به‌روزرسانی کنید
شناسایی چهار آسیب‌پذیری روز صفرم در MICROSOFT EXCHANGE
کد مطلب: 17606
تاریخ انتشار : شنبه ۱۶ اسفند ۱۳۹۹ ساعت ۱۵:۰۷
 
مایکروسافت برای چهار زنجیره‌‌ ‫آسیب‌پذیری روزصفرم موجود در سرور Exchange نسخه‌های ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ که به طور فعال در حال بهره‌برداری است، به‌روزرسانی‌هایی را منتشر کرده است.
شناسایی چهار آسیب‌پذیری روز صفرم در MICROSOFT EXCHANGE
 
 
Share/Save/Bookmark
مایکروسافت برای چهار زنجیره‌‌ ‫آسیب‌پذیری روزصفرم موجود در سرور Exchange به‌روزرسانی‌هایی را منتشر کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)،‌ شرکت مایکروسافت برای چهار زنجیره‌‌ ‫آسیب‌پذیری روزصفرم موجود در سرور Exchange نسخه‌های ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ که به طور فعال در حال بهره‌برداری است، به‌روزرسانی‌هایی را منتشر کرده است.

لذا توصیه می‌شود هرچه سریع‌تر جهت به‌روزرسانی سیستم‌های آسیب‌پذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیب‌پذیری‌های ویندوز به صورت خودکار به‌روزرسانی می‌شود. جهت اعمال به‌روزرسانی‌ها به صورت دستی، می‌توان از جدول موجود در لینک زیر همه به‌روزرسانی‌های منتشر شده را به‌طور مجزا بارگیری و سپس نصب کرد:
https://msrc.microsoft.com/update-guide/vulnerability

از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت ۴۴۳ سرور Exchange دارد، درصورتی‌که امکان وصله کردن سیستم‌های آسیب‌پذیر وجود نداشته باشد، پیشنهاد می‌شود پورت ۴۴۳ برای سیستم‌های آسیب‌پذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهره‌برداری از اولین آسیب‌پذیری این زنجیره، کاسته شود.

استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش می‌دهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمت‌های دیگر زنجیره حمله همچنان فعال خواهند بود.

مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهره‌برداری از آسیب‌پذیری با شناسه CVE-۲۰۲۱-۲۶۸۵۵ که اولین آسیب‌پذیری در زنجیره است، قادر است ایمیل‌ها و اطلاعات حساس را سرقت کند. در ادامه با بهره‌برداری از سه آسیب‌پذیری با شناسه‌های CVE-۲۰۲۱-۲۶۸۵۷، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ امکان اجرای کد از راه دور بر روی سیستم آسیب‌پذیر برای مهاجم فراهم می‌شود. همان‌طور که گفته شد این آسیب‌پذیری‌ها تحت بهره‌برداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیل‌ها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.

در جدول زیر اطلاعات مختصری از آسیب‌پذیری‌های مورد بحث آورده شده است.
مرجع : مرکز ماهر