اخبار
یک #آسیبپذیری روز صفرم بحرانی که سرویسهای Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار میدهد امکان ثبت دامنههای مخرب homograph توسط مهاجمان را فراهم میکند. ثبت موفقیتآمیز این دامنهها که ظاهری مشابه دامنهها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنههای homograph متعددی که گواهینامههای HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنههای مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنهها را میتوان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنههای زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنههای اصلی هستند و این موضوع میتواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان میتواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنههای فوق نشان میدهد که ثبت دامنههایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکانپذیر است.
این آسیبپذیری همهی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده میکنند را تحت تاثیر قرار میدهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، میتوان این آسیبپذیری را یک آسیبپذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/
نقض بحرانی در سرویس PPP Daemon لینوکس، اجرای دستورات مخرب از راه دور را برای مهاجم فراهم میکند.
اخیراً سازمان US-CERT در مورد یک آسیبپذیری اجرای کد از راه دور 17 ساله خطرناک در نرم افزار PPP daemon (pppd) که روی بیشتر سیستمعاملهای مبتنی بر لینوکس به طور پیشفرض نصب شده است و همچنین سختافزار بسیاری از دستگاههای متصل به شبکه دیگر را به خود اختصاص میدهد، هشدار داد.
نرمافزار pppd تحت تاثیر، پیاده سازی پروتکل (PPP)Point-to-Point است که ارتباط و انتقال داده را بین نودهای شبکه امکانپذیر میکند و در درجه اول برای ایجاد لینکهای اینترنتی مانند مودمهایdial-up، اتصالات پهن باند DSL و شبکههای خصوصی مجازی (VPN) استفاده میشود.
این آسیبپذیری بحرانی توسط محقق امنیتی Ilja Van Sprundel کشف شده است، و یک نوع سرریز بافر در پشته است که به دلیل یک خطای منطقی در تجزیه کننده در پشته پروتکلExtensible Authentication Protocol (EAP) موجود در نرمافزار pppd اتفاق میافتد.
این آسیبپذیری، به عنوان CVE-2020-8597 با شدت CVSS 9.8 محاسبه شده است و میتواند توسط مهاجمان غیرمجاز مورد سوءاستفاده قرار گیرد تا از راه دور کد دلخواه را روی سیستمهای آسیب دیده اجرا کرده و کنترل کامل آنها را به دست گیرند.
1 درباره آسیبپذیری
مهاجم با ارسال یک بسته EAP ناخواسته به یک کلاینت یا یک سرور آسیبپذیرکنترل سیستم را به دست میگیرد. علاوه بر این، از آنجا که pppd اغلب با امتیازات بالا اجرا شده و در رابطه با درایورهای kernel کار میکند، این نقص میتواند به مهاجمان اجازه دهد کدهای مخرب را به طور بالقوه با امتیازات سطح root اجرا کنند.
طبق گفته محققان، این آسیبپذیری به دلیل خطا در اعتبارسنجی اندازه ورودی قبل از کپی کردن دادههای ارسال شده به حافظه است. نادرست بودن اعتبارسنجی اندازه دادهها، باعث اجرای کد ناخواسته، کپی دادههای دلخواه در حافظه و ایجاد فساد حافظه خواهد شد. این آسیبپذیری در منطق کد تجزیه EAPاست، به ویژه در توابع eap_ Ask () و eap_response () در eap.c که توسط یک کنترل کننده ورودی شبکه فراخوانی میشود.
تصور اینکه اگر EAP فعال نباشد pppd آسیبپذیر نیست، یا اینکه EAP با یک شخص از راه دور با استفاده از یک عبارت رمز شده یا یک عبارت، مبادله نشده است، نادرست است. این مسئله به این دلیل است که یک مهاجم اعتبارسنجی شده میتواند قادر به ارسال بسته EAP ناخواسته برای ایجاد سرریز بافر باشد.
1-1 باگ pppd: سیستمهای عامل و دستگاههای تحت تأثیر
به گفته این محقق، نسخههای 2.4.2 تا 2.4.8 از نرمافزار Daemon Protokoll Point-to-Point (همه نسخههای منتشر شده در 17 سال گذشته)، در برابر این آسیبپذیری جدید اجرای کد از راه دور آسیبپذیر هستند.
برخی از توزیعهای پرکاربرد و محبوب لینوکس، که در زیر ذکر شده است، در حال حاضر تحت تاثیر این آسیبپذیری قرار گرفته و بسیاری دیگر نیز به احتمال زیاد تحت تأثیر قرار خواهند گرفت.
