انتشار شده در تاریخ 1401/07/11 - 09:03

دست‌وپنجه نرم کردن مایکروسافت با دو آسیب‌پذیری روز صفر جدید

مایکروسافت تأیید کرده است که دو آسیب‌پذیری روز صفر ماکروسافت اکسچنج سرور، توسط مجرمان سایبری مورد سوءاستفاده قرار گرفته‌اند.

به گزارش کارگروه امنیت سایبربان؛ شرکت امنیت سایبری ویتنامی GTSC که برای اولین بار این نقص‌ها را به‌عنوان بخشی از واکنش خود به حادثه امنیت سایبری مشتریان در اوت 2022 کشف کرده است، می‌گوید که از دو آسیب‌پذیری روز صفر در حملات به محیط‌های مشتریانش استفاده شده است که به اوایل اوت 2022 بازمی‌گردد.

مرکز پاسخگویی امنیتی مایکروسافت (MRSC) به‌تازگی در یک پست وبلاگی اعلام کرده است که این دو آسیب‌پذیری که با ‌عناوین CVE-2022-41040، یک آسیب‌پذیری جعل درخواست از طرف سرور (SSRF) و دیگری نیز با نام CVE-2022-41082، شناسایی شده‌اند و مورد دومی نیز اجرای کد از راه دور بر روی سرور آسیب‌پذیر را در زمانی که پاورشل (PowerShell) در دسترس مهاجم باشد اجازه می‌دهد.

این غول فناوری تأیید کرده است که در حال حاضر، مایکروسافت از حملات هدفمند محدودی با استفاده از این دو آسیب‌پذیری برای ورود به سیستم‌های کاربران آگاه است.

مایکروسافت خاطرنشان می‌کند که یک مهاجم برای بهره‌برداری موفقیت‌آمیز از هر یک از این دو آسیب‌پذیری که بر روی سرورهای ماکروسافت اکسچنج 2013، 2016 و 2019 تأثیر می‌گذارند، به دسترسی تأییدشده به سرور آسیب‌پذیر اکسچنج، مانند اعتبارنامه‌های سرقت شده، نیاز دارد.

مایکروسافت جزئیات بیشتری در مورد این حملات به اشتراک نگذاشته است. شرکت امنیتی ترند میکرو (Trend Micro) به این دو آسیب‌پذیