شرکت مایکروسافت برای چهار زنجیرهی آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای 2013، 2016 و 2019 که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است؛ لذا توصیه میشود هرچه سریعتر جهت بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود. جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر کلیه بهروزرسانیهای منتشر شده را به طور مجزا بارگیری و سپس نصب نمود:
https://msrc.microsoft.com/update-guide/vulnerability
از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت 443 سرور Exchange دارد، درصورتیکه امکان وصله کردن سیستمهای آسیبپذیر وجود نداشته باشد، پیشنهاد میشود پورت ۴۴۳ برای سیستمهای آسیبپذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهرهبرداری از اولین آسیبپذیری این زنجیره، کاسته شود.
استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش میدهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمتهای دیگر زنجیره حمله همچنان فعال خواهند بود.
جزییات آسیبپذیریها
مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهرهبرداری از آسیبپذیری با شناسه CVE-2021-26855 که اولین آسیبپذیری در زنجیره است، قادر است ایمیلها و اطلاعات حساس را سرقت کند؛ در ادامه با بهرهبرداری از سه آسیبپذیری با شناسههای CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065 امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر برای مهاجم فراهم میشود. همانطور که گفته شد این آسیبپذیریها تحت بهرهبرداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیلها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.
علاوه بر چهار آسیبپذیری روز صفرم، مایکروسافت در این بهروزرسانی دو آسیبپذیری دیگر با شدت 9.1 را نیز وصله کرده است که بهرهبرداری از آن منجر به اجرای کد از راه دور توسط مهاجم میشود. در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
منابع:
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange…
- 67