آسیب‌پذیری‌های Zero-Day در Microsoft Exchange

شرکت مایکروسافت اظهار داشت که اخیراً دو نقص امنیتی روز صفر در سرور Microsoft Exchange کشف شده است که به طور گسترده مورد بهره‌برداری قرار گرفته‌اند.

جزئیات آسیب‌‌پذیری
یکی از این آسیب‌پذیری‌‌ها که شناسه‌ی CVE-2022-41040 به آن اختصاص داده شده است، مربوط به تولید درخواست‌های سمت سرور یا همان SSRF می‌باشد که در واقع یک آسیب‌پذیری وب است که مهاجم از این طریق می‌تواند کاری کند اپلیکیشن سمت سرور، به دامنه‌ی دلخواه او درخواست‌هایHTTP  بفرستد.
به آسیب‌پذیری دوم نیز شناسه‌یCVE-2022-41082 اختصاص داده شده است که به مهاجم امکان اجرای کد از راه دور (RCE) به هنگام دسترسی وی به PowerShell را می‌دهد.
به گفته‌ی سازمان امنیت سایبری ویتنامی (GTSC)  بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها مهاجم را قادر می‌سازد تا Web Shell را در اختیار گرفته و دسترسی به شبکه قربانی را برای خود ایجاد کند.
با توجه به ردپاهای به جا مانده و همچنین بررسی Logهای موجود، این حرکت به یک گروه چینی منتسب شده است و یک محقق امنیتی به نام کوین بومونت در این خصوص در توئیتر اذعان داشته: «می‌توانم تأیید کنم که تعداد قابل توجهی از سرورهای Exchange مورد حمله قرارگرفته‌اند.»

محصولات تحت تأثیر
این آسیب‌پذیری‌ها بر سرورهای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ Microsoft Exchange تأثیر می‌گذارند.

توصیه‌های امنیتی
شرکت مایکروسافت اعلام کرد که در تلاش است هر چه سریع‌تر راه حلی ارائه دهد تا هر دو نقص امنیتی منتشر شده را برطرف کند. همچنین این شرکت اذعان داشت که مشتریان آنلاین Microsoft Exchange نیازی به انجام هیچ اقدامی ندارند؛ اما برای مشتریان درون سازمانی که برای آن‌ها Microsoft Exchange در محل خود شرکت و عموماً در دیتا سنتر شرکت قرار دارد(on-premises) اقدامات کاهشی را ارائه داده است.
 GTSC توصیه کرد که مشتریان از طریق ماژول URL Rewrite Rule در سرور IIS، یک rule جهت مسدود کردن درخواست‌ها و حملات شناسایی شده اضافه کنند:

IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions

GTSC دستورالعمل و ابزاری جهت اسکن Log فایل‌های IIS  که به طور پیش‌فرض در پوشه‌ی %SystemDrive%\inetpub\logs\LogFiles ذخیره می‌شوند، منتشر کرد تا از این طریق سازمان‌ها بتوانند بررسی کنند که آیا سرورهای Exchange آن‌ها با بهره‌برداری از این نقص‌ها به خطر افتاده است یا خیر.

روش ۱: در powershell دستور زیر را وارد کنید:

Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.‎*autodiscover\.json.‎*\@.‎*200

روش ۲: استفاده از ابزار توسعه یافته توسط GTSC از طریق لینک زیر:

https://github.com/ncsgroupvn/NCSE0Scanner

شرکت مایکروسافت نیز جهت کمک به مشتریان برای محافظت از خود در برابر این حملات، اقدامات کاهشی زیر را نیز ارائه داده است:
   ۱. IIS Manager را باز کنید.
   ۲. وب‌سایت پیش‌فرض را Expand کنید.
   ۳. Auto Discover را انتخاب کنید.
   ۴. در Feature View، بر روی گزینه‌ی URL Rewrite کلیک کنید.
   ۵. در بخش Actions در سمت راست، بر روی گزینه‌ی Add Rules کلیک کنید.
   ۶. Request Blocking را انتخاب کرده و بر روی گزینه‌ی OK کلیک کنید.
   ۷.  رشته‌ی زیر را (به استثنای نقل قول) اضافه کرده و بر روی گزینه‌ی OK کلیک کنید:

 “.*autodiscover\.json.‎*\@.‎*Powershell.‎*”

   ۸. Rule را Expand کرده و rule را با الگوی زیر انتخاب کنید:

“.*autodiscover\.json.‎*\@.‎*Powershell.‎*”

سپس بر روی گزینه‌ی Edit در زیرِ Conditions کلیک کنید.
   ۹. ورودی شرط (condition input) را از {URL} به {REQUEST_URI} تغییر دهید.

شرکت مایکروسافت همچنین به مشتریان خود توصیه می‌کند پورت‌های Remote PowerShell زیر را مسدود کنند:
   • HTTP: 5985
   • HTTPS: 5986

منبع خبر: https://cert.ir/node/1471