فهرست بستن

مایکروسافت هشدار داد: اشکال Exchange Server: اکنون وصله کنید، اما احراز هویت چند عاملی ممکن است این حملات را متوقف نکند

مایکروسافت هشدار داد: اشکال Exchange Server: اکنون وصله کنید، اما احراز هویت چند عاملی ممکن است این حملات را متوقف نکند

مایکروسافت به‌روزرسانی‌های امنیتی را برای نرم‌افزار سرور ایمیل داخلی Exchange خود منتشر کرده است که مشاغل باید از آن استفاده کنند. به‌روزرسانی‌های امنیتی مربوط به نقص‌های موجود در Exchange Server 2013، 2016 و 2019 هستند – نسخه‌های داخلی Exchange که در اوایل سال جاری توسط گروه هک تحت حمایت پکن که مایکروسافت آن را Hafnium می‌نامد در معرض خطر قرار گرفت. چهار آسیب‌پذیری در نرم‌افزار سرور Exchange در محل مورد سوء استفاده قرار گرفت و اکنون مایکروسافت هشدار داده است که یک نقص جدید وصله‌شده – که با نام CVE-2021-42321 ردیابی می‌شود – نیز مورد حمله قرار گرفته است. به‌روزرسانی‌های امنیتی Exchange به‌عنوان بخشی از به‌روزرسانی‌های پچ سه‌شنبه نوامبر ۲۰۲۱ مایکروسافت برای ویندوز، مرورگر Edge، مجموعه آفیس و سایر محصولات نرم‌افزاری منتشر شدند. مایکروسافت در یک پست وبلاگی درباره اشکالات جدید Exchange گفت: "اشکال Exchange CVE-2021-42321 یک "آسیب پذیری پس از احراز هویت در Exchange 2016 و 2019 است. توصیه ما این است که فوراً این به روز رسانی ها را برای محافظت از محیط خود نصب کنید." آسیب‌پذیری‌ها بر روی Microsoft Exchange Server، از جمله سرورهایی که توسط مشتریان در حالت Exchange Hybrid استفاده می‌شوند، تأثیر می‌گذارند. مشتریان Exchange Online قبلاً محافظت شده‌اند و نیازی به انجام هیچ اقدامی ندارند." مایکروسافت خاطرنشان می‌کند. حملاتی که پس از احراز هویت بر روی کاربران تأثیر می‌گذارند، خطرناک هستند زیرا بر کاربرانی تأثیر می‌گذارند که با اعتبارنامه‌های قانونی اما دزدیده شده احراز هویت کرده‌اند. برخی از حملات پس از احراز هویت می‌توانند دو عاملی ایجاد کنند. احراز هویت بی فایده است زیرا بدافزار حقه خود را پس از احراز هویت با فاکتور دوم انجام می دهد. مهاجمان مستقر در چین از طریق چهار اشکال یا اعتبار دزدیده شده به سرورهای Exchange دسترسی پیدا کردند و به آنها اجازه می دادند پوسته های وب – یک رابط خط فرمان – ایجاد کنند. از راه دور با رایانه آلوده ارتباط برقرار کنید. پوسته‌های وب برای مهاجمان مفید هستند زیرا می‌توانند پس از یک وصله روی یک سیستم زنده بمانند و باید به صورت دستی حذف شوند.

مهاجمان معمولاً برای اجرای بدافزار به دنبال اعتبارنامه‌های مدیریت هستند، اما از اتصالاتی استفاده می‌کنند که توسط VPN محافظت نمی‌شوند. از طرف دیگر، آنها خودشان به VPN حمله می‌کنند. مایکروسافت دستورالعمل‌های به‌روزرسانی مفصلی را ارائه می‌کند که مدیران Exchange باید از آنها پیروی کنند، از جمله به‌روزرسانی‌های تجمعی مربوطه (CU) برای Exchange Server 2013، 2016 و 2019. این شرکت هشدار می‌دهد که مدیران باید به یکی از CU‌های پشتیبانی‌شده به‌روزرسانی شوند: این به‌روزرسانی‌ها را ارائه نخواهد کرد. به‌روزرسانی‌های CU پشتیبانی‌نشده، که نمی‌توانند به‌روزرسانی‌های امنیتی نوامبر را نصب کنند. مایکروسافت تأیید کرد که احراز هویت دو مرحله‌ای (2fa) لزوماً در برابر مهاجمانی که از نقص‌های جدید Exchange سوء استفاده می‌کنند، محافظت نمی‌کند، به خصوص اگر یک حساب قبلاً در معرض خطر قرار گرفته باشد. مدیر برنامه مایکروسافت، نینو بیلیک، می گوید: «اگر احراز هویت موفقیت آمیز باشد (2FA یا نه)، CVE-2021-42321 می تواند قابل بهره برداری باشد. "اما در واقع، 2FA می تواند احراز هویت را سخت تر کند، بنابراین از این نظر، می تواند "کمک" کند. اما بیایید بگوییم اگر حسابی با 2FA در معرض خطر قرار گرفته باشد — خوب، در آن صورت هیچ تفاوتی نخواهد داشت. بیلیچ می افزاید. برای شناسایی خطرات، مایکروسافت توصیه می‌کند که کوئری PowerShell را روی سرور Exchange خود اجرا کنید تا رویدادهای خاص را در گزارش رویداد بررسی کنید: Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object {$_.Message -like "*BinaryFormatter.Deserialize*" }