کمیته رکن چهارم – تعداد تخمینی سازمانهای بالقوه در معرض خطر از آسیبپپذیری مایکروسافت اکسچنج در سراسر جهان دهها هزار است و بسیار مهم اینکه، حداقل دو ماه قبل از در دسترس بودن وصلههای امنیتی از این آسیبپذیریها به طور فعال استفاده میشده است.
روز دوم مارس، چهار آسیبپذیری حیاتی Microsoft Exchange Server روز- صفر CVE-۲۰۲۱-۲۶۸۵۵ ، CVE-۲۰۲۱-۲۶۸۵۷ ، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ منتشر شد.
این آسیبپذیریها به مهاجمان اجازه میدهد تا به سرورهای Exchange دسترسی پیدا کنند و به طور بالقوه به مدت طولانی به قربانیان دسترسی پیدا میکنند. در حالی که (MSTIC) کمپین اولیه را با اطمینان بالا به HAFNIUM نسبت میدهد، گروهی که آنها ارزیابی میکنند تحت حمایت دولت و خارج از چین فعالیت و چندین تیم اطلاعاتی تهدید ازجمله MSTIC و واحد ۴۲ نیز تهدیدهای متعددی را مشاهده میکنند.
مهاجمان اکنون از این آسیبپذیریهای روز صفر بهرهبرداری میکنند. تعداد تخمینی سازمانهای بالقوه در معرض خطر در سراسر جهان دهها هزار است و بسیار مهم اینکه، حداقل دو ماه قبل از در دسترس بودن وصلههای امنیتی از این آسیبپذیریها به طور فعال استفاده میشده است. درنتیجه، حتی اگر بلافاصله بهروزرسانی کنید، ممکن است سرورهای Exchange شما به خطر بیفتد. علاوه بر آن بر اساس اطلاعات جمعآوری شده از پلتفرم Palo Alto Networks Expanse، تخمین میزنیم که بیش از ۱۲۵هزار سرور Exchange آسیبپذیر در جهان باقی مانده باشد.
- همه Exchange Server ها را پیدا کرده و مشخص کنید که آیا آنها نیاز به وصله دارند
Exchange Online تحت تأثیر قرار نمیگیرد.
نسخههای آسیب پذیر Exchange Server شامل ۲۰۱۳ ، ۲۰۱۶ و ۲۰۱۹ است. در حالی که Exchange ۲۰۱۰ در برابر همان زنجیره حمله Exchange ۲۰۱۳/۲۰۱۶/۲۰۱۹ آسیبپذیر نیست، مایکروسافت وصله CVE-۲۰۲۱-۲۶۸۵۷ را برای این نسخه از نرمافزار منتشر کرده است. مایکروسافت اخیراً راهنماییهای اضافی را برای نسخههای قدیمی و پشتیبانی نشده Exchange منتشر کرده است.
مایکروسافت توصیه میکند بهروزرسانیها را در همه سرورهای Exchange نصب کنید. حتی اگر سرورهای Exchange به اینترنت متصل نباشند، در صورت دستیابی به شبکه از طریق روشهای دیگر همچنان میتوان از آسیبپذیریها سوءاستفاده کرد.
مایکروسافت اطلاعاتی را درباره به روزرسانی نسخه های خاص زیر Exchange Server منتشر کرده است:
Exchange Server ۲۰۱۹ (update requires Cumulative Update (CU) ۸ or CU ۷).
Exchange Server ۲۰۱۶ (update requires CU ۱۹ or CU ۱۸).
Exchange Server ۲۰۱۳ (update requires CU ۲۳).
Exchange Server ۲۰۱۰ (update requires SP ۳ or any SP ۳ RU – this is a Defense in Depth update).
- همه سرورهای Exchange را بهروزرسانی کرده و ایمن کنید
بهروزرسانی های امنیتی خارج از برنامه (اضطراری) نسخه Exchange Server خود را نصب کنید.
اگر نمی توانید بلافاصله Exchange Server را به روز و یا وصله کنید، راهحل هایی وجود دارد که ممکن است احتمال سوءاستفاده مهاجم از Exchange Server را کاهش دهد. این راهحلها باید موقتی باشد تا زمانی که وصله کامل شود. Cortex XDR که در Exchange Server شما اجرا میشود فعالیت وب را که معمولاً در این حملات استفاده میشود، شناسایی و از آن جلوگیری میکند.
