هشدار به راهبران Exchange در خصوص ProxyShell

بررسی‌ها نشان می‌دهد که مهاجمان در حال پویش سرورهای Exchange آسیب‌پذیر به ProxyShell هستند.

این پویش‌ها در حالی انجام می‌شود که برخی جزییات فنی آسیب‌پذیری‌های ProxyShell در جریان کنفرانس Black Hat ارائه شد.

ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:

• CVE-2021-34473 – که ضعفی از نوع “اجرای کد به‌صورت از راه دور” (Remote Code Execution – به اختصار RCE) است و در 22 تیر 1400 توسط مایکروسافت وصله شد.
• CVE-2021-34523 – که ضعفی از “ترفیع امتیازی” (Elevation of Privilege) است. این آسیب‌پذیری نیز در 22 تیر 1400 توسط مایکروسافت وصله شد.
• CVE-2021-31207 – که ضعفی از نوع “عبور از سد کنترل‌های امنیتی” (Security Feature Bypass) است و در 21 اردیبهشت 1400 توسط مایکروسافت وصله شد.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، توضیحاتی در خصوص ProxyShell و اقدامات اخیر مهاجمان در شناسایی سرورهای آسیب‌پذیر به آن ارائه شده است.

سوءاستفاده از سه آسیب‌پذیری ProxyShell از طریق سرویس Client Access Service – به اختصار CAS – مهاجم را قادر به اجرای کد به‌صورت از راه دور، بدون نیاز به هر گونه اصالت‌سنجی بر روی سرور Exchange می‌کند.

به‌طور پیش‌فرض، CAS بر روی درگاه 443 در IIS خدمات‌دهی می‌کند.

محقق کاشف ProxyShell، در 14 مرداد و در جریان کنفرانس Black Hat اقدام به ارائه اطلاعاتی در مورد نحوه کشف آن کرد.

در بخشی از این ارائه، اشاره شد که یکی از اجزای زنجیره حمله ProxyShell سرویس Autodiscover در Exchange را هدف قرار می‌دهد.

Autodiscover سازوکاری است که از سوی مایکروسافت به‌منظور تسهیل پیکربندی خودکار نرم‌افزارهای مدیریت ایمیل با حداقل دخالت کاربر معرفی شده است.

پس از سخنرانی مذکور، دو محقق دیگر با انتشار مقاله فنی زیر به روش‌هایی که امکان بازتولید بهره‌جوی ProxyShell را می‌دهد پرداختند:

https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1

پیش‌تر نیز برخی کارشناسان گزارش کرده بودند که مهاجمان با روش‌هایی در تلاش هستند تا با سوءاستفاده از Autodiscover، سرورهای آسیب‌پذیر به ProxyShell را شناسایی کنند. در حالی که تلاش‌های اولیه مهاجمان موفق نبود، به نظر می‌رسد در نتیجه انتشار جزییات فنی بیشتر در روزهای اخیر، اکنون مهاجمان با الگوهایی جدید در حال کشف سرورهای آسیب‌پذیر هستند. هدف از این شناسایی‌ها، اجرای حمله سایبری در زمان مورد نظر مهاجمان است.

سرورهای Exchange در بسیاری مواقع هدف مهاجمان با انگیزه‌های مختلف قرار داشته‌اند. از جمله می‌توان به اجرای حملات سایبری و انتشار چندین بدافزار مخرب از طریق سوءاستفاده از آسیب‌پذیری ProxyLogon در این سرورها اشاره کرد.

نظر به وصله شدن ضعف‌های امنیتی ProxyShell از سوی مایکروسافت و با توجه به تلاش مهاجمان در شناسایی سرورهای آسیب‌پذیر به کلیه راهبران Exchange توصیه می‌شود که در اسرع وقت نسبت به نصب آخرین به‌روزرسانی‌های Cumulative Update اقدام کنند.

اسلایدهای ارائه شده در خصوص ProxyShell در کنفرانس Black Hat نیز در لینک زیر قابل دریافت است:

https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442