آسیبپذیری RCE در Microsoft Exchange Server
مایکروسافت روز سهشنبه بهروزرسانیهای خارج از موعد برای ۴ آسیبپذیری روزصفر با شدت بحرانی و بالا در Microsoft Exchange Server منتشر نمود.
جزئیات این آسیبپذیریها به شرح زیر میباشد:
CVE-2021-26855
یک آسیبپذیری SSRF در Microsoft Exchange Server با شدت بحرانی (۹.۱ از ۱۰) که به مهاجمان اجازه میدهد با اجرای کد از راه دور، به سرور Microsoft Exchange دسترسی بگیرند و امکان سرقت و استخراج محتوای کامل Mailbox را داشته باشند. این آسیبپذیری به هیچگونه سطح دسترسی نیاز نداشته و تنها با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد. این آسیبپذیری فاکتورهای محرمانگی و یکپارچگی از فاکتورهای سهگانهی امنیت را با شدت بالایی تحت تأثیر قرار میدهد. بهمنظور بهرهبرداری از این آسیبپذیری، مهاجم میتواند با ارسال درخواستهای HTTP دلخواه با متد POST حاوی پیلود XML SOAP به سمت API Exchange Web Services (EWS) و با استفاده از کوکیهای خاص ساختهشده، احراز هویت را دور بزند و با فریب Exchange Server، دستوراتی را که هرگز مجاز به اجرای آنها نیست اجرا نماید (مانند احراز هویت بهعنوان Exchange Server و یا انجام هرگونه عملیات دلخواه بر روی صندوق پستی کاربران).
روش شناسایی
بهرهبرداری از این آسیبپذیری از طریق لاگهای HttpProxy موجود در Exchange server قابلشناسایی میباشد. این لاگها در مسیر زیر قرار دارند:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
با جستجوی لاگهای ورود به سیستم، در قسمتی که AuthenticatedUser خالی بوده و AnchorMailbox حاوی الگوی */*~ServerInfo میباشد، میتوان تشخیص داد این نقص مورد بهرهبرداری قرارگرفته است یا خیر. درصورتیکه فعالیت مخربی شناسایی شد میتوان از مسیر زیر فعالیتهای مخربِ صورت گرفته را بررسی نمود:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging
CVE-2021-26857
این آسیبپذیری با شدت بالا (۷.۸ از ۱۰) به دلیل deserialization ناامن در سرویس Unified Messaging به وجود میآید. این فرایند زمانی صورت میگیرد که دادههای غیرقابلاعتماد و تحت کنترلِ کاربر، توسط یک برنامه deserialize شوند. این آسیبپذیری هر سه فاکتور امنیت (محرمانگی، دسترسپذیری و یکپارچگی) را با شدت بالایی تحت تأثیر قرار میدهد. بهرهبرداری از این آسیبپذیری منوط به اجازه مدیر و یا وجود آسیبپذیری دیگری در سیستم میباشد. بهرهبرداری موفق از این آسیبپذیری مهاجم را قادر میسازد کد دلخواه خود را با سطح دسترسی SYSTEM در Exchange server اجرا نماید.
روش شناسایی
تشخیص بهرهبرداری از این آسیبپذیری، از طریق لاگهای رویداد در Windows Application امکانپذیر میباشد. بهرهبرداری از این نقص رویدادهایی با ویژگیهای زیر ایجاد میکند:
• Source: MSExchange Unified Messaging
• EntryType: Error
• Event Message Contains: System.InvalidCastException
CVE-2021-26858
آسیبپذیری نوشتن فایل پس از احراز هویت در Exchange با شدت بالا (۷.۸ از ۱۰) که به مهاجم اجازه میدهد پس از احراز هویت در Exchange server، از این نقص برای نوشتن هر نوع فایلی در هر مسیر دلخواه بر روی سرور، سوءاستفاده نماید. این آسیبپذیری هر سه فاکتور امنیت (محرمانگی، دسترسپذیری و یکپارچگی) را با شدت بالایی تحت تأثیر قرار میدهد. مهاجم با بهرهبرداری از آسیبپذیری CVE-2021-26855، یا تسخیر سیستم با استفاده از اطلاعات حساب کاربری ادمین، میتواند احراز هویت کند و از این آسیبپذیری بهرهبرداری نماید.
روش شناسایی
تشخیص بهرهبرداری از این آسیبپذیری، از طریق فایلهایِ لاگِ Exchange امکانپذیر است. این فایلها در مسیر زیر قرار دارند:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\OABGeneratorLog
فایلها فقط باید در مسیر زیر دانلود شوند:
%PROGRAMFILES%\Microsoft\Exchange Server\V15\ClientAccess\OAB\Temp
اگر سیستم موردحمله قرارگرفته باشد فایلها در مسیر دیگری (مانند UNC یا local) دانلود میشوند.
CVE-2021-27065
این آسیبپذیری با شدت بالا (۷.۸ از ۱۰) نیز همانند آسیبپذیری CVE-2021-26858 نقص نوشتن فایل پس از احراز هویت در Exchange میباشد که به مهاجم اجازه میدهد پس از احراز هویت در Exchange server، از این نقص برای نوشتن هر نوع فایلی در هر مسیر دلخواه بر روی سرور، سوءاستفاده نماید. این آسیبپذیری هر سه فاکتور امنیت (محرمانگی، دسترسپذیری و یکپارچگی) را با شدت بالایی تحت تأثیر قرار میدهد. مهاجم با بهرهبرداری از آسیبپذیری CVE-2021-26855، یا تسخیر سیستم با استفاده از اطلاعات حساب کاربری ادمین، میتواند احراز هویت کند و از این آسیبپذیری بهرهبرداری نماید.
روش شناسایی
تشخیص بهرهبرداری از این آسیبپذیری، از طریق فایلهایِ لاگِ Exchange امکانپذیر است. این فایلها در مسیر زیر قرار دارند:
C:\Program Files\Microsoft\Exchange Server\V15\Logging\ECP\Server
هیچیک از ویژگیهای Set-<AppName>VirtualDirectory نباید حاوی اسکریپت باشند و InternalUrl و ExternalUrl فقط باید دارای Url معتبر باشند.
محصولات تحت تأثیر و بهروزرسانیهای ارائه شده
این آسیبپذیریها نسخههای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ از Microsoft Exchange Server را تحت تأثیر قرار میدهد.
لینک بهروزرسانیهای ارائه شده:
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
منبع خبر: https://msrc.microsoft.com