این شرکت اعلام کرد: مشتریان اکسچنج آنلاین نیازی به هیچ اقدامی ندارند.
Microsoft Exchange تحت حمله 0 روزه، صدها هزار سرور در خطر است
Ars Technica اشاره می کند که بیش از 200000 سرور Exchange ممکن است در برابر حملات جدید آسیب پذیر باشند، به علاوه هزاران مورد دیگر در پیکربندی های ترکیبی. تهدیدها متوجه نسخههای داخلی سرور Exchange هستند، در حالی که سرورهایی که روی پلتفرم ابری مایکروسافت میزبانی میشوند باید ایمن باشند. راهاندازیهای ترکیبی، که در آن مشتریان ترکیبی از سرورهای داخلی و از راه دور را به کار میگیرند، به اندازه راهاندازیهای مستقل آسیبپذیر هستند، اما تنها بخشی از دستگاههای آسیبدیده را شامل میشوند.
به طور خلاصه: چند آسیبپذیری امنیتی جدید بیش از 200000 سرور Exchange در سراسر جهان را تهدید میکند. مجرمان، که احتمالاً مستقر در چین هستند، در تلاش هستند تا یک درب پشتی رمزگذاری شده کنترل شده از راه دور را گسترش دهند.
نقصهای جدید روز صفر اولین بار توسط شرکت امنیتی ویتنامی GTSC زمانی که محققان پوستههای وب مخرب را در شبکههای مشتریان مرتبط با آسیبپذیری در نرمافزار Exchange شناسایی کردند، کشف شد. در ابتدا، این اکسپلویت مشابه ProxyShell بدنام zero-day از سال 2021 (CVE-2021-34473) به نظر می رسید، اما محققان بعداً متوجه شدند که نقص جدید هنوز ناشناخته است.
مایکروسافت اکسچنج دوباره با یک خطر امنیتی مواجه است که صدها هزار سرور در سراسر جهان را درگیر می کند. بازیگران بد ناشناس در حال سوء استفاده از دو آسیب پذیری جدید هستند که قصد دارند یک درب پشتی رمزگذاری شده نصب کنند که قبلاً در طبیعت دیده نشده بود. گمان می رود هکرها مستقر در چین باشند.
با توجه به خطرات با شدت بالا و تعداد زیادی از اهداف بالقوه، مایکروسافت در حال حاضر روی یک پچ احتمالی خارج از باند کار میکند تا نقصهای جدید را در اسرع وقت ببندد. در همین حال، ردموند اکیداً به مشتریان Exchange توصیه میکند که اقدامات کاهشی را اعمال کنند، از جمله مسدود کردن ترافیک اینترنت از طریق پورت HTTP 5985 و پورت HTTPS 5986.
پوسته های وب یافت شده توسط GTSC در سرورهای در معرض خطر حاوی حروف چینی ساده شده است، بنابراین محققان حدس می زنند که مجرمان سایبری ناشناخته می توانند هکرهای مستقر در پکن باشند که توسط دیکتاتوری چین حمایت می شوند. در نهایت، هکرها از نقص های روز صفر برای نصب یک درب پشتی جدید که برای تقلید از سرویس وب Exchange طراحی شده است، استفاده می کنند.
مایکروسافت بعداً تجزیه و تحلیل GTSC را تأیید کرد و دو نقص جدید در پلتفرم پستی محبوب این شرکت را برجسته کرد: CVE-2022-41040، یک آسیبپذیری جعل سمت سرور و CVE-2022-41082، که امکان اجرای کد از راه دور از طریق PowerShell را فراهم میکند. مایکروسافت “فعالیت محدود” مربوط به حملات هدفمند را ثبت کرده است که از دو نقص روز صفر استفاده می کنند. هکرها از CVE-2022-41040 برای راهاندازی از راه دور CVE-2022-41082 سوء استفاده میکنند، حتی اگر ردموند اطمینان میدهد که یک نفوذ موفق به اعتبارنامههای معتبر حداقل برای یک کاربر ایمیل در سرور آسیبدیده نیاز دارد.