حمله اولیه نیاز به امکان ایجاد ارتباط غیرمطمئن با پورت ۴۴۳ به Exchange Server دارد. شما میتوانید با محدود کردن دسترسی کاربران به سیستم، از سیستم در برابر آن محافظت کنید. تنها با اجازه دسترسی از طریق کاربرانی که قبلاً از طریق VPN احراز هویت کردهاند یا با استفاده از فایروال برای محدود کردن دسترسی به میزبانهای خاص یا دامنههای IP، میتواند به سیستم دسترسی بدهد. استفاده از این موارد فقط در برابر قسمت اولیه حمله محافظت می کند. اگر مهاجمی از قبل به شبکه دسترسی داشته باشد یا بتواند یک Administrator را مجاب کند که یک فایل مخرب را باز کند، قسمتهای دیگر زنجیره همچنان فعال میشوند.
- مشخص کنید که آیا Exchange Server قبلاً به خطر افتاده است یا خیر.
این آسیبپذیریها بیش از یک ماه است که بوده و بهطور فعال مورد بهرهبرداری قرار گرفتهاند و اولین نشانههای بهرهبرداری به ۳ ژانویه بازمیگردد. هر سازمانی که این نرمافزار آسیبپذیر را اجرا میکند باید بررسی کند که آیا سرور خود به خطر افتاده است یا نه. وصله سیستم هیچ بدافزاری را که قبلاً بر روی سیستم نصب شده است برطرف نمیکند. بهتر است که فرض کنیم سرورهای Exchange که Outlook Web Access یا Exchange Web Services را در سمت اینترنت هستند آلوده شدهاند مگر خلاف آن ثابت شود.
سرویس IIS ، فرایندهای برنامه Exchange ، مانند PowerShell ، Command shells (cmd.exe) و سایر برنامههای اجرا شده در فضای آدرس برنامهها را بررسی کنید.
مایکروسافت اسکریپتهای PowerShell و Nmap را برای بررسی Exchange Server شما برای یافتن نشانههای آلودگی (IOC) منتشر کرده است. آژانس امنیت سایبری و امنیت زیرساخت (CISA) همچنین لیستی از تاکتیکها، تکنیکها و رویهها (TTP) را منتشر کرده است.
همانطور که در جدول دورههای اقدام ارزیابی سنجش واحد ۴۲ مستند شده است، TTP های پس از نفوذ که توسط مهاجمان برای حملات Exchange مورد استفاده قرار می گیرند شامل موارد زیر است:
استفاده از Procdump برای تخلیه حافظه فرآیند LSASS
استفاده از ۷-Zip برای فشرده سازی داده های سرقت شده
افزودن Exchange PowerShell به snap-in برای خارج کردن داده های صندوق پستی
استفاده از Nishang Invoke-PowerShellTcpOneLine برای گرفتن شل معکوس
دانلود PowerCat از GitHub و سپس استفاده از آن برای باز کردن ارتباط به یک سرور از راه دور
معتقدیم که سایر مهاجمان از زمان حملات اولیه در تلاشاند از آسیبپذیریهای Exchange استفاده کنند، اما ممکن است انگیزهها و اهداف آنها بسیار متفاوت باشد و TTP های آنها نیز ممکن است متفاوت باشد.
- اگر احتمال میدهید که در معرض خطر قرار گرفتهاید از یک تیم پاسخگوی حوادث کمک بگیرید.
اگر فکر میکنید Exchange Server شما به خطر افتاده است باید در جهت ایمنسازی آن در برابر آسیبپذیری همانطور که در بالا توضیح داده شد، اقدام کنید. این باعث میشود مهاجمان سیستم را بیشتر به خطر نیندازند. نصب بهروزرسانیهای امنیتی خارج از برنامه (اضطراری) برای نسخه Exchange Server بسیار مهم است، اما این کار هیچ بدافزاری را که از قبل روی سیستم نصب شده، حذف نمیکند و هیچ تهدیدی را که در شبکه وجود دارد برطرف نمیکند.
تأثیر بالقوه این وضعیت به دلیل فعالیت مداوم توصیف شده، آسیبپذیریهای بهکار رفته در حمله، حیاتی است. در حالی که بهرهبرداری از این آسیبپذیریها ممکن است فعالیتهای تجاری را متوقف نکند، دسترسی به اطلاعات و سیستمهای حساس مطمئناً امکانپذیر است و باید تصور کرد که این اتفاق افتاده است. دسترسی به ایمیلهای شرکتی همچنین میتواند منجر به حملات فیشینگ شود.
منبع : مرکز مدیریت راهبردی افتا
