سرورهای Microsoft Exchange هدف حملات امنیتی قرار گرفتهاند!
آسیبپذیری PowerShell
پژوهشگران امنیتی در خصوص سواستفاده گسترده از آسیبپذیریهای Powershell و اقدام مهاجمان برای نفوذ به سرورهای آسیبپذیر Exchange هشدار داد. گروه باج افزاری Lockfile، پس از نفوذ به سرورهای Exhchange اقدام به نصب این بدافزار در شبکه میکنند. آرمان داده پویان به شما توصیه میکند اگر تا به حال نسبت به نصب به روزرسانیهای مایکروسافت برای رفع آسیبپذیری PowerShell نکردهاید هر چه سریعتر اقدام نمایید.
ProxyShell به مجموعه سه آسیبپذیری اطلاق میگرد:
- CVE-2021-34473 آسیبپذیری از نوع اجرای کد از راه دور (RCE)
- CVE-2021-34523 آسیبپذیری از نوع افزایش سطح دسترسی
- CVE-2021-31207 آسیبپذیری از نوع دور زدن کنترلهای امنیتی
جزئیات این سه آسیبپذیری در جریان مسابقات Pwn2Own و توسط یک محقق امنیتی افشا شد و بعد از این حادثه در سراسر دنیا شاهد فعالیت مهاجمان در راستای پویش سیستمهای آسیبپذیر بودیم از این رو مایکروسافت به سرعت اقدام به ارائه وصلههای امنیتی کرد.
هر سه این آسیبپذیریها از طریق بهروزرسانیهای مایکروسافت در اردیبهشت و تیرماه برطرف شدهاند، اما اگر وصلههای امنیتی را در اثر سهل انگاری هنوز نصب نکردهاید در معرض خطر جدی قرار دارید زیرا یک مهاجم بدون نیاز به احراز هویت و از راه دور قادر به اجرای کدهای مخربش بر روی سروهای Exchange شبکهتان خواهد بود.
حالا این روزها آژانس امنیت ملی امریکا خبر از پویش سروهای آسیبپذیر Exchange توسط مهاجمان داده است، آنها به دنبال نفوذ به این سرورها و نصب بدافزار بر روی آنها و آلوده سازی شبکههای ویندوزی هستند. آنها پس از نفوذ به سرورهای Exchange کدهای Web Shell را از سرور C&C دریافت کرده و بارگذاری میکنند سپس اقدام به نصب یک Backdoor از نوع .NET میکنند و در شبکه تا هر زمان که شناسایی نشوند باقی مانده و به اعمال مخربشان میپردازند.
حالا این کمپین جدید از بدافزار جدیدی به نام LockFile در حملاتش استفاده کرده است. مهاجمان در پشت این کمپین ابتدا از طریق آسیبپذیری ProxyShell به سرورهای Exchange نفوذ میکنند سپس از طریق آسیبپذیری PetiPotam به سرور DC (Domain Controler) نفوذ میکنند و بعد از این کنترل شبکه را در اختیار گرفته و اقدام به آلوده کردن سیستمها به بدافزار LockFile میکنند. پس از این مرحله بدافزار نصب شده اقدام به رمزگذاری فایلهای قربانیان با پسوند .lockfile میکند.
موثرترین راهکار برای مقابله با این حملات نصب به روزرسانیهای امنیتی مایکروسافت برای برطرف کردن آسیبپذیریهای ProxyShell و همچنین آسیبپذیری Windows LSA Spoofing برای جلوگیری از حملات NTLM Relay میباشد.