يتعرض Microsoft Exchange لـ 0 يوم لهجوم يهدد 220.000 خادم
يتعرض Microsoft Exchange لـ 0 يوم لهجوم يهدد 220.000 خادم
تكبير
صور جيتي
أكدت Microsoft يوم الخميس الماضي وجود ثغرتين خطيرتين في تطبيق Exchange الخاص بها والتي أدت بالفعل إلى اختراق العديد من الخوادم وتشكل خطرًا كبيرًا على ما يقرب من 220.000 آخرين حول العالم.
تم استغلال الثغرات الأمنية غير المصححة حاليًا بشكل نشط منذ أوائل أغسطس ، عندما اكتشفت شركة الأمن الفيتنامية GTSC أن شبكات العملاء قد أصيبت بقذائف ويب ضارة وأن نقطة الدخول الأولية كانت نوعًا من الثغرات الأمنية Exchange. بدا الاستغلال الغامض متطابقًا تقريبًا مع تبادل يومي 2021 يسمى ProxyShell ، ولكن تم تصحيح خوادم العملاء جميعًا ضد الثغرة الأمنية ، والتي يتم تتبعها على أنها CVE-2021-34473. في النهاية ، اكتشف الباحثون أن المتسللين غير المعروفين كانوا يستغلون ثغرة أمنية جديدة في Exchange.
قذائف الويب والأبواب الخلفية والمواقع المزيفة
كتب الباحثون في منشور نُشر يوم الأربعاء "بعد إتقان الاستغلال بنجاح ، سجلنا هجمات لجمع المعلومات وإنشاء موطئ قدم في نظام الضحية". "استخدم فريق الهجوم أيضًا تقنيات مختلفة لإنشاء أبواب خلفية على النظام المتأثر وأداء حركات جانبية لخوادم أخرى في النظام."
في ليلة الخميس ، أكدت Microsoft أن الثغرات الأمنية جديدة وقالت إنها تعمل على تطوير وإصدار إصلاح. الثغرات الأمنية الجديدة هي: CVE-2022-41040 ، ثغرة أمنية للتزوير من جانب الخادم ، و CVE-2022-41082 ، والتي تسمح بتنفيذ التعليمات البرمجية عن بُعد عندما يكون المهاجم في PowerShell متاحًا.
كتب أعضاء من فريق Microsoft Security Response Center: "في الوقت الحالي ، تدرك Microsoft أن الهجمات المستهدفة محدودة باستخدام كلتا الثغرات الأمنية لاختراق أنظمة المستخدم". "في هذه الهجمات ، قد تسمح CVE-2022-41040 لمهاجم تمت مصادقته بتشغيل CVE-2022-41082 عن بُعد." أشار أعضاء الفريق إلى أن الهجمات الناجحة تتطلب بيانات اعتماد صالحة لمستخدم بريد واحد على الأقل على الخادم.
تؤثر الثغرة الأمنية على خوادم Exchange الداخلية ، وليس بالمعنى الدقيق للكلمة ، خدمة Exchange المستضافة من Microsoft. التحذير الكبير هو أن العديد من المؤسسات التي تستخدم عروض Microsoft السحابية تختار خيارًا يستخدم مزيجًا من الأجهزة المحلية والسحابة. تعتبر هذه البيئات المختلطة ضعيفة مثل البيئات المستقلة داخل الشركة.
تشير الأبحاث التي أجريت على Shodan إلى أن هناك حاليًا أكثر من 200000 خادم Exchange داخلي معرّض للإنترنت وأكثر من 1000 تهيئة مختلطة.
خوادم Exchange الداخلية بمرور الوقت.
خوادم التبادل المحلية حسب المنطقة الجغرافية.
خوادم التبادل الهجين.
تشير مشاركة GTSC يوم الأربعاء إلى أن المهاجمين يستغلون اليوم صفر لإصابة الخوادم بقذائف الويب ، وهي واجهة نصية تسمح لهم بإصدار الأوامر. تحتوي قذائف الويب هذه على أحرف صينية مبسطة ، مما دفع الباحثين إلى افتراض أن المتسللين يجيدون اللغة الصينية. تحمل الأوامر الصادرة أيضًا توقيع تشاينا تشوبر ، وهو عبارة عن قشرة إلكترونية تستخدم بشكل شائع من قبل الجهات الفاعلة في مجال التهديد الناطقين بالصينية ، بما في ذلك العديد من التهديدات المستمرة المتقدمة ...
