آسیب‌پذیری روز صفرم وصله نشده در Microsoft Exchange در حال اکسپلویت شدن است

دسته بندی ها : آسیب پذیری, اخبار 9 مهر 1401 آپا دانشگاه تبریز 127 بازدید
microsoft exchange

محققان امنیتی نسبت به نقص های افشا نشده قبلی در سرورهای Microsoft Exchange هشدار داده اند. این نقص ها  توسط عوامل مخرب اکسپلویت می‌شوند تا روی سیستم های آسیب دیده کد از راه دور اجرا کنند.
این دو آسیب‌پذیری که هنوز به طور رسمی شناسه‌های CVE به آنها اختصاص داده نشده است، توسط Zero Day Initiative با نام‌های ZDI-CAN-18333 (امتیاز CVSS: 8.8) و ZDI-CAN-18802 (امتیاز CVSS: 6.3) شناسایی می‌شوند.
با اکسپلویت موفقیت آمیز از نقص ها در سیستم قربانی پایگاهی به دست می‌آید. این پایگاه مهاجم را قادر می‌سازد تا با قرار دادن وب شل ها در سرتاسر شبکه در معرض خطر افقی حرکت کند.
درخواست های بهره برداری در لاگ های IIS در همان قالب آسیب پذیری ProxyShell Exchange Server ظاهر می شوند. GTSC اشاره می کند که سرورهای هدف قبلا در برابر نقص هایی که در آوریل ۲۰۲۱ کشف شد، وصله شده بودند.
همچنین در این حملات وب شل china chopper که یک در پشتی است به کار گرفته شده که می تواند اجازه دسترسی از راه دور دائمی رافراهم کند تا مهاجمان در هر زمان برای اکسپلویت بیشتر مجدداً متصل شوند.
طبق مشاهدات GTSC پس از اکسپلویت کردن، فعالیت های بعدی شامل تزریق DLL های مخرب به حافظه و افزودن و اجرا کردن پی‌لودهای اضافی بر سرورهای آلوده با استفاده از ابزار خط فرمان WMI (WMIC) می‌باشد.

راه حل برای آسیب‌پذیری Microsoft Exchange

به عنوان راه حل موقت پیشنهاد می‌شود که با استفاده از ماژول URL Rewrite Rule برای سرورهای IIS، یک قانون برای مسدود کردن درخواست‌ها اضافه کنید.
در Autodiscover در FrontEnd، برگه URL Rewrite و سپس Request Blocking را انتخاب کنید.
رشته “.autodiscover\.json.\@.Powershell.” را در مسیر URL اضافه کنید.
Condition input: Choose {REQUEST_URI}
اگر Microsoft Exchange را به صورت پیش فرض اجرا نمی کنید، و Outlook Web App متصل به اینترنت ندارید، تحت تاثیر قرار نمی گیرید.

 

اخبار آسیب‌پذی‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد.

    لینک کوتاه :