مایکروسافت برای مدت 4 روز و 0 روز در Exchange اقدام به رفع مشکل اضطراری می کند


کلمه ZERO-DAY در صفحه ای پر از صفر و صفر پنهان شده است.

مایکروسافت از مشتریان می خواهد که برای جلوگیری از محافظت در برابر هکرهای بسیار ماهری که به طور فعال از چهار آسیب پذیری روز صفر در Exchange Server استفاده می کنند ، سریعاً اصلاحات سریع را نصب کنند.

این سازنده نرم افزار گفت هکرهایی که به نمایندگی از دولت چین کار می کنند از سوits استفاده های ناشناخته قبلی برای هک نرم افزار محلی Exchange Server که کاملاً وصله شده است استفاده می کنند. تاکنون ، هافنیوم ، همانطور که مایکروسافت هکرها نامیده می شود ، تنها گروهی است که شاهد سو it استفاده از این آسیب پذیری ها بوده است ، اما این شرکت گفت که این می تواند تغییر کند.

تام ، معاون امنیتی و اعتماد مشتری شرکت مایکروسافت گفت: “اگرچه ما برای اجرای به روزرسانی در مورد بهره برداری هافنیوم به سرعت کار کرده ایم ، اما می دانیم که بسیاری از بازیگران ملی و گروه های جنایی به سرعت برای استفاده از همه سیستم های معیوب حرکت می کنند.” برت در پستی که بعد از ظهر سه شنبه منتشر شد نوشت. “اجرای به موقع اصلاحات امروز بهترین دفاع در برابر این حمله است.”

برت اهداف را شناسایی نکرد ، مگر اینکه بگوید آنها شرکتهایی بودند که از نرم افزار محلی Exchange Server استفاده می کردند. وی گفت كه هافنیم در وهله اول برای سرقت اطلاعات محققان بیماریهای عفونی مستقر در ایالات متحده ، شركتهای حقوقی ، دانشگاهها ، مدیران دفاعی ، اتاق های تحقیق سیاسی و سازمانهای غیردولتی از چین فعالیت می كرد.

برت افزود مایکروسافت از تک تک کاربرانی که هدف حمله قرار گرفته اند اطلاعی نداشته و یا اینکه این نتایج بر سایر محصولات مایکروسافت تأثیر گذاشته است. وی همچنین گفت این حملات به هیچ وجه مربوط به هک های مرتبط با SolarWinds نبوده است که دست کم 9 سازمان دولتی ایالات متحده و حدود 100 شرکت خصوصی را نقض کرده است.

صفر روز در Microsoft Exchange Server 2013 ، 2016 و 2019 وجود دارد. چهار آسیب پذیری عبارتند از:

  • CVE-2021-26855 ، آسیب پذیری درخواست جعل سرور (SSRF) است که به مهاجمان اجازه می دهد درخواست های HTTP خودسرانه ارسال کرده و به عنوان یک سرور Exchange احراز هویت شوند.
  • CVE-2021-26857 ، آسیب پذیری ناامن در محرومیت زدایی در سرویس UM. غیرفعال کردن شرایط ناامن هنگامی است که داده های غیرقابل اعتماد توسط کاربر توسط یک برنامه از لیست خارج شوند. سو this استفاده از این آسیب پذیری به هافنیوم اجازه داد تا کد را به عنوان SYSTEM در سرور Exchange اجرا کند. این برای بهره برداری نیاز به اجازه مدیر یا آسیب پذیری دیگری دارد.
  • CVE-2021-26858 ، آسیب پذیری پس از احراز هویت تصادفی هنگام نوشتن پرونده. اگر Hafnium بتواند با سرور Exchange اعتبار سنجی کند ، می تواند هر بار از این آسیب پذیری برای نوشتن پرونده برای سرور استفاده کند. با بهره گیری از آسیب پذیری CVE-2021-26855 SSRF یا با به خطر انداختن اعتبارنامه های اداری قانونی ، می توان این گروه را تأیید کرد.
  • CVE-2021-27065 ، آسیب پذیری پس از احراز هویت تصادفی هنگام نوشتن پرونده. اگر Hafnium بتواند با سرور Exchange اعتبار سنجی کند ، می تواند از این آسیب پذیری برای نوشتن هر بار پرونده روی سرور استفاده کند. با بهره برداری از آسیب پذیری CVE-2021-26855 SSRF یا به خطر انداختن اعتبارنامه های اداری قابل تأیید است.

برت گفت ، این حمله شامل مراحل زیر بود:

  1. به سرور Exchange با رمزهای عبور سرقت شده یا با استفاده از صفر روز دسترسی داشته باشید تا هکرها را به عنوان پرسنلی که نیاز به دسترسی دارند پنهان کنید.
  2. ایجاد یک پوسته وب برای کنترل از راه دور سرور آسیب دیده و
  3. از این دسترسی از راه دور برای سرقت اطلاعات از شبکه هدف استفاده کنید

طبق معمول برای هافنیوم ، این گروه از سرورهای خصوصی مجازی اجاره ای در ایالات متحده فعالیت می كردند.

جزئیات بیشتر ، از جمله شاخص های سازش ، در اینجا و اینجا موجود است.

مایکروسافت گزارش خصوصی در بخشهای مختلف حمله و کمک مایکروسافت در تحقیقات بعدی را به شرکتهای امنیتی Volexity و Dubex اعتبار داد. مشاغلی که از نسخه آسیب پذیر Exchange Server استفاده می کنند باید در اسرع وقت این اصلاحات را انجام دهند.


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>