هشدار اضطراری مرکز مدیریت راهبردی افتا درباره آسیب‌پذیری‌های Microsoft Exchange

مرکز مدیریت راهبردی افتا با اشاره به اینکه شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روزصفر را در نسخه‌های مختلف Microsoft Exchange ترمیم کرده است، نسبت به اقدام به اعمال این وصله‌ها توصیه‌هایی منتشر کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شواهد حاکی از آن است که مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند. سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.
در این راستا اقدامات زیر توصیه می‌شود:
۱. جدا سازی موقت سرورهای Exchange از شبکه
۲. بررسی فارنزیکی سرورهای Exchange
۲-۱. بررسی شواهد نفوذ زیر

• درخواست‌های HTTP POST به مسیرهای زیر
/owa/auth/Current/themes/resources/logon.css
/owa/auth/Current/themes/resources/owafont_ja.css
/owa/auth/Current/themes/resources/lgnbotl.gif
/owa/auth/Current/themes/resources/owafont_ko.css
/owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
/owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
/owa/auth/Current/themes/resources/lgnbotl.gif

• وجود رشته‌ای شبیه عبارت زیر در لاگ‌های ECP (مسیر <exchange install path>\Logging\ECP\Server\)
S:CMD=Set-OabVirtualDirectory.ExternalUrl='

• وجود فایل‌های aspx. در مسیرهای زیر (وب شل)
\inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders)
\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a standard install)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (any aspx file in this folder or subfolders)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (any aspx file in this folder or
subfolders)

• وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /owa/auth/Current
DuckDuckBot/۱,۰;+(+http://duckduckgo.com/duckduckbot.html)
facebookexternalhit/۱,۱+(+http://www.facebook.com/externalhit_uatext.php)
Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)
Mozilla/۵,۰+(compatible;+Bingbot/۲.۰;++http://www.bing.com/bingbot.htm)
Mozilla/۵,۰+(compatible;+Googlebot/۲.۱;++http://www.google.com/bot.html
Mozilla/۵,۰+(compatible;+Konqueror/۳.۵;+Linux)+KHTML/۳.۵.۵+(like+Gecko)+(Exabot-Thumbnails)
Mozilla/۵,۰+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
Mozilla/۵,۰+(compatible;+YandexBot/۳.۰;++http://yandex.com/bots)
Mozilla/۵,۰+(X۱۱;+Linux+x۸۶_۶۴)+AppleWebKit/۵۳۷.۳۶+(KHTML,+like+Gecko)+Chrome/۵۱.۰.۲۷۰۴.۱۰۳+Safari/۵۳۷.۳۶

• وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /ecp/
ExchangeServicesClient/۰,۰.۰.۰
python-requests/۲,۱۹.۱
python-requests/۲,۲۵.۱

• وجود User-Agentهای زیر در لاگ‌های درخواست وب (برای ارتباط با وب‌شل)
antSword/v۲,۱
Googlebot/۲,۱+(+http://www.googlebot.com/bot.html)
Mozilla/۵,۰+(compatible;+Baiduspider/۲.۰;++http://www.baidu.com/search/spider.html)

• وجود عبارات زیر در لاگ‌های IIS برای authentication bypass و RCE
POST /owa/auth/Current/
POST /ecp/default.flt
POST /ecp/main.css
POST /ecp/<single char>.js

• وجود ارتباطات شبکه‌ای با IPهای مهاجمین
۱۰۳,۷۷.۱۹۲[.]۲۱۹
۱۰۴,۱۴۰.۱۱۴[.]۱۱۰
۱۰۴,۲۵۰.۱۹۱[.]۱۱۰
۱۰۸,۶۱.۲۴۶[.]۵۶
۱۴۹,۲۸.۱۴[.]۱۶۳
۱۵۷,۲۳۰.۲۲۱[.]۱۹۸
۱۶۷,۹۹.۱۶۸[.]۲۵۱
۱۸۵,۲۵۰.۱۵۱[.]۷۲
۱۹۲,۸۱.۲۰۸[.]۱۶۹
۲۰۳,۱۶۰.۶۹[.]۶۶
۲۱۱,۵۶.۹۸[.]۱۴۶
۵,۲۵۴.۴۳[.]۱۸
۵,۲.۶۹[.]۱۴
۸۰,۹۲.۲۰۵[.]۸۱
۹۱,۱۹۲.۱۰۳[.]۴۳

