▪️ در هفته جاری یک گروه هکری چینی به نام HAFNIUM برای هدف قرار دادن سازمان های مختلف آمریکا از چهار آسیب پذیری روز صفر در Microsoft Exchange برای دسترسی و سپس سرقت محتوای Mailbox کاربران استفاده کرده است. ضروریست مدیران شبکه گرامی سریعا تا قبل از نصب وصله ها پورت 443 Exchange را بر روی اینترنت محدود کرده و وصله های مربوطه را نصب نمایند.
🔗 اطلاعات کامل و توضیحات فنی این حملات در سایت مایکروسافت:
🔗 لیست نسخه های Exchange برای تشخیص جدیدترین آپدیت CU :
‼️ اگر طبق لیست فوق سرور شما آخرین CU را ندارد میتواند قابل نفوذ و آسیب پذیر باشد !!!
‼️ با توجه به تعداد زیاد آسیب پذیری های کشف شده در سال 2021 روی پورت 443 سرور Exchange اکیدا توصیه میشود این پورت و سرویس Webmail آن به صورت عمومی روی اینترنت باز نباشد و ترجیحا با IPWhitelist یا VPN محدود گردد !
‼️ طبق برخی اخبار منتشر شده 30.000 سازمان و شرکت آمریکایی به خاطر آسیب پذیری CVE-2021-26855 در اکسچنج هک شده اند. گزارش ها حاکی از هک شدن چندین شرکت و سازمان ایرانی هم به چشم میخورد. لابراتوآر ویروس شناسی کامیران نیز شواهدی بر این اساس را یافته است.
‼️ گزارش مرکز راهبردی افتای ریاست جهموری و مرکز ماهر نیز در این خصوص منتشر شد :
🔗 اطلاعات کامل و توضیحات فنی مرکز افتا
‼️ مایکروسافت روز سه شنبه 2 مارچ 2021 به روزرسانی های اضطراری برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند. این پچ ها برای اکسچنج های 2013 الی 2019 منتشر شده است.
▪️ لیست این آسیب پذیری ها بدین شرح است :
CVE-2021-26855 : آسیب پذیری جعل درخواست سمت سرور
CVE-2021-26857 : آسیب پذیری حیاتی در سرویس Unified Messaging
CVE-2021-26858 : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت
CVE-2021-27065 : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت
‼️ خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور SSRF است که منجر به دسترسی به سرور Microsoft Exchange شده و قابلیت سرقت محتوای کامل Mailbox میگردد. این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و صرفا با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.
‼️ نحوه استفاده از این آسیب پذیری ها توسط هکر : ارسال درخواست HTTP با روش POST حاوی پیلود XML SOAP توسط هکر به سمت API Exchange Web Services (EWS)، این درخواست SOAP که با استفاده از کوکی های خاص ساخته شده، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند و به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد. درمرحله بعدی هکر با نصب Web Shell دسترسی خود را برای نفوذ به شبکه داخلی حفظ مینماید.
بروزرسانی 19 اسفند 1399 : ‼️ اما وب شل های جدید تر این حملات حتی یک هفته پس از اعلام مایکروسافت تنها توسط تعداد محدودی آنتی ویروس قابل شناسائی است :
نمونه شناسائی وب شل های آلوده در یکی از شرکت های ایرانی :
‼️ برخی وب شل های این حملات توسط ESET , Kaspersky و Bitdefender با عناوین زیر شناسائی میشود :
ESET:
ASP/SecChecker.A
JS/Exploit.CVE-2021-26855.Webshell.A
JS/Exploit.CVE-2021-26855.Webshell.B
Kaspersky:
Trojan_ASP_Agent_bh
HEUR:Exploit.Script.CVE-2021-26855.a
Bitdefender:
Generic.SecChecker.A.7CFC55B3
‼️ از آنجایی که شروع این حملات با پورت 443 روی سرور Exchange آغاز میشود الزامیست مدیران شبکه گرامی تا اطمینان کامل از پچ شدن این آسیب پذیری ، پورت 443 را بر روی اینترنت بسته یا محدود به VPN نمایند.
📡 لینک دانلود پچ های Exchange مربوط به آسیب پذیری های اخیر گروه HAFNIUM:
راهنمای نصب : برای نصب Cumulative Update های جدید باید نسخه های قدیمی به ترتیب روی سرور نصب شود و در نهایت آخرین CU نصب گردد. این آپدیت ها نیاز به اجرای پاورشل دارند لذا در آنتی ویروس های ESET FileSecurity قبل از آپدیت موقتا سیستم HIPS Antiransomware را غیر فعال نمائید تا دسترسی PowerShell باز شود :
ابتدا از مسیر زیر Override policy را فعال کنید :
Setup— Advanced setup— Override Policy
سپس از مسیر زیر کلیه قوانین ضد باج افزاری HIPS را موقتا حذف یا غیر فعال نمائید تا دسترسی پاورشل روی سرور شما باز شود :
Setup — Advanced setup — Detection Engine — HIPS — Rules — Edit
پس از پایان نصب آپدیت ها گزینه End Override را در آنتی ویروس بزنید تا مجددا پالیسی های ضد باج افزاری HIPS در سرور اجرا شده و دسترسی پاورشل محدود گردد.
