خلاصه
به تازگی محققان امنیت سایبری در شرکت ویتنامی GTSC مطلب وبلاگی مبنی بر شناسایی یک کارزار حمله جدید منتشر کردهاند. بنا به گفته این محققان: «در این حملات از دو آسیبپذیری روز صفر در مایکروسافت اکسچنج استفاده شده که میتواند امکان اجرای کد از راه دور را برای مهاجمان فراهم کنند». مجرمان سایبری تلاش میکنند با سوءاستفاده از این دو آسیبپذیری، پوستههای وبی (بخصوص China Chopper) را روی سرورهای آسیبپذیری اجرا کنند تا کارهایی مثل سرقت دادهها و حرکت عرضی به سایر سیستمها در شبکههای قربانی را انجام دهند.
اولین آسیبپذیری توسط مایکروسافت با کد CVE-2022-41040 شناسایی شده و از نوع جعل درخواست سمت سرور (SSRF[1]) است. آسیبپذیری دوم با کد CVE-2022-41082 هم امکان اجرای کد از راه دور را برای مهاجمانی با دسترسی به پاورشل فراهم میکند.
به تازگی CrowdStrike یک روش جدید (به نام OWASSRF) برای سوءاستفاده پیدا کرده که شامل استفاده از این دو آسیبپذیری برای اجرای کد از راه دور از طریق دسترسی به اوت لوک تحت وب است.
اطلاعات فنی
در حال حاضر مایکروسافت از اجرای حملات هدفمند محدودی که با سوءاستفاده از این دو آسیبپذیری سعی در نفوذ به سیستمهای کاربران دارند، مطلع شده است. در این حملات، آسیبپذیری CVE-2022-41040 به مهاجمی که احراز هویت شده، امکان فعالسازی آسیبپذیری CVE-2022-41082 را میدهد. لازم به ذکر است که برای سوءاستفاده موفقیتآمیز از هر یک از این آسیبپذیریها، دسترسی به سرور آسیبپذیر اکسچنج ضروری است.
محققان GTSC این آسیبپذیریها را حدود سه هفته پیش به صورت خصوصی به گروه ابتکار بینالمللی Zero Day Initiative گزارش دادهاند. این ابتکار، دو آسیبپذیری مدنظر را پس از تأیید توسط کارشناسان، با کدهای ZDI-CAN-183331 و ZDI-CAN-188022 ثبت کرد.
GTSC این آسیبپذیری را برای ابتکار Zero Day ارسال کرده تا مایکروسافت بتواند در اسرع وقت، یک وصله امنیتی برای آن ایجاد کند. ابتکار Zero Day این دو آسیبپذیری را تأیید کرده و نمره CVSS 8.8 و 6.3 را برای آنها در نظر گرفته است.”
GTSC اطلاعاتی را درباره این آسیبپذیریها منتشر کرده اما محققان این شرکت اعلام کردهاند که درخواستهای مورد استفاده در این زنجیره اکسپلویت مشابه فرمانهای مورد استفاده در حملات روز صفری هستند که آسیبپذیریهای ProxyShell را هدف گرفته بودند.
این اکسپلویت در دو مرحله کار میکند:
- ایجاد درخواستهایی با قالب مشابه به آسیبپذیری ProxyShell:
autodiscover/autodiscover.json?@evil.com/&Email=autodiscover/autodiscover.json%[email protected].
- استفاده از لینک بالا برای دسترسی به بخشی در بک-اند که امکان پیادهسازی حمله اجرای کد از راه دور، در آنجا وجود دارد.
به گفته محققان: «شماره نسخه این سرورهای اکسچنج نشان میدهد که جدیدترین بهروزرسانی روی آنها نصب شده است بنابراین سوءاستفاده با استفاده از ProxyShell غیرممکن است».
توصیهها
مشتریان مایکروسافت اکسچنج آنلاین نیاز به انجام کار خاصی ندارند. مشتریان نسخه درون سازمانی مایکروسافت اکسچنج، باید دستورالعملهای بازنویسی نشانی وب (URL Rewrite) زیر را مطالعه و اعمال کرده و پورتهای راه دور آسیبپذیر پاورشل را مسدود کنند. سازمانهایی که از تنظیمات ترکیبی استفاده میکنند هم باید تا زمان انتشار وصله امنیتی، دستورالعملهای لازم برای مقابله با این آسیبپذیریها را رعایت کنند.
[1] Server-Side Request Forgery
