مایکروسافت برای چهار زنجیره آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است.
بهروزرسانی کنید
شناسایی چهار آسیبپذیری روز صفرم در MICROSOFT EXCHANGE
مرکز ماهر , 16 اسفند 1399 ساعت 15:07
مایکروسافت برای چهار زنجیره آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است.
مایکروسافت برای چهار زنجیره آسیبپذیری روزصفرم موجود در سرور Exchange بهروزرسانیهایی را منتشر کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت مایکروسافت برای چهار زنجیره آسیبپذیری روزصفرم موجود در سرور Exchange نسخههای ۲۰۱۳، ۲۰۱۶ و ۲۰۱۹ که به طور فعال در حال بهرهبرداری است، بهروزرسانیهایی را منتشر کرده است.
لذا توصیه میشود هرچه سریعتر جهت بهروزرسانی سیستمهای آسیبپذیر اقدام شود. با استفاده از بخش windows update در ویندوز، آسیبپذیریهای ویندوز به صورت خودکار بهروزرسانی میشود. جهت اعمال بهروزرسانیها به صورت دستی، میتوان از جدول موجود در لینک زیر همه بهروزرسانیهای منتشر شده را بهطور مجزا بارگیری و سپس نصب کرد:
https://msrc.microsoft.com/update-guide/vulnerability
از آنجایی که برای شروع حمله، مهاجم نیاز به برقراری یک اتصال غیرقابل اعتماد با پورت ۴۴۳ سرور Exchange دارد، درصورتیکه امکان وصله کردن سیستمهای آسیبپذیر وجود نداشته باشد، پیشنهاد میشود پورت ۴۴۳ برای سیستمهای آسیبپذیر مسدود شود یا با استفاده از VPN، سرور Exchange را ایزوله کرده و دسترسی خارج از شبکه به این پورت محدود شود تا از خطرات ناشی از بهرهبرداری از اولین آسیبپذیری این زنجیره، کاسته شود.
استفاده از روش کاهشی فوق تنها حمله اولیه را کاهش میدهد. اگر مهاجمی از قبل به سیستم قربانی دسترسی داشته باشد یا بتواند یک مدیر سیستم را فریب دهد تا یک فایل مخرب را بازگشایی کند، قسمتهای دیگر زنجیره حمله همچنان فعال خواهند بود.
مهاجم تنها با دانستن اینکه سرور هدف در حال اجرای Exchange است و بدون نیاز به احراز هویت، با بهرهبرداری از آسیبپذیری با شناسه CVE-۲۰۲۱-۲۶۸۵۵ که اولین آسیبپذیری در زنجیره است، قادر است ایمیلها و اطلاعات حساس را سرقت کند. در ادامه با بهرهبرداری از سه آسیبپذیری با شناسههای CVE-۲۰۲۱-۲۶۸۵۷، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ امکان اجرای کد از راه دور بر روی سیستم آسیبپذیر برای مهاجم فراهم میشود. همانطور که گفته شد این آسیبپذیریها تحت بهرهبرداری فعال قرار داشته و در حملات محدود و هدفمند توسط گروه APT چینی به نام HAFNIUM برای سرقت ایمیلها و نفوذ به شبکه سازمان مورد استفاده قرار گرفته است.
در جدول زیر اطلاعات مختصری از آسیبپذیریهای مورد بحث آورده شده است.
کد مطلب: 17606