• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

تازه های امنیت

23 ژوئن 2021

آسیب پذیری وصله امنیتی مایکروسافت

بار دیگر سه شنبه پچ است و این بار نیز یک بار نسبتاً سبک است. وصله به روزرسانی امنیتی ژوئن ۴۹ رفع آسیب پذیری جدید به همراه پنج وصله هماهنگ ارائه شده توسط Adobe دارد. فقط پنج مورد از رفع اشکالات مایکروسافت به عنوان Criticals ارزیابی شده اند. اما این از اهمیت استفاده از وصله ها در اسرع وقت نمی کاهد. هر پنج وصله مهم مربوط به اشکالاتی است که به طور بالقوه برای اجرای کد از راه دور (RCE) قابل بهره برداری هستند. و یکی از آنها – یک آسیب پذیری در پلتفرم Windows MSHTML ، موتور مرورگر اختصاصی که در اصل برای Internet Explorer ساخته شده و به عنوان جزئی از برخی از برنامه های ارائه دهنده HTML باقی مانده است ، قبلاً مورد بهره برداری قرار گرفته است.

مایکروسافت همچنین در ۴ ژوئن برای رفع آسیب پذیری در مرورگر Microsoft Edge مبتنی بر Chromium (CVE-2021-33741) رفع مشکل کرد. این آسیب پذیری ، که در Chrome نیز گزارش شده است ، قبلاً به طور فعال مورد سو استفاده قرار می گرفت.

آسیب پذیری وصله امنیتی مایکروسافت Criticals (بحرانی ها)

اشکال Windows MSHTML (CVE-2021-33742) بیشترین نگرانی را دارد. زیرا در حال حاضر به طور فعال توسط بازیگران مخرب مورد سو استفاده قرار می گیرد. از یک صفحه وب مخرب که توسط یک برنامه کاربردی با استفاده از موتور HTML Internet Explorer بازدید شده است. می توان برای اجرای دستورات روی سیستم آسیب دیده استفاده کرد. این می تواند در متن مرورگر ، در ایمیل یا هر برنامه دیگری با استفاده از موتور MSHTML برای ارائه محتوا HTML رخ دهد. این به روزرسانی شامل به روزرسانی های تجمعی اینترنت اکسپلورر در ویندوز سرور ۲۰۰۸ ، ویندوز ۷ ، ویندوز سرور ۲۰۰۸ R2 ، ویندوز سرور ۲۰۱۲ ، ویندوز ۸٫۱ و ویندوز سرور ۲۰۱۲ R2 و در EdgeHTML (برای پشتیبانی از حالت اینترنت اکسپلورر در مرورگر اج استفاده می شود) در نسخه های جدیدتر ویندوز.

دو اشکال مهم دیگر مورد توجه خاص هستند

اولین مورد CVE-2021-31959 است که یک آسیب پذیری در زمینه تخریب حافظه در موتور برنامه نویسی Chakra JScript است. مانند این اشکال در MSHTML ، این آسیب پذیری در به روزرسانی تجمعی اینترنت اکسپلورر نیز مرتفع شده است. موتور JScript در سیستم عامل های جدید نیز وصله می شود. مورد دوم CVE-2021-31985 است که یک آسیب پذیری RCE در نرم افزار ضد نرم افزار Microsoft’s Defender است. آسیب پذیری مشابه که در ژانویه اصلاح شد.

از آنجا که هر دوی این مولفه ها فایل های  از خارج از شبکه را پردازش می کنند. از قبل در لیست هدف بسیاری از بازیگران مخرب قرار دارند ، احتمال سو استفاده از آنها بیشتر است. نصب به روزرسانی برای این مولفه ها تنها کاهش آسیب پذیری برای Scripting Engine است. مشتریانی که از Sophos یا سایر نرم افزارهای امنیتی  استفاده می کنند ، نباید بیش از حد نگران اشکال Defender باشند ، زیرا سیستم های غیرفعال Defender در معرض این نوع حمله نیستند. همچنین در صورت فعال بودن به روزرسانی های Defender ، هیچ اقدامی برای وصله این مورد لازم نیست – به روزرسانی امضای فعلی ویندوز ، آسیب پذیری را اصلاح می کند.

