مایکروسافت اواخر روز سه شنبه پس از کشف اپراتورهای جاسوسی اینترنتی چینی که زنجیره سو-استفاده های متعدد روز صفر را برای سرقت اطلاعات ایمیل از سرورهای سازمانی Microsoft Exchange انجام داده است ، هشدار داد.

هشدار ردموندی شامل انتشار وصله های اضطراری خارج از باند برای چهار آسیب پذیری مجزا در روز صفر است که بخشی از زرادخانه بازیگر تهدید را تشکیل می دهد.

مایکروسافت این مسئولیت را متوجه اپراتور پیچیده APT چینی به نام HAFNIUM کرد که از VPS اجاره ای (سرورهای مجازی خصوصی) در ایالات متحده استفاده می کنند.

HAFNIUM در درجه اول نهادهایی را در ایالات متحده در بخشهای مختلف صنعت از جمله محققان بیماریهای عفونی ، موسسات حقوقی ، موسسات آموزش عالی ، پیمانکاران دفاعی ، اتاقهای فکر و سازمانهای غیردولتی هدف قرار می دهد.

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

 

این شرکت گفت که تحلیلگران آن با توجه به آسیب دیدگی ، تاکتیک ها و روش های مشاهده شده با اطمینان بالا ارزیابی می کنند که HAFNIUM توسط دولت حمایت می شود و خارج از چین فعالیت می کند.
در کل ، مایکروسافت گفت که مهاجمین چهار آسیب پذیری روز صفر را به به صورت یک زنجیره ترکیب و  محصول Exchange Server (Outlook Web App) را هدف قرار داده اند. این آسیب پذیری ها ، بدون نیاز به احراز هویت ، مشتریان مایکروسافت را در معرض حملات اجرای کد از راه دور قرار می دهد.

مایکروسافت گفت: “در حملات مشاهده شده ، عامل تهدید از این آسیب پذیری ها برای دسترسی به سرورهای Exchange داخلی استفاده کرد که دسترسی به حساب های ایمیل را امکان پذیر می کند ، و نصب بدافزار اضافی را برای تسهیل دسترسی طولانی مدت به محیط قربانی امکان پذیر می کند.”

این شرکت خواستار شد: “ما به شدت از مشتریان می خواهیم سیستم های داخلی را فوراً به روز کنند.”

در اینجا جزئیات اولیه درباره آسیب پذیری هایی که در طبیعت مورد سو استفاده قرار می گیرند آورده شده است.

* CVE-2021-26855 یک آسیب پذیری درخواست جعل درخواست سرور (SSRF) در Exchange است که به مهاجم اجازه می دهد درخواست های HTTP خودسرانه ارسال کند و به عنوان سرور Exchange احراز هویت شود.

* CVE-2021-26857 یک آسیب پذیری عدم امنیت در زمینه رفع عیب در سرویس Unified Messaging است. غیرفعال کردن شرایط نامطمئن جایی است که داده های غیرقابل اعتماد توسط کاربر توسط یک برنامه از لیست خارج شوند. بهره برداری از این آسیب پذیری به HAFNIUM امکان اجرای کد به صورت SYSTEM را در سرور Exchange داد. این برای بهره برداری نیاز به اجازه مدیر یا آسیب پذیری دیگری دارد.

* CVE-2021-26858 یک آسیب پذیری نوشتن پرونده خودسرانه پس از احراز هویت در Exchange است. اگر HAFNIUM بتواند با سرور Exchange اعتبار سنجی کند ، آنها می توانند از این آسیب پذیری برای نوشتن پرونده در هر مسیر روی سرور استفاده کنند. آنها می توانند با سوء استفاده از آسیب پذیری CVE-2021-26855 SSRF یا به خطر انداختن اعتبار نامه یک مدیر قانونی احراز هویت کنند.

* CVE-2021-27065 یک آسیب پذیری نوشتن پرونده خودسرانه پس از احراز هویت در Exchange است. اگر HAFNIUM بتواند با سرور Exchange اعتبار سنجی کند ، آنها می توانند از این آسیب پذیری برای نوشتن پرونده در هر مسیر روی سرور استفاده کنند. آنها می توانند باسوء استفاده از آسیب پذیری CVE-2021-26855 SSRF یا به خطر انداختن اعتبار نامه یک مدیر قانونی احراز هویت کنند.

می توانید جزئیات فنی بیشتری را در این پست وبلاگ از تیم Microsoft Server پیدا کنند.

هشدار آسیب پذیری CVE-2020-1472 Netlogon Elevation of Privilege که باعث دسترسی ادمین شبکه می شود

 

مایکروسافت گفت این حملات شامل سه مرحله است. ابتدا ، این گروه یا با استفاده از رمزهای عبور دزدیده شده یا با استفاده از نقاط ضعف قبلاً کشف نشده برای مبدل کردن شخصی که باید دسترسی داشته باشد ، به Exchange Server دسترسی پیدا کردند. دوم ، مهاجمان یک پوسته وب ایجاد کردند تا سرور آسیب دیده را از راه دور کنترل کنند. سپس از این دسترسی از راه دور – که از سرورهای خصوصی مستقر در ایالات متحده استفاده می شود – برای سرقت داده ها از شبکه یک سازمان استفاده می شود.

مایکروسافت افزود ، مهاجمان همچنین قادر به بارگیری دفترچه آدرس آفلاین Exchange از سیستم های به خطر افتاده بودند که حاوی اطلاعاتی درباره یک سازمان و کاربران آن است.

شرکت امنیت سایبری Volexity ، که به دلیل گزارش بخشهای مختلف زنجیره حمله توسط مایکروسافت به اعتبار خود درآمده است ، یک پست وبلاگ با جزئیات فنی و یک ویدئو را نشان داده است که بهره برداری در آن را نشان می دهد ، همراه با آدرس های IP شناخته شده مهاجم متصل به حملات. Volexity اعلام کرد که فعالیت غیرعادی دو سرور Microsoft Exchange مشتری خود را در ژانویه 2021 شناسایی کرده است که منجر به کشف حملات شده است.

امنیت سایبری و زیرساخت امنیت ایالات متحده (CISA) نیز اطلاعات اضافی و راهنمایی های لازم را ارایه کرده است.

لینک مطلب

باور کنید که شما می توانید جلوی حمله های باج افزار ها بگیرید

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code