آسیبپذیریهای Zero-Day در Microsoft Exchange
شرکت مایکروسافت اظهار داشت که اخیراً دو نقص امنیتی روز صفر در سرور Microsoft Exchange کشف شده است که به طور گسترده مورد بهرهبرداری قرار گرفتهاند.
جزئیات آسیبپذیری
یکی از این آسیبپذیریها که شناسهی CVE-2022-41040 به آن اختصاص داده شده است، مربوط به تولید درخواستهای سمت سرور یا همان SSRF میباشد که در واقع یک آسیبپذیری وب است که مهاجم از این طریق میتواند کاری کند اپلیکیشن سمت سرور، به دامنهی دلخواه او درخواستهایHTTP بفرستد.
به آسیبپذیری دوم نیز شناسهیCVE-2022-41082 اختصاص داده شده است که به مهاجم امکان اجرای کد از راه دور (RCE) به هنگام دسترسی وی به PowerShell را میدهد.
به گفتهی سازمان امنیت سایبری ویتنامی (GTSC) بهرهبرداری موفقیتآمیز از این آسیبپذیریها مهاجم را قادر میسازد تا Web Shell را در اختیار گرفته و دسترسی به شبکه قربانی را برای خود ایجاد کند.
با توجه به ردپاهای به جا مانده و همچنین بررسی Logهای موجود، این حرکت به یک گروه چینی منتسب شده است و یک محقق امنیتی به نام کوین بومونت در این خصوص در توئیتر اذعان داشته: «میتوانم تأیید کنم که تعداد قابل توجهی از سرورهای Exchange مورد حمله قرارگرفتهاند.»
محصولات تحت تأثیر
این آسیبپذیریها بر سرورهای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ Microsoft Exchange تأثیر میگذارند.
توصیههای امنیتی
شرکت مایکروسافت اعلام کرد که در تلاش است هر چه سریعتر راه حلی ارائه دهد تا هر دو نقص امنیتی منتشر شده را برطرف کند. همچنین این شرکت اذعان داشت که مشتریان آنلاین Microsoft Exchange نیازی به انجام هیچ اقدامی ندارند؛ اما برای مشتریان درون سازمانی که برای آنها Microsoft Exchange در محل خود شرکت و عموماً در دیتا سنتر شرکت قرار دارد(on-premises) اقدامات کاهشی را ارائه داده است.
GTSC توصیه کرد که مشتریان از طریق ماژول URL Rewrite Rule در سرور IIS، یک rule جهت مسدود کردن درخواستها و حملات شناسایی شده اضافه کنند:
IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions
GTSC دستورالعمل و ابزاری جهت اسکن Log فایلهای IIS که به طور پیشفرض در پوشهی %SystemDrive%\inetpub\logs\LogFiles ذخیره میشوند، منتشر کرد تا از این طریق سازمانها بتوانند بررسی کنند که آیا سرورهای Exchange آنها با بهرهبرداری از این نقصها به خطر افتاده است یا خیر.
روش ۱: در powershell دستور زیر را وارد کنید:
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter “*.log” | Select-String -Pattern ‘powershell.*autodiscover\.json.*\@.*200
روش ۲: استفاده از ابزار توسعه یافته توسط GTSC از طریق لینک زیر:
https://github.com/ncsgroupvn/NCSE0Scanner
شرکت مایکروسافت نیز جهت کمک به مشتریان برای محافظت از خود در برابر این حملات، اقدامات کاهشی زیر را نیز ارائه داده است:
۱. IIS Manager را باز کنید.
۲. وبسایت پیشفرض را Expand کنید.
۳. Auto Discover را انتخاب کنید.
۴. در Feature View، بر روی گزینهی URL Rewrite کلیک کنید.
۵. در بخش Actions در سمت راست، بر روی گزینهی Add Rules کلیک کنید.
۶. Request Blocking را انتخاب کرده و بر روی گزینهی OK کلیک کنید.
۷. رشتهی زیر را (به استثنای نقل قول) اضافه کرده و بر روی گزینهی OK کلیک کنید:
“.*autodiscover\.json.*\@.*Powershell.*”
۸. Rule را Expand کرده و rule را با الگوی زیر انتخاب کنید:
“.*autodiscover\.json.*\@.*Powershell.*”
سپس بر روی گزینهی Edit در زیرِ Conditions کلیک کنید.
۹. ورودی شرط (condition input) را از {URL} به {REQUEST_URI} تغییر دهید.
شرکت مایکروسافت همچنین به مشتریان خود توصیه میکند پورتهای Remote PowerShell زیر را مسدود کنند:
• HTTP: 5985
• HTTPS: 5986
منبع خبر: https://cert.ir/node/1471
