حمله هکرها به سرورهای Exchange با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon برای انتشار بدافزار

حمله هکرها به سرورهای Exchange با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon برای انتشار بدافزار

تاریخ ایجاد

هکرها با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار داده‌اند. هکرها با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا لینک‌های حاوی پیام‌های مخرب، زنجیره آلوده‌سازی را وسیع‌تر می‌کنند. عوامل تهدید از تعدادی تکنیک که جهت گمراه‌سازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده می‌کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر می‌رسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کرده‌اند که برای توزیع ایمیل‌های مخرب بین کاربران داخلی یک شرکت استفاده می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل‌های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند:

  • Microsoft Office Files (.doc, .xls, .ppt)
  • Rich Text Format (.rtf)
  • Portable Document Format (.pdf)
  • Single File Web Page (.mht)
  • Compiled HTML (.chm)
  • Compiled Help File (.chm or .hlp)
  • Shell Executable files (.exe, .com, or .bat)

در این حملات آسیب پذیری‌هایی که مورد سوء استفاده قرار می‌گیرند عبارتند از:

  • CVE-2021-34473: The pre-auth path confusion
  • CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
  • CVE-2021-26855: The pre-authentication proxy vulnerability

توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.

منابع:

https://gbhackers.com/hackers-target-microsoft-exchange-servers/
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/