Debian
Ubuntu
SUSE Linux
Fedora
NetBSD
Red Hat Enterprise Linux
علاوه بر این، سایر برنامهها و دستگاههای آسیبپذیر (برخی از آنها در زیر ذکر شده است) که نرم افزار pppd را ارسال میکنند نیز گسترده است و احتمال حمله مهاجمان را افزایش میدهد.
Cisco CallManager
TP-LINK products
OpenWRT Embedded OS
Synology products
به کاربران دارای سیستم عامل و دستگاههای آسیبدیده توصیه میشود هرچه سریعتر وصلههای امنیتی را اعمال کنند.
2 مراجع
[1] https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html?m=1
اهداف مالی، همواره یکی از محرک های جدی برای مجرمان سایبری بوده است و همچنین همواره مهاجمان برای استخراج رمزارزها، اقدام به سوءاستفاده از قدرت محاسباتی سیستم های کاربران و سرورها کرده اند. استخراج رمزارزها از جمله روش هایی است که منجر به تولید آسان و بدون ریسک پول می شود؛ از این رو بدافزارهای استخراج کننده روی دستگاه ها در حال افزایش و روش ها و تکنیک های مورد استفاده برای این کار، در حال پیشرفت هستند. در این گزارش به بررسی یك بدافزار جدید برای استخراج رمزارزها به نام Lemon_Duck می پردازیم که از اکسپلویت Eternalblue برای انتشار در شبكه استفاده می کند.
اخیرا محققان یک آسیب پذیری بحرانی در مودم های کابلی پیدا کرده اند که ممکن است صدها میلیون مودم را در سراسر جهان تحت تاثیر قرار دهد. این آسیب پذیری مربوط به سیستم های روی یک تراشه Broadcom است که در بسیاری از مودم های کابلی مورد استفاده قرار می گیرد، به ویژه در نرم افزارهایی برای مقاومت در برابر افزایش قدرت سیگنال، تحلیلگر spectrum را اجرا می کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.
سازمان #NVIDIA در تاریخ 28 فوریه یک بهروزرسانی امنیتی برای درایور GPU Display ارائه کرده که آسیبپذیریهای مهم و بحرانی را برطرف میکند و در سیستمهای ویندوزی آسیبپذیر میتواند منجر به حملات اجرای کد مخرب، ارتقای سطح دسترسی، افشای اطلاعات و منع سرویس شود. بهرهبرداری از حفرههای امنیتی برطرف شده در این بهروزرسانی فقط توسط کاربران محلی امکانپذیر است و مهاجمان از راه دور امکان بهرهبرداری از آسیبپذیری را ندارند.
همچنین بهروزرسانی منتشر شده شامل دو آسیبپذیری با حساسیت متوسط درGPU Display و سه آسیب پذیری در نرمافزار گرافیکی vGPU است که میتواند منجر به حملات منع سرویس شود.
مهاجمان با بهرهبرداری از چندین #آسیبپذیری روز صفرم در سه افزونه مشهور وردپرسی، وبسایتهای وردپرسی را هدف قرار دادند. این سه افزونه عبارت است از:
1. Async JavaScript: این افزونه با افزودن خاصیت Async به لینکهای خارجی جاوا اسکریپت باعث به تاخیر افتادن لود آنها میشود و این امر سبب افزایش سرعت سایت وردپرسی خواهد شد.
2. Modern Events Calendar Lite: یک سیستم مدیریت رویداد و رزرواسیون که توانایی ایجاد بینهایت رویداد در روزهای مختلف را دارد. از ویژگیهای این افزونه میتوان به طبقهبندی رویدادها، سیستم تکرار رویداد، تعیین مکان و سیستم شمارش معکوس رویداد اشاره کرد.
3. 10Web Map Builder for Google Maps: این افزونه امکان افزودن نقشه به سایت وردپرسی را فراهم میکند.
مهاجمان سایتهای وردپرسی را از طریق بهرهبرداری از آسیبپذیریهای متعدد XSS در سه افزونههای مذکور و با تزریق کد جاوا اسکریپت هدف قرار دادند. آسیبپذیری Cross-site scripting (XSS) به مهاجم اجازه تزریق کد مخرب جاوا اسکریپت را میدهد که با بازدید قربانی از وب سایت هدف، اجرا میشود. با اجرای کد مخرب، مهاجم با ساخت یک حساب آدمین و به نوعی ایجاد بکدور زمینه را برای حملات آینده فراهم میکند.
