آسیب پذیری‌ها

سرورهای Microsoft Exchange هدف حملات امنیتی قرار گرفته‌اند!
۲ شهریور ۱۴۰۰
تعداد بازدید: 0

سرورهای Microsoft Exchange هدف حملات امنیتی قرار گرفته‌اند!


آسیب‌پذیری PowerShell

پژوهشگران امنیتی در خصوص سواستفاده گسترده از آسیب‌پذیری‌های Powershell و اقدام مهاجمان برای نفوذ به سرورهای آسیب‌پذیر Exchange هشدار داد. گروه باج افزاری Lockfile، پس از نفوذ به سرورهای Exhchange اقدام به نصب این بدافزار در شبکه می‌کنند. آرمان داده پویان به شما توصیه می‌کند اگر تا به حال نسبت به نصب به روزرسانی‌های مایکروسافت برای رفع آسیب‌پذیری PowerShell نکرده‌اید هر چه سریعتر اقدام نمایید.

ProxyShell به مجموعه سه آسیب‌پذیری اطلاق می‌گرد:

  • CVE-2021-34473  آسیب‌پذیری از نوع اجرای کد از راه دور (RCE)
  • CVE-2021-34523  آسیب‌پذیری از نوع افزایش سطح دسترسی
  • CVE-2021-31207  آسیب‌پذیری از نوع دور زدن کنترل‌های امنیتی

جزئیات این سه آسیب‌پذیری در جریان مسابقات Pwn2Own و توسط یک محقق امنیتی افشا شد و بعد از این حادثه در سراسر دنیا شاهد فعالیت مهاجمان در راستای پویش سیستم‌های آسیب‌پذیر بودیم از این رو مایکروسافت به سرعت اقدام به ارائه وصله‌های امنیتی کرد.

هر سه این آسیب‌پذیری‌ها از طریق به‌روزرسانی‌های مایکروسافت در اردیبهشت و تیرماه برطرف شده‌اند، اما اگر وصله‌های امنیتی را در اثر سهل انگاری هنوز نصب نکرده‌اید در معرض خطر جدی قرار دارید زیرا یک مهاجم بدون نیاز به احراز هویت و از راه دور قادر به اجرای کدهای مخربش بر روی سروهای Exchange شبکه‌تان خواهد بود.

حالا این روزها آژانس امنیت ملی امریکا خبر از پویش سروهای آسیب‌پذیر Exchange توسط مهاجمان داده است، آن‌ها به دنبال نفوذ به این سرورها و نصب بدافزار بر روی آن‌ها و آلوده سازی شبکه‌های ویندوزی هستند. آن‌ها پس از نفوذ به سرورهای Exchange کدهای Web Shell را از سرور C&C دریافت کرده و بارگذاری می‌کنند سپس اقدام به نصب یک Backdoor از نوع .NET می‌کنند و در شبکه‌ تا هر زمان که شناسایی نشوند باقی مانده و به اعمال مخربشان می‌پردازند.

حالا این کمپین جدید از بدافزار جدیدی به نام LockFile در حملاتش استفاده کرده است. مهاجمان در پشت این کمپین ابتدا از طریق آسیب‌پذیری ProxyShell به سرورهای Exchange نفوذ می‌کنند سپس از طریق آسیب‌پذیری PetiPotam به سرور DC (Domain Controler) نفوذ می‌کنند و بعد از این کنترل شبکه را در اختیار گرفته و اقدام به آلوده کردن سیستم‌ها به بدافزار LockFile می‌کنند. پس از این مرحله بدافزار نصب شده اقدام به رمزگذاری فایل‌های قربانیان با پسوند .lockfile می‌کند.

موثرترین راهکار برای مقابله با این حملات نصب به روزرسانی‌های امنیتی مایکروسافت برای برطرف کردن آسیب‌پذیری‌های ProxyShell و همچنین آسیب‌پذیری Windows LSA Spoofing برای جلوگیری از حملات NTLM Relay می‌باشد.


تازه ترین ها