کمیته رکن چهارم – یک محقق امنیتی PoC جدیدی را منتشر کرده است که با تغییرات جزئی، وبشل بر روی سرورهای Microsoft Exchange آسیبپذیر، نصب میشود.
از زمانی که مایکروسافت آسیبپذیریهای امنیتی Microsoft Exchange را که بهطور فعال بهرهبرداری شده است فاش کرد، مدیران و محققان امنیتی در تلاشاند تا از سرورهای آسیبپذیر در معرض اینترنت محافظت کنند. این آسیبپذیریها در مجموع با نام ProxyLogon شناخته میشود.
از این آسیبپذیریها برای آپلود وبشلها، رمزگذارها و اخیراً، باجافزار DearCry در سرورهای آسیبپذیر استفاده میشود.
در اوایل این هفته، یک محقق امنیتی به نام نگوین جانگ یک پست وبلاگی منتشر کرد که در آن جزییات اکسپلویت POC برای آسیبپذیری Microsoft Exchange ProxyLogon ارائه کرده است. جانگ همچنین یک اکسپلویت معیوب را به عمد با استفاده از GitHub به اشتراک گذاشت که برای کارکرد صحیح به برخی از اصلاحات نیاز داشت. با این وجود، PoC اطلاعات کافی را در اختیار شما قرار میدهد که محققان امنیتی و مهاجمان میتوانند از آن برای توسعه یک اکسپلویت اجرای کد از راه دور برای سرورهای Microsoft Exchange استفاده کنند. اکسپلویت جدید در دسترس script kiddie قرار می گیرد.
آخر هفته، یک محقق امنیتی ProxyLogon PoC جدیدی را منتشر کرد که برای اکسپلویت از یک سرور آسیبپذیر Microsoft Exchange و آپلود وبشل روی آن، به تغییرات جزئی نیاز داشت. ویل دورمن، تحلیلگر آسیبپذیری در CERT / CC، این آسیبپذیری را بر روی سرور مایکروسافت آزمایش کرد و به BleepingComputer گفت که با تغییر بسیار جزئی کار می کند.
همانطور که در تصویر زیر مشاهده میکنید با استفاده از اکسپلویت یک سرور Microsoft Exchange از راه دور یک وبشل نصب و دستور ‘whoami’ را اجرا شده است.
تصویر دیگری که به اشتراک گذاشته شده نشان میدهد که این اکسپلویت وبشل test11.aspx را در یک مکان مشخص شده در سرور آپلود کرده است.
مدیر ارشد SANS ISC ، همچنین بهرهبرداری را در برابر یک ماشین مجازی Microsoft Exchange آزمایش کرد، اما PoC نتیجه نداشت.
PoC جدید در برابر Exchange 2016 بدون وصله بدون هیچگونه بهروزرسانی آزمایش شده است. هنوز، PoC ، بدون تغییر در برخی از تنظیمات Active Directory کار نمی کند.
با در دسترس قرار گرفتن اکسپلویت آسیبپذیریهای Microsoft Exchange ، ضرورت دارد که مدیران شبکه سرورهای خود را بهروزرسانی کنند. طبق تحقیقات Palo Alto Networks ، تقریباً ۸۰هزار سرور آسیبپذیر Microsoft Exchange در اینترنت وجود دارد. شبکههای پالو آلتو به BleepingComputer گفت: «بر اساس اسکنهای اینترنتی گسترده که در ۸ و ۱۱ مارس انجام شده است، تعداد سرورهای آسیبپذیر که از نسخههای قدیمی Exchange استفاده میکنند و نمیتوانند وصلههای امنیتی منتشر شده را مستقیماً اعمال کنند، بیش از ۳۰ درصد یعنی از ۱۲۵هزار به ۸۰هزار کاهش یافت.
مایکروسافت همچنین هشدار داد که با وجود کاهش قابل توجه سرورهای آسیبپذیر، هنوز تعداد زیادی از آنها نیاز به وصله دارند.
مایکروسافت در یک پست وبلاگ اظهار داشت: بر اساس تله متری از RiskIQ در روز اول مارس شاهد وجود تقریباً ۴۰۰هزار سرور Exchange در کل جهان بودیم. تا نهم مارس کمی بیشتر از ۱۰۰هزار سرور هنوز آسیبپذیر بودند. این تعداد بهطور مداوم در حال کاهش است و فقط حدود ۸۲هزار مورد دیگر باقی مانده است که بهروز شوند. بسیاری از این سرورها برای نسخههای قدیمیتر هستند که بهروزرسانی امنیتی در دسترس ندارند.
مایکروسافت بهروزرسانیهای امنیتی اضافی را برای نسخههای قدیمی Microsoft Exchange منتشر کرد که اکنون ۹۵ درصد از سرورهای موجود در اینترنت را پوشش میدهد.
منبع : مرکز مدیریت راهبردی افتا