1 آسیبپذیریهای روز صفرم در افزونهها
اخیراً آسیبپذیری روز صفرم مشابهی از نوع XSS در افزونه Flexible Checkout Fields for WooCommerce که به مهاجم اجازه تغییر تنظیمات افزونه را میداد، وصله شده است. آسیبپذیری XSS دیگری در افزونه Async JavaScript با تزریق یک payload مخرب، کدهای جاوا اسکریپت را زمانی که آدمین از قسمتهای خاصی از داشبورد بازدید میکند، اجرا میکند. توسعه دهنده این افزونه که بیش از 100.000 نصب فعال دارد، بعد از گزارش این آسیبپذیری توسط Wordfence، وصله امنیتی آن را منتشر کرد.
به گزارش Wordfence سومین مورد آسیبپذیری XSS در افزونه 10Web Map Builder for Google Maps که بیش از 20.000 نصب فعال دارد، فرآیند نصب افزونه وجود دارد. توابع مربوط به نصب و راهاندازی افزونه در «admin_init» که بدون نیاز به احراز هویت در دسترس کاربران است، فراخوانی میشود. درنتیجه اگر مهاجم به مقدار مشخصی در تنظیمات افزونه، کد مخرب جاوا اسکریپت تزریق کند، با بازدید داشبورد توسط آدمین و یا بازدید سایت توسط خود کاربران کد مخرب اجرا میشود. به کاربران این افزونه توصیه میشود تا در اسرع وقت به بهروزرسانی به نسخه 1.0.64 اقدام کنند.
آسیبپذیری گزارش شده در افزونه Modern Events Calendar Lite که بیش از 40.000 نصب فعال دارد، نیز از نوع XSS است. این افزونه actionهای AJAX متعددی برای کاربران لاگین شده ثبت میکند که به کاربران با دسترسی پایین امکان دستکاری دادهها و تزریق payloadهای XSS را فراهم میکند. این آسیبپذیری در در نسخه 5.1.7 برطرف شده است.
2 مراجع
[1] https://gbhackers.com/plugin-zeroday/
شرکت #گوگل یک آسیبپذیری بحرانی را در تراشههای MediaTek rootkit وصله کرده است که میلیونها دستگاه دارای این تراشه را تحت تآثیر قرار میدهد.
MediaTek یک شرکت بزرگ تولید کننده تراشه در تایوان است که تراشههایی را برای ارتباطات بیسیم، تلویزیونهای با وضوح بالا و دستگاههایی مانند تلفنهای هوشمند و تبلتها تولید میکند.
آسیبپذیری MediaTek
این آسیبپذیری با شناسه "CVE-2020-0069" اولین بار توسط اعضای انجمن XDA کشف و شناسایی شد. این باگ از آوریل سال 2019 در اینترنت قرار گرفت و اکنون مهاجمان اکسپلویت آن را آغاز کردهاند.
سال گذشته شرکت MediaTek، وصله امنیتی را جهت رفع این آسیبپذیری منتشر کرد اما مهاجمان با نصب یک برنامه مخرب بر روی دستگاه، همچنان توانستند آن را مورد اکسپلویت قرار دهند. این اکسپلویت، تمام چیپستهای 64 بیتی MediaTek شامل Motorola، OPPO، Sony، Alcatel، Amazon، ASUS، Blackview، Realme، Xiaomi و سایر دستگاهها را تحت تآثیر قرار میدهد.
آسیبپذیری ذکر شده به هر کاربر اجازه میدهد تا دسترسی روت داشته باشد و به راحتی و تنها با کپی کردن این اسکریپت در یک پوشه موقت، ارائه مجوز اجرا و سپس اجرای آن، ماژول امنیتی SELinux لینوکس را در دستگاه خود نصب کند.
آسیبپذیری دیگری که توسط گوگل وصله شده است دارای شناسه اختصاصی " CVE-2020-0032" است که میتواند با استفاده از یک فایل ساختگی مخرب برای اجرای کد دلخواه در چارچوب یک فرآیند خاص، مورد اکسپلویت قرار گیرد.
به گفته محققان آزمایشگاه های تحقیقاتی #ESET، اخیراً یک آسیب پذیری جدی در تراشه های Wi-Fi کشف شده است که میلیاردها دستگاه در سراسر جهان را تحت تأثیر قرار می دهد. آسیب پذیری KrØØk مربوط به یک کلید رمزگذاری تمام صفر در تراشه های Wi-Fi است که ارتباطات دستگاه های آمازون، اپل، گوگل، سامسونگ و دیگر دستگاه ها را افشا می کند. این آسیب پذیری، به مهاجمان امکان می دهد تا بتوانند ارتباطات Wi-Fi را شنود کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.
برای دریافت پیوست کلیک نمایید
شرکت #Zyxel اعلام کرد که یک آسیب پذیری به شناسه CVE-2020-9054 در دستگاه ذخیره ساز متصل به شبکه یا NAS کشف کرده است که به مهاجم اجازه می دهد تا از راه دور و بدون احراز هویت کدهای مخرب را در دستگاه آسیب پذیر اجرا کند.
کد بهره برداری از این آسیب پذیری به صورت عمومی منتشر شده است.
دستگاه های ZyXEL NAS با استفاده از برنامه weblogin.cgi احراز هویت انجام می دهند. آسیب پذیری در این برنامه که در قسمت وارد کردن نام کاربری وجود دارد باعث می شود که مهاجم بتواند کاراکترهای خاصی را در این قسمت وارد کند و به این ترتیب کدهای مخرب را از این طریق به دستگاه تزریق کند. با اینکه در این حالت وب سرور با دسترسی root فعال نیست ولی مهاجم می تواند با تنظیم uid، دسترسی خود را به کاربر root تغییر دهد و با بالاترین سطح دسترسی کدهای دلخواه خود را اجرا کند.
به طور کلی دستگاه های NAS که نسخه firmware آن ها 5.21 و قبل از آن می باشد آسیب پذیر هستند. ZyXEL برای مدل¬های زیر به روز رسانی منتشر کرده است بنابراین به کاربران این مدل از NAS ها توصیه می شود تا هرچه سریع¬تر این به روز رسانی را نصب کنند:
• NAS326
• NAS520
• NAS540
• NAS542
اما ZyXEL برای مدل های زیر به روز رسانی منتشر نکرده است چون دیگر از این مدل ها پشتیبانی نمی کند. بنابراین به کاربران این مدل از NAS ها که در زیر نام برده شده توصیه می شود تا در صورت امکان دسترسی این تجهیزات از اینترنت را قطع کنند و یا برای امن سازی، آن را در پشت فایروال قرار دهند.
• NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2
منبع
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml
شرکت #مایکروسافت اخیراً وصله امنیتی را برای تمامی نسخه های Microsoft Exchange انتشار داده است که این وصله امنیتی یک نقص اجرای کد از راه دور (RCE) را مرتفع می سازد. این نقص به مهاجم این امکان را می دهد تا با ارسال payload دستکاری شده بتواند دستورات خود را در سرور اجرا کند. محققین اکسپلویت و کد مخرب بهره برداری از این آسیب پذیری را در تاریخ 24 فوریه 2020 منتشر کرده اند.
این آسیب پذیری بر روی Exchange Control Panel(ECP) تاثیرگذار خواهد بود و در تمامی نسخه های Exchange Server به دلیل داشتن کلید اعتبارسنجی و الگوریتم یکسان بر روی فایل web.config صدق می کند. آسیب پذیری بصورت authenticated است و مهاجم برای اجرا، نیازمند اطلاعات ورود به یک حساب کاربری می باشد.
نحوه عملکرد Exploit
ابتدا Exploit از طریق یک درخواست post از طریق /owa/auth.owa احراز هویت می شود. این درخواست post حاوی نام کاربری و رمز عبور معتبر است. پس از احراز هویت موفق، Exploit از صفحه ecp/default.aspx/ درخواست می کند تا محتوای --VIEWSTATEGENERATOR و ASP.NET.SessionID را بدست آورد. با استفاده از اطلاعات به دست آمده از --VIESTATEGNERATOR این بار Exploit یک payload سریالی را که حاوی دستورات مخرب است ساخته و سپس به /ecp/default.aspx ارسال می کند.
