در سالهای اخیر، حملات سایبری به سرورهای Microsoft Exchange افزایش چشمگیری داشته است، بهویژه پس از شناسایی و بهرهبرداری از چهار آسیبپذیری جدید که به عنوان “روز صفر” شناخته میشوند. این آسیبپذیریها به هکرها این امکان را میدهند که به سرورهای Exchange دسترسی پیدا کنند و با استفاده از تکنیکهای پیشرفته، به شبکههای سازمانی نفوذ کرده و دادههای حساس را سرقت کنند. سیمانتک با استفاده از تکنولوژی حفاظت از نفوذ (Intrusion Protection)، به کاربران خود کمک میکند تا از این حملات جلوگیری کنند.
اهمیت بهروزرسانی سرورهای Exchange
شرکت مایکروسافت در تاریخ 2 مارس 2021 بستههای بهروزرسانی اضطراری برای رفع چهار آسیبپذیری جدید در سرورهای Microsoft Exchange منتشر کرد. این آسیبپذیریها توسط گروهی از هکرها به نام Hafnium (یا Ant که توسط سیمانتک ردیابی میشود) برای حملات هدفمند مورد استفاده قرار میگرفت. اگرچه در ابتدا این حملات محدود به Hafnium بود، اما پس از انتشار بهروزرسانیها، تعداد زیادی از مهاجمان دیگر نیز تلاش کردند تا از این آسیبپذیریها بهرهبرداری کنند.
دو آسیبپذیری اصلی از این چهار آسیبپذیری به نامهای CVE-2021-26855 و CVE-2021-27065 شناخته شدهاند و توسط شرکت DevCore به نام “ProxyLogon” نامگذاری شدهاند. این آسیبپذیریها در صورت بهرهبرداری موفق، به هکرها اجازه میدهند به سرور Exchange دسترسی پیدا کنند و از آن برای اجرای کدهای مخرب و سرقت دادهها استفاده کنند.
نقش سیمانتک در محافظت از شبکهها
تکنولوژی حفاظت از نفوذ سیمانتک از کاربران در برابر تلاشهای مهاجمان برای بهرهبرداری از این آسیبپذیریها محافظت میکند. این تکنولوژی از روشهای شناسایی و مسدودسازی تلاشهای مخرب بهره میبرد و هرگونه تلاش برای نفوذ به شبکه را متوقف میکند. سیمانتک همچنین برای مشتریان خود امضایهای امنیتی خاصی ارائه داده است که تلاشهای مربوط به بهرهبرداری از آسیبپذیریهای مذکور را تشخیص میدهد.
جزئیات آسیبپذیریهای مورد استفاده
چهار آسیبپذیری شناخته شده که مایکروسافت برای آنها بهروزرسانی اضطراری منتشر کرده است شامل موارد زیر هستند:
CVE-2021-26855: این آسیبپذیری به مهاجمان اجازه میدهد تا درخواستهای HTTP نامعتبر ارسال کرده و به عنوان سرور Exchange احراز هویت شوند. این بهرهبرداری از طریق جعل درخواست سرور (SSRF) و از طریق کنترل پنل Exchange انجام میشود و به مهاجمان امکان دسترسی به ایمیلها و دادههای حساس را میدهد.
CVE-2021-27065: این آسیبپذیری پس از احراز هویت به مهاجم اجازه میدهد تا فایلها را در هر مسیری بر روی سرور Exchange بنویسد. مهاجم میتواند از این آسیبپذیری به همراه CVE-2021-26855 برای بهرهبرداری استفاده کند و با استفاده از آن به اجرای کدهای مخرب بپردازد.
CVE-2021-26858: این آسیبپذیری نیز مشابه CVE-2021-27065 است و مهاجمان میتوانند از آن برای نوشتن فایلها و اجرای کدهای مخرب بر روی سرور استفاده کنند.
CVE-2021-27857: این آسیبپذیری به مهاجم اجازه میدهد که به کمک احراز هویتهای به دست آمده از طریق CVE-2021-26855، کدهای مخرب را به عنوان سیستم (SYSTEM) بر روی سرور اجرا کند.
فعالیتهای پس از نفوذ
سیمانتک موارد متعددی از فعالیتهای پس از نفوذ را در چندین سازمان مشاهده کرده است. در یکی از این موارد، مهاجمان در یک شرکت مخابراتی در خاورمیانه از آسیبپذیریهای Exchange در اوایل ژانویه 2021 بهرهبرداری کردند. مهاجمان از وبشلهای China Chopper برای دسترسی به سیستمها استفاده کردند و سپس با استفاده از ابزارهایی مانند Mimikatz به سرقت اطلاعات احراز هویت پرداختند.
مورد دیگر در یک شرکت حقوقی در جنوب شرق آسیا اتفاق افتاد که فعالیتهای مشکوک در شبکه آن از تاریخ 28 فوریه 2021 مشاهده شد. مهاجمان از روشهایی مانند PowerShell و ابزارهای مختلف برای دسترسی به اطلاعات و سرقت دادهها استفاده کردند. آنها همچنین با استفاده از ابزارهای مخربی مانند Cobalt Strike و Mimikatz به اجرای کدهای مخرب و سرقت اطلاعات پرداختند.
محافظت از سرورهای Exchange
تمامی کاربران سرورهای Microsoft Exchange باید بهروزرسانیهای اضطراری منتشر شده توسط مایکروسافت را اعمال کنند تا از آسیبپذیریها در امان بمانند. علاوه بر این، مایکروسافت ابزاری برای شناسایی این نوع حملات منتشر کرده که به کاربران اجازه میدهد سرورهای خود را اسکن کرده و در صورت هرگونه نفوذ، آن را شناسایی کنند. همچنین، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) به تمامی سازمانهای دولتی دستور داده است که سرورهای خود را فوراً بهروزرسانی کنند.
توصیههای امنیتی
برای محافظت از شبکهها و سرورها، توصیههای زیر باید رعایت شوند:
بهروزرسانی فوری سرورها: تمامی کاربران باید سریعاً بهروزرسانیهای منتشر شده را اعمال کنند تا از بهرهبرداری مهاجمان جلوگیری شود.
استفاده از ابزارهای شناسایی: از ابزار شناسایی مایکروسافت برای اسکن سرورها و شناسایی هرگونه نفوذ احتمالی استفاده شود.
نظارت مستمر: استفاده از سیستمهای نظارتی مانند سیستمهای حفاظت از نفوذ سیمانتک برای شناسایی و مسدود کردن تلاشهای مخرب.
آموزش پرسنل: پرسنل باید به طور مداوم در زمینه امنیت سایبری آموزش ببینند تا در مواجهه با حملات سایبری هوشیار باشند.
با توجه به افزایش حملات سایبری به سرورهای Microsoft Exchange و بهرهبرداری از آسیبپذیریهای روز صفر، محافظت از سرورها به یک نیاز اساسی برای سازمانها تبدیل شده است. سیمانتک با استفاده از تکنولوژیهای پیشرفته و بهروز رسانیهای امنیتی، به کاربران خود کمک میکند تا از حملات جلوگیری کرده و شبکههای خود را در برابر تهدیدات سایبری محافظت کنند. بهروزرسانیهای امنیتی، نظارت مستمر و استفاده از ابزارهای پیشرفته مانند سیمانتک میتواند به میزان زیادی از این حملات جلوگیری کند و امنیت شبکهها را تضمین نماید. لطفا جهت دریافت مشاوره با شرکت آلما شبکه، با مدیریت جناب آقای وحید فوائدی تماس حاصل فرمایید.