آسیب پذیری های دیگر RCE در کوتاه مدت کمتر مورد استفاده قرار می گیرند ، اما هنوز هم خواستار وصله های فوری هستند. CVE-2021-31963 آسیب پذیری در SharePoint Server است. آخرین اشکال مهم CVE-2021-31967 است ، نقصی در Microsoft VP9 Video Extensions (کدک فشرده سازی ویدیو که توسط YouTube و سایر سیستم عامل های پخش ویدئو استفاده می شود).

آسیب پذیری وصله امنیتی مایکروسافت

مشروح کامل خبر در وب سایت سوفوس

باج افزار جدید Epsilon Red

شرکت رایان سامانه آرکا نمایندگی سوفوس در ایران

22 ژوئن 2021

باج افزار جدید Epsilon Red

باج افزار جدید Epsilon Red

در هفته های گذشته ، تحلیلگران Sophos باج افزار جدیدی را که به زبان برنامه نویسی Go نوشته شده بود کشف کردند که خود را Epsilon Red می نامد. این بدافزار به عنوان آخرین بار قابل اجرا در یک حمله کنترل شده دستی علیه یک تجارت مستقر در ایالات متحده  استفاده شد که در آن اجزای  یک اسکریپت PowerShell بودند.

در حالی که نام و ابزار منحصر به فرد این مهاجم ، در رایانه های آلوده شبیه یادداشت باقی مانده توسط باج افزار REvil است ، اما چند اصلاح جزئی گرامری به آن اضافه می کند. هیچ شباهت آشکاری دیگر بین باج افزار Epsilon Red و REvil وجود ندارد.

 سرورهای Exchange هدف باج افزار

سرور Microsoft Exchange سازمانی اولین نقطه ورود مهاجمان به شبکه سازمانی بوده است. مشخص نیست که آیا این مورد توسط سو استفاده ProxyLogon فعال شده است یا آسیب پذیری دیگری ، اما به نظر می رسد که دلیل اصلی آن یک سرور وصله نشده باشد.(که Microsoft در ۱۲ اسفند اصلاحیه‌هایی اضطراری برای ترمیم آنها منتشر کرد. از زمان انتشار اصلاحیه‌ها و افشای جزییات آن، هکرهای مستقل و گردانندگان APT متعددی، ProxyLogon را به فهرست تکنیک‌های نفوذ خود اضافه کرده‌اند.)

از آن دستگاه ، مهاجمان از  (WMI) برای نصب نرم افزارهای دیگر بر روی ماشین های داخل شبکه که از سرور Exchange می توانند به آنها دسترسی پیدا کنند ، استفاده کردند.

( Windows Management Instrumentation (WMI) از سیستم های محاسباتی ویندوز است. اطلاعاتی در مورد وضعیت سیستم های رایانه ای محلی یا از راه دور در اختیار کاربران قرار می دهد.)

نام Epsilon Red مانند بسیاری از بازیگران تهدید باج افزار ، اشاره ای به فرهنگ پاپ است. شخصیت Epsilon Red مخالف نسبتاً مبهم برخی از مردان ایکس در جهان گسترش یافته Marvel بود. یک “ابر سرباز” که ادعا می شود ریشه روسی دارد ، دارای چهار شاخک مکانیکی  است.

زمینه سازی با استفاده از PowerShell

در طول حمله ، عوامل تهدید مجموعه ای از اسکریپت های PowerShell را به شماره ۱٫ps1 تا ۱۲٫ps1 (و همچنین برخی از آنها که فقط با یک حرف از حروف الفبا نامگذاری شده اند) راه اندازی کردند که ماشین های مورد حمله را برای بار نهایی باج افزار آماده می کند و در نهایت آن را تحویل و آغاز می کند.