أكدت Microsoft يوم الخميس الماضي وجود ثغرتين خطيرتين في تطبيق Exchange الخاص بها والتي أدت بالفعل إلى اختراق العديد من الخوادم وتشكل خطرًا كبيرًا على ما يقرب من 220.000 آخرين حول العالم.
تم استغلال الثغرات الأمنية غير المصححة حاليًا بشكل نشط منذ أوائل أغسطس ، عندما اكتشفت شركة الأمن الفيتنامية GTSC أن شبكات العملاء قد أصيبت بقذائف ويب ضارة وأن نقطة الدخول الأولية كانت نوعًا من الثغرات الأمنية Exchange. بدا الاستغلال الغامض متطابقًا تقريبًا مع تبادل يومي 2021 يسمى ProxyShell ، ولكن تم تصحيح خوادم العملاء جميعًا ضد الثغرة الأمنية ، والتي يتم تتبعها على أنها CVE-2021-34473. في النهاية ، اكتشف الباحثون أن المتسللين غير المعروفين كانوا يستغلون ثغرة أمنية جديدة في Exchange.
قذائف الويب والأبواب الخلفية والمواقع المزيفة
كتب الباحثون في منشور نُشر يوم الأربعاء "بعد إتقان الاستغلال بنجاح ، سجلنا هجمات لجمع المعلومات وإنشاء موطئ قدم في نظام الضحية". "استخدم فريق الهجوم أيضًا تقنيات مختلفة لإنشاء أبواب خلفية على النظام المتأثر وأداء حركات جانبية لخوادم أخرى في النظام."
في ليلة الخميس ، أكدت Microsoft أن الثغرات الأمنية جديدة وقالت إنها تعمل على تطوير وإصدار إصلاح. الثغرات الأمنية الجديدة هي: CVE-2022-41040 ، ثغرة أمنية للتزوير من جانب الخادم ، و CVE-2022-41082 ، والتي تسمح بتنفيذ التعليمات البرمجية عن بُعد عندما يكون المهاجم في PowerShell متاحًا.
كتب أعضاء من فريق Microsoft Security Response Center: "في الوقت الحالي ، تدرك Microsoft أن الهجمات المستهدفة محدودة باستخدام كلتا الثغرات الأمنية لاختراق أنظمة المستخدم". "في هذه الهجمات ، قد تسمح CVE-2022-41040 لمهاجم تمت مصادقته بتشغيل CVE-2022-41082 عن بُعد." أشار أعضاء الفريق إلى أن الهجمات الناجحة تتطلب بيانات اعتماد صالحة لمستخدم بريد واحد على الأقل على الخادم.
تؤثر الثغرة الأمنية على خوادم Exchange الداخلية ، وليس بالمعنى الدقيق للكلمة ، خدمة Exchange المستضافة من Microsoft. التحذير الكبير هو أن العديد من المؤسسات التي تستخدم عروض Microsoft السحابية تختار خيارًا يستخدم مزيجًا من الأجهزة المحلية والسحابة. تعتبر هذه البيئات المختلطة ضعيفة مثل البيئات المستقلة داخل الشركة.
تشير الأبحاث التي أجريت على Shodan إلى أن هناك حاليًا أكثر من 200000 خادم Exchange داخلي معرّض للإنترنت وأكثر من 1000 تهيئة مختلطة.
خوادم Exchange الداخلية بمرور الوقت.
خوادم التبادل المحلية حسب المنطقة الجغرافية.
خوادم التبادل الهجين.
تشير مشاركة GTSC يوم الأربعاء إلى أن المهاجمين يستغلون اليوم صفر لإصابة الخوادم بقذائف الويب ، وهي واجهة نصية تسمح لهم بإصدار الأوامر. تحتوي قذائف الويب هذه على أحرف صينية مبسطة ، مما دفع الباحثين إلى افتراض أن المتسللين يجيدون اللغة الصينية. تحمل الأوامر الصادرة أيضًا توقيع تشاينا تشوبر ، وهو عبارة عن قشرة إلكترونية تستخدم بشكل شائع من قبل الجهات الفاعلة في مجال التهديد الناطقين بالصينية ، بما في ذلك العديد من التهديدات المستمرة المتقدمة ...
تكبير
صور جيتي
