Microsoft Exchange تحت حمله 0 روزه، صدها هزار سرور در خطر است

اکتبر 8, 2023اکتبر 4, 2022 از محمد صادق مجدی

این شرکت اعلام کرد: مشتریان اکسچنج آنلاین نیازی به هیچ اقدامی ندارند.

Ars Technica اشاره می کند که بیش از 200000 سرور Exchange ممکن است در برابر حملات جدید آسیب پذیر باشند، به علاوه هزاران مورد دیگر در پیکربندی های ترکیبی. تهدیدها متوجه نسخه‌های داخلی سرور Exchange هستند، در حالی که سرورهایی که روی پلتفرم ابری مایکروسافت میزبانی می‌شوند باید ایمن باشند. راه‌اندازی‌های ترکیبی، که در آن مشتریان ترکیبی از سرورهای داخلی و از راه دور را به کار می‌گیرند، به اندازه راه‌اندازی‌های مستقل آسیب‌پذیر هستند، اما تنها بخشی از دستگاه‌های آسیب‌دیده را شامل می‌شوند.

به طور خلاصه: چند آسیب‌پذیری امنیتی جدید بیش از 200000 سرور Exchange در سراسر جهان را تهدید می‌کند. مجرمان، که احتمالاً مستقر در چین هستند، در تلاش هستند تا یک درب پشتی رمزگذاری شده کنترل شده از راه دور را گسترش دهند.

نقص‌های جدید روز صفر اولین بار توسط شرکت امنیتی ویتنامی GTSC زمانی که محققان پوسته‌های وب مخرب را در شبکه‌های مشتریان مرتبط با آسیب‌پذیری در نرم‌افزار Exchange شناسایی کردند، کشف شد. در ابتدا، این اکسپلویت مشابه ProxyShell بدنام zero-day از سال 2021 (CVE-2021-34473) به نظر می رسید، اما محققان بعداً متوجه شدند که نقص جدید هنوز ناشناخته است.

مایکروسافت اکسچنج دوباره با یک خطر امنیتی مواجه است که صدها هزار سرور در سراسر جهان را درگیر می کند. بازیگران بد ناشناس در حال سوء استفاده از دو آسیب پذیری جدید هستند که قصد دارند یک درب پشتی رمزگذاری شده نصب کنند که قبلاً در طبیعت دیده نشده بود. گمان می رود هکرها مستقر در چین باشند.

بخونید: PCMark 10 Basic Edition 2.1.2574 دانلود کنید

با توجه به خطرات با شدت بالا و تعداد زیادی از اهداف بالقوه، مایکروسافت در حال حاضر روی یک پچ احتمالی خارج از باند کار می‌کند تا نقص‌های جدید را در اسرع وقت ببندد. در همین حال، ردموند اکیداً به مشتریان Exchange توصیه می‌کند که اقدامات کاهشی را اعمال کنند، از جمله مسدود کردن ترافیک اینترنت از طریق پورت HTTP 5985 و پورت HTTPS 5986.

پوسته های وب یافت شده توسط GTSC در سرورهای در معرض خطر حاوی حروف چینی ساده شده است، بنابراین محققان حدس می زنند که مجرمان سایبری ناشناخته می توانند هکرهای مستقر در پکن باشند که توسط دیکتاتوری چین حمایت می شوند. در نهایت، هکرها از نقص های روز صفر برای نصب یک درب پشتی جدید که برای تقلید از سرویس وب Exchange طراحی شده است، استفاده می کنند.

مایکروسافت بعداً تجزیه و تحلیل GTSC را تأیید کرد و دو نقص جدید در پلتفرم پستی محبوب این شرکت را برجسته کرد: CVE-2022-41040، یک آسیب‌پذیری جعل سمت سرور و CVE-2022-41082، که امکان اجرای کد از راه دور از طریق PowerShell را فراهم می‌کند. مایکروسافت “فعالیت محدود” مربوط به حملات هدفمند را ثبت کرده است که از دو نقص روز صفر استفاده می کنند. هکرها از CVE-2022-41040 برای راه‌اندازی از راه دور CVE-2022-41082 سوء استفاده می‌کنند، حتی اگر ردموند اطمینان می‌دهد که یک نفوذ موفق به اعتبارنامه‌های معتبر حداقل برای یک کاربر ایمیل در سرور آسیب‌دیده نیاز دارد.