باج افزار جدید Epsilon Red

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

باج افزار جدید Epsilon Red پس از رخنه به شبکه اسکریپت PowerShell به نام RED.ps1 ایجاد می شود که با استفاده از WMI بر روی دستگاه های هدف اجرا می شود. اسکریپت یک پرونده بایگانی .۷z را که شامل بقیه اسکریپتهای PowerShell ، قابل اجرا است را در پوشه system32 بازیابی و بسته بندی می کند.

این فایل همچنین وظایف برنامه ریزی شده ای  را تنظیم می کند. که اسکریپت های شماره ۱ تا ۱۲ را اجرا می کند اما از ۷ و ۸ رد می شود.

بازکردن پورت های فایروال پاکسازی مسیرها

اسکریپت red.ps1 فایل RED.7z را در فهرست٪ SYSTEM٪ \ RED باز کرده و سپس کارهای برنامه ریزی شده ای را ایجاد می کند. که اسکریپت های بسته بندی نشده را اجرا می کند. اما یک ساعت منتظر می ماند و دستوراتی را اجرا می کند که قوانین فایروال ویندوز را اصلاح می کند. به طوری که فایروال اتصالات ورودی را در همه پورت های TCP  باز می کند.( به جز ریموت دسکتاپ ۳۳۸۹ / tcp.پورت ارتباطی مورد استفاده توسط یک ابزار تجاری به نام Remote Utilities ، ۵۶۵۰ / tcp )

باج افزار جدید Epsilon Red

 

پس از رمزگذاری هر فایل، پسوند فایل”.epsilonred” را به فایل ها اضافه می کند. و در هر پوشه یک یادداشت باج می اندازد.

در آدرس رمزنگاری ارائه شده توسط مهاجمان ، به نظر می رسد. كه حداقل یكی از قربانیان آنها در تاریخ ۱۵ مه ۴/۲۹ BTC باج پرداخت كرده است. (در آن تاریخ تقریباً ۲۱۰،۰۰۰ دلار ارزش دارد).

باج افزار جدید Epsilon Red

محصولات نهایی Sophos ، مانند Intercept X ، از نظر رفتاری چندین اقدام انجام شده توسط اسکریپت های PowerShell یا باج افزار را شناسایی می کنند. اقدام به رمزگذاری فایل ها توسط ویژگی CryptoGuard مسدود شده است. از آنجا که به نظر می رسد نقطه ورود این حمله یک سرور Exchange است که در معرض زنجیره بهره برداری ProxyLogon قرار دارد ، از مشتریان خواسته می شود که سرورهای Exchange رو به اینترنت را در اسرع وقت آپدیت کنند.

محصولات Sophos می توانند از سرورهای Exchange و همچنین Domain Controller یا ایستگاه های کاری محافظت کنند.

مشروح گزارش Sophos 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

بررسی و پیشنهاد فایروال سوفوس

21 ژوئن 2021

بدافزار Vigilante جلوگیری از ورود افراد به سایت های غیر مجاز مانند PirateBay

به نقل از اندرو برانت ، محقق ارشد SophosLabs  بدافزار عجیب Vigilante از ورود سیستم های کاربران به سایتهایی که توزیع نرم افزار و داده های غیرقانونی و کرک شده را ارایه می دهند، جلوگیری می کند.

وی همچنین افزود: در یکی از عجیب ترین مواردی که مدتی است دیده ام ، اخیراً یک بدافزار که به نظر می رسد هدف اصلی آن دور از انگیزه های رایج بدافزار باشد. این بدافزار با تغییر دادن پرونده HOSTS در سیستم آلوده ، از دسترسی رایانه کاربران آلوده به تعداد زیادی از وب سایت هایی که نرم افزار کرک شده توزیع می کنند ، جلوگیری می کند. این بدافزار را می توان در سرویس های چارت بازی در Discord یا URLهای BitTorrent یافت.

