آسیب پذیری Microsoft Exchange می تواند از SolarWinds بدتر باشد

دامنه آسیب دیدگی آسیب پذیری تازه Microsoft Exchange در حال افزایش است ، به طوری که برخی از کارشناسان می گویند “این از SolarWinds بدتر است”.

طبق آخرین آمار ، بیش از 60،000 سازمان قربانی این حمله شده اند.

مارک گودوین ، مدیر تحلیلگر ارشد شرکت مشاور امنیتی Bishop Fox ، گفت: “مقیاس حمله بزرگترین تهدید در این زمان است.”

وی به DCK گفت ، نهادهای دولتی مورد حمله قرار گرفته اند ، شرکت های بزرگ و مشاغل کوچک محلی. وی اضافه کرد ، طبق ابزار اسکن اینترنتی Shodan ، بیش از 250،000 سرور آسیب پذیر هستند.

برخلاف نقض SolarWinds ، از آسیب پذیری Microsoft Exchange می توان به روشی خودکار استفاده کرد. وی گفت: اگر یک مرکز داده دارای یک سرور Exchange است که از طریق اینترنت عمومی قابل دسترسی است ، فرض کنید که در معرض خطر باشد.

گودوین گفت ، این مشکل آنقدر شدید است که مایکروسافت حتی برای سرورهای قدیمی تر وصله هایی را منتشر کرده است که دیگر پشتیبانی نمی شوند.

و برخلاف نقض SolarWinds ، که اساساً توسط یک گروه تحت حمایت دولت مورد سو استفاده قرار گرفت ، گزارش شده از روسیه ، آسیب پذیری Microsoft Exchange برای همه آزاد است. در ابتدا با یک گروه حامی دولت چین ، هافنیوم در ارتباط بود ، سرانجام نیمی از دو گروه مختلف فعالانه به سازمان های دارای سرورهای آسیب پذیر حمله می کنند.

آسیب پذیری Microsoft Exchange به هکرها دسترسی کامل به سرورهای Microsoft Exchange را می دهد که به نوبه خود می توانند از سرورهای Active Directory استفاده کنند.

Srikant Vissamsetti ، معاون ارشد مهندسی Attivo Networks ، فروشنده امنیت سایبری ، گفت: “هنگامی که Active Directory را به خطر انداختید ، می توانید به دنبال هر چیزی که می خواهید بروید.” “شما کلیدهای پادشاهی را می گیرید.”

مشکل بزرگ این است که Microsoft Exchange به گونه ای طراحی شده است که توسط کاربران خارجی قابل دسترسی است ، این بدان معناست که سرورها از طریق اینترنت قابل دسترسی هستند – و مهاجمان می توانند هنگام شناسایی نقاط ضعف ، آنها را پیدا کنند.

جترو ​​بیکمن ، مدیر فنی شرکت امنیت سایبری فورتانیکس ، گفت: “روش هایی برای اسکن همه موارد متصل به اینترنت برای یافتن سیستم های آسیب پذیر وجود دارد.” “این تهدید زیادی برای سو mis استفاده است.”

در نتیجه ، وزارت امنیت داخلی هفته گذشته با صدور بخشنامه ای اضطراری برای آژانس های فدرال ، هشدار داد که از آسیب پذیری Microsoft Exchange به طور فعال استفاده می شود و به آنها دستور می دهد که اقدامات دفاعی انجام دهند.

کریس کربس ، مدیر سابق آژانس امنیت سایبر و امنیت زیرساخت ، روز جمعه در توییتی گفت: “این یک هک بزرگ دیوانه وار است.” “اعدادی که گزارش کردم کوتوله است.”

همچنین در روز جمعه ، شرکت امنیتی Huntress گزارشی از تجزیه و تحلیل خود از 3000 سرور منتشر کرد که اکثر آنها دارای آنتی ویروس یا راه حل های امنیتی نقطه پایانی بودند. از این تعداد ، 800 هنوز وصله نشده بودند و بیش از 350 پوسته مخرب قبلاً توسط مهاجمان نصب شده بود.

جان هاموند ، محقق ارشد امنیتی هانترس در گزارشی گفت: “این ظاهراً از بیشتر محصولات امنیتی پیشگیرانه عبور كرده است.”

تعداد شرکت های آسیب دیده با این حمله بسیار بیشتر از SolarWinds است زیرا این حمله می تواند بسیار خودکار باشد ، Atvito Vissamsetti به DCK گفت.

وی گفت: “با چنین چیزی ، مهاجمان می توانند ظرف یک روز بسیج شوند.” آنها فقط در عرض چند ساعت می توانند همه چیز را بنویسند. “

پاکسازی کثیف خواهد بود

اگر سازمانی به خطر بیفتد وصله سرور Microsoft Exchange کافی نیست.

شرکت ها می توانند به دنبال شاخص های سازش در پرونده های ورود به سیستم باشند ، اما مهاجمان هوشمند ممکن است این آثار را نیز پاک کنند.

سپس ، مهاجمان ممکن است درهای پشتی را نصب کرده یا حسابهایی را برای خود با سطح دسترسی بالا ایجاد کرده باشند ، یا حتی حمله ای به “بلیط طلایی” به Active Directory انجام دهند.

ویسامستتی گفت: “اگر حمله بلیط طلایی داشته باشید ، تقریباً باید از ابتدا شروع کنید.” “تغییر گذرواژه ها کافی نیست. آنها یک مدیر فوق العاده دارند.”

وی افزود: احتمال خسارت تقریباً بی پایان است.

