تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند.
۰
هشدار درباره بهروزرسانی
بهرهبرداری گسترده از آسیبپذیری در Microsoft Exchange
منبع : مرکز مدیریت راهبردی افتا
تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ به عنوان یک آسیبپذیری بسیار خطرناک در 22 بهمن 98 توسط شرکت مایکروسافت اطلاعرسانی شد. کد سوءاستفاده از این آسیبپذیری در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر و خوشبختانه شرکت مایکروسافت اصلاحیه امنیتی مربوط به آن را بلافاصله منتشر کرد.
تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند. نسخ از رده خارج شده که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به CVE-۲۰۲۰-۰۶۸۸ آسیبپذیر هستند. اگر چه در توصیهنامه این شرکت صریحاً از آنها نام برده نشده است.
این آسیبپذیری که Exchange Control Panel (به اختصارECP) از آن تأثیر میپذیرد از ناتوانی Exchange در ایجاد کلیدهای رمزگاری منحصربهفرد در زمان نصب محصول ناشی میشود. بهرهجویی (Exploit) از آسیبپذیری مذکور، مهاجم را قادر میسازد تا کد موردنظر خود را بهصورت از راه دور با سطح دسترسی SYSTEM بر روی سرور اجرا کند.
در عمل هر مهاجم خارجی که موفق به هک دستگاه یا دستیابی به اطلاعات اصالتسنجی حداقل یکی از کاربران سازمان شود، امکان بهرهجویی از این آسیبپذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
متأسفانه با وجود اطلاع رسانیهای متعدد صورت پذیرفته، نشانههایی از آسیبپذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به طور خلاصه به صورت زیر است:
• پویش سرورهای Exchange موجود در بستر اینترنت
• تلاش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از طریق Brute-Force)
• نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange
• ارسال دستوراتی همچون net group "domain admins" و net group "Exchange Trusted Subsystem" به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain
• بارگذاری سایرفایلهای مخرب همچون Mimikatz بصورت یک پاورشل رمز شده
• دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد میشوند (به وسیله Mimikatz)
• نفوذ به شبکه داخلی و سایر سرورهای سازمان
با توجه به موارد بیان شده، مرکز افتا از تمامی دستگاهها درخواست دارد هر چه سریعتر نسبت به بهروزرسانی سرورهای Exchange خود اقدام کرده، از عدم وجود آلودگی بر روی این سرورها اطمینان حاصل کنند. به این منظور شبکهی خود مخصوصا سرور Exchange را مورد بررسی دقیق قرار داده و کلیه فایلهای قابل اجرا بر روی وب سرور از جمله فایلهایی با پسوند aspx,asp,php,ps,ps۱,py,… (بسته به تنظیمات وب سرور) را بررسی کنند.
در گام بعدی مخصوصا در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوطه را از شبکه خارج کرده و یک سرور جدید Exchange با استفاده از اخرین نسخه ارائه شده توسط مایکروسافت راهاندازی نمایند. درصورتی که نیازمند برگرداندن فایلهای پشتیبان خود هستید، این نکته را در نظر داشته باشید که شروع فعالیت مهاجمان دقیقا بعد از انتشار اخبار آسیبپذیری مربوطه بوده است. بنابراین بهتر است که از فایلهای پشتیبان سالم قبل از ۹۸/۱۱/۲۲ استفاده کنید. در مرحله بعد لازم است نامکاربری و رمزعبور تمامی کاربران بهخصوص کاربران با دسترسی بالا بر روی سرور و شبکه تغییر یابد و سیاستهای سختگیرانهای مبنی بر انتخاب رمزعبور اتخاذ شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ به عنوان یک آسیبپذیری بسیار خطرناک در 22 بهمن 98 توسط شرکت مایکروسافت اطلاعرسانی شد. کد سوءاستفاده از این آسیبپذیری در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر و خوشبختانه شرکت مایکروسافت اصلاحیه امنیتی مربوط به آن را بلافاصله منتشر کرد.
تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند. نسخ از رده خارج شده که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به CVE-۲۰۲۰-۰۶۸۸ آسیبپذیر هستند. اگر چه در توصیهنامه این شرکت صریحاً از آنها نام برده نشده است.
این آسیبپذیری که Exchange Control Panel (به اختصارECP) از آن تأثیر میپذیرد از ناتوانی Exchange در ایجاد کلیدهای رمزگاری منحصربهفرد در زمان نصب محصول ناشی میشود. بهرهجویی (Exploit) از آسیبپذیری مذکور، مهاجم را قادر میسازد تا کد موردنظر خود را بهصورت از راه دور با سطح دسترسی SYSTEM بر روی سرور اجرا کند.
در عمل هر مهاجم خارجی که موفق به هک دستگاه یا دستیابی به اطلاعات اصالتسنجی حداقل یکی از کاربران سازمان شود، امکان بهرهجویی از این آسیبپذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
متأسفانه با وجود اطلاع رسانیهای متعدد صورت پذیرفته، نشانههایی از آسیبپذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به طور خلاصه به صورت زیر است:
• پویش سرورهای Exchange موجود در بستر اینترنت
• تلاش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از طریق Brute-Force)
• نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange
• ارسال دستوراتی همچون net group "domain admins" و net group "Exchange Trusted Subsystem" به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain
• بارگذاری سایرفایلهای مخرب همچون Mimikatz بصورت یک پاورشل رمز شده
• دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد میشوند (به وسیله Mimikatz)
• نفوذ به شبکه داخلی و سایر سرورهای سازمان
با توجه به موارد بیان شده، مرکز افتا از تمامی دستگاهها درخواست دارد هر چه سریعتر نسبت به بهروزرسانی سرورهای Exchange خود اقدام کرده، از عدم وجود آلودگی بر روی این سرورها اطمینان حاصل کنند. به این منظور شبکهی خود مخصوصا سرور Exchange را مورد بررسی دقیق قرار داده و کلیه فایلهای قابل اجرا بر روی وب سرور از جمله فایلهایی با پسوند aspx,asp,php,ps,ps۱,py,… (بسته به تنظیمات وب سرور) را بررسی کنند.
در گام بعدی مخصوصا در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوطه را از شبکه خارج کرده و یک سرور جدید Exchange با استفاده از اخرین نسخه ارائه شده توسط مایکروسافت راهاندازی نمایند. درصورتی که نیازمند برگرداندن فایلهای پشتیبان خود هستید، این نکته را در نظر داشته باشید که شروع فعالیت مهاجمان دقیقا بعد از انتشار اخبار آسیبپذیری مربوطه بوده است. بنابراین بهتر است که از فایلهای پشتیبان سالم قبل از ۹۸/۱۱/۲۲ استفاده کنید. در مرحله بعد لازم است نامکاربری و رمزعبور تمامی کاربران بهخصوص کاربران با دسترسی بالا بر روی سرور و شبکه تغییر یابد و سیاستهای سختگیرانهای مبنی بر انتخاب رمزعبور اتخاذ شود.
کد مطلب : 16736
https://aftana.ir/vdccemqs.2bqe18laa2.htmlaftana.ir/vdccemqs.2bqe18laa2.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