مرکز مدیریت راهبردی افتا با اشاره به اینکه شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روزصفر را در نسخههای مختلف Microsoft Exchange ترمیم کرده است، نسبت به اقدام به اعمال این وصلهها توصیههایی منتشر کرد.
هشدار اضطراری مرکز مدیریت راهبردی افتا درباره آسیبپذیریهای Microsoft Exchange
مرکز مدیریت راهبردی افتا , 19 اسفند 1399 ساعت 9:54
مرکز مدیریت راهبردی افتا با اشاره به اینکه شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روزصفر را در نسخههای مختلف Microsoft Exchange ترمیم کرده است، نسبت به اقدام به اعمال این وصلهها توصیههایی منتشر کرد.
مرکز مدیریت راهبردی افتا با اشاره به اینکه شرکت مایکروسافت با انتشار بهروزرسانی اضطراری و خارج از برنامه، چهار آسیبپذیری روزصفر را در نسخههای مختلف Microsoft Exchange ترمیم کرده است، نسبت به اقدام به اعمال این وصلهها توصیههایی منتشر کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شواهد حاکی از آن است که مهاجمان در حال اکسپلویت کردن این آسیبپذیریها هستند. سوءاستفاده از مجموعه آسیبپذیریهای مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیلها و گسترده کردن دامنه نفوذ در سطح شبکه میکند.
در این راستا اقدامات زیر توصیه میشود:
۱. جدا سازی موقت سرورهای Exchange از شبکه
۲. بررسی فارنزیکی سرورهای Exchange
۲-۱. بررسی شواهد نفوذ زیر
• درخواستهای HTTP POST به مسیرهای زیر
/owa/auth/Current/themes/resources/logon.css
/owa/auth/Current/themes/resources/owafont_ja.css
/owa/auth/Current/themes/resources/lgnbotl.gif
/owa/auth/Current/themes/resources/owafont_ko.css
/owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
/owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
/owa/auth/Current/themes/resources/lgnbotl.gif
• وجود رشتهای شبیه عبارت زیر در لاگهای ECP (مسیر <exchange install path>\Logging\ECP\Server\)
S:CMD=Set-OabVirtualDirectory.ExternalUrl='
• وجود فایلهای aspx. در مسیرهای زیر (وب شل)
\inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders)
\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a standard install)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (any aspx file in this folder or subfolders)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (any aspx file in this folder or
subfolders)
• وجود User-Agentهای زیر در لاگ درخواست به فایلهای مسیر /owa/auth/Current
DuckDuckBot/۱,۰;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/۱,۱+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)
Mozilla/۵,۰+(compatible;+Bingbot/۲.۰;++http://www.bing.com/bingbot.htm)
Mozilla/۵,۰+(compatible;+Googlebot/۲.۱;++http://www.google.com/bot.html
Mozilla/۵,۰+(compatible;+Konqueror/۳.۵;+Linux)+KHTML/۳.۵.۵+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/۵,۰+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/۵,۰+(compatible;+YandexBot/۳.۰;++http://yandex.com/bots)
