ابزار آشکارساز آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ در سرویس Exchange شرکت مایکروسافت به کوشش مرکز مدیریت راهبردی افتا منتشر شد.
منبع : مرکز مدیریت راهبردی افتا
ابزار آشکارساز آسیبپذیری CVE-۲۰۲۰-۰۶۸۸ در سرویس Exchange شرکت مایکروسافت به کوشش مرکز مدیریت راهبردی افتا منتشر شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز مدیریت راهبردی افتا با همکاری شرکت رها (راهکار هوشمند امن) اقدام به تولید یک ابزار آشکارساز برای شناسایی آسیبپذیری شناسه CVE-۲۰۲۰-۰۶۸۸ و تشخیص شواهد نفوذ مربوط به آن، کرده است.
به گزارش روابط عمومی این مرکز، کد منبع اولین نسخه این ابزار با هدف اشتراک دانش با کارشناسان این حوزه از طریق پایگاه اطلاع رسانی این مرکز منتشر شده است. با توجه به اهمیت موضوع، مرکز افتا همچنین از کارشناسان و تحلیلگران مراکز عملیات امنیت زیرساختهای کشور خواسته است تا برای بهبود عملکرد ابزار معرفی شده این مرکز، پیشنهادات خود را با را عنوان CVE-۲۰۲۰-۰۶۸۸ به ایمیل Cert@afta.gov.ir ارسال کنند.
شرکت مایکروسافت آسیبپذیری سرویس Exchange با شناسه CVE-۲۰۲۰-۰۶۸۸ را به عنوان یک آسیبپذیری بسیار خطرناک در روز ۲۲ بهمن ۹۸، اطلاعرسانی و اصلاحیه امنیتی مربوط به آن را منتشر کرد و کد سوءاستفاده از این آسیبپذیری نیز در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد.
تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند. نسخ از رده خارجی که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به شناسه CVE-۲۰۲۰-۰۶۸۸ آسیبپذیر هستند. اگر چه در توصیه نامه این شرکت صریحاً از آنها نام برده نشده است.
این آسیبپذیری که Exchange Control Panel (به اختصار ECP) از آن تأثیر میپذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزگاری منحصر به فرد در زمان نصب محصول ناشی میشود. مهاجم با استفاده از آسیبپذیری مذکور میتواند کد مورد نظر خود را از راه دور با سطح دسترسی SYSTEM بر روی سرور اجرا کند.
در عمل هر مهاجمی که موفق به دستیابی به اطلاعات اصالت سنجی حداقل یکی از کاربران سازمان شود، امکان بهره جویی از این آسیب پذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
متأسفانه با وجود اطلاع رسانیهای متعدد صورت پذیرفته، نشانههایی از آسیبپذیری و آلودگی سرورهای مختلفی در سطح کشور مشاهده میشود.
با بررسی تکنیکهای استفاده شده در این مجموعه حملات، میتوان این نتیجه را گرفت که استفاده از روشهای تشخیص مبتنی بر امضا، به هیچ عنوان نمیتوانند راهکاری برای تشخیص اینگونه حملات باشند. به عبارت دیگر وجود تحلیلگر خبره در مراکز عملیات امنیت و استفاده از ابزار تشخیصی مبتنی بر رفتار، لازمه تشخیص حملاتی از این دست، خواهد بود.
مرکز مدیریت راهبردی افتا از تحلیلگران و کارشناسان مراکز عملیات امنیت میخواهد تا بعد از مطالعه فایل راهنما، ابزار آشکار ساز تحت عنوان CVE-۲۰۲۰-۰۶۸۸_Detector.exe را بر روی سرورهای Exchange اجرا (حتی اگر به آخرین نسخه بهروزرسانی شده است) و درصورت وجود شواهدِ نفوذ، مراتب را سریعا منعکس کنند.
با توجه به اینکه در مواردی دیده شده که بهروزرسانی سرور Exchange بعد از نفوذ مهاجمان شکل گرفته است، این احتمال وجود دارد که دسترسی مهاجمین حتی بعد از بهروزرسانی همچنان برقرار باشد. همچنین این احتمال وجود دارد که مهاجم با گسترش دسترسی خود به قسمتهای دیگر شبکه قربانی، وب شل و یا سایر ابزار مخرب اولیه خود را از روی سرور Exchange پاک کرده باشد.
برای دریافت فایل راهنما، کد منبع و فایل اجرایی آشکارساز، اینجا کلیک کنید.