اخبار امنیت

خانه آگاهی‌رسانی امنیتی اخبار امنیت هزاران سازمان مجهز به سرورهای Microsoft Exchange در چند روز هک شدند!

۱۶ اسفند ۱۳۹۹

تعداد بازدید: 66

هزاران سازمان مجهز به سرورهای Microsoft Exchange در چند روز هک شدند!

وجود چهار آسیب‌پذیری خطرناک در Microsoft Exchange که شرکت مایکروسافت را وادار به ارائه به روزرسانی اضطراری کرد، علاوه بر تیم‌های امنیت سازمان‌ها، هکرها را نیز به تکاپو انداخته است. هکرهای چینی تنها در عرض چند روز صدها حمله بر ضد سازمان‌ها و شرکت‌های بزرگ و کوچک در سراسر دنیا و به خصوص امریکا به راه انداخته‌اند و در جریان این حملات علاوه بر سرقت ایمیل‌های کاربران، موفق به گرفتن کنترل کامل سیستم‌ آن‌ها نیز شده‌اند. البته حملات مهاجمین با سوءاستفاده از حفره‌های امنیتی کشف شده در سرورهای اکسچنج تنها محدود به این چند روز نمی‌شود و در روز ۶ ژانویه  ۲۰۲۱، که کل دنیا مشغول دیدن سخنرانی ریاست جمهوری جو بایدن در کاخ سفید بودند آن‌ها مشغول راه اندازی حملات خود بر ضد سرورهای Microsoft Exchange بوده‌اند. اما در این چند روز این گروه چینی در طیف بسیار وسیعی به رصد اینترنت برای یافتن سرورهای آسیب‌پذیر Microsoft Exchange پرداخته و اقدام به راه اندازی حملات هدفمند در سراسر دنیا کرده‌اند. حتی اگر بلافاصله بعد از انتشار به‌روزرسانی مایکروسافت اقدام به نصب آن‌ها کرده‌اید، باز هم نمی‌توانید آسوده خاطر باشید، ممکن است پیش از این هک شده باشید و در حال حاضر بر روی سرورهایتان Backdoor وجود داشته و هکرها به شبکه‌تان دسترسی داشته باشند. در ادامه به شما در خصوص راهکارهای اساسی برای مقابله با این مشکل توضیح خواهیم داد.

یکی از اهداف اصلی این گروه چینی سازمان‌های تحقیقیاتی هستند که در زمینه بیماری‌های عفونی تحقیق می‌کنند، شاید بتوان هدف آن‌ها از اینکار را مرتبط با واکسن کرونا دانست و علاقه چین به دانستن روند تحقیقات در سایر کشورها که آن‌ها را وادار به سوءاستفاده از سرورهای اکسچنج کرده است. حملات هدفمندی که توسط هکرهای چینی و با سوءاستفاده از حفره‌های امنیتی Microsoft Exchange انجام شده است تنها محدود به حوزه سلامت نمی‌شود و صنایع نفت و گاز و مراکز علمی را نیز شامل شده است. اما جالب است بدانید سوءاستفاده از سرورهای آسیب‌پذیر Microsoft Exchange که از طریق اینترنت قابل دسترس هستند چندان کار سختی نیست و این مهاجمان از طریق یک وب شل و ابزار هکی که بر روی اینترنت موجود است، موفق به گرفتن کنترل کامل سیستم قربانیان شده‌اند. پس اگر از Microsoft Exchange نسخه‌های ۲۰۱۳ تا ۲۰۱۹ در سازمانتان استفاده می‌کنید و هنوز موفق نشده‌اید به‌روزرسانی‌های ارائه شده را نصب کنید باید به شما باید بگوییم در معرض خطر جدی هستید!

