کشف آسیب‌پذیری‌های خطرناک در نسخه‌های قدیمی Exchange
کد مطلب: 19904
تاریخ انتشار : دوشنبه ۳۰ آبان ۱۴۰۱ ساعت ۱۴:۰۰
 
کارشناسان امنیت سایبری دو آسیب‌پذیری خطرناک در سه نسخه Exchange Server کشف کردند.
کشف آسیب‌پذیری‌های خطرناک در نسخه‌های قدیمی Exchange
 
 
Share/Save/Bookmark
مرکز مدیریت راهبردی افتا: کارشناسان امنیت سایبری دو آسیب‌پذیری خطرناک در سه نسخه Exchange Server کشف کردند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، این دو آسیب‌پذیری دارای شناسه‌های CVE-2022-41082 و CVE-2022-41040 هستند و بهره‌جویی از آنها مهاجمان را قادر می‌کند تا از طریق «ترفیع اختیارات» (Privilege Escalation) و با بکارگیری پروسه‌هایی نظیر PowerShell، کد دلخواه و مخرب را از راه دور در سیستم‌های آسیب‌پذیر اجرا کنند.

یکی از این آسیب‌پذیری‌ها با شناسه CVE-2022-41040 ضعفی از نوع Server-Side Request Forgery است که مهاجم را به ارتقای سطح دسترسی (Elevation of Privilege) بر روی سرور آسیب‌پذیر قادر می‌کند. مایکروسافت شدت این آسیب‌پذیری را «حیاتی» (Critical) گزارش کرده است.

ضعف امینی دوم با شناسه CVE-2022-41082 امکان اجرای کد دلخواه مهاجم را به‌صورت از راه دور (Remote Code Execution – به‌اختصار RCE) بر روی سرورهای هک‌شده فراهم می‌کند. مایکروسافت این آسیب‌پذیری را در دسته ضعف‌های امنیتی «مهم» (Important) قرار داده است.

نسخه‌های زیر نسبت به CVE-2022-41040 و CVE-2022-41082 آسیب‌پذیر گزارش شده‌اند:

Microsoft Exchange Server 2019

Microsoft Exchange Server 2016

Microsoft Exchange Server 2013

مایکروسافت با انتشار به‌روزرسانی‌های امنیتی، وصله این دو ضعف امنیتی را در اصلاحیه‌های نوامبر ۲۰۲۲ منتشر کرد؛ حملات ProxyNotShell حداقل از سپتامبر ۲۰۲۲ شناسایی شده‌اند.

یک هفته پس از انتشار به‌روزرسانی‌های امنیتی ProxyNotShell توسط مایکروسافت، یکی از محققان امنیتی PoC این آسیب‌پذیری‌ها که مهاجمان به آن شیوه از سرورهای Exchange سوءاستفاده کرده‌اند، را افشا کرد.

شرکت GreyNoise از اواخر شهریور ۱۴۰۱، بهره‌جویی از ProxyNotShell را ردیابی کرده است و اطلاعاتی در خصوص پویش فعالیت‌های ProxyNotShell و فهرستی از نشان‌های IP مرتبط با این حملات را در نشانی‌های زیر ارائه داده است.

https://viz.greynoise.io/tag/exchange-proxynotshell-vuln-check?days=۳۰

https://viz.greynoise.io/query/?gnql=tags%۳A%۲۲Exchange%۲۰ProxyNotShell%۲۰Vuln%۲۰Check%۲۲

به گزارش برخی منابع که مهاجمان با سوء استفاده از مجموعه این آسیب‌پذیری‌ها، به نصب پوسته وبی با عنوان Chinese Chopper Web Shell بر روی سرور آسیب‌پذیر Exchange و در ادامه گسترش دامنه نفوذ خود را در سطح شبکه قربانی اقدام کرده‌اند.

احتمال می‌رود که با توجه به انتشار PoC این ضعف‌های امنیتی، بهره‌جویی از آن‌ها در حملات سایبری افزایش یابد؛ توصیه می‌شود برای محافظت در برابر این تهدیدات، در اسرع وقت اعمال اصلاحیه‌های ماه نوامبر ۲۰۲۲ شرکت مایکروسافت در دستور کار قرار گیرد.
مرجع : مرکز مدیریت راهبردی افتا