لیست زیر صفحاتی هستند که تحت تاثیر این آسیب پذیری قرار می گیرند:
• /ecp/default.aspx
• /ecp/PersonalSettings/HomePage.aspx
• /ecp/PersonalSettings/HomePage.aspx4E
• /ecp/Organize/AutomaticReplies.slab
• /ecp/RulesEditor/InboxRules.slab
• /ecp/Organize/DeliveryReports.slab
• /ecp/MyGroups/PersonalGroups.aspx
• /ecp/MyGroups/ViewDistributionGroup.aspx
• /ecp/Customize/Messaging.aspx
• /ecp/Customize/General.aspx
• /ecp/Customize/Calendar.aspx
• /ecp/Customize/SentItems.aspx
• /ecp/PersonalSettings/Password.aspx
• /ecp/SMS/TextMessaging.slab
• /ecp/TroubleShooting/MobileDevices.slab
• /ecp/Customize/Regional.aspx
• /ecp/MyGroups/SearchAllGroups.slab
• /ecp/Security/BlockOrAllow.aspx
نحوه تشخیص نفوذ
• Event Logs
این Exploit یک رویدادSYSMON با شماره 4 را در لیست رویدادهای برنامه (Application logs) ایجاد می کند. پیام ERROR که در لیست رویدادها وجود دارد، شامل صفحه هدف و همچنین Payload سریالی می باشد. از آنجا که می تواند چندین صفحه را مورد هدف قرار دهد، هشدار بر روی آدرس های /ecp/root که دارای متغیر بزرگ _VIEWSTATE باشد می تواند برای شناسایی آن مثمر ثمر واقع شود.
• IIS Logs
اولین شاخص شناسایی، گروهی از درخواست ها در log می باشد که با درخواست های post به مقصد /owa/auth.owa شروع می-شود و پس از آن درخواست های متعدد GET به یکی از URL های هدف که پیش تر لیستی از آنها آورده شده اتفاق می افتد که یکی از آن ها حاوی متغیر --VIEWSTATE می باشد. _VIEWSTATE هرگز نباید به عنوان بخشی از درخواست های GET ارسال شود.
2020-02-27 16:23:01 172.24.0.11 POST /owa/auth.owa &CorrelationID=;&cafeReqId=9cbf6d69-3637-4259-8156-af22cd591e77;&encoding=; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0
2020-02-27 16:23:01 172.24.0.11 GET /ecp &CorrelationID=;&cafeReqId=bbdc52ec-fc63-44e5-8c04-ece4e94dcc79; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0
2020-02-27 16:23:01 172.24.0.11 GET /ecp/ &CorrelationID=;&cafeReqId=242a7cc1-b320-466d-af4c-5f2212509a9a; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 200 0 0 78
2020-02-27 16:23:01 172.24.0.11 GET /ecp/default.aspx &CorrelationID=;&cafeReqId=01f49b9c-2fd9-498a-9092-7dcb7b344940; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 200 0 0 15
2020-02-27 16:23:02 172.24.0.11 GET /ecp/default.aspx __VIEWSTATEGENERATOR=B97B4E27&__VIEWSTATE=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%2BDQoJIDxPYmplY3REYXRhUHJvdmlkZXIgeDpLZXk9IiIgT2JqZWN0VHlwZSA9ICJ7IHg6VHlwZSBEaWFnOlByb2Nlc3N9IiBNZXRob2ROYW1lID0gIlN0YXJ0IiA%2BDQogICAgIDxPYmplY3REYXRhUHJvdmlkZXIuTWV0aG9kUGFyYW1ldGVycz4NCiAgICAgICAgPFN5c3RlbTpTdHJpbmc%2BY2FsYy5leGU8L1N5c3RlbTpTdHJpbmc%2BDQogICAgIDwvT2JqZWN0RGF0YVByb3ZpZGVyLk1ldGhvZFBhcmFtZXRlcnM%2BDQogICAgPC9PYmplY3REYXRhUHJvdmlkZXI%2BDQo8L1Jlc291cmNlRGljdGlvbmFyeT4LKJT2EDKmhAvFcl3ptWKG6YNkbYw%3D&CorrelationID=;&cafeReqId=006227a0-2591-4b6a-b505-004c65649d15; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 500 0 0 46
• PROCESS EXECUTION
زمانی که Exploit، payload خود را به سمت سرور ارسال می کند، IIS WORKER دستورات مخرب را با پروسسی زیر مجموعه پروسس w3wp.exe اجرا می کند. در تصویر زیر می تواند مشاهده کنید که پروسس مخرب! calc.exe به عنوان یک پروسس زیر مجموعه (child) پروسس w3wp.exe با سطح دسترسی SYSTEM در حال اجرا است.
رویداد های دیگر و محل دستیابی به آن ها
Exchange Server استثنائات (Exception) را در مسیر دایرکتوری زیر ثبت می کند:
c:\ program Files\Microsoft\Exchange Server\V15\Logging\ECP\ServerException\
این فهرست شامل درخواست های GET مخرب به همراه String query مربوطه است. محتوای این پرونده می تواند شامل پرونده های log هنگام اجرای POC باشد.
