شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال بهرهجویی (Exploit) از این آسیبپذیریها هستند و لذا اعمال فوری اصلاحیهها توصیه اکید میشود.
در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به جزییات این آسیبپذیریها پرداخته شده است.
سوءاستفاده از مجموعه آسیبپذیریهای مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیلها و توزیع بدافزارهای بیشتر و گسترده کردن دامنه نفوذ در سطح شبکه میکند.
لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت 443 اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهرهجویی از آسیبپذیریهای زیر فراهم میشود:
CVE-2021-26855: ضعفی از نوع Server-side Request Forgery – به اختصار SSRF – در Exchange است که سوءاستفاده از آن مهاجم را قادر به ارسال درخواستهای HTTP و اصالتسنجی شدن بهعنوان سرور Exchange میکند.
CVE-2021-26857 ضعفی از نوع به اصطلاح Deserialization غیرامن در سرویس Unified Messaging است که سوءاستفاده از آن امکان اجرای کد با سطح دسترسی SYSTEM را ممکن میکند. لازمه اجرای موفق آن فراهم بودن دسترسی Administrator یا وجود ضعفی دیگر برای مهیا کردن این الزام است.
CVE-2021-26858 و CVE-2021-27065 هر دو ضعفهایی از نوع Post-authentication Arbitrary File Write در Exchange هستند که در صورت فراهم بودن امکان اصالتسنجی مهاجم قادر به ذخیره فایل در هر مسیری از سرور خواهد بود. برای مثال مهاجم میتواند با بکارگیری CVE-2021-26855 یا هک یک کاربر معتبر به این منظور دست پیدا کند.
بر اساس گزارشی که شرکت مایکروسافت شب گذشته آن را منتشر کرد Hafnium که گروهی منتسب به مهاجمان چینی است در حال اکسپلویت کردن آسیبپذیریهای مذکور هستند.
به گفته مایکروسافت، این مهاجمان پس از دستیابی به سرور آسیبپذیر Microsoft Exchange با نصب Web Shell اقدام به سرقت دادهها، آپلود فایلها و اجرای فرامین دلخواه خود بر روی سیستم هک شده میکنند.
Hafnium با در اختیار گرفتن کنترل حافظه فایل LSASS.exe، اطلاعات اصالتسنجی کش شده را از طریق Web Shell استخراج میکند.
این مهاجمان در ادامه با ارسال (Export) صندوقهای پستی و دادههای سرقت شده از روی سرور Exchange و آنها را بر روی سرویسهای اشتراک فایل (نظیر MEGA) آپلود میکنند.
در نهایت Hafnium با ایجاد یک ارتباط به اصطلاح Remote Shell Back به سرورهایشان به ماشین و شبکه داخلی سازمان دسترسی پیدا میکنند.
به دلیل حساسیت آسیبپذیریهای مذکور نصب فوری اصلاحیهها توصیه شده است.
راهبران میتوانند با استفاده از اسکریپت Nmap که در مسیر زیر به اشتراک گذاشته شده سرورهای آسیبپذیر Exchange را در شبکه خود شناسایی کنند.
https://github.com/GossiTheDog/scanning/blob/main/http-vuln-exchange.nse
اسکریپت مذکور را میتوان پس از ذخیرهسازی در مسیر /usr/share/nmap/scripts با فرمان زیر اجرا کرد:
nmap –script http-vuln-exchange
بهمحض شناسایی هر سرور آسیبپذیر لازم است که نسبت به بهروزرسانی آن اقدام شود.
علاوه بر امکان دریافت اصلاحیهها از طریق Automatic Updating، امکان دریافت نسخ موسوم به Standalone نیز از طریق لینکهای زیر فراهم است:
- Exchange Server 2010 (update requires SP 3 or any SP 3 RU – this is a Defense in Depth update)
- Exchange Server 2013 (update requires CU 23)
- Exchange Server 2016 (update requires CU 19 or CU 18)
- Exchange Server 2019 (update requires CU 8 or CU 7)
مشروح گزارش مایکروسافت در لینک زیر قابل دریافت و مطالعه است:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/