وبلاگ

چگونگی محافظت سیمانتک از حملات سرور Microsoft Exchange

 

در سال‌های اخیر، حملات سایبری به سرورهای Microsoft Exchange افزایش چشمگیری داشته است، به‌ویژه پس از شناسایی و بهره‌برداری از چهار آسیب‌پذیری جدید که به عنوان “روز صفر” شناخته می‌شوند. این آسیب‌پذیری‌ها به هکرها این امکان را می‌دهند که به سرورهای Exchange دسترسی پیدا کنند و با استفاده از تکنیک‌های پیشرفته، به شبکه‌های سازمانی نفوذ کرده و داده‌های حساس را سرقت کنند. سیمانتک با استفاده از تکنولوژی حفاظت از نفوذ (Intrusion Protection)، به کاربران خود کمک می‌کند تا از این حملات جلوگیری کنند.

 

اهمیت به‌روزرسانی سرورهای Exchange

شرکت مایکروسافت در تاریخ 2 مارس 2021 بسته‌های به‌روزرسانی اضطراری برای رفع چهار آسیب‌پذیری جدید در سرورهای Microsoft Exchange منتشر کرد. این آسیب‌پذیری‌ها توسط گروهی از هکرها به نام Hafnium (یا Ant که توسط سیمانتک ردیابی می‌شود) برای حملات هدفمند مورد استفاده قرار می‌گرفت. اگرچه در ابتدا این حملات محدود به Hafnium بود، اما پس از انتشار به‌روزرسانی‌ها، تعداد زیادی از مهاجمان دیگر نیز تلاش کردند تا از این آسیب‌پذیری‌ها بهره‌برداری کنند.

 

دو آسیب‌پذیری اصلی از این چهار آسیب‌پذیری به نام‌های CVE-2021-26855 و CVE-2021-27065 شناخته شده‌اند و توسط شرکت DevCore به نام “ProxyLogon” نام‌گذاری شده‌اند. این آسیب‌پذیری‌ها در صورت بهره‌برداری موفق، به هکرها اجازه می‌دهند به سرور Exchange دسترسی پیدا کنند و از آن برای اجرای کدهای مخرب و سرقت داده‌ها استفاده کنند.

 

نقش سیمانتک در محافظت از شبکه‌ها

تکنولوژی حفاظت از نفوذ سیمانتک از کاربران در برابر تلاش‌های مهاجمان برای بهره‌برداری از این آسیب‌پذیری‌ها محافظت می‌کند. این تکنولوژی از روش‌های شناسایی و مسدودسازی تلاش‌های مخرب بهره می‌برد و هرگونه تلاش برای نفوذ به شبکه را متوقف می‌کند. سیمانتک همچنین برای مشتریان خود امضای‌های امنیتی خاصی ارائه داده است که تلاش‌های مربوط به بهره‌برداری از آسیب‌پذیری‌های مذکور را تشخیص می‌دهد.

 

جزئیات آسیب‌پذیری‌های مورد استفاده

چهار آسیب‌پذیری شناخته شده که مایکروسافت برای آنها به‌روزرسانی اضطراری منتشر کرده است شامل موارد زیر هستند:

 

CVE-2021-26855: این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا درخواست‌های HTTP نامعتبر ارسال کرده و به عنوان سرور Exchange احراز هویت شوند. این بهره‌برداری از طریق جعل درخواست سرور (SSRF) و از طریق کنترل پنل Exchange انجام می‌شود و به مهاجمان امکان دسترسی به ایمیل‌ها و داده‌های حساس را می‌دهد.

 

CVE-2021-27065: این آسیب‌پذیری پس از احراز هویت به مهاجم اجازه می‌دهد تا فایل‌ها را در هر مسیری بر روی سرور Exchange بنویسد. مهاجم می‌تواند از این آسیب‌پذیری به همراه CVE-2021-26855 برای بهره‌برداری استفاده کند و با استفاده از آن به اجرای کدهای مخرب بپردازد.

 

CVE-2021-26858: این آسیب‌پذیری نیز مشابه CVE-2021-27065 است و مهاجمان می‌توانند از آن برای نوشتن فایل‌ها و اجرای کدهای مخرب بر روی سرور استفاده کنند.

 

CVE-2021-27857: این آسیب‌پذیری به مهاجم اجازه می‌دهد که به کمک احراز هویت‌های به دست آمده از طریق CVE-2021-26855، کدهای مخرب را به عنوان سیستم (SYSTEM) بر روی سرور اجرا کند.

 

فعالیت‌های پس از نفوذ

سیمانتک موارد متعددی از فعالیت‌های پس از نفوذ را در چندین سازمان مشاهده کرده است. در یکی از این موارد، مهاجمان در یک شرکت مخابراتی در خاورمیانه از آسیب‌پذیری‌های Exchange در اوایل ژانویه 2021 بهره‌برداری کردند. مهاجمان از وب‌شل‌های China Chopper برای دسترسی به سیستم‌ها استفاده کردند و سپس با استفاده از ابزارهایی مانند Mimikatz به سرقت اطلاعات احراز هویت پرداختند.

 

مورد دیگر در یک شرکت حقوقی در جنوب شرق آسیا اتفاق افتاد که فعالیت‌های مشکوک در شبکه آن از تاریخ 28 فوریه 2021 مشاهده شد. مهاجمان از روش‌هایی مانند PowerShell و ابزارهای مختلف برای دسترسی به اطلاعات و سرقت داده‌ها استفاده کردند. آنها همچنین با استفاده از ابزارهای مخربی مانند Cobalt Strike و Mimikatz به اجرای کدهای مخرب و سرقت اطلاعات پرداختند.

 

محافظت از سرورهای Exchange

تمامی کاربران سرورهای Microsoft Exchange باید به‌روزرسانی‌های اضطراری منتشر شده توسط مایکروسافت را اعمال کنند تا از آسیب‌پذیری‌ها در امان بمانند. علاوه بر این، مایکروسافت ابزاری برای شناسایی این نوع حملات منتشر کرده که به کاربران اجازه می‌دهد سرورهای خود را اسکن کرده و در صورت هرگونه نفوذ، آن را شناسایی کنند. همچنین، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) به تمامی سازمان‌های دولتی دستور داده است که سرورهای خود را فوراً به‌روزرسانی کنند.

 

توصیه‌های امنیتی

برای محافظت از شبکه‌ها و سرورها، توصیه‌های زیر باید رعایت شوند:

به‌روزرسانی فوری سرورها: تمامی کاربران باید سریعاً به‌روزرسانی‌های منتشر شده را اعمال کنند تا از بهره‌برداری مهاجمان جلوگیری شود.

استفاده از ابزارهای شناسایی: از ابزار شناسایی مایکروسافت برای اسکن سرورها و شناسایی هرگونه نفوذ احتمالی استفاده شود.

نظارت مستمر: استفاده از سیستم‌های نظارتی مانند سیستم‌های حفاظت از نفوذ سیمانتک برای شناسایی و مسدود کردن تلاش‌های مخرب.

آموزش پرسنل: پرسنل باید به طور مداوم در زمینه امنیت سایبری آموزش ببینند تا در مواجهه با حملات سایبری هوشیار باشند.

 

با توجه به افزایش حملات سایبری به سرورهای Microsoft Exchange و بهره‌برداری از آسیب‌پذیری‌های روز صفر، محافظت از سرورها به یک نیاز اساسی برای سازمان‌ها تبدیل شده است. سیمانتک با استفاده از تکنولوژی‌های پیشرفته و به‌روز رسانی‌های امنیتی، به کاربران خود کمک می‌کند تا از حملات جلوگیری کرده و شبکه‌های خود را در برابر تهدیدات سایبری محافظت کنند. به‌روزرسانی‌های امنیتی، نظارت مستمر و استفاده از ابزارهای پیشرفته مانند سیمانتک می‌تواند به میزان زیادی از این حملات جلوگیری کند و امنیت شبکه‌ها را تضمین نماید. لطفا جهت دریافت مشاوره با شرکت آلما شبکه، با مدیریت جناب آقای وحید فوائدی تماس حاصل فرمایید.

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار + 15 =