الیور توکلی ، مدیر CTO در شبکه های وکترا گفت: “تمیز کردن کثیف خواهد بود.” “این به طور مثر به پشتیبان گیری از داده ها ، تصویربرداری مجدد از سرور Exchange ، اسکراب پشتیبان گیری از هر حساب دیگری که نباید وجود داشته باشد ، بازنشانی تمام رمزهای عبور و اسرار و بازیابی اطلاعات باقیمانده پشتیبان نیاز خواهد داشت.”

وی افزود ، این در حالی است که تیم های امنیتی از قبل در اثر حمله SolarWinds نازک هستند.

وی به DCK گفت: “این هك برای همان منابع تحقیق و بازسازی رقابت خواهد كرد.” وی افزود: بنابراین ، داشتن دو حمله گسترده از این دست در نزدیكی به همان زمان ، فشار زیادی را به منابع وارد می كند.

Adrien Gendre ، مدیر ارشد خدمات و خدمات در Vade Secure ، گفت: حتی اگر سرورهای Exchange وصله خورده باشند ، درهای پشت بسته شده و مهاجمان کاملاً تمیز شوند ، این پایان کار نیست.

وی گفت: “براساس دانش ما از حوادث قبلی ، انتظار می رود در هفته های آینده شاهد افزایش حملات فیشینگ نیزه ای باشیم.”

وی گفت: مهاجمان می توانند از اطلاعاتی که در سیستم جمع کرده اند مانند ایمیل ها و سایر اسناد برای ساخت ایمیل های کلاهبرداری فوق العاده هدفمند و معتبر استفاده کنند.

زمان خندق مایکروسافت تبادل

کارشناسان توصیه می کنند که شرکت ها جایگزینی زودهنگام Microsoft Exchange را با گزینه های مبتنی بر cloud مانند Office 365 جایگزین کنند که در معرض حمله نیستند.

و در صورت حمله ، فروشنده SaaS به سادگی خودشان پچ را نصب می کند. نیازی نیست که هر مشتری وصله های خود را نصب کند ، به طرز چشمگیری امنیت را ساده می کند.

اگر این گزینه نباشد ، سرورهای Exchange می توانند پشت سر VPN ها قرار بگیرند ، Beekman از Fortanix به DCK گفت.

وی افزود: “و فایروال های برنامه های وب وجود دارد که می توانید آنها را بین سرور و اینترنت وارد کنید.”

وی افزود: ارائه دهندگان مرکز داده که سرورهای مدیریت شده را به مشتریان ارائه می دهند به ویژه آسیب پذیر هستند ، زیرا اگر آنها خود از یک سرور آسیب پذیر Microsoft Exchange استفاده کنند و محیط آنها به خطر بیفتد ، زیرساخت های مشتری به طور بالقوه ممکن است در معرض خطر قرار گیرند.

وی گفت ، این جایی است که از رویکردهای امنیتی مانند اعتماد صفر و تقسیم خرد می توان برای محدود کردن حرکت جانبی استفاده کرد.

مراکز داده همچنین باید به دنبال افزایش مهاجرت به SASE (لبه سرویس دسترسی ایمن) باشند كه در حقیقت یك اینترنت خصوصی مبتنی بر ابر برای ترافیك شركت ایجاد می كند.

آمیت بارکت ، مدیر عامل و بنیانگذار Perimeter 81 ، یک شرکت امنیت سایبری ، گفت: “منطقی نیست که وقتی منابع اولیه خود را تأمین کنیم ، داشتن منابع با پیش فرض منطقی نیست.”

جدول زمانی هک Microsoft Exchange

به گفته شرکت امنیتی Volexity ، کارشناسان امنیتی در اوایل ژانویه و با اولین حملات در 3 ژانویه ، علائم سازش را مشاهده کردند.

در ابتدا ، این حملات که از یک آسیب پذیری روز صفر استفاده می کردند ، به هافنیوم محدود شدند.

سپس ، بعد از اینکه مایکروسافت سرانجام در تاریخ 2 مارس وصله هایی را منتشر کرد ، سایر گروه های جنایتکار از آن در مسابقه برای حمله به بیشترین سرورهای ممکن قبل از وصله آنها استفاده کردند.

اد هانتر ، CISO در Infoblox ، یک شرکت امنیت سایبری ، گفت که این آسیب پذیری به مدت یک دهه در پایگاه کد Microsoft Exchange وجود دارد.

وی گفت: “باید تعجب كرد كه این آسیب پذیری چه مدت در جعبه ابزار این بازیگر تهدید نزدیك نگه داشته شده و مورد استفاده قرار گرفته است؟”

چه باید کرد

آژانس امنیت سایبری و زیرساخت های امنیتی روز دوشنبه با صدور رهنمودهایی ، پنج مرحله را شرح داد كه شركتها در صورت داشتن سرورهای Microsoft Exchange باید آنها را بردارند.

  1. یک تصویر پزشکی قانونی از سیستم خود ایجاد کنید
  2. شاخص های سازش را بررسی کنید. مایکروسافت ابزاری را در GitHub برای کمک به شرکتها در انجام این کار به اشتراک گذاشته است.
  3. جدیدترین وصله های Microsoft را نصب کنید
  4. اگر نمی توانید وصله کنید ، دستورالعمل های تخفیف مایکروسافت را تا زمانی که می توانید دنبال کنید
  5. اگر متوجه شدید که به خطر افتاده اید ، طرح واکنش به حوادث خود را اجرا کنید. CISA نیز در آنجا راهنمایی هایی دارد.