در هفته جاری یک گروه هکری چینی به نام HAFNIUM برای هدف قرار دادن سازمان های مختلف آمریکا از چهار آسیب پذیری روز صفر در Microsoft Exchange برای دسترسی و سپس سرقت محتوای Mailbox کاربران استفاده کرده است. ضروریست مدیران شبکه گرامی سریعا تا قبل از نصب وصله ها پورت ۴۴۳ Exchange را بر روی اینترنت محدود کرده و وصله های مربوطه را نصب نمایند. طبق برخی اخبار منتشر شده ۳۰.۰۰۰ سازمان و شرکت آمریکایی به خاطر آسیب پذیری CVE-۲۰۲۱-۲۶۸۵۵ در اکسچنج هک شده اند. گزارش ها حاکی از هک شدن چندین شرکت و سازمان ایرانی هم به چشم میخورد. لابراتوآر ویروس شناسی کامیران نیز شواهدی بر این اساس را یافته است.
🔗 پویش و ارائه راهکار کاهش مخاطرات در خصوص آسیب پذیری Exchange
مایکروسافت روز سه شنبه ۲ مارچ ۲۰۲۱ به روزرسانی های اضطراری برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند. این پچ ها برای اکسچنج های ۲۰۱۳ الی ۲۰۱۹ منتشر شده است.
▪️ لیست این آسیب پذیری ها بدین شرح است :
CVE-۲۰۲۱-۲۶۸۵۵ : آسیب پذیری جعل درخواست سمت سرور
CVE-۲۰۲۱-۲۶۸۵۷ : آسیب پذیری حیاتی در سرویس Unified Messaging
CVE-۲۰۲۱-۲۶۸۵۸ : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت
CVE-۲۰۲۱-۲۷۰۶۵ : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت
خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور SSRF است که منجر به دسترسی به سرور Microsoft Exchange شده و قابلیت سرقت محتوای کامل Mailbox میگردد. این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و صرفا با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.
نحوه استفاده از این آسیب پذیری ها توسط هکر : ارسال درخواست HTTP با روش POST حاوی پیلود XML SOAP توسط هکر به سمت API Exchange Web Services (EWS)، این درخواست SOAP که با استفاده از کوکی های خاص ساخته شده، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند و به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد. درمرحله بعدی هکر با نصب Web Shell دسترسی خود را برای نفوذ به شبکه داخلی حفظ مینماید.
حال حاضر (در زمان درج این خبر ) وب شل اصلی حملات گروه HAFNIUM توسط ۲۴ نوع آنتی ویروس (از مجموع ۶۰ آنتی ویروس موجود) شناسائی میشود که لیست آنها بر اساس گزارش VirusTotal بدین شرح است:
بروزرسانی ۱۹ اسفند ۱۳۹۹ : اما وب شل های جدید تر این حملات حتی یک هفته پس از اعلام مایکروسافت تنها توسط تعداد محدودی آنتی ویروس قابل شناسائی است :
نمونه شناسائی وب شل های آلوده در یکی از شرکت های ایرانی :
برخی وب شل های این حملات توسط ESET , Kaspersky و Bitdefender با عناوین زیر شناسائی میشود :
ESET:
ASP/SecChecker.A
JS/Exploit.CVE-۲۰۲۱-۲۶۸۵۵.Webshell.A
JS/Exploit.CVE-۲۰۲۱-۲۶۸۵۵.Webshell.B
Kaspersky:
Trojan_ASP_Agent_bh
HEUR:Exploit.Script.CVE-۲۰۲۱-۲۶۸۵۵.a
Bitdefender:
Generic.SecChecker.A.۷CFC۵۵B۳
از آنجایی که شروع این حملات با پورت ۴۴۳ روی سرور Exchange آغاز میشود الزامیست مدیران شبکه گرامی تا اطمینان کامل از پچ شدن این آسیب پذیری ، پورت ۴۴۳ را بر روی اینترنت بسته یا محدود به VPN نمایند.
لینک مستقیم دانلود پچ های Exchange مربوط به آسیب پذیری های اخیر گروه HAFNIUM:
راهنمای نصب : برای نصب وصله های زیر باید Cumulative Update های اشاره شده بر روی سرور شما نصب باشد و سپس وصله های امنیتی زیر اعمال گردد. در غیر این صورت نصب با خطا مواجه خواهد شد.
