مایکروسافت بهروزرسانیهای امنیتی را برای نرمافزار سرور ایمیل داخلی Exchange خود منتشر کرده است که مشاغل باید از آن استفاده کنند. بهروزرسانیهای امنیتی مربوط به نقصهای موجود در Exchange Server 2013، 2016 و 2019 هستند – نسخههای داخلی Exchange که در اوایل سال جاری توسط گروه هک تحت حمایت پکن که مایکروسافت آن را Hafnium مینامد در معرض خطر قرار گرفت. چهار آسیبپذیری در نرمافزار سرور Exchange در محل مورد سوء استفاده قرار گرفت و اکنون مایکروسافت هشدار داده است که یک نقص جدید وصلهشده – که با نام CVE-2021-42321 ردیابی میشود – نیز مورد حمله قرار گرفته است. بهروزرسانیهای امنیتی Exchange بهعنوان بخشی از بهروزرسانیهای پچ سهشنبه نوامبر ۲۰۲۱ مایکروسافت برای ویندوز، مرورگر Edge، مجموعه آفیس و سایر محصولات نرمافزاری منتشر شدند. مایکروسافت در یک پست وبلاگی درباره اشکالات جدید Exchange گفت: "اشکال Exchange CVE-2021-42321 یک "آسیب پذیری پس از احراز هویت در Exchange 2016 و 2019 است. توصیه ما این است که فوراً این به روز رسانی ها را برای محافظت از محیط خود نصب کنید." آسیبپذیریها بر روی Microsoft Exchange Server، از جمله سرورهایی که توسط مشتریان در حالت Exchange Hybrid استفاده میشوند، تأثیر میگذارند. مشتریان Exchange Online قبلاً محافظت شدهاند و نیازی به انجام هیچ اقدامی ندارند." مایکروسافت خاطرنشان میکند. حملاتی که پس از احراز هویت بر روی کاربران تأثیر میگذارند، خطرناک هستند زیرا بر کاربرانی تأثیر میگذارند که با اعتبارنامههای قانونی اما دزدیده شده احراز هویت کردهاند. برخی از حملات پس از احراز هویت میتوانند دو عاملی ایجاد کنند. احراز هویت بی فایده است زیرا بدافزار حقه خود را پس از احراز هویت با فاکتور دوم انجام می دهد. مهاجمان مستقر در چین از طریق چهار اشکال یا اعتبار دزدیده شده به سرورهای Exchange دسترسی پیدا کردند و به آنها اجازه می دادند پوسته های وب – یک رابط خط فرمان – ایجاد کنند. از راه دور با رایانه آلوده ارتباط برقرار کنید. پوستههای وب برای مهاجمان مفید هستند زیرا میتوانند پس از یک وصله روی یک سیستم زنده بمانند و باید به صورت دستی حذف شوند.
مهاجمان معمولاً برای اجرای بدافزار به دنبال اعتبارنامههای مدیریت هستند، اما از اتصالاتی استفاده میکنند که توسط VPN محافظت نمیشوند. از طرف دیگر، آنها خودشان به VPN حمله میکنند. مایکروسافت دستورالعملهای بهروزرسانی مفصلی را ارائه میکند که مدیران Exchange باید از آنها پیروی کنند، از جمله بهروزرسانیهای تجمعی مربوطه (CU) برای Exchange Server 2013، 2016 و 2019. این شرکت هشدار میدهد که مدیران باید به یکی از CUهای پشتیبانیشده بهروزرسانی شوند: این بهروزرسانیها را ارائه نخواهد کرد. بهروزرسانیهای CU پشتیبانینشده، که نمیتوانند بهروزرسانیهای امنیتی نوامبر را نصب کنند. مایکروسافت تأیید کرد که احراز هویت دو مرحلهای (2fa) لزوماً در برابر مهاجمانی که از نقصهای جدید Exchange سوء استفاده میکنند، محافظت نمیکند، به خصوص اگر یک حساب قبلاً در معرض خطر قرار گرفته باشد. مدیر برنامه مایکروسافت، نینو بیلیک، می گوید: «اگر احراز هویت موفقیت آمیز باشد (2FA یا نه)، CVE-2021-42321 می تواند قابل بهره برداری باشد. "اما در واقع، 2FA می تواند احراز هویت را سخت تر کند، بنابراین از این نظر، می تواند "کمک" کند. اما بیایید بگوییم اگر حسابی با 2FA در معرض خطر قرار گرفته باشد — خوب، در آن صورت هیچ تفاوتی نخواهد داشت. بیلیچ می افزاید. برای شناسایی خطرات، مایکروسافت توصیه میکند که کوئری PowerShell را روی سرور Exchange خود اجرا کنید تا رویدادهای خاص را در گزارش رویداد بررسی کنید: Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object {$_.Message -like "*BinaryFormatter.Deserialize*" }