کمیته رکن چهارم – چهار نقص امنیتی در نرمافزار Exchange Server مایکروسافت باعث شد ایمیل ۳۰ هزار نهاد دولتی و تجاری هک شود. هکرها برای عملی کردن اهدافشان دو ماه زمان داشتند.
چهار نقص امنیتی در Microsoft Exchange Server باعث شده است ایمیل بیش از ۳۰ هزار نهاد دولتی و تجاری در ایالات متحدهی آمریکا هک شود. وایرد نیز ادعا کرده است «دهها هزار سرور ایمیل» هک شدهاند.
ظاهرا این نقصهای امنیتی توسط مایکروسافت رفع شدهاند؛ اما متخصصان امنیتی میگویند شناسایی و پاکسازی به تلاشی عظیم از سوی هزاران ادارهی ایالتی و شهری، آتشنشانی و پلیس، حوزهی آموزشی، مؤسسههای مالی و دیگر نهادهایی که از هک متأثر شدهاند نیاز دارد.
براساس اطلاعیهی مایکروسافت، آسیبپذیری Exchange Server هکرها را قادر ساخته است به حسابهای ایمیل دسترسی پیدا کنند. هکرها با استفاده از آسیبپذیری توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.
KrebsOnSecurity و وایرد میگویند این حملهی سایبری توسط یک گروه هکر چینی با نام Hafnium انجام شده است. مایکروسافت هنوز از مقیاس حملهی سایبری پردهبرداری نکرده؛ اما میگوید Hafnium از آسیبپذیری Microsoft Exchange Server بهرهبرداری کرده است. مایکروسافت اطمینان دارد گروه هکر Hafnium توسط دولت چین حمایت میشود.
به گفتهی KrebsOnSecurity، حملهی سایبری به نرمافزار Exchange Server از ۶ ژانویهی ۲۰۲۱ (۱۷ دی ۱۳۹۹) یعنی همان روزی که معترضان به ساختمان محل برگزاری جلسههای کنگره در ایالات متحدهی آمریکا هجوم بردند آغاز شده و در اواخر ماه فوریهی ۲۰۲۱ (اوایل اسفند ۱۳۹۹) با شدت بیشتری ادامه پیدا کرده است. مایکروسافت در روز ۲ مارس ۲۰۲۱ (۱۲ اسفند ۱۳۹۹) بهروزرسانیهای لازم را برای برطرف کردن نقص امنیتی در دسترس قرار داد و این یعنی هکرها تقریبا دو ماه زمان داشتهاند تا کارهای مورد نظر را انجام بدهند.
مدیر Volexity در حوزهی امنیت سایبری که پیش از بقیه موفق شد این حملات سایبری را کشف کند، به KrebsOnSecurity گفته است اگر مشغول استفاده از Exchange هستید و هنوز بهروزرسانی را نصب نکردهاید، «احتمال بسیار زیادی» وجود دارد که شرکت شما تحت تأثیر حملات اخیر قرار گرفته باشد.
مایکروسافت تاکنون چند بهروزرسانی امنیتی منتشر کرده است تا تمامی آسیبپذیریها را رفع کند. شرکت ردموندی به نهادها میگوید فورا این بهروزرسانیها را نصب کنند. اگر مشغول استفاده از Exchange Online هستید، از حملات اخیر متأثر نشدهاید. ظاهرا نقص امنیتی صرفا روی سرورهای Self-Hosted مجهز به Exchange Server 2013،اExchange Server 2016 و Exchange Server 2019 حضور دارد.
حملهای سایبری در ابعاد گسترده که احتمالا توسط هکرهای دولتی انجام شده باشد، اتفاقی آشنا است و ما را یاد حادثهی سولار ویندز میاندازد. بیش از ۱۰۰۰ مهندس کامپیوتر در اقدامی برنامهریزیشده حملاتی گسترده و بلندمدت علیه یکی از نرمافزارهای سازمانی بسیار محبوب SolarWinds انجام دادهاند و دهها هزار شرکت را متأثر کردهاند. مایکروسافت صراحتا میگوید هکرهای Exchange Server هیچ ارتباطی به حملات SolarWinds ندارند.
در حال حاضر اطلاعات زیادی دربارهی حمله به Exchange Server مایکروسافت نداریم و احتمالا در آیندهی نزدیک جزئیات بیشتری در این زمینه رسانهای شود. مایکروسافت فعلا فهرست رسمی شرکتهایی که به دلیل نقص امنیتی Exchange Server هک شدهاند منتشر نکرده است.
به گفتهی نمایندهی مایکروسافت، این شرکت در حال همکاری نزدیک با آژانس امنیت سایبری و زیرساخت و دیگر نهادهای دولتی و شرکتهای امنیتی است تا بهترین رهنمود را به مشتریان ارائه بدهد. شرکت ردموندی میگوید در حال حاضر بهترین راهکار حفاظتی، نصب بهروزرسانی در سریعترین زمان ممکن روی تمامی سیستمهای متأثر است.
منبع : زومیت
