آسیب پذیری Microsoft Exchange

آسیب پذیری Microsoft Exchange

مهاجمان بطور فعال، اینترنت را برای ایجاد خطرات برروی سرورهای آسیب پذیر Microsoft Exchange از طریق اجرای کد از راه دور CVE-2020-0688 بررسی میکنند که هفته گذشته توسط ماکروسافت وصله شده است.

تمامی نسخه های Exchange Server تا آخرین نسخه منتشر شده، مدام در معرض حملات احتمالی قرار میگیرند.

این نقص در مؤلفه Exchange Control Panel (ECP) موجود است و به دلیل عدم توانایی Microsoft Exchange در ایجاد کلیدهای رمزنگاری منحصر به فرد هنگام نصب ایجاد می شود.

این آسیب پذیری ، به مهاجمان اجازه می دهد کد را از راه دور با امتیازات SYSTEM روی یک سرور استثمار شده اجرا کنند و آن را کاملاً به خطر بیاندازند. هر مهاجم خارجی که بتواند سیستم یا نام کاربری و رمز عبور هر کاربر سازمانی را به خطر بیاندازد ، قادر خواهد بود تا سرور Exchange را تصاحب کند. پس از تحقق این امر ، مهاجم موقعیتی پیدا می کند که بنا به خواست خود می تواند ارتباطات ایمیلی را صادر یا جعل کند.

بر این اساس، اگر شما Administrator سرور Microsoft Exchange در سازمانی هستید، باید آسیب پذیری را با نصب وصله های ماکروسافتی معرفی شده، هرچه زودتر برطرف کنید.

در حالی که مایکروسافت به CVE-2020-0688 امتیاز جدی “مهم” داد ، اگر مهاجمین از داخل یا خارج از شرکت بتوانند نام کاربری و رمز عبور هر کاربری را بدست آورند ، به احتمال زیاد آنها می توانند بلافاصله به سرور Microsoft Exchange دسترسی پیدا کنند. این امر به این دلیل اتفاق می افتد که تقریباً همه کاربران دارای صندوق پستی Exchange هستند و می توانند با وجود داشتن امتیازات محدود ، به سرور احراز هویت کنند. این به هیچ وجه مانعی برای مهاجمین نیست زیرا تأیید اعتبار تنها شرط لازم برای سوء استفاده موفقیت آمیز از این آسیب پذیری است.

برای سوءاستفاده از این نقص، مهاجمان فقط باید سرورهای آسیب پذیر را در اینترنت پیدا کنند ، آدرسهای ایمیلی را که از URL پورتال Outlook Web Access (OWA) جمع آوری کرده اند جستجو کنند.

در مرحله بعد، آنها فقط باید یک حمله Credential Stuffing را راه اندازی کنند و تا زمانی که به سرور ضربه نرساندند، برروی سیستم کاربران مسقر و قادر به ورود به سرور باشند.پس از اتمام، اقدام به بهره برداری از آسیب پذیری CVE-2020-0688 و به خطر انداختن کامل و هدفمند سرور Exchange نمایند.

می توانید به روزرسانی امنیتی برای همه نسخه های پشتیبانی شده Microsoft Exchange Server دسترسی داشته باشید و آنها را از جدول زیر بارگیری کنید:

Download Article Product
Security Update ۴۵۳۶۹۸۹ Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Security Update ۴۵۳۶۹۸۸ Microsoft Exchange Server 2013 Cumulative Update 23
Security Update ۴۵۳۶۹۸۷ Microsoft Exchange Server 2016 Cumulative Update 14
Security Update ۴۵۳۶۹۸۷                                             Microsoft Exchange Server 2016 Cumulative Update 15
Security Update ۴۵۳۶۹۸۷ Microsoft Exchange Server 2019 Cumulative Update 3
Security Update ۴۵۳۶۹۸۷ Microsoft Exchange Server 2019 Cumulative Update 4

مهاجمان می توانند از ابزار  Mimikatz استفاده کنند تا کلمه عبور کاربران را از بین ببرند ، زیرا Exchange Server  اعتبار نامه های کاربر را در حافظه به صورت ساده و بدون Hash ذخیره می کند.

حملات دسته جمعی با هدف قرار دادن ماشینهای Microsoft Exchange بدون شک برای رها کردن باج افزار و سایر بدافزارهای خطرناک صورت می گیرند.

از آنجایی که هیچگونه اقدامات خاصی در دسترس نیست و نمی توان راه حل هایی را برای جلوگیری از حملات، مطابق مایکروسافت در نظر گرفت ، تنها انتخاب باقی مانده این است که قبل از رسیدن هکرها به سرورهای خود ، وصله های سرورهای خود را دریافت کنید.

تهیه شده توسط : مهیار ذوالفقاری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *