منو سایت

آسیب‌پذیری جدید روز صفر در Microsoft Exchange

 تاریخ انتشار :
/
  اخبار استارتاپ
آسیب‌پذیری جدید روز صفر در Microsoft Exchange

خلاصه

محققان امنیت سایبری شرکت ویتنامی GTSC اخیراً یک پست وبلاگی منتشر کرده اند که در آن یک کمپین حمله جدید شناسایی شده است. به گفته این محققان: «این حملات از دو آسیب‌پذیری روز صفر در Microsoft Exchange سوء استفاده می‌کنند که می‌تواند اجرای کد از راه دور را برای مهاجمان امکان‌پذیر کند.» با استفاده از این دو آسیب‌پذیری، مجرمان سایبری تلاش می‌کنند پوسته‌های وب (به ویژه China Chopper) را روی سرورهای آسیب‌پذیر راه‌اندازی کنند تا وظایفی مانند انجام دهند. به عنوان سرقت داده و انتقال جانبی به سیستم های دیگر در شبکه قربانی.

اولین آسیب پذیری توسط مایکروسافت با نام CVE-2022-41040 شناسایی شد و از نوع جعل درخواست سمت سرور (SSRF) است.[1]) F. دومین آسیب پذیری با کد CVE-2022-41082 همچنین امکان اجرای کد از راه دور را برای مهاجمانی که به PowerShell دسترسی دارند، می دهد.

CrowdStrike اخیراً یک روش اکسپلویت جدید (به نام OWASSRF) کشف کرده است که شامل استفاده از این دو آسیب‌پذیری برای اجرای کد راه دور با دسترسی به Outlook در شبکه است.

اطلاعات فنی

مایکروسافت در حال حاضر از حملات هدفمند محدودی آگاه است که با سوء استفاده از این دو آسیب‌پذیری سعی در نفوذ به سیستم‌های کاربر دارند. در این حملات، CVE-2022-41040 به مهاجم احراز هویت شده اجازه می دهد تا CVE-2022-41082 را فعال کند. لازم به ذکر است که برای بهره برداری موفقیت آمیز از هر یک از این آسیب پذیری ها، دسترسی به سرور Exchange آسیب پذیر الزامی است.

محققان GTSC حدود سه هفته پیش این آسیب‌پذیری‌ها را به‌صورت خصوصی به گروه بین‌المللی Zero Day Initiative گزارش کردند. این ابتکار پس از بررسی کارشناسان، این دو آسیب‌پذیری را با کدهای ZDI-CAN-183331 و ZDI-CAN-188022 ثبت کرد.

GTSC این آسیب‌پذیری را به ابتکار Zero Day ارسال کرد تا مایکروسافت بتواند در اسرع وقت یک وصله امنیتی برای آن ایجاد کند. Zero Day Initiative این دو آسیب پذیری را تایید کرده و امتیاز CVSS 8.8 و 6.3 را به آنها اختصاص داده است.

GTSC اطلاعاتی درباره این آسیب‌پذیری‌ها منتشر کرده است، اما محققان این شرکت گفته‌اند که کوئری‌های مورد استفاده در این زنجیره بهره‌برداری مشابه دستورات مورد استفاده در حملات روز صفر است که آسیب‌پذیری‌های ProxyShell را هدف قرار می‌دهند.

این اکسپلویت در دو مرحله کار می کند:

  1. ایجاد درخواست با قالبی مشابه آسیب پذیری ProxyShell:

autodiscover/[email protected]/&Email=autodiscover/autodiscover.json%[email protected].

  1. از پیوند بالا برای دسترسی به بخشی در انتهای پشتی که در آن امکان اجرای یک حمله اجرای کد از راه دور وجود دارد استفاده کنید.

به گفته محققان: “شماره نسخه این سرورهای Exchange نشان می دهد که آنها آخرین به روز رسانی را نصب کرده اند، بنابراین بهره برداری با استفاده از ProxyShell غیرممکن است.”

توصیه ها

مشتریان Microsoft Exchange Online نیازی به انجام کار خاصی ندارند. مشتریان داخلی Microsoft Exchange باید دستورالعمل‌های بازنویسی URL زیر را بخوانند و پیاده‌سازی کنند و پورت‌های آسیب‌پذیر PowerShell از راه دور را مسدود کنند. سازمان‌هایی که از پیکربندی‌های ترکیبی استفاده می‌کنند نیز باید دستورالعمل‌ها را برای رفع این آسیب‌پذیری‌ها تا زمانی که وصله امنیتی منتشر شود دنبال کنند.

[1] جعل درخواست سمت سرور