به گزارش تکفکت; ProxyShell یک زنجیره حمله است که از سه آسیب پذیری شناخته شده در Microsoft Exchange سوء استفاده می کند: CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207. با بهره برداری از این آسیب پذیری ها، مهاجمان می توانند اجرای کد از راه دور را انجام دهند.
مایکروسافت آسیبپذیریهای ProxyShell را مانند هر آسیبپذیری که اجرای کد از راه دور را امکانپذیر میکند، بهعنوان بحرانی طبقهبندی کرده است. با این حال، ProxyShell به دو دلیل به ویژه حیاتی است:
- برخلاف برخی دیگر از آسیبپذیریهای اجرای کد از راه دور که در طی سالها در محصولات مایکروسافت کشف شدهاند، بهرهبرداری از ProxyShell نسبتا آسان است.
- محققان امنیتی در کنفرانس Black Hat USA در سال ۲۰۲۱ در مورد این اکسپلویت به طور مفصل بحث کردند. این باعث شد تا این اکسپلویت در جامعه هکرها به خوبی شناخته شود.
بلافاصله پس از اینکه جزئیات مربوط به ProxyShell عمومی شد، موج اولیه حملات علیه سرورهای اکسچنج وجود داشت. اما حتی امروزه، هکرها فعالانه از آسیبپذیریهای ProxyShell سوء استفاده میکنند.
دو چیز اصلی وجود دارد که محققان امنیتی مشاهده کرده اند که هکرها روی سیستم های آسیب دیده انجام می دهند:
هکرها پوسته های وب(Web shells) می سازند
یک پوسته وب اساساً یک رابط خط فرمان است که می تواند برای حمله به یک سیستم آسیب پذیر استفاده شود. اکسپلویت های ProxyShell جلسات راه دور PowerShell را قادر می سازند تا با سرورهای Exchange آسیب پذیر ایجاد شوند. راههای مختلفی وجود دارد که مهاجمان از PowerShell برای ایجاد پوستههای وب استفاده کردهاند.
یکی از شناختهشدهترین اکسپلویتهای پوسته وب شامل ایجاد یک پیشنویس پیام ایمیل در صندوق پستی Exchange توسط یک مهاجم است. این پیام پیش نویس حاوی یک پیوست خاص است — فایلی با پسوند ASPX. پس از ایجاد این پیام ایمیل، مهاجم از cmdlet New-MailboxExportRequest برای صادر کردن محتویات صندوق پستی به فایل PST استفاده می کند. این فرآیند ارسال باعث میشود که پیوست پیام رمزگشایی شود، و اجازه میدهد پیوست اجرا شود.
هکرها از ProxyShell به عنوان ابزاری برای نصب باج افزار استفاده می کنند
در آگوست و سپتامبر ۲۰۲۱، تعدادی نمونه مستند از مهاجمان وجود داشت که از آسیبپذیریهای ProxyShell برای نصب باجافزار LockFile در سیستمهای مایکروسافت اکسچنج وصلهنشده استفاده کردند. اخیراً، باج افزار Babuk در سرورهای Exchange وصله نشده نمایش داده می شود. Squirrelwaffle همچنین از ProxyShell بهره برداری کرده است. Squirrelwaffle بدافزاری است که پاسخهای مخرب به زنجیرههای ایمیل قانونی را فرموله میکند.
مهم ترین نکته ای که باید در مورد این نوع حملات باج افزار و بدافزار در نظر داشت این است که توسط کاربری که به طور تصادفی روی چیزی کلیک می کند که نباید انجام می شود، ایجاد نمی شوند. هکرها فعالانه به دنبال سرورهای Exchange اصلاح نشده هستند و بدافزارها و باج افزارها را در آن سرورها نصب می کنند.
چگونه از آسیب پذیری های ProxyShell محافظت کنیم
اولین کاری که سازمانها برای محافظت از خود در برابر آسیبپذیریهای ProxyShell باید انجام دهند این است که سرورهای Microsoft Exchange در محل خود را اصلاح کنند. به طور خاص، سازمانها باید آخرین بهروزرسانی تجمعی را بهعلاوه بهروزرسانیهای امنیتی می ۲۰۲۱ یا بهروزرسانیهای امنیتی ژوئیه ۲۰۲۱ را اجرا کنند. بهروزرسانی تجمعی و بهروزرسانی امنیتی هر دو برای محافظت ضروری هستند. نسخههای سرور Exchange قدیمیتر از Exchange 2013 میتوانند آسیبپذیر باشند، صرفنظر از اینکه وصله شدهاند یا نه.
علاوه بر وصله کردن هر سرور Exchange در محل، سازمانها همچنین باید یک اسکن بدافزار و اسکن امنیتی جامع انجام دهند تا مشخص کنند آیا سرورهای Exchange قبلاً در معرض خطر قرار گرفتهاند یا خیر. اگر یک مهاجم یک پوسته وب را روی یک Exchange Server نصب کرده باشد، عوامل تهدید ممکن است بتوانند از آن پوسته وب برای دسترسی به سیستمها حتی پس از وصلهدهی استفاده کنند.