حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان

مایکروسافت هفته گذشته پک امنیتی مهمی را برای سرورهای سرویس Exchange منتشر کرد تا ۴ آسیب‌پذیری روز صفر آن‌ها را اصلاح کند.

اما این اتفاق ظاهرا از تداوم حملات هکرها جلوگیری نکرده است. مطابق گزارش وب‌سایت Krebs on Security و خبرگزاری Wired، گروه هکری «هافنیوم» (Hafnium) که به دولت چین وابسته است،

پس از انتشار این وصله امنیتی با توان بیشتری به حملات خود ادامه داده است.

این گروه در آمریکا به حداقل ۳۰ هزار سازمان نظیر اداره‌های پلیس، بیمارستان‌ها، فرمانداری‌های محلی، بانک‌ها، شرکت‌های اعتباری، ارائه‌دهندگان خدمات ارتباطی و شرکت‌های غیرانتفاعی نفوذ کرده است.

شمار قربانیان جهانی حمله به سرویس ایمیلی Exchange به چند صد هزار می‌رسد.

حمله هکرها به سرورهای Exchange

یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange

برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است.
مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.

ظاهرا این نقص‌های امنیتی توسط مایکروسافت رفع شده‌اند. اما متخصصان امنیتی می‌گویند شناسایی و پاک‌سازی به تلاشی عظیم از سوی هزاران اداره‌ی شهری، آتش‌نشانی و پلیس، حوزه‌ی آموزشی، مؤسسه‌های مالی و دیگر نهادهایی که از هک متأثر شده‌اند نیاز دارد.

براساس اطلاعیه‌ی مایکروسافت، آسیب‌پذیری Exchange Server هکرها را قادر ساخته‌ است به حساب‌های ایمیل دسترسی پیدا کنند.

هکرها با استفاده از آسیب‌پذیری‌ توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.

جزئیات فنی کاملتر به شرح ذیل میباشد:

۱- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده

و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد.

این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.

نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ،

با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ،

به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.

۲- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.

۳- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند

۴- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.

جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس .

میتوان از لینک زیر استفاده نمود:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/