Mozilla/۵,۰+(X۱۱;+Linux+x۸۶_۶۴)+AppleWebKit/۵۳۷.۳۶+(KHTML,+like+Gecko)+Chrome/۵۱.۰.۲۷۰۴.۱۰۳+Safari/۵۳۷.۳۶
• وجود User-Agentهای زیر در لاگ درخواست به فایلهای مسیر /ecp/
ExchangeServicesClient/۰,۰.۰.۰
python-requests/۲,۱۹.۱
python-requests/۲,۲۵.۱
• وجود User-Agentهای زیر در لاگهای درخواست وب (برای ارتباط با وبشل)
antSword/v۲,۱
Googlebot/۲,۱+(+http://www.googlebot.com/bot.html)
Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)
• وجود عبارات زیر در لاگهای IIS برای authentication bypass و RCE
POST /owa/auth/Current/
POST /ecp/default.flt
POST /ecp/main.css
POST /ecp/<single char>.js
• وجود ارتباطات شبکهای با IPهای مهاجمین
۱۰۳,۷۷.۱۹۲[.]۲۱۹
۱۰۴,۱۴۰.۱۱۴[.]۱۱۰
۱۰۴,۲۵۰.۱۹۱[.]۱۱۰
۱۰۸,۶۱.۲۴۶[.]۵۶
۱۴۹,۲۸.۱۴[.]۱۶۳
۱۵۷,۲۳۰.۲۲۱[.]۱۹۸
۱۶۷,۹۹.۱۶۸[.]۲۵۱
۱۸۵,۲۵۰.۱۵۱[.]۷۲
۱۹۲,۸۱.۲۰۸[.]۱۶۹
۲۰۳,۱۶۰.۶۹[.]۶۶
۲۱۱,۵۶.۹۸[.]۱۴۶
۵,۲۵۴.۴۳[.]۱۸
۵,۲.۶۹[.]۱۴
۸۰,۹۲.۲۰۵[.]۸۱
۹۱,۱۹۲.۱۰۳[.]۴۳
• یکسان بودن هش صفحات وب با هشهای زیر (وب شل)
b۷۵f۱۶۳ca۹b۹۲۴۰bf۴b۳۷ad۹۲bc۷۵۵۶b۴۰a۱۷e۲۷c۲b۸ed۵c۸۹۹۱۳۸۵fe۰۷d۱۷d۰
۰۹۷۵۴۹cf۷d۰f۷۶f۰d۹۹edf۸b۲d۹۱c۶۰۹۷۷fd۶a۹۶e۴b۸c۳c۹۴b۰b۱۷۳۳dc۰۲۶d۳e
۲b۶f۱ebb۲۲۰۸e۹۳ade۴a۶۴۲۴۵۵۵d۶a۸۳۴۱fd۶d۹f۶۰c۲۵e۴۴afe۱۱۰۰۸f۵c۱aad۱
۶۵۱۴۹e۰۳۶fff۰۶۰۲۶d۸۰ac۹ad۴d۱۵۶۳۳۲۸۲۲dc۹۳۱۴۲cf۱a۱۲۲b۱۸۴۱ec۸de۳۴b۵
۵۱۱df۰e۲df۹bfa۵۵۲۱b۵۸۸cc۴bb۵f۸c۵a۳۲۱۸۰۱b۸۰۳۳۹۴ebc۴۹۳db۱ef۳c۷۸fa۱
۴edc۷۷۷۰۴۶۴a۱۴f۵۴d۱۷f۳۶dc۹d۰fe۸۵۴f۶۸b۳۴۶b۲۷b۳۵a۶f۵۸۳۹adf۱f۱۳f۸ea
۸۱۱۱۵۷f۹c۷۰۰۳ba۸d۱۷b۴۵eb۳cf۰۹bef۲cecd۲۷۰۱cedb۶۷۵۲۷۴۹۴۹۲۹۶a۶a۱۸۳d
۱۶۳۱a۹۰eb۵۳۹۵c۴e۱۹c۷dbcbf۶۱۱bbe۶۴۴۴ff۳۱۲eb۷۹۳۷e۲۸۶e۴۶۳۷cb۹e۷۲۹۴۴
۲-۲. بررسی سایر شواهد وجود وب شل به کمک کتابچه شکار وبشل:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۸۹۰/
۳. گزارش حادثه به مرکز افتا در صورت وجود شواهد نفوذ
۳-۱. پست الکترونیک: cert@afta.gov.ir
۴. اعمال وصلههای ارائه شده توسط مایکروسافت بر روی سرورهای Exchange و اتصال سرورها به شبکه در صورت عدم وجود شواهد نفوذ
۵. بررسی عمومی لاگهای امنیتی مهم در کل شبکه به جهت کشف شواهد Lateral Movement احتمالی
۵-۱. لاگهای آنتی ویروس
۵-۲. لاگ اجرای پاورشلهای مشکوک
۵-۳. نصب سرویسهای مشکوک همچون PsExec
برای دریافت اطلاعات بیشتر به لینکهای زیر مراجعه کنید:
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۰۲/hafnium-targeting-exchange-servers/
https://www.volexity.com/blog/۲۰۲۱/۰۳/۰۲/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://us-cert.cisa.gov/ncas/alerts/aa۲۱-۰۶۲a
https://www.fireeye.com/blog/threat-research/۲۰۲۱/۰۳/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
https://attackerkb.com/topics/Sw۸H۰fbJ۹O/multiple-microsoft-exchange-zero-day-vulnerabilities---hafnium-campaign?referrer=blog#rapid۷-analysis
https://blog.rapid۷.com/۲۰۲۱/۰۳/۰۳/rapid۷s-insightidr-enables-detection-and-response-to-microsoft-exchange-۰-day/
https://blog.paloaltonetworks.com/security-operations/attacks-targeting-microsoft-exchange/
کد مطلب: 17624