاجمان در ادامه با ارسال (Export) صندوق‌های پستی و داده‌های سرقت شده از روی سرور Exchange و آنها را بر روی سرویس‌های اشتراک فایل (نظیر MEGA) آپلود می‌کنند.

در نهایت Hafnium با ایجاد یک ارتباط به اصطلاح Remote Shell Back به سرورهایشان به ماشین و شبکه داخلی سازمان دسترسی پیدا می‌کنند.

به دلیل حساسیت آسیب‌پذیری‌های مذکور نصب فوری اصلاحیه‌ها توصیه شده است.

راهبران می‌توانند با استفاده از اسکریپت Nmap که در مسیر زیر به اشتراک گذاشته شده سرورهای آسیب‌پذیر Exchange را در شبکه خود شناسایی کنند.

https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse

اسکریپت مذکور را می‌توان پس از ذخیره‌سازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:

nmap –script http-vuln-exchange

به‌محض شناسایی هر سرور آسیب‌پذیر لازم است که نسبت به به‌روزرسانی آن اقدام شود.

علاوه بر امکان دریافت اصلاحیه‌ها از طریق Automatic Updating، امکان دریافت نسخ موسوم به Standalone نیز از طریق لینک‌های زیر فراهم است:

• Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)
• Exchange Server 2013 (update requires CU 23)
• Exchange Server 2016 (update requires CU 19 or CU 18)
• Exchange Server 2019 (update requires CU 8 or CU 7)

مشروح گزارش مایکروسافت در لینک زیر قابل دریافت و مطالعه است:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/