- تماس با ما
- ۰۲۱۸۸۸۰۴۹۶۱
- ۰۲۱۹۱۳۰۰۴۷۶
- info@arka.ir
حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان
راهكارهاي جامع پيام رساني و ارتباطی
08/03/2021وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange
08/03/2021حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان
مایکروسافت هفته گذشته پک امنیتی مهمی را برای سرورهای سرویس Exchange منتشر کرد تا 4 آسیبپذیری روز صفر آنها را اصلاح کند.
اما این اتفاق ظاهرا از تداوم حملات هکرها جلوگیری نکرده است. مطابق گزارش وبسایت Krebs on Security و خبرگزاری Wired، گروه هکری «هافنیوم» (Hafnium) که به دولت چین وابسته است،
پس از انتشار این وصله امنیتی با توان بیشتری به حملات خود ادامه داده است.
این گروه در آمریکا به حداقل ۳۰ هزار سازمان نظیر ادارههای پلیس، بیمارستانها، فرمانداریهای محلی، بانکها، شرکتهای اعتباری، ارائهدهندگان خدمات ارتباطی و شرکتهای غیرانتفاعی نفوذ کرده است.
شمار قربانیان جهانی حمله به سرویس ایمیلی Exchange به چند صد هزار میرسد.
یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange
برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است.
مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.
ظاهرا این نقصهای امنیتی توسط مایکروسافت رفع شدهاند. اما متخصصان امنیتی میگویند شناسایی و پاکسازی به تلاشی عظیم از سوی هزاران ادارهی شهری، آتشنشانی و پلیس، حوزهی آموزشی، مؤسسههای مالی و دیگر نهادهایی که از هک متأثر شدهاند نیاز دارد.
براساس اطلاعیهی مایکروسافت، آسیبپذیری Exchange Server هکرها را قادر ساخته است به حسابهای ایمیل دسترسی پیدا کنند.
هکرها با استفاده از آسیبپذیری توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.
جزئیات فنی کاملتر به شرح ذیل میباشد:
1- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده
و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد.
این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.
نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ،
با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ،
به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.
2- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.
3- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند
4- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.
جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس .
میتوان از لینک زیر استفاده نمود:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
