Ultimate magazine theme for WordPress.

هر آنچه که باید در مورد آسیب پذیری های ProxyShell بدانید

0

به گزارش تک‌فکت; ProxyShell یک زنجیره حمله است که از سه آسیب پذیری شناخته شده در Microsoft Exchange سوء استفاده می کند: CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207. با بهره برداری از این آسیب پذیری ها، مهاجمان می توانند اجرای کد از راه دور را انجام دهند.

مایکروسافت آسیب‌پذیری‌های ProxyShell را مانند هر آسیب‌پذیری که اجرای کد از راه دور را امکان‌پذیر می‌کند، به‌عنوان بحرانی طبقه‌بندی کرده است. با این حال، ProxyShell به دو دلیل به ویژه حیاتی است:

  1. برخلاف برخی دیگر از آسیب‌پذیری‌های اجرای کد از راه دور که در طی سال‌ها در محصولات مایکروسافت کشف شده‌اند، بهره‌برداری از ProxyShell نسبتا آسان است.
  2. محققان امنیتی در کنفرانس Black Hat USA در سال ۲۰۲۱ در مورد این اکسپلویت به طور مفصل بحث کردند. این باعث شد تا این اکسپلویت در جامعه هکرها به خوبی شناخته شود.

بلافاصله پس از اینکه جزئیات مربوط به ProxyShell عمومی شد، موج اولیه حملات علیه سرورهای اکسچنج وجود داشت. اما حتی امروزه، هکرها فعالانه از آسیب‌پذیری‌های ProxyShell سوء استفاده می‌کنند.

دو چیز اصلی وجود دارد که محققان امنیتی مشاهده کرده اند که هکرها روی سیستم های آسیب دیده انجام می دهند:

هکرها پوسته های وب(Web shells) می سازند

یک پوسته وب اساساً یک رابط خط فرمان است که می تواند برای حمله به یک سیستم آسیب پذیر استفاده شود. اکسپلویت های ProxyShell جلسات راه دور PowerShell را قادر می سازند تا با سرورهای Exchange آسیب پذیر ایجاد شوند. راه‌های مختلفی وجود دارد که مهاجمان از PowerShell برای ایجاد پوسته‌های وب استفاده کرده‌اند.

یکی از شناخته‌شده‌ترین اکسپلویت‌های پوسته وب شامل ایجاد یک پیش‌نویس پیام ایمیل در صندوق پستی Exchange توسط یک مهاجم است. این پیام پیش نویس حاوی یک پیوست خاص است — فایلی با پسوند ASPX. پس از ایجاد این پیام ایمیل، مهاجم از cmdlet New-MailboxExportRequest برای صادر کردن محتویات صندوق پستی به فایل PST استفاده می کند. این فرآیند ارسال باعث می‌شود که پیوست پیام رمزگشایی شود، و اجازه می‌دهد پیوست اجرا شود.

هکرها از ProxyShell به عنوان ابزاری برای نصب باج افزار استفاده می کنند

در آگوست و سپتامبر ۲۰۲۱، تعدادی نمونه مستند از مهاجمان وجود داشت که از آسیب‌پذیری‌های ProxyShell برای نصب باج‌افزار LockFile در سیستم‌های مایکروسافت اکسچنج وصله‌نشده استفاده کردند. اخیراً، باج افزار Babuk در سرورهای Exchange وصله نشده نمایش داده می شود. Squirrelwaffle همچنین از ProxyShell بهره برداری کرده است. Squirrelwaffle بدافزاری است که پاسخ‌های مخرب به زنجیره‌های ایمیل قانونی را فرموله می‌کند.

مهم ترین نکته ای که باید در مورد این نوع حملات باج افزار و بدافزار در نظر داشت این است که توسط کاربری که به طور تصادفی روی چیزی کلیک می کند که نباید انجام می شود، ایجاد نمی شوند. هکرها فعالانه به دنبال سرورهای Exchange اصلاح نشده هستند و بدافزارها و باج افزارها را در آن سرورها نصب می کنند.

چگونه از آسیب پذیری های ProxyShell محافظت کنیم

اولین کاری که سازمان‌ها برای محافظت از خود در برابر آسیب‌پذیری‌های ProxyShell باید انجام دهند این است که سرورهای Microsoft Exchange در محل خود را اصلاح کنند. به طور خاص، سازمان‌ها باید آخرین به‌روزرسانی تجمعی را به‌علاوه به‌روزرسانی‌های امنیتی می ۲۰۲۱ یا به‌روزرسانی‌های امنیتی ژوئیه ۲۰۲۱ را اجرا کنند. به‌روزرسانی تجمعی و به‌روزرسانی امنیتی هر دو برای محافظت ضروری هستند. نسخه‌های سرور Exchange قدیمی‌تر از Exchange 2013 می‌توانند آسیب‌پذیر باشند، صرف‌نظر از اینکه وصله شده‌اند یا نه.

علاوه بر وصله کردن هر سرور Exchange در محل، سازمان‌ها همچنین باید یک اسکن بدافزار و اسکن امنیتی جامع انجام دهند تا مشخص کنند آیا سرورهای Exchange قبلاً در معرض خطر قرار گرفته‌اند یا خیر. اگر یک مهاجم یک پوسته وب را روی یک Exchange Server نصب کرده باشد، عوامل تهدید ممکن است بتوانند از آن پوسته وب برای دسترسی به سیستم‌ها حتی پس از وصله‌دهی استفاده کنند.

 

یک نظر بزارید

ایمیل شما منتشر نمی شود: