آسیب‌پذیری‌های روز صفرم Microsoft Exchange Server

طبق اعلام مایکروسافت در آخرین بروزرسانی ارائه شده از جانب این شرکت، چند آسیب‌پذیری خطرناک روز صفرم که از آن‌ها در حملات هدفمند جهت نفوذ به سرورها Exchange و در نتیجه آن دسترسی به Mailbox شرکت‌ها و مراکز مهم دولتی، درمانی، دانشگاهی و … سوءاستفاده شده بود، رفع گردیده است. نفوذگران با هدف قرار دادن سرورهای آسیب‌پذیر، علاوه بر دسترسی به ایمیل‌های مهم، امکان قرار دادن بدافزارهایی دیگر بر روی سیستم جهت بدست آوردن دسترسی طولانی مدت و اجرای سایر دستورات مخرب را نیز بدست می‌آورند.

۴ آسیب‌پذیریی که در جریان این حملات مورد سوءاستفاده قرار گرفته‌اند به شرح زیر می‌باشند:

  1. CVE-2021-26855
    یک آسیب‌پذیری جعل درخواست سمت سرور (SSRF) با درجه خطر: بحرانی می‌باشد که به نفوذگر اجازه ارسال درخواست خودسرانه و احراز هویت در Exchange Server را می‌دهد. اعتبارات جعل شده به وسیله این آسیب‌پذیری توسط آسیب‌پذیری‌های بعدی مورد سوءاستفاده قرار می‌گیرد.
  2. CVE-2021-26857
    یک آسیب‌پذیری اجرای کد از راه دور با درجه خطر: بالا می‌باشد که نیازمند احراز هویت (و یا حصول آن به وسیله آسیب‌پذیری CVE-2021-26855) می‌باشد.
  3. CVE-2021-26858
    یک آسیب‌پذیری اجرای کد از راه دور با درجه خطر: بالا می‌باشد و در صورتی که پس از دو آسیب‌پذیری پیشین مورد استفاده قرار بگیرد، امکان ایجاد هر گونه فایلی در هر مسیر دلخواهی را به نفوذگر می‌دهد.
  4. CVE-2021-27065
    یک آسیب‌پذیری اجرای کد از راه دور با درجه خطر: بالا با عملکردی مشابه آسیب‌پذیری CVE-2021-26858 می‌باشد.

در حملاتی که با استفاده از این آسیب‌پذیری‌ها صورت گرفته است، نفوذگران ابتدا اقدام به اسکن اینترنت جهت شناسایی سرورهای آسیب‌پذیر نسبت به آسیب‌پذیری CVE-2021-26855 نموده و در ادامه با شناسایی سرور مورد نظر اقدام به ارسال درخواست‌های HTTP خاص منظوره جهت احراز هویت در این سرورها می‌نمایند. در مرحله بعد و پس از موفقیت در احراز هویت با استفاده از ۳ آسیب‌پذیری بعد، اقدام به بارگذاری WebShell های مربوطه و اجرای دستورات مخرب نموده و کنترل سرور را در دست می‌گیرند.

مجموعه این آسیب‌پذیری‌ها به حدی قدرتمند و خطرناک می‌باشند که توصیه می‌شود تا پیش از نصب وصله‌های امنیتی، سرور Exchange خود را به صورت موقت از دسترس خارج نمایید.

نسخه‌های آسیب‌پذیر:

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

روش تست آسیب‌پذیری

جهت تست آسیب‌پذیری میتوانید از اسکریپت زیر که توسط مایکروسافت ارائه شده است استفاده نمایید:
اسکریپت تست آسیب‌پذیری

توصیه‌های امنیتی

مهمترین و مطمئن ترین راهکار جهت جلوگیری از مورد نفوذ قرار گرفتن به وسیله این آسیب‌پذیری ها نصب وصله‌های امنیتی ارائه شده می‌باشد. اما باید دقت کنید که صرف نصب نمودن وصله، باعث رفع خطر نمی‌شود، چرا که این آسیب‌پذیری‌ها مدتهاست که توسط نفوذگران استفاده می‌شده است و در صورتیکه قبلا به سرور شما نفوذ انجام گرفته باشد، نصب وصله درب‌های پشتی و سایر تغییراتی که نفوذگر در سیستم شما داده است را برطرف نخواهد کرد.

لذا در اولین فرصت:

  1. وصله مربوطه را نصب نمایید تا از نفوذهای بعدی جلوگیری نمایید.
  2. اقدام به بررسی فارنزیک سرورهای Exchange خود با توجه به لاگ‌های موجود روی آن و ترافیک شبکه آن نمایید.
  3. در صورت رویت مورد مشکوک یا عدم توانایی در بررسی فارنزیک با تیم‌های متخصص فارنزیک تماس بگیرید. (شرکت امن‌پرداز مانند همیشه آماده ارائه مشاوره در خصوص مسائل امنیتی و بررسی فارنزیک می‌باشد)

در ادامه لینک مربوط به بروزرسانی امنیتی مربوط به هریک از آسیب‌پذیری‌ها آورده شده است:

  مقاله برای 5 نفر مفید بود.