لیست نسخه های Exchange برای تشخیص جدیدترین آپدیت CU مخصوص Exchange :
چگونه Build number سرور اکسچنج را تشخیص دهیم ؟
در کنترل پنل سرور در بخش Programs and Features میتوان نسخه Cumulative Update نصب شده را مشاهده نمود و با لیست فوق مقایسه کرد . اگر Exchange شما آخرین CU را ندارد میتواند آسیب پذیر و قابل نفوذ باشد:
دانلود ابزار جدید مخصوص این آسیب پذیری ( انتشار 15 مارچ 2021 - 25 اسفند 1399) :
بروزرسانی 22 اسفند 1399 :
‼️ طبق اعلام مایکروسافت، همانطور که انتظار میرفت حملات گروه باج افزاری جدیدی با نام DearCry به داستان آسیب پذیری جدید Exchange اضافه شد. قربانیانی از آمریکا، کانادا، دانمارک، اتریش و استرالیا هم ظرف 48 ساعت گذشته گزارش شده است.
▪️ این حمله باج افزاری فایل های قربانی را با پسوند CRYPT و با الگوریتم AES-256 و RSA-2048 رمزنگاری میکند.
▪️ فایل های این گروه باج افزاری در این لحظه توسط حدود 35-40 نوع آنتی ویروس مختلف شناسائی میشود که لیست آنها در لینک های زیر در دسترس شماست. اما با توجه به اینکه آسیب پذیری کشف شده دسترسی Administrator را تقدیم هکر مینماید، غیر فعال کردن آنتی ویروس سرور کار غیر ممکنی برای هکر نخواهد بود !
🔗 https://www.site-shot.com/IPIlvIMxEeuf0wJCrBEABA
🔗 https://www.site-shot.com/PO-6zIMxEeubKgJCrBEABQ
🔗 https://www.site-shot.com/j7i41oM_Eeuk2gJCrBEABQ
‼️ این درحالی است که علی رغم هشدار های وسیع داده شده، بر اساس گزارش Shodan حداقل 800 سرور Exchange آسیب پذیر کماکان تا این لحظه در کشور آنلاین هستند !
بروزرسانی 26 اسفند 1399 :
‼️ محققین امنیتی ESET اعلام کردند علاوه بر گروه HAFNIUM ، حدود 10 گروه هکری دیگر حتی 4 روز قبل از ارائه وصله های امنیتی توسط مایکروسافت در حال هک کردن سرورهای اکسچنج و نصب وب شل ها بوده اند.
▪️ اطلاعات شبکه ابری شناسائی ویروس های ESET نشان میدهد گروه Tick از 28 فوریه ( 4 روز قبل از ارائه پچ های مایکروسافت ) شروع به هک سرورهای اکسچنج نموده اند و سپس سایر مهاجمان با حدود 10 گروه هکری به بیش از 5.000 سرور در 115 کشور نفوذ کرده و اقدام به ایجاد وب شل ها نموده اند.
▪️ آمار فوق از 28 فوریه تا 9 مارچ 2021 میباشد و فقط مربوط به سرورهایی است که آنتی ویروس های ESET بر روی آنها نصب بوده است.
▪️ نکته بسیار تامل بر انگیز در مورد هک Exchange اینست که این آسیب پذیری 2 ماه قبل در تاریخ 5 ژانویه 2021 توسط Orange Tsai و Volexity شناسائی و به مایکروسافت گزارش شده بود.
▪️ آنتی ویروس های ESET وب شل های این حملات را با عنوان JS/Exploit.CVE-2021-26855.Webshell شناسائی میکنند.
🔗 منبع کامل تحلیل حملات در سایت Welivesecurity
‼️ طبق بررسی های ESET تا کنون 23 نوع بدافزار و 17 دامنه/آی پی در حملات اخیر سرورهای Exchange در بیش از 115 کشور مورد استفاده هکرها قرار گرفته است که لیست آنها و وضعیت شناسائی توسط ESET در لینک زیر درج شده است :
🔗 https://github.com/eset/malware-ioc/tree/master/exchange_exploitation
‼️ نکته بسیار خطرناک در مورد این حملات این است که برخی وب شل های مورد استفاده هکرها تا 9 مارچ 2021 (10 روز بعد از شروع حملات) تنها توسط 4 نوع آنتی ویروس شناسائی میشد که لیست آنها بر اساس گزارش VirusTotal بدین شرح هستند :
🔗 https://www.site-shot.com/sGwBrIESEeu_JQJCrBEABQ
▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.
▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.
با تشكر
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________