مایکروسافت به مدیران شبکه هشدار داد که به سرعت وصلههای امنیتی ارائه شده مرتبط با آسیبپذیری حیاتی Exchange Server را نصب کنند. این آسیبپذیری میتواند به هکرهای احراز هویت شده امکان اجرای کد از راه دور بر روی سرور آسیبپذیر را بدهد.
نقص امنیتی ردیابی شده با شناسه CVE-2021-42321 بر روی Exchange Server 2016 و Exchange Server 2019 اثرگذار است و بر اساس توصیه امنیتی مایکروسافت به دلیل اعتبار سنجی نادرست آرگومانهای cmdlet ایجاد میشود.
این آسیبپذیری تنها بر سرورهای فیزیکی Exchange تاثیر میگذارد که شامل سرورهای به کار رفته برای کاربران در حالت Exchange Hybrid میشود (مشتریان آنلاین Exchange در برابر هر گونه حملهای مصون هستند و نیازی به انجام هیچ اقدام دیگری ندارند).
برای حفاظت سریع همه سرورهای Exchange شبکه در پشت بهروزرسانیها (CU و SU)، میتوانید از آخرین نسخه اسکریپت Exchange Server Health Checker استفاده کنید.
برای اطلاع از اینکه کدام یک از سرورهای Exchange شبکه توسط اکسپلویتهای CVE-2021-42321 مورد حمله قرار گرفته است، باید کوئری PowerShell زیر را در هر سرور Exchange اجرا کنید و رویدادهای خاصی را در گزارش رویداد (Event Log) جستجو کنید:
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
در ماه سپتامبر، شرکت مایکروسافت ویژگی جدیدی به نام Exchange Emergency Mitigation (EM) را ارائه کرد که محافظت خودکار تمام سرورهای آسیبپذیر Exchange را فراهم میکرد. در این ویژگی به صورت خودکار میتوان برای باگهایی با خطر بالا مکانیزم کاهش خطر را به منظور ایمنسازی سرورهای فیزیکی در مقابل هرگونه حملهای فعال کرد و به مدیران زمان بیشتری داد تا به روزرسانیهای امنیتی را اعمال کنند.
در حالی که مایکروسافت پیش از این اعلام کرده بود از این ویژگی جدید برای کاهش نقصهای مورد سوء استفاده فعال مانند CVE-2021-42321 استفاده میکند، در بهروزرسانیهای امنیتی این ماه Exchange Server، هیچ اشارهای به استفاده از Exchange EM ندارد.
سرورهای ایستا در معرض حمله
از شروع سال میلادی 2021 تاکنون، ادمینهای Exchange با دو موج عظیم از حملات با استفاده از آسیبپذیریهای ProxyLogon و ProxyShell مواجه هستند.
در ابتدای ماه مارس سال جاری، چندین عامل تهدید حمایت شده مالی و سیاسی از اکسپلویتهای ProxyLogon استفاده کردند تا Web Shell ها، باج افزارها، ماینرها و دیگر بدافزارها را بر روی حدود 250 هزار سرور متعلق به دهها هزار سازمان در سراسر جهان مستقر کنند.
چهار ماه بعد، ایالات متحده و متحدان آن که شامل اتحادیه اروپا، انگلستان و سازمان NATO میباشند، رسما چین را برای توزیع کمپینهای هک مرتبط با Exchange متهم کردند.
در ماه اوت، پس از آنکه محققان امنیتی موفق به بازتولید یک اکسپلویت کارامد شدند، مهاجمان نیز شروع به اسکن و هک سرورهای Exchange با استفاده از آسیبپذیریهای ProxyShell کردند.
در حالی که در ابتدا فایلهای دراپ شده بر روی سرورها از طریق اکسپلویتهای ProxyShell بیخطر بودند، اما در ادامه با مستقر کردن باجافزار LockFile در تمام دامنههای ویندوزی با استفاده از اکسپلویتهای PetitPotam، به یک تهدید جدی بدل شدند.