حتی اگر شما سازمانی هستید که بلافاصله و بعد از اعلام مایکروسافت به‌روزرسانی‌ها را نصب کرده‌اید باز هم نمی‌توانید آسوده باشید. برخی از شرکت‌های امریکایی که از سرورهای Microsoft Exchange استفاده می‌کنند در سرورهایشان Backdoor کشف کرده‌اند، پس احتمال اینکه سازمانی پیش از این به روزرسانی هدف قرار گرفته باشد کم نیست، یعنی این امکان وجود دارد که بر روی سرورهای سازمانتان در حال حاضر وب شل وجود داشته باشد و شما از آن مطلع نباشید. از این رو مایکروسافت به مشتریانش خدمات ویژه‌ای را در راستای ارزیابی امنیتی در خصوص حفره‌های کشف شده ارائه می‌دهد، اما متاسفانه امکان استفاده از خدمات مایکروسافت در ایران وجود ندارد، اما نگران نباشید شرکت آرمان داده پویان با بهره‌گیری از تیمی متشکل از متخصصین امنیت ارزیابی‌های  لازم را برای شما انجام می‌دهد و در صورت مشاهده هر مورد مشکوکی بلافاصله آن را برطرف می‌کند.

از دیگر نکات قابل توجه ادعای مایکروسافت بر عدم آسیب‌پذیر بودن مشتریانی است که از سرویس‌های آنلاین Microsoft Exchange استفاده می‌کنند، این در حالی است که تحقیقات نشان می‌دهد عمده قربانیان سازمان‎هایی بوده‌اند که از Microsoft Outlook Web Access (OWA) همراه با سرورهای داخلی اکسچنج استفاده می‌کرده‌اند. در خصوص بهترین راهکار ممکن، این شرکت امریکایی علاوه بر نصب به موقع وصله‌های امنیتی به مشتریانش پیشنهاد می‌دهد تا از سرویس‌های ابری Microsoft Exchange استفاده کنند تا بتوانند امنیت را در سطح بالاتری تجربه کنند، اما سوال اساسی این است که مایکروسافت برای محصولاتی که بر مبنای ابر کار نمی‌کنند چه تمهیداتی در نظر دارد؟!

حالا که آسیب‌پذیری موجود در یکی از پرطرفدارترین محصولات مایکروسافت امنیت بسیاری از سازمان‌ها و شرکت‌ها در سراسر دنیا را به چالش کشیده است، بار دیگر اتهام سوءاستفاده از حفره‌های امنیتی موجود در محصولات مایکروسافت در حملات مشهور چند وقت پیش، نیز دوباره مطرح شده است. حملاتی که با سوءاستفاده از Solarwinds Orion و در ابعاد وسیعی بر ضد امریکا انجام شد و حالا برخی معتقدند ازآسیب‌پذیری‌های موجود در Microsoft Exchange نیز در این حملات استفاده شده است، البته شرکت مایکروسافت این ادعا را رد کرده و احتمال ارتباط این حفره‌ها با حملات اخیر را صفر در نظر گرفته است.

چه باید کرد؟

در چند وقت اخیر محصولات پرطرفداری همچون Microsoft Exchange و یا Solarwinds Orion مورد سوءاستفاده مهاجمان در راه اندازی حملات پیشرفته و هدفمند قرار گرفته‌اند. کشف به موقع آسیب‌پذیری‌ها و رفع کردن آن‌ها همواره یکی از راهکارهای موثر بوده است، اما نمی‌توان تنها به این موضوع اکتفا کرد و لزوم استفاده از راهکارهای هوشمند بیش از بیش احساس می‌شود. اگر در شبکه‌تان از راهکارهایی استفاده نکنید که بر مبنای هوش مصنوعی و یادگیری ماشین اقدام به شناخت تهدیدات می‌کنند در دنیای امروزی در معرض خطر جدی خواهید بود. علاوه براین ممکن است آسیب‌پذیری کشف شده را برطرف کنید اما هکرها قبل از اینکار در شبکه شما رخنه کرده باشند و شما از این موضوع مطلع نباشید، پس استفاده از خدماتی مانند Threat Hunting به صورت دائمی و یا دوره‌ای برای سازمان‌ها لازم و واجب است تا فقط حس کاذب امنیت را تجربه نکنند بلکه در واقعیت از امنیت در سطح بالایی بهره‌مند شوند.