باز هم حمله به سرور اکسچینج با کمک باگ روز صفر

مایکروسافت در آخرین به‌روزرسانی ماهانه خود، برای 55 آسیب‌پذیری به‌روزرسانی منتشر کرده است. از این بین، دو آسیب‌پذیری مورد سوء استفاده مهاجمین واقع شده‌اند.

 باز هم حمله به سرور اکسچینج با کمک باگ روز صفر

مایکروسافت در آخرین به‌روزرسانی ماهانه خود، برای 55 آسیب‌پذیری به‌روزرسانی منتشر کرده است. از این بین، دو آسیب‌پذیری مورد سوء استفاده مهاجمین واقع شده‌اند.

این تعداد آسیب‌پذیری در مقایسه با به‌روزرسانی‌های ماه‌های قبل مایکروسافت، زیاد به حساب نمی‌آید. شش مورد از این آسیب‌پذیری‌ها بحرانی و بقیه از رده «مهم» هستند. تا به حال، دو مورد از آسیب‌پذیری‌های «مهم» مورد سوء استفاده مهاجمان واقع شده‌اند.

 

آسیب‌پذیری اجرای کد از راه دور در اکسچینج

این آسیب‌پذیری که با کد CVE-2021-42321 شناخته می‌شود، ناشی از اشکال در اعتبارسنجی آرگومان‌های کامندلت (cmdlet) است. به گفته مایکروسافت، این باگ دارای امتیاز حساسیت 8.8 است و بهره‌برداری از آن آسان است (پیچیدگی کم). به منظور بهره‌برداری از این آسیب‌پذیری، مهاجم باید احراز هویت شده باشد. طبق گفته مایکروسافت، این آسیب‌پذیری به طور «محدود و هدفمند» مورد سوء استفاده قرار گرفته است.

این آسیب‌پذیری سرور اکسچینج نسخه 2016 و 2019 را تحت تأثیر قرار می‌دهد. مایکروسافت توصیه می‌کند که فوراً این به‌روزرسانی‌ها را نصب کنید تا بتوانید از محیط خود محافظت کنید. مایکروسافت اسکریپتی ارائه داده است که به کمک آن می‌توانید  سلامت سرورهای اکسچینج سازمان خود را بررسی کنید.

اگر می‌خواهید بدانید که سرورهای شما با استفاده از این باگ مورد حمله واقع شده‌اند یا خیر، می‌توانید این دستور پاورشل را روی هر کدام از سرورهای اکسچینج اجرا کنید تا لاگ رویدادهای مربوط به حملات را ببینید.

Get-EventLog -LogName Application -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

 

اگر لاگی در خروجی این دستور نمایش داده شد، باید آن را به کمک تیم امنیت بررسی کنید.

از آغاز سال 2021 ادمین‌های اکسچینج با موج‌هایی از حملات سنگین دست و پنجه نرم کرده‌اند. این حملات با استفاده از آسیب‌پذیری‌های ProxyLogon و ProxyShell صورت گرفته‌اند. در اوایل مارچ، چند مهاجم با سازمان‌دهی دولتی و با انگیزه‌های مالی از کدهای بهره‌برداری ProxyLogon سوء استفاده کرده‌اند. آنها با کمک این باگ، وب‌شل‌ها، بدافزارهای ارزکاو، باج‌افزار و سایر بدافزارها را روی سیستم‌های قربانی نصب کرده‌اند.

در آگوست، محققان موفق شدند یک کد بهره‌برداری برای آسیب‌پذیری ProxyShell ارائه دهند. پس از آن، مهاجمان با استفاده از این کد، شروع به هک سرورهای اکسچینج کردند. در ابتدا پیلودهایی که هکرها روی سرورهای قربانی نصب می‌کردند بی‌خطر بودند، اما بعداً گروه باج‌افزار LockFile با استفاده از این آسیب‌پذیری و آسیب‌پذیری دیگری به نام PetitPotam، به دامین کنترلرها نفوذ کردند. آنها پس از تسخیر دامین کنترلر، دامین ویندوز را نیز در اختیار می‌گرفتند و باج‌افزار را در سراسر شبکه مستقر می‌کردند.

دور زدن ویژگی امنیتی اکسل

 

آسیب‌پذیری دیگری که مورد سوء استفاده قرار گرفته، CVE-2021-42321 است که اکسل نسخه ویندوز و مک را تحت تأثیر قرار می‌دهد. این باگ هنگام باز کردن فایلی که به طور خاص طراحی شده باشد، باعث اجرای کد می‌شود. مایکروسافت در مورد تأثیرات احتمالی این آسیب‌پذیری توضیحی نداده است. بر خلاف سیستم‌های ویندوزی، هنوز برای آفیس نسخه مک به‌روزرسانی منتشر نشده است.

 

کلمات کلیدی