هکرها با بهرهبرداری از آسیبپذیریهای ProxyShell و ProxyLogon، سرورهای Microsoft Exchange را مورد حمله قرار دادهاند. هکرها با ارسال ایمیلهایی با پیوستهای بدافزار یا لینکهای حاوی پیامهای مخرب، زنجیره آلودهسازی را وسیعتر میکنند. عوامل تهدید از تعدادی تکنیک که جهت گمراهسازی کاربران برای باز کردن ایمیل و پیوست مخرب است، استفاده میکنند. این روشها میتواند جعل یک فرستنده قانونی، یا یک ایمیل ساختگی که به نظر میرسد از یک شرکت معتبر ارسال شده است، باشد. محققان TrendMicro یک نقص در سرورهای مایکروسافت Exchange کشف کردهاند که برای توزیع ایمیلهای مخرب بین کاربران داخلی یک شرکت استفاده میشود. اعتقاد بر این است که هکرهای پشت این حمله از گروه معروف TA هستند که ایمیلهایی را با پیوستهای مخرب توزیع میکند. این گروه در گذشته با استفاده از فرمتهای فایل زیر در ایمیلهای خود کمپینهای متعدد توزیع بدافزار داشتهاند:
- Microsoft Office Files (.doc, .xls, .ppt)
- Rich Text Format (.rtf)
- Portable Document Format (.pdf)
- Single File Web Page (.mht)
- Compiled HTML (.chm)
- Compiled Help File (.chm or .hlp)
- Shell Executable files (.exe, .com, or .bat)
در این حملات آسیب پذیریهایی که مورد سوء استفاده قرار میگیرند عبارتند از:
- CVE-2021-34473: The pre-auth path confusion
- CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege
- CVE-2021-26855: The pre-authentication proxy vulnerability
توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید.
منابع:
https://gbhackers.com/hackers-target-microsoft-exchange-servers/
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/
- 383