خلاصه
محققان امنیت سایبری شرکت ویتنامی GTSC اخیراً یک پست وبلاگی منتشر کرده اند که در آن یک کمپین حمله جدید شناسایی شده است. به گفته این محققان: «این حملات از دو آسیبپذیری روز صفر در Microsoft Exchange سوء استفاده میکنند که میتواند اجرای کد از راه دور را برای مهاجمان امکانپذیر کند.» با استفاده از این دو آسیبپذیری، مجرمان سایبری تلاش میکنند پوستههای وب (به ویژه China Chopper) را روی سرورهای آسیبپذیر راهاندازی کنند تا وظایفی مانند انجام دهند. به عنوان سرقت داده و انتقال جانبی به سیستم های دیگر در شبکه قربانی.
اولین آسیب پذیری توسط مایکروسافت با نام CVE-2022-41040 شناسایی شد و از نوع جعل درخواست سمت سرور (SSRF) است.[1]) F. دومین آسیب پذیری با کد CVE-2022-41082 همچنین امکان اجرای کد از راه دور را برای مهاجمانی که به PowerShell دسترسی دارند، می دهد.
CrowdStrike اخیراً یک روش اکسپلویت جدید (به نام OWASSRF) کشف کرده است که شامل استفاده از این دو آسیبپذیری برای اجرای کد راه دور با دسترسی به Outlook در شبکه است.
اطلاعات فنی
مایکروسافت در حال حاضر از حملات هدفمند محدودی آگاه است که با سوء استفاده از این دو آسیبپذیری سعی در نفوذ به سیستمهای کاربر دارند. در این حملات، CVE-2022-41040 به مهاجم احراز هویت شده اجازه می دهد تا CVE-2022-41082 را فعال کند. لازم به ذکر است که برای بهره برداری موفقیت آمیز از هر یک از این آسیب پذیری ها، دسترسی به سرور Exchange آسیب پذیر الزامی است.
محققان GTSC حدود سه هفته پیش این آسیبپذیریها را بهصورت خصوصی به گروه بینالمللی Zero Day Initiative گزارش کردند. این ابتکار پس از بررسی کارشناسان، این دو آسیبپذیری را با کدهای ZDI-CAN-183331 و ZDI-CAN-188022 ثبت کرد.
GTSC این آسیبپذیری را به ابتکار Zero Day ارسال کرد تا مایکروسافت بتواند در اسرع وقت یک وصله امنیتی برای آن ایجاد کند. Zero Day Initiative این دو آسیب پذیری را تایید کرده و امتیاز CVSS 8.8 و 6.3 را به آنها اختصاص داده است.
GTSC اطلاعاتی درباره این آسیبپذیریها منتشر کرده است، اما محققان این شرکت گفتهاند که کوئریهای مورد استفاده در این زنجیره بهرهبرداری مشابه دستورات مورد استفاده در حملات روز صفر است که آسیبپذیریهای ProxyShell را هدف قرار میدهند.
این اکسپلویت در دو مرحله کار می کند:
- ایجاد درخواست با قالبی مشابه آسیب پذیری ProxyShell:
autodiscover/[email protected]/&Email=autodiscover/autodiscover.json%[email protected].
- از پیوند بالا برای دسترسی به بخشی در انتهای پشتی که در آن امکان اجرای یک حمله اجرای کد از راه دور وجود دارد استفاده کنید.
به گفته محققان: “شماره نسخه این سرورهای Exchange نشان می دهد که آنها آخرین به روز رسانی را نصب کرده اند، بنابراین بهره برداری با استفاده از ProxyShell غیرممکن است.”
توصیه ها
مشتریان Microsoft Exchange Online نیازی به انجام کار خاصی ندارند. مشتریان داخلی Microsoft Exchange باید دستورالعملهای بازنویسی URL زیر را بخوانند و پیادهسازی کنند و پورتهای آسیبپذیر PowerShell از راه دور را مسدود کنند. سازمانهایی که از پیکربندیهای ترکیبی استفاده میکنند نیز باید دستورالعملها را برای رفع این آسیبپذیریها تا زمانی که وصله امنیتی منتشر شود دنبال کنند.
[1] جعل درخواست سمت سرور