فقط عندما كنت تأمل أن يهدأ الأسبوع ويتيح لك بعض الوقت الضائع في عمليات SecOps خلال عطلة نهاية الأسبوع ...

... وها هي فجوة جديدة تمامًا في Microsoft Exchange!

أكثر دقة، يومين صفر من الواضح أنه يمكن ربطها ببعضها البعض ، مع استخدام الخطأ الأول عن بُعد لفتح ما يكفي من الثقب لتشغيل الخطأ الثاني ، والذي من المحتمل أن يسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE) على خادم Exchange نفسه.

نشرت مايكروسوفت بسرعة التوجيه الرسمي حول نقاط الضعف هذه ، وتلخيص الموقف على النحو التالي:

تحقق Microsoft في اثنتين من ثغرات يوم الصفر المبلغ عنها والتي تؤثر على Microsoft Exchange Server 2013 و 2016 و 2019. الثغرة الأولى ، التي تم تحديدها على أنها CVE-2022-41040، هي ثغرة أمنية في طلب التزوير من جانب الخادم (SSRF) ، بينما تم تحديد الثانية على أنها CVE-2022-41082، يسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE) عندما يكون بوويرشيل متاحًا للمهاجم.

At this time, Microsoft is aware of limited targeted attacks using the two vulnerabilities to get into users’ systems. In these attacks, CVE-2022-41040 can enable an authenticated attacker to remotely trigger CVE-2022-41082. It should be noted that authenticated access to the vulnerable Exchange Server is necessary to successfully exploit either of the two vulnerabilities.

بقدر ما يمكننا أن نرى ، هناك نوعان من البطانات الفضية هنا:

• لا يمكن لأي شخص تشغيل الأخطاء. بالتأكيد ، أي مستخدم عن بُعد قام بالفعل بتسجيل الدخول إلى حساب بريده الإلكتروني عبر الإنترنت ، وأصيب جهاز الكمبيوتر الخاص به ببرامج ضارة ، يمكن نظريًا تخريب حسابه لشن هجوم يستغل هذه الأخطاء. لكن مجرد الوصول إلى خادم Exchange الخاص بك عبر الإنترنت لا يكفي بمفرده لتعريضك للهجوم ، لأن ما يسمى ب الاحتجاج غير المصدق من هذه الأخطاء غير ممكن.
• حجب PowerShell عن بُعد يمكن أن تحد من الهجمات. وفقًا لمايكروسوفت ، فإن حظر منافذ TCP 5985 و 5986 على خادم Exchange الخاص بك سيحد (إن لم يكن يمنع بالفعل) المهاجمين من التسلسل من الثغرة الأولى إلى الثانية. على الرغم من أن الهجمات قد تكون ممكنة دون الاعتماد على تشغيل أوامر PowerShell ، يبدو أن تقارير التطفل حتى الآن تشير إلى أن تنفيذ PowerShell كان جزءًا ضروريًا من الهجوم.

ذكريات ProxyShell

إذا كان هذا الهجوم يذكرك بـ ثغرة ProxyShell منذ حوالي عام ، لست وحدك في التفكير في ذلك.

وفقًا لـ GTSC ، فإن شركة الأمن السيبراني الفيتنامية هي الأولى التحقيق والإبلاغ هذه الثقوب الجديدة أيها الباحثون "الكشف عن طلبات استغلال في سجلات IIS بنفس تنسيق [ثغرة] ProxyShell".

والجدير بالذكر أن هذا النوع من استعلام البحث عن التهديد الذي أوصينا به بالنسبة لاستغلال ProxyShell ، يبدو أن استكشاف الكهوف في عام 2021 يعمل على اكتشاف إساءة استخدام هذه الأيام الصفرية الجديدة أيضًا:

SELECT grep.*
FROM file
CROSS JOIN grep ON (grep.path = file.path)
WHERE
file.path LIKE 'C:inetpublogsLogFilesW3SVC%u_ex210[89]%'
AND grep.pattern = 'autodiscover.json'

مايكروسوفت أيضا ملاحظات أن "[الاكتشاف الذي أنشأناه] ردًا على ProxyShell يمكن استخدامه للاستعلامات نظرًا لوجود أوجه تشابه في الوظيفة مع هذا التهديد."

بالطبع ، لا نعرف حتى الآن ما إذا كان يمكن إيقاف الهجوم الجديد دون ترك هذه العلامة المنبهة المحددة في سجلاتك.

بمعنى آخر ، إذا وجدت إشارات تحفيز مشابهة لتلك التي خلفتها مآثر PowerShell ، فمن المحتمل أن يكون لديك دليل على حدوث هجوم ، ولكن عدم وجود هذه العلامات ليس دليلاً على الغياب.