چگونه Build number سرور اکسچنج را تشخیص دهیم ؟
دانلود ابزار جدید مخصوص این آسیب پذیری ( انتشار ۱۵ مارچ ۲۰۲۱ - ۲۵ اسفند ۱۳۹۹) :
بروزرسانی ۲۲ اسفند ۱۳۹۹ :
طبق اعلام مایکروسافت، همانطور که انتظار میرفت حملات گروه باج افزاری جدیدی با نام DearCry به داستان آسیب پذیری جدید Exchange اضافه شد. قربانیانی از آمریکا، کانادا، دانمارک، اتریش و استرالیا هم ظرف ۴۸ ساعت گذشته گزارش شده است.
این حمله باج افزاری فایل های قربانی را با پسوند CRYPT و با الگوریتم AES-۲۵۶ و RSA-۲۰۴۸ رمزنگاری میکند.
فایل های این گروه باج افزاری در این لحظه توسط حدود ۳۵-۴۰ نوع آنتی ویروس مختلف شناسائی میشود که لیست آنها در لینک های زیر در دسترس شماست. اما با توجه به اینکه آسیب پذیری کشف شده دسترسی Administrator را تقدیم هکر مینماید، غیر فعال کردن آنتی ویروس سرور کار غیر ممکنی برای هکر نخواهد بود.
https://www.site-shot.com/IPIlvIMxEeuf۰wJCrBEABA
https://www.site-shot.com/PO-۶zIMxEeubKgJCrBEABQ
https://www.site-shot.com/j۷i۴۱oM_Eeuk۲gJCrBEABQ
این درحالی است که علی رغم هشدار های وسیع داده شده، بر اساس گزارش Shodan حداقل ۸۰۰ سرور Exchange آسیب پذیر کماکان تا این لحظه در کشور آنلاین هستند.
بروزرسانی ۲۶ اسفند ۱۳۹۹ :
محققین امنیتی ESET اعلام کردند علاوه بر گروه HAFNIUM ، حدود ۱۰ گروه هکری دیگر حتی ۴ روز قبل از ارائه وصله های امنیتی توسط مایکروسافت در حال هک کردن سرورهای اکسچنج و نصب وب شل ها بوده اند.
▪️ اطلاعات شبکه ابری شناسائی ویروس های ESET نشان میدهد گروه Tick از ۲۸ فوریه ( ۴ روز قبل از ارائه پچ های مایکروسافت ) شروع به هک سرورهای اکسچنج نموده اند و سپس سایر مهاجمان با حدود ۱۰ گروه هکری به بیش از ۵.۰۰۰ سرور در ۱۱۵ کشور نفوذ کرده و اقدام به ایجاد وب شل ها نموده اند.
▪️ آمار فوق از ۲۸ فوریه تا ۹ مارچ ۲۰۲۱ میباشد و فقط مربوط به سرورهایی است که آنتی ویروس های ESET بر روی آنها نصب بوده است.
▪️ نکته بسیار تامل بر انگیز در مورد هک Exchange اینست که این آسیب پذیری ۲ ماه قبل در تاریخ ۵ ژانویه ۲۰۲۱ توسط Orange Tsai و Volexity شناسائی و به مایکروسافت گزارش شده بود.
▪️ آنتی ویروس های ESET وب شل های این حملات را با عنوان JS/Exploit.CVE-۲۰۲۱-۲۶۸۵۵.Webshell شناسائی میکنند.
منبع کامل تحلیل حملات در سایت Welivesecurity
طبق بررسی های ESET تا کنون ۲۳ نوع بدافزار و ۱۷ دامنه/آی پی در حملات اخیر سرورهای Exchange در بیش از ۱۱۵ کشور مورد استفاده هکرها قرار گرفته است که لیست آنها و وضعیت شناسائی توسط ESET در لینک زیر درج شده است :
https://github.com/eset/malware-ioc/tree/master/exchange_exploitation
نکته بسیار خطرناک در مورد این حملات این است که برخی وب شل های مورد استفاده هکرها تا ۹ مارچ ۲۰۲۱ (۱۰ روز بعد از شروع حملات) تنها توسط ۴ نوع آنتی ویروس شناسائی میشد که لیست آنها بر اساس گزارش VirusTotal بدین شرح هستند :
https://www.site-shot.com/sGwBrIESEeu_JQJCrBEABQ
|