کشف دو آسیب پذیری روز صفر خطرناک در Exchange

به گزارش محققان امنیتی در سازمان امنیت سایبری ویتنامی GTSC، مهاجمان از آسیب‌پذیری‌های روز صفر Microsoft Exchange برای اجرای کد از راه دور استفاده می‌کنند.

مایکروسافت اعلام کرد که دو آسیب‌پذیری روز صفر جدیدی که در حملات استفاده می‌شوند، با شناسه‌های CVE-2022-41040 و CVE-2022-41082 شناسایی می‌شوند. از این دو آسیب‌پذیری‌ برای به‌کارگیری وب شل‌های Chinese Chopper بر روی سرورهای آسیب‌پذیر و ماندگاری، سرقت داده‌ها و همچنین حرکت جانبی به سیستم‌های دیگر در شبکه قربانیان استفاده می‌شود.

سیستم‌های آسیب‌پذیر

به گفته مایکروسافت، این دو آسیب‌پذیری روز صفر، سرورهای Exchange نسخه 2013، 2016 و 2019 را تحت تأثیر قرار می‌دهند.

آسیب‌پذیری اول، با عنوان CVE-2022-41040، یک آسیب‌پذیری جعل درخواست سمت سرور (SSRF) است، در حالی که آسیب‌پذیری دوم با نام CVE-2022-41082، امکان اجرای کد از راه دور (RCE) را در زمانی که PowerShell در دسترس است می‌دهد.

آسیب‌پذیری CVE-2022-41040 تنها توسط مهاجمان احراز هویت شده قابل سوء استفاده است و بهره برداری موفق به آنها اجازه می‌دهد تا آسیب پذیری CVE-2022-41082 را فعال کنند.

راهکارها

• به گزارش مایکروسافت، با توجه به تشخیص‌ها و اقدامات کاهشی برای محافظت از مشتریان، کاربران Exchange Online در حال حاضر نیازی به انجام هیچ اقدامی ندارند.

همچنین، مایکروسافت اقدامات کاهشی که توسط GTSC به اشتراک گذاشته شده را تأیید کرد. این محققان امنیتی، سه هفته پیش این دو نقص را به طور خصوصی از طریق Zero Day Initiative به مایکروسافت گزارش کردند.

• مایکروسافت افزود، کاربران سرورهای فیزیکی Exchange باید دستورالعمل‌های بازنویسی URL زیر را بررسی و اعمال کنند و پورت‌های Remote PowerShell را مسدود کنند.

اقدام کاهشی فعلی شامل اضافه کردن rule زیر جهت مسدود کردن الگوهای حمله شناخته شده است:

IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions

برای اعمال این روش در سرورهای آسیب پذیر، مراحل زیر را طی کنید:

1. IIS Manager را باز کنید.
2. وب سایت پیش فرض را expand کنید.
3. Autodiscover را انتخاب کنید.
4. در بخش Feature View، روی URL Rewrite کلیک کنید.
5. در قسمت Actions در سمت راست، روی Add Rules کلیک کنید.
6. Request Blocking را انتخاب کرده و OK کنید.
7. رشته “.*autodiscover\.json.*\@.*Powershell.*” (با حذف علامت نقل قول یا ” ) را اضافه کنید و روی OK کلیک کنید.
8. rule را expand کنید و با الگوی “.*autodiscover\.json.*\@.*Powershell.*” قانون را انتخاب کنید و روی Edit در زیربخش Conditions کلیک کنید.
9. ورودی شرط را از {URL} به {REQUEST_URI} تغییر دهید.

از آنجایی که مهاجمان می‌توانند برای اجرای کد از راه دور با بهره‌برداری CVE-2022-41082 به PowerShell Remoting در سرورهای Exchange آسیب‌پذیر دسترسی پیدا کنند، مایکروسافت به مدیران توصیه می‌کند که پورت‌های Remote PowerShell زیر را برای جلوگیری از حملات مسدود کنند:

• HTTP: 5985
• HTTPS: 5986

در نهایت، مدیران جهت بررسی اینکه سرورهای Exchange آنها قبلاً در معرض خطر قرار گرفته‌ یا نه، می‌توانند دستور PowerShell زیر را برای اسکن نشانه‌های آلودگی در فایل‌های گزارش IIS اجرا کنند:

 Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'