آخرین اخبار
صفحه اصلی
اخبار

یک آسیب‌پذیری سرورهای Exchange را تهدید می‌کند

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
229 نمایش ها

کمیته رکن چهارم – بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز در معرض حملات بهره‌برداری از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ هستند که بر Exchange Server تأثیر می‌گذارد.

آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ در مولفه (Exchange Control Panel (ECP قرار دارد. دلیل اصلی این مشکل این است که سرورهای Exchange در ایجاد کلیدهای منحصربه‌فرد در زمان نصب موفق عمل نمی‌کنند.

یک مهاجم از راه دور می‌تواند از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ برای اجرای کد دلخواه با دسترسی بالای SYSTEM بر روی یک سرور استفاده کند و آن را در کنترل کامل خود قرار دهد.

کارشناسان امنیتی جزییات فنی در مورد نحوه بهره‌برداری از Microsoft Exchange CVE-۲۰۲۰-۰۶۸۸ همراه با PoC ویدئویی را منتشر کردند.

مایکروسافت به تمامی این معایب در به‌روزرسانی Microsoft February Patch Tuesday اشاره کرده است، اما آسیب‌پذیری بیش از ۲۴۷ هزار سرور Microsoft Exchange هنوز برطرف نشده است.

تقریباً ۸۷ درصد از ۱۳۸هزار سرور Exchange ۲۰۱۶ و ۷۷ درصد از حدود ۲۵هزار سرور Exchange ۲۰۱۹ هنوز در معرض بهره‌برداری از آسیب‌پذیری CVE-۲۰۲۰-۰۶۸۸ قرار دارند همچنین، حدود ۵۴هزار سرور Exchange ۲۰۱۰ در طول ۶ سال به‌روزرسانی نشده‌اند.

پس از گزارش مایکروسافت درباره این آسیب‌پذیری، کارشناسان بارها متوجه بهره‌برداری‌های پیاپی از این آسیب‌پذیری توسط عوامل APT شدند.

به گفته محققان ۶۱ درصد از سرورهایExchange متعلق به سال‌های ۲۰۱۰ ، ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ هنوز در معرض آسیب‌پذیری هستند.

«کمتر از هشت ماه است که مایکروسافت وصله‌هایی را برای آدرس‌دهی به CVE-۲۰۲۰-۰۶۸۸ منتشر کرده است. در بررسی‌هایی که در ۲۱ سپتامبر امسال صورت گرفت به نظر می‌رسد که ۶۱ درصد از جمعیت هدف (Exchange ۲۰۱۰ ، ۲۰۱۳ ، ۲۰۱۶ و ۲۰۱۹) هنوز در معرض بهره‌برداری هستند.»

کارشناسان توصیه می‌کنند که از به‌روزرسانی Exchange اطمینان حاصل شود و به‌روزرسانی روی هر سرور Exchange Control Panel فعال شود.

«مطمئن‌ترین روش برای اطمینان از نصب به‌روزرسانی از طریق بررسی نرم‌افزار مدیریت وصله، ابزارهای مدیریت آسیب‌پذیری یا خود میزبان‌ها هستند. توجه داشته باشید که اگر Exchange Server نسخه فعلی Exchange Cumulative Update یا Rollup را اجرا نکند، احتمالاً این ابزارها عدم به‌روزرسانی را نشان نمی‌دهند و سرورها هنوز آسیب‌پذیر هستند.»

به گفته کارشناسان، مدیران می‌توانند با بررسی حساب‌های به خطر افتاده که در حملات علیه سرورهای Exchange مربوط به Windows Event و IIS برای بخش‌هایی از Payload های رمزگذاری شده ازجمله متن “Invalid viewstate” یا رشته‌های __VIEWSTATE و __VIEWSTATEGENERATOR برای درخواست مسیر (/ecp (usually /ecp/default.aspx استفاده می‌شود، بررسی کنند.

مرجع : مرکز مدیریت راهبردی افتا

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.