آسیب‌پذیری روز صفر جدید در مایکروسافت اکسچنج

خلاصه

به تازگی محققان امنیت سایبری در شرکت ویتنامی GTSC مطلب وبلاگی مبنی بر شناسایی یک کارزار حمله جدید منتشر کرده‌اند. بنا به گفته این محققان: «در این حملات از دو آسیب‌پذیری روز صفر در مایکروسافت اکسچنج استفاده شده که می‌تواند امکان اجرای کد از راه دور را برای مهاجمان فراهم کنند». مجرمان سایبری تلاش می‌کنند با سوءاستفاده از این دو آسیب‌پذیری، پوسته‌های وبی (بخصوص China Chopper) را روی سرورهای آسیب‌پذیری اجرا کنند تا کارهایی مثل سرقت داده‌ها و حرکت عرضی به سایر سیستم‌ها در شبکه‌های قربانی را انجام دهند.

اولین آسیب‌پذیری توسط مایکروسافت با کد CVE-2022-41040 شناسایی شده و از نوع جعل درخواست سمت سرور (SSRF[1]) است. آسیب‌پذیری دوم با کد CVE-2022-41082 هم امکان اجرای کد از راه دور را برای مهاجمانی با دسترسی به پاورشل فراهم می‌کند.

به تازگی CrowdStrike یک روش جدید (به نام OWASSRF) برای سوءاستفاده پیدا کرده که شامل استفاده از این دو آسیب‌پذیری برای اجرای کد از راه دور از طریق دسترسی به اوت لوک تحت وب است.

اطلاعات فنی

در حال حاضر مایکروسافت از اجرای حملات هدفمند محدودی که با سوءاستفاده از این دو آسیب‌پذیری سعی در نفوذ به سیستم‌های کاربران دارند، مطلع شده است. در این حملات، آسیب‌پذیری CVE-2022-41040 به مهاجمی که احراز هویت شده، امکان فعال‌سازی آسیب‌پذیری CVE-2022-41082 را می‌دهد. لازم به ذکر است که برای سوءاستفاده موفقیت‌آمیز از هر یک از این آسیب‌پذیری‌ها، دسترسی به سرور آسیب‌پذیر اکسچنج ضروری است.

محققان GTSC این آسیب‌پذیری‌ها را حدود سه هفته پیش به صورت خصوصی به گروه ابتکار بین‌المللی Zero Day Initiative گزارش داده‌اند. این ابتکار، دو آسیب‌پذیری مدنظر را پس از تأیید توسط کارشناسان، با کدهای ZDI-CAN-183331 و ZDI-CAN-188022 ثبت کرد.

GTSC این آسیب‌پذیری را برای ابتکار Zero Day ارسال کرده تا مایکروسافت بتواند در اسرع وقت، یک وصله امنیتی برای آن ایجاد کند. ابتکار Zero Day این دو آسیب‌پذیری را تأیید کرده و نمره CVSS 8.8 و 6.3 را برای آنها در نظر گرفته است.”

GTSC اطلاعاتی را درباره این آسیب‌پذیری‌ها منتشر کرده اما محققان این شرکت اعلام کرده‌اند که درخواست‌های مورد استفاده در این زنجیره اکسپلویت مشابه فرمان‌های مورد استفاده در حملات روز صفری هستند که آسیب‌پذیری‌های ProxyShell را هدف گرفته بودند.

این اکسپلویت در دو مرحله کار می‌کند:

1. ایجاد درخواست‌هایی با قالب مشابه به آسیب‌پذیری ProxyShell:

autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%3f@evil.com.

2. استفاده از لینک بالا برای دسترسی به بخشی در بک-اند که امکان پیاده‌سازی حمله اجرای کد از راه دور، در آنجا وجود دارد.

به گفته محققان: «شماره نسخه این سرورهای اکسچنج نشان می‌دهد که جدیدترین به‌روزرسانی روی آنها نصب شده است بنابراین سوءاستفاده با استفاده از ProxyShell غیرممکن است».

توصیه‌ها

مشتریان مایکروسافت اکسچنج آنلاین نیاز به انجام کار خاصی ندارند. مشتریان نسخه درون سازمانی مایکروسافت اکسچنج، باید دستورالعمل‌های بازنویسی نشانی وب (URL Rewrite) زیر را مطالعه و اعمال کرده و پورت‌های راه دور آسیب‌پذیر پاورشل را مسدود کنند. سازمان‌هایی که از تنظیمات ترکیبی استفاده می‌کنند هم باید تا زمان انتشار وصله امنیتی، دستورالعمل‌های لازم برای مقابله با این آسیب‌پذیری‌ها را رعایت کنند.

[1] Server-Side Request Forgery