ایمیل سرور مایکروسافت یا Microsoft Exchange Server یکی از محصولات پرکاربرد در شبکه سازمانهای بزرگ است که آسیبپذیریهای مربوط به آن برای مدت زمانی طولانی مورد هدف حملهکنندگان سایبری بوده است. برای مثال، آسیبپذیری خطرناک ProxyLogon، در حملات اسفند ماه سال گذشته مورد سوءاستفاده مهاجمان قرار گرفت و منجر به حملات باجافزاری، اجرای بدافزار و یا سرقت دادههای سرورهای Exchange آسیبپذیر شد.
خبر آسیبپذیری ProxyLogon
تحلیل آسیبپذیری ProxyLogon
آسیبپذیریهای ProxyShell
به تازگی جزئیاتی از آسیبپذیریهای جدیدی با عنوان Microsoft Exchange ProxyShell در کنفرانس Black Hat (کنفرانسی سالانه با محوریت امنیت سایبری) منتشر شده است. گزارشها حاکی از آن است که پس از افشای این آسیبپذیری، مهاجمان در حال اسکن سرورهای آسیبپذیر به ProxyShell هستند و این موضوع نگرانی بسیاری را درباره حملات احتمالی مرتبط با این آسیبپذیریها برانگیخته است.
ProxyShell یک مجموعه آسیبپذیری اجرای کد از راه دور (RCE) و شامل سه آسیبپذیری است که هنگام اتصال به یکدیگر، بدون نیاز به احراز هویت، کد مورد نظر مهاجم را بر روی سرورهای Microsoft Exchange اجرا میکنند. این آسیبپذیریهای زنجیرهای، از راه دور و از طریق سرویس دسترسی به مشتری (Client Access Service) که روی پورت 443 در IIS فعال است، مورد سوءاستفاده قرار میگیرند.
آسیبپذیریهای مورد استفاده در حملات ProxyShell عبارتند از:
- CVE-2021-34473: درجه خطر بحرانی (وصله شده در ۲۴ فروردین ۱۴۰۰- KB5001779)
- CVE-2021-34523: درجه خطر بالا (وصله شده در۲۴ فروردین ۱۴۰۰- KB5001779)
- CVE-2021-31207: درجه خطر متوسط (وصله شده در ۲۱ اردیبهشت ۱۴۰۰- KB5003435)
نسخههای آسیبپذیر
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
راهکارها
از آنجایی که وصلههای مربوط به آسیبپذیری ProxyShell ماهها پیش منتشر شدهاند، انتظار نمیرود این سری از حملات به اندازه حملات ProxyLogon گسترده باشند. با این وجود، ۴۰۰ هزار سرور Microsoft Exchange در اینترنت در معرض آسیب هستند و احتمال حملات موفق وجود دارد. در نتیجه به کاربران این سرویس توصیه میشود:
- وصله مربوطه را نصب نمایید تا از نفوذهای احتمالی جلوگیری کنید.
- در صورت رویت مورد مشکوک یا عدم توانایی در بررسی فارنزیک، با تیمهای متخصص فارنزیک تماس بگیرید (شرکت امنپرداز مانند همیشه آماده ارائه مشاوره در خصوص مسائل امنیتی و بررسی فارنزیک میباشد).