کمیته رکن چهارم – کارشناسان امنیت سایبری دو آسیبپذیری خطرناک در سه نسخه Exchange Server کشف کردند.
این دو آسیبپذیری دارای شناسههای CVE-2022-41082 و CVE-2022-41040 هستند و بهرهجویی از آنها مهاجمان را قادر میکند تا از طریق «ترفیع اختیارات» (Privilege Escalation) و با بکارگیری پروسههایی نظیر PowerShell، کد دلخواه و مخرب را از راه دور در سیستمهای آسیبپذیر اجرا کنند.
یکی از این آسیبپذیریها با شناسه CVE-2022-41040 ضعفی از نوع Server-Side Request Forgery است که مهاجم را به ارتقای سطح دسترسی (Elevation of Privilege) بر روی سرور آسیبپذیر قادر میکند. مایکروسافت شدت این آسیبپذیری را «حیاتی» (Critical) گزارش کرده است.
ضعف امینی دوم با شناسه CVE-2022-41082 امکان اجرای کد دلخواه مهاجم را بهصورت از راه دور (Remote Code Execution – بهاختصار RCE) بر روی سرورهای هکشده فراهم میکند. مایکروسافت این آسیبپذیری را در دسته ضعفهای امنیتی «مهم» (Important) قرار داده است.
نسخههای زیر نسبت به CVE-2022-41040 و CVE-2022-41082 آسیبپذیر گزارش شدهاند:
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
مایکروسافت با انتشار بهروزرسانیهای امنیتی، وصله این دو ضعف امنیتی را در اصلاحیههای نوامبر ۲۰۲۲ منتشر کرد؛ حملات ProxyNotShell حداقل از سپتامبر ۲۰۲۲ شناسایی شدهاند.
یک هفته پس از انتشار بهروزرسانیهای امنیتی ProxyNotShell توسط مایکروسافت، یکی از محققان امنیتی PoC این آسیبپذیریها که مهاجمان به آن شیوه از سرورهای Exchange سوءاستفاده کردهاند، را افشا کرد.
به گزارش برخی منابع که مهاجمان با سوء استفاده از مجموعه این آسیبپذیریها، به نصب پوسته وبی با عنوان Chinese Chopper Web Shell بر روی سرور آسیبپذیر Exchange و در ادامه گسترش دامنه نفوذ خود را در سطح شبکه قربانی اقدام کردهاند.
احتمال میرود که با توجه به انتشار PoC این ضعفهای امنیتی، بهرهجویی از آنها در حملات سایبری افزایش یابد؛ توصیه میشود برای محافظت در برابر این تهدیدات، در اسرع وقت اعمال اصلاحیههای ماه نوامبر ۲۰۲۲ شرکت مایکروسافت در دستور کار قرار گیرد.
منبع : مرکز مدیریت راهبردی افتا