وفقًا لـ GTSC ، في الهجمات التي حققوا فيها حتى الآن ، استخدم مجرمو الإنترنت صلاحيات RCE غير المصرح بها لزرع وتشغيل مجموعة متنوعة من البرامج الضارة للمتابعة ، بما في ذلك:

• قشور الويب المزروعة لفتح باب خلفي على شبكة الإنترنت في وقت لاحق. تسمح Webshells عادةً لهجمات المتابعة بتضمين أوامر نظام عشوائية ، مع وسيطات أوامر عشوائية ، في طلبات HTTP ذات المظهر العادي. ثم Webshell ينفذ الأمر المطلوب مباشرة بامتيازات خادم الويب نفسه.
• البرامج الضارة الخاصة بإلقاء بيانات الاعتماد. عادةً ما يتجسس متطفلو بيانات الاعتماد على القرص والذاكرة (إذا كان لديهم امتياز كافٍ) للبحث عن كلمات مرور ذات نص عادي ، كوكيز الجلسة ورموز المصادقة التي يمكن أن تسمح بما يُعرف بـ الحركة الجانبية لأجهزة الكمبيوتر الأخرى على الشبكة.
• يتم تحميل البرامج الضارة Zombie في شكل مكتبات DLL في عمليات تبدو مشروعة. يمكن تغذية عينة DLL التي حللها باحثو GTSC عن بُعد بتعليمات مشفرة لتفريغ معلومات النظام وتشغيل أوامر عشوائية وتشغيل وحدات C # وتعديل الملفات والمجلدات على النظام المصاب.

سنقوم بتحديث هذه المقالة كلما تعلمنا المزيد ، بما في ذلك الإبلاغ عندما تحصل Microsoft على تصحيحات لإغلاق هذه الثغرات.

نصائح للبحث عن التهديد

للحصول على نصائح حول اكتشاف التهديدات من GTSC ، الذي اكتشف الأخطاء وأبلغ عنها ، من Microsoft ومن Sophos ، يرجى الاطلاع على:

▶ https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

▶ https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

▶ https://news.sophos.com/en-us/2021/08/23/proxyshell-vulnerabilities-in-microsoft-exchange-what-to-do/

ماذا ستفعلين.. إذًا؟

تشمل عمليات التخفيف:

• حظر PowerShell عن بُعد لتقليل مخاطر RCE. كما ذكرنا أعلاه ، فإن حظر منافذ TCP 5985 و 5986 سيحد من الهجمات على خادم Exchange الخاص بك ، وفقًا لمايكروسوفت.
• إستخدم URL إعادة كتابة القاعدة لمنع محفزات الهجوم المعروفة. لدى GTSC و Microsoft تفسيرات حول كيفية استخدام قواعد إعادة كتابة عنوان URL لخادم IIS لاكتشاف الأشكال الشائعة لهذا الهجوم وتحييدها.
• تأكد من تمكين اكتشاف تهديد نقطة النهاية السلوكية ، حتى على الخوادم. كما ذكرنا أعلاه ، تشير تقارير GTSC إلى أن الهجمات التي شوهدت حتى الآن تشمل زرع قشور الويب و DLLs للبرامج الضارة لتشغيل أوامر تعسفية ومعالجة الملفات واستخراج معلومات النظام. يمنحك هذا العديد من مؤشرات الاكتشاف والاستجابة المحتملة لتتغلب على هجوم ناجح.
• ضع في اعتبارك إلغاء مصادقة مستخدمي البريد الإلكتروني الذين قاموا بتسجيل الدخول. إذا كان بإمكانك إجراء نوع من التقييم الأمني ​​لنقطة النهاية على جهاز كل مستخدم قبل السماح له بإعادة المصادقة ، فسوف تقلل (وإن لم تقضي على) مخاطر الأجهزة التي تم اختراقها بالفعل والتي يتم إشراكها في شن الهجمات. ستقوم أيضًا بتقليل ما يُعرف باسم الخاص بك بشكل عام سطح الهجوم من خلال عدم وجود مستخدمين معتمدين يتجولون ولا يحتاجون إلى تسجيل الدخول ، أو الذين لا يتذكرون أنهم قاموا بتسجيل الدخول في المقام الأول.
• قم بتطبيق أي رقع بمجرد توفرها. حتى الآن ، تم الإبلاغ عن هجمات محدودة فقط ، معظمها في جنوب شرق آسيا ، ويقوم GTSC عمداً بحجب تفاصيل نقاط الضعف حتى يتم التخلص من التصحيحات. لكن تذكر أنه بمجرد نشر التصحيحات ، سيبدأ مجرمو الإنترنت على الفور في العمل بشكل عكسي نحو استغلال الثغرات على أمل اكتشاف أولئك الذين يتأخرون في تطبيق التحديثات.

حتى الآن [2022-09-30T13: 30Z] ، يبدو أن أهم الأشياء التي يجب وضعها في الاعتبار هي: [أ] النصائح والتقنيات التي تعلمتها لتعقب هجمات ProxyShell ستكون بالتأكيد مفيدة هنا ، إذا ليست الأدوات الوحيدة التي قد تحتاجها ؛ [ب] على الرغم من أوجه التشابه (وبغض النظر عن أي شيء قد شاهدته على الإنترنت) ، فهذا ليس ProxyShell ، لذلك لن تحميك تصحيحات ProxyShell الخاصة بك منه ؛ و [ج] عندما تصل التصحيحات ، افترض أنها ستعود هندستها إلى برمجيات إكسبلويت العاملة بسرعة كبيرة ، لذلك لا تتأخر في تطبيقها.

---

تعرف على المزيد حول شبكات الويب وكيفية منعها

---