• یکسان بودن هش صفحات وب با هش‌های زیر (وب شل)
b۷۵f۱۶۳ca۹b۹۲۴۰bf۴b۳۷ad۹۲bc۷۵۵۶b۴۰a۱۷e۲۷c۲b۸ed۵c۸۹۹۱۳۸۵fe۰۷d۱۷d۰
۰۹۷۵۴۹cf۷d۰f۷۶f۰d۹۹edf۸b۲d۹۱c۶۰۹۷۷fd۶a۹۶e۴b۸c۳c۹۴b۰b۱۷۳۳dc۰۲۶d۳e
۲b۶f۱ebb۲۲۰۸e۹۳ade۴a۶۴۲۴۵۵۵d۶a۸۳۴۱fd۶d۹f۶۰c۲۵e۴۴afe۱۱۰۰۸f۵c۱aad۱
۶۵۱۴۹e۰۳۶fff۰۶۰۲۶d۸۰ac۹ad۴d۱۵۶۳۳۲۸۲۲dc۹۳۱۴۲cf۱a۱۲۲b۱۸۴۱ec۸de۳۴b۵
۵۱۱df۰e۲df۹bfa۵۵۲۱b۵۸۸cc۴bb۵f۸c۵a۳۲۱۸۰۱b۸۰۳۳۹۴ebc۴۹۳db۱ef۳c۷۸fa۱
۴edc۷۷۷۰۴۶۴a۱۴f۵۴d۱۷f۳۶dc۹d۰fe۸۵۴f۶۸b۳۴۶b۲۷b۳۵a۶f۵۸۳۹adf۱f۱۳f۸ea
۸۱۱۱۵۷f۹c۷۰۰۳ba۸d۱۷b۴۵eb۳cf۰۹bef۲cecd۲۷۰۱cedb۶۷۵۲۷۴۹۴۹۲۹۶a۶a۱۸۳d
۱۶۳۱a۹۰eb۵۳۹۵c۴e۱۹c۷dbcbf۶۱۱bbe۶۴۴۴ff۳۱۲eb۷۹۳۷e۲۸۶e۴۶۳۷cb۹e۷۲۹۴۴

۲-۲. بررسی سایر شواهد وجود وب شل به کمک کتابچه شکار وب‌شل:
https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۷/۲۴۲۸۹۰/

۳. گزارش حادثه به مرکز افتا در صورت وجود شواهد نفوذ
۳-۱. پست الکترونیک: cert@afta.gov.ir

۴. اعمال وصله‌‌های ارائه شده توسط مایکروسافت بر روی سرورهای Exchange و اتصال سرورها به شبکه در صورت عدم وجود شواهد نفوذ

۵. بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه به جهت کشف شواهد Lateral Movement احتمالی
۵-۱. لاگ‌های آنتی ویروس
۵-۲. لاگ اجرای پاورشل‌های مشکوک
۵-۳. نصب سرویس‌های مشکوک همچون PsExec

برای دریافت اطلاعات بیشتر به لینک‌های زیر مراجعه کنید:
https://afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۹۷۱/
https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۰۲/hafnium-targeting-exchange-servers/
https://www.volexity.com/blog/۲۰۲۱/۰۳/۰۲/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
https://us-cert.cisa.gov/ncas/alerts/aa۲۱-۰۶۲a
https://www.fireeye.com/blog/threat-research/۲۰۲۱/۰۳/detection-response-to-exploitation-of-microsoft-exchange-zero-day-vulnerabilities.html
https://attackerkb.com/topics/Sw۸H۰fbJ۹O/multiple-microsoft-exchange-zero-day-vulnerabilities---hafnium-campaign?referrer=blog#rapid۷-analysis
https://blog.rapid۷.com/۲۰۲۱/۰۳/۰۳/rapid۷s-insightidr-enables-detection-and-response-to-microsoft-exchange-۰-day/
https://blog.paloaltonetworks.com/security-operations/attacks-targeting-microsoft-exchange/