مایکروسافت هشدار داد که دو آسیبپذیری zero-day رفع نشده علیه Exchange Server مورد سوء استفاده قرار میگیرند، این مساله برای برخی از محققان باعث ایجاد déja vu میشود.
تاریخ انتشار: 30 سپتامبر 2022
دو آسیبپذیری zero-day در Microsoft Exchange Server ، تقریباً دو سال پس از حملات مشابه روی نرمافزار سرور ایمیل که طیف وسیعی از سازمانها را تحت تأثیر قرار داد، همچنان مورد سوء استفاده قرار میگیرند.
در پست وبلاگی پنجشنبه شب، مایکروسافت تأیید کرد که در حال بررسی آسیبپذیریهای گزارش شده Exchange Server است و “از حملات هدفمند محدود آگاه است.”
با وجودی که این غول نرم افزاری همچنان در حال کار بر روی patchهای امنیتی برای zero-dayها است، اقداماتی در ارتباط با کاهش تاثیرات مخرب برای مشتریان داخلی را نیز ارائه کرده است.
نقص جعل درخواست سمت سرور (SSRF) به عنوان CVE-2022-41040 ردیابی آسیبپذیری اجرای کد از راه دور (RCE) به CVE-2022-41082 اختصاص داده شده است.
مشابه آسیبپذیریهای ProxyShell در Exchange Server که سال گذشته فاش شد، مهاجمان این آسیبپذیریها را برای دسترسی به سیستمهای کاربران chaining میکنند، اگرچه این آسیبپذیریها فقط بر سرورهای Microsoft Exchange 2013، 2016 و 2019 تأثیر میگذارند.
مرکز پاسخگویی امنیتی در پست وبلاگ نوشت: “در این حملات، CVE-2022-41040 میتواند یک مهاجم احراز هویت شده را قادر سازد تا از راه دور CVE-2022-41082 را راه اندازی کند. لازم به ذکر است که دسترسی تایید شده به Exchange Server آسیبپذیر برای سوء استفاده موفقیت آمیز از هر یک از این دو حفره امنیتی ضروری است.”
علاوه بر این، مایکروسافت اعلام کرد که حملات موفقیت آمیز نیاز به دسترسی PowerShell دارند.
با وجودی که در حال حاضر هیچ patch در دسترس نیست، مایکروسافت از مشتریان میخواهد دستورالعملهای URL Rewrite را که زنجیره سوء استفاده را مسدود و پورتهای PowerShell کنترل از راه دور آشکار را مسدود میکند، اعمال کنند. به گفته این وبلاگ، مسدود کردن این پورتها میتواند مانع از ایجاد نقص RCE توسط مهاجمان تأیید شدهای شود که میتوانند به PowerShell دسترسی داشته باشند.
حتی زمانی که راه حلی در دسترس است، مشکلات مربوط به سرورهای Exchange در گذشته نشان میداد که سازمانها به کندی patch میشوند، که این مساله میتواند عواقب ناگواری داشته باشد.
شباهتهای ProxyLogon
شرکت امنیت سایبری ویتنامی GTSC اولین بار در ماه گذشته در حین انجام خدمات پاسخگویی به حادثه، این نقص امنیتی را مشاهده کرد. هنگامی که محققان دریافتند این نقص به دلیل ماهیت RCE آن حیاتی است، GTSC آن را به بنیاد zero-day (ZDI) فرستاد که آن را به عنوان دو CVE مجزا با امتیازات CVSS 6.6 و 8.8 طبقه بندی کرد.
این timeline شباهتهایی به ProxyLogon دارد (مجموعه دیگری از چهار آسیبپذیری که سال گذشته بر سرورهای Exchange تأثیر گذاشت).
این نقصها عاملان تهدید را قادر میسازند تا به حسابهای ایمیل دسترسی داشته باشند و از آن مهمتر، از طریق backdoorها حضور طولانیتری در محیطهای قربانی داشته باشند.
در هر دو مورد، سوء استفاده پس از گزارش آسیبپذیریها، و قبل از افشای عمومی و patch آنها آغاز شد. در مورد ProxyLogon، عوامل تهدید، از جمله یک گروه چینی معروف به Hafnium، قبل از انتشار patchهای امنیتی مایکروسافت، از آسیبپذیریهای zero-day برای حمله به بسیاری از سازمانها استفاده کردند. آمار اعلام شده نشان میدهد تا 60000 یا حتی بیشتر از سرورهای Exchange ممکن است آسیبپذیر بوده باشند.
Kevin Beaumont، محقق مستقل امنیتی، شباهتهای بیشتری را در توییتر و در یک پست وبلاگی در روز پنجشنبه به اشتراک گذاشت که در آن از نقصها به عنوان “ProxyNotShell” یاد کرد.
او تأیید کرد که “تعداد قابل توجهی از سرورهای Exchange در backdoor قرار گرفتهاند – از جمله یک honeypot“
Beaumont همچنین چندین مقایسه ProxyShell، از جمله مسیر و همان زنجیره SSRF/RCE را مشخص کرد، با این تفاوت که یک کاربر باید احراز هویت شود تا بتواند از جدیدترین نقصها سوء استفاده کند.
یکی دیگر از نقطه اشتراکهایی که کشف کرد، رشته درخواست بود که نمایانگر ProxyShell از سال 2021 است. Beaumont در وبلاگ نوشت: “به نظر میرسد patchهای ProxyShell از اوایل سال 2021 این مشکل را برطرف نکردند.” و اضافه کرد که کاهش تاثیرات برای zero-dayهای فعلی مانند مشکل ProxyShell PowerShell RCE است.