اصلاح پرونده HOSTS روشی خام اما موثر برای جلوگیری از دسترسی کامپیوتر به آدرس وب است. این خام است زیرا ، در حالی که کار می کند ، بدافزار هیچ مکانیسم ماندگاری ندارد. هر کسی می تواند ورودی ها را بعد از اضافه شدن به پرونده HOSTS حذف کند. (مگر اینکه برنامه را برای بار دوم اجرا کند)

بدافزار نام فایل اجرا شده به همراه آدرس IP دستگاه را به سروری که توسط مهاجم کنترل می شود ارسال می کند. تغییراتی در دستگاه ایجاد می کند تا قربانی با ایجاد تغییر در فایل HOSTS دستگاه. نتواند به وب سایت های نرم افزار دزدی مانند ThePirateBay.com وارد شود.

انگیزه این بدافزار کاملاً واضح به نظر می رسد. از مراجعه افراد به وب سایت های نرم افزار دزدی جلوگیری می کند. بدافزار Vigilante از چند صد تا بیش از ۱۰۰۰ دامنه وب به فایل HOSTS اضافه می کند. و آنها را به آدرس localhost ، ۱۲۷٫۰٫۰٫۱ تغییر می دهد.

بدافزار Vigilante

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

مشروح گزارش سوفوس

سوفوس راه حل تمامی تهدیدات پیجیده امروزه

20 ژوئن 2021

حفاظت تطبیقی سیمانتک (Adaptive Protection) امنیت نقطه پایانی را به حداکثر می رساند.

Broadcom از راه اندازی Adaptive Protection ، یک قابلیت پیشرفته به عنوان بخشی از راه حل Symantec Endpoint Security ، خبر داد. با بهره گیری از جدیدترین تکنیک های پیشرفته یادگیری ماشین (ML) که بر اساس دهه ها تجربه امنیت نقطه پایانی Symantec ساخته شده است ، Adaptive Protection امنیت بیشتری را ارائه می دهد که برای محیط هر مشتری خودکار و سفارشی می شود در حالی که تأثیر صفر بر بهره وری را تضمین می کند. Adaptive Protection بطور موثر شرکتها را قادر می سازد تا از حملات سایبری جلوتر باشند و قبل از وقوع آنها تخلفات را متوقف کنند.

چشم انداز تهدید از حملات ساده به حملات کاملاً پیشرفته و هدفمند مانند باج افزار WastedLocker Evil Corp یا باج افزار DarkSide به Colonial Pipeline تبدیل شده است. این گروه ها از تکنیک های “living off the land” استفاده می کنند تا با فعالیت طبیعی ترکیب شده و زیر رادار پرواز کنند. مهاجمان امروز از مزیت مقیاس اقتصادی فوق العاده ای نیز برخوردار هستند زیرا محصولات امنیتی موجود در نقطه پایانی همان محافظت را برای هر مشتری فراهم می کنند. بنابراین مهاجمان می توانند از همان فنون برای حمله به چندین قربانی استفاده کنند.

در حالی که سایر محصولات نقطه پایانی با بسیاری از ویژگی های امنیتی به طور پیش فرض خاموش به مشتریان ارسال می شوند ، رویکرد تطبیقی ​​نرم افزار Broadcom شرکت ها را قادر می سازد بدون ایجاد هشدارهای کاذب که مراکز عملیات امنیتی (SOC) را تحت فشار قرار می دهند ، ارزش حفاظتی کامل نقطه پایانی Symantec را درک کنند.

حفاظت تطبیقی سیمانتک

حفاظت تطبیقی سیمانتک (Adaptive Protection) ​​یک راه حل خودکار برای اندپوینت را به شرکت ها ارائه می دهد که باعث تقویت محافظت و پایداری بیشتر سیستم ها می شود ، از جمله:

محافظت سفارشی:

امنیت به طور خاص برای محیط هر مشتری پیکربندی شده است. و باعث می شود حفاظت بدون هیچ گونه هزینه ای برای مشتری بهتر شود. و برنامه ریزی و اجرای حملات برای مهاجمان دشوارتر شود.

