به گزارش سئو بوی مرکز افتا نسبت به سوءاستفاده گسترده از صدمه پذیری سرویس مایکروسافت Exchange اخطار داد و از سازمان ها خواست سرورهای خویش را به روزرسانی کنند.
به گزارش سئو بوی به نقل از مرکز مدیریت راهبردی افتا، هر مهاجم سایبری با استفاده از صدمه پذیری سرویس Microsoft Exchange که موفق به هک دستگاه یا دستیابی به اطلاعات اصالت سنجی حداقل یکی از کاربران هر سازمانی شود، امکان در اختیار گرفتن کنترل سرور Exchange آن سازمان را خواهد داشت. این صدمه پذیری که Exchange Control Panel از آن تاثیر می پذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزنگاری منحصربه فرد در زمان نصب محصول ناشی می شود. بهره جویی (Exploit) از صدمه پذیری مذکور، مهاجم را قادر می سازد تا کد مورد نظر خویش را «به صورت از طریق دور» با سطح دسترسی SYSTEM روی سرور اجرا نماید. شرکت مایکروسافت، صدمه پذیری سرویس Microsoft Exchange را با شناسه CVE-۲۰۲۰-۰۶۸۸، بعنوان یک صدمه پذیری بسیار خطرناک معرفی کرده است. هشدارهای سو استفاده از این صدمه پذیری در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر گردید و شرکت مایکروسافت هم اصلاحیه امنیتی مربوط به آنرا بلافاصله منتشر نمود. تمامی نسخه های Exchange که فاقد آخرین به روزرسانی های انتشار یافته از جانب مایکروسافت هستند، صدمه پذیر هستند و باید بلافاصله به روزرسانی شوند. نسخ از رده خارج شده Exchange که پشتیبانی مایکروسافت از آنها به پایان رسیده است، هم نسبت به CVE-۲۰۲۰-۰۶۸۸ صدمه پذیر هستند. با اینکه در سفارش نامه این شرکت صریحاً از آنها نام برده نشده است. مرکز افتا تصریح کرد: متأسفانه با وجود اطلاع رسانی های مختلف صورت پذیرفته، نشانه هایی از صدمه پذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به صورت خلاصه به صورت زیر بوده است: • پویش سرورهای Exchange موجود در بستر اینترنت
• کوشش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از راه Brute-Force)
• نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange
• ارسال دستوراتی همچون net group domain admins و net group Exchange Trusted Subsystem به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain
• بارگذاری سایرفایل های مخرب همچون Mimikatz به صورت یک پاورشل رمز شده
• دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد می شوند (به وسیله Mimikatz)
• نفوذ به شبکه داخلی و سایر سرورهای سازمان با عنایت به موارد بیان شده، مرکز مدیریت راهبردی افتا از تمامی دستگاه ها درخواست می کند، هر چه سریعتر سرورهای Exchange خویش را به روز رسانی و از عدم وجود آلودگی روی این سرورها اطمینان حاصل کنند. کارشناسان افتا از همه دستگاه ها درخواست می کنند تا برای به روزرسانی سرورهای Exchange این سرورها و تمامی فایل‎های قابل اجرا روی وب سرور را به صورت دقیق بررسی نمایند، این بررسی بسته به تنظیمات وب سرور شامل فایل هایی با پسوند (aspx، asp، php، ps، ps۱ py، …) هم می شود. در گام بعدی ه بخصوص در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوط را از شبکه خارج کرده و یک سرور جدید Exchange با استفاده از آخرین نسخه عرضه شده مایکروسافت، راه‎اندازی کنید. درصورتی که نیازمند برگرداندن فایل های پشتیبان خود می باشید، این نکته را در نظر داشته باشید که شروع فعالیت مهاجمین دقیقا پس از انتشار اخبار صدمه پذیری مربوطه بوده است، ازاین رو بهتر است که از فایل های پشتیبان سالمِ پیش از ۲۲ بهمن ۹۸ استفاده کنید. لازم است تا دستگاه های اجرایی، در مرحله بعد، نام کاربری و رمزعبور تمامی کاربران به خصوص کاربران با دسترسی بالا را، روی سرور و شبکه تغییر دهند و سیاست های سختگیرانه ای در خصوص انتخاب رمزعبور اتخاذ کنند. دو اطلاع رسانی پیشین مرکز مدیریت راهبردی افتا از صدمه پذیری سرویس Microsoft Exchange با امکان دریافت جزئیات بیشتر همچون نحوه سوءاستفاده مهاجمین از این صدمه پذیری، در دو لینک https: //b۲n.ir/۱۱۹۸۲۴ و https: //b۲n.ir/۴۵۲۶۷۴ قابل مشاهده می باشد.

You may also like