مهاجمان در حال بهره‌جویی از دو آسیب‌پذیری روز-صفر در Exchange

در پی انتشار برخی گزارش‌ها مبنی بر سوءاستفاده مهاجمان از دو آسیب‌پذیری روز-صفر در نسخ مختلف MS Exchange Server، شرکت مایکروسافت (Microsoft) اقدام به انتشار یک توصیه‌نامه امنیتی در این خصوص کرده است.

به گفته بسیاری از منابع و به تایید شرکت مایکروسافت مهاجمان در حال بهره‌جویی از این آسیب‌پذیری‌ها هستند.

یکی از این آسیب‌پذیری‌ها با شناسه CVE-2022-41040 ضعفی از نوع Server-Side Request Forgery است که مهاجم را قادر به ارتقای سطح دسترسی (Elevation of Privilege) بر روی سرور آسیب‌پذیر می‌کند. مایکروسافت شدت این آسیب‌پذیری را «حیاتی» (Critical) گزارش کرده است.

ضعف امینی دوم با شناسه CVE-2022-41082 امکان اجرای کد دلخواه مهاجم را به صورت از راه دور (Remote Code Execution – به اختصار RCE) بر روی سرورهای هک‌شده فراهم می‌کند. مایکروسافت این آسیب‌پذیری را در دسته ضعف‌های امنیتی «مهم» (Important) قرار داده است.

نکته قابل توجه این که بهره‌جویی (Exploit) موفق از هر کدام از این آسیب‌پذیری‌ها مستلزم فراهم بودن دسترسی اصالت‌سنجی‌شده (Authenticated) به سرور است.

نسخ زیر نسبت به CVE-2022-41040 و CVE-2022-41082 آسیب‌پذیر گزارش شده‌اند:

• Microsoft Exchange Server 2019
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2013

متأسفانه در زمان انتشار این خبر هنوز اصلاحیه‌ای از سوی مایکروسافت ارائه نشده است. در عین حال این شرکت در توصیه‌نامه امنیتی زیر راهکارهای موقتی را ارائه کرده که به تمامی راهبران سرورهای Exchange توصیه اکید می‌شود تا در اسرع وقت نسبت به مطالعه و اعمال راهکار مربوطه اقدام کنند:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

برخی منابع گزارش کرده‌اند که مهاجمان با سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور، اقدام به نصب یک پوسته وبی تحت عنوان Chinese Chopper Web Shell بر روی سرور آسیب‌پذیر Exchange و در ادامه دامنه نفوذ خود را در سطح شبکه قربانی گسترش می‌دهند.

جزییات بیشتر در خصوص نحوه سوءاستفاده مهاجمان از آسیب‌پذیری‌های CVE-2022-41040 و CVE-2022-41082 در اینجا و اینجا قابل مطالعه است.

منابع:

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
https://www.bleepingcomputer.com/news/security/new-microsoft-exchange-zero-days-actively-exploited-in-attacks/