حداکثر بهره وری:

نقاط انتهایی به طور خودکار سخت می شوند تا از حملات بیشتر جلوگیری کنند.(بدون ترس از کاذب بودن هشدار ها و ایجاد اختلال در آنها)

هزینه های کاهش یافته

Adaptive Protection با استفاده از هوش مصنوعی (برای شخصی سازی امنیت نقطه پایانی در محیط منحصر به فرد مشتری )، باعث کاهش هزینه های پیکربندی گران قیمت و کاهش حوادثی می شود که باید توسط SOC پاسخ دهند.

مایکل سوبای ، معاون پژوهشی ، گفت: “سازمانها بیش از حد به مکانیسم های حفاظت و شناسایی در امنیت نقطه پایانی متضرر شده اند و این امر به هزینه تقویت وضعیت امنیتی و کاهش سطح حمله است. باید همکاری متعادل تری در هسته های امنیتی نقطه پایانی سازمان ها وجود داشته باشد.” امنیت و اعتماد به IDC. “حفاظت تطبیقی سیمانتک با عملکرد گسترده و نوآورانه، سازمان ها را قادر می سازد تا به سرعت با شرایط متغیر سازگار شوند و با اطمینان سطح حمله را در مقیاس سازمانی کاهش دهند.”

جلوگیری خودکار از حملات

“حفاظت از نقطه پایان باید تهدیدها را متوقف کند ، نه فقط به عنوان یک سنسور برای SOC عمل کند. هنگامی که نقاط انتهایی فقط قادر به تشخیص هستند. SOC را بیش از حد سنگین می کند و مهاجمان قادر به حرکت سریع و موفقیت هستند. همه مدل های محافظتی متناسب با همه مانع ایجاد شده است. آدام برومویچ از بخش امنیتی سیمانتک گفت:” Adaptive Protection بازی را تغییر می دهد. و این امکان را به شرکت ها می دهد. تا به طور خودکار  از تخلفات جلوگیری کرده و از حمله جلوگیری کنند.این نوآوری توسط قابلیت های جدید یادگیری ماشینی هدایت می شود که درک عمیق ما از بازیگران و تکنیک های حمله و همچنین دهه ها تجربه اطمینان از تأثیر صفر بر بهره وری را به کار می گیرد.

درخشش در ارزیابی ها

Symantec Endpoint Security (SES) کاملاً در ارزیابی های اخیر MITER Engenuity ATT & CK خوش درخشیده است و ثابت می کند که فناوری های نوآورانه نقطه پایان نرم افزار Broadcom سطح بالایی از حفاظت و تشخیص ترکیبی برای شرکت های بزرگ ، را ارایه می دهد. در حالی که بیشتر راه حل ها برای بهبود حفاظت و شناسایی به تغییرات پیکربندی سنگین نیاز داشتند. SES Complete به طور خودکار پوشش محافظتی را افزایش می دهد.

“استفاده از اقدامات پیشرفته حفاظت از نقطه پایانی با پیکربندی های متفاوت کاربر یک چالش است. با هر تغییر ، خطر تأثیرگذاری بر عملکرد حیاتی وجود دارد. آلن روشه ، مدیر فنی Threatscape گفت:  “با محافظت انطباقی جدید در SES Complete .Threatscape با اطمینان می تواند. قابلیت های امنیتی پیشرفته را در حالت یادگیری برای مشتریان فعال کند. در حالی که سیاست ها را تنظیم می کند و قوانین محافظتی را برای وضعیت هر مشتری بهینه می کند.”

برای کسب اطلاعات بیشتر در مورد حفاظت تطبیقی سیمانتک ​​، به صفحه Symantec مراجعه کنید.

رایان سامانه آرکا پیشرو در ارایه راهکارهای امنیتی

سیمانتک راهکار جامع سازمانی

8 مارس 2021

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

 

براساس گزارش سایت Shodan.io تعداد ۲۶۶۶۲۹ ایمیل سرورهای Exchange آسیب پذیر همچنان روی اینترنت در دسترس است !

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

در ایران، در لحظه نگارش این مطلب بیش از ۱۰۰۰ سرور Exchange آسیب پذیر در دسترس است! نگاهی اجمالی به لیست سرورهای آسیب پذیر در ایران نشان می دهد Mail Server های سازمانهایی مثل:
– یک نهاد حاکمیتی،
– چند سازمان دولتی،
– یکی از بانکها،
– یکی از پژوهشگاه های مهم کشور،
– یکی از شرکتهای فعالی در حوزه نیروگاهی
– یک شرکت نفتی،
– چندین دانشگاه،
– یک شرکت بیمه ای،
– یک شرکت داروسازی،
– چند فروشگاه اینترنتی و زنجیره ای،
– یک شرکت بزرگ حمل و نقل و ترانزیت کالا،
– چندین کارخانه تولیدی
– و حتی چندین شرکت فعال در حوزه IT و امنیت، در میان سرورهای Exchange آسیب پذیر دیده می شوند!

مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.

تمامی نسخه‌های که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.

تاکید می شود عدم نصب Patch روی سرورهای آسیب پذیر می تواند به سادگی دسترسی کامل سرور ایمیل را در اختیار فرد هکر قرار دهد.

سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است.

بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده.

همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.

این سازمانها باید خیلی خوش شانس بوده باشند اگر تا کنون مورد نفوذ قرار نگرفته باشند!

8 مارس 2021

حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان

مایکروسافت هفته گذشته پک امنیتی مهمی را برای سرورهای سرویس Exchange منتشر کرد تا ۴ آسیب‌پذیری روز صفر آن‌ها را اصلاح کند.

اما این اتفاق ظاهرا از تداوم حملات هکرها جلوگیری نکرده است. مطابق گزارش وب‌سایت Krebs on Security و خبرگزاری Wired، گروه هکری «هافنیوم» (Hafnium) که به دولت چین وابسته است،

پس از انتشار این وصله امنیتی با توان بیشتری به حملات خود ادامه داده است.

این گروه در آمریکا به حداقل ۳۰ هزار سازمان نظیر اداره‌های پلیس، بیمارستان‌ها، فرمانداری‌های محلی، بانک‌ها، شرکت‌های اعتباری، ارائه‌دهندگان خدمات ارتباطی و شرکت‌های غیرانتفاعی نفوذ کرده است.

شمار قربانیان جهانی حمله به سرویس ایمیلی Exchange به چند صد هزار می‌رسد.

حمله هکرها به سرورهای Exchange

یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange

برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است.
مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.

ظاهرا این نقص‌های امنیتی توسط مایکروسافت رفع شده‌اند. اما متخصصان امنیتی می‌گویند شناسایی و پاک‌سازی به تلاشی عظیم از سوی هزاران اداره‌ی شهری، آتش‌نشانی و پلیس، حوزه‌ی آموزشی، مؤسسه‌های مالی و دیگر نهادهایی که از هک متأثر شده‌اند نیاز دارد.

براساس اطلاعیه‌ی مایکروسافت، آسیب‌پذیری Exchange Server هکرها را قادر ساخته‌ است به حساب‌های ایمیل دسترسی پیدا کنند.

هکرها با استفاده از آسیب‌پذیری‌ توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.

جزئیات فنی کاملتر به شرح ذیل میباشد:

۱- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده

و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد.

این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.

نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ،

با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ،

به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.

۲- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.

۳- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند

۴- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.

جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس .

میتوان از لینک زیر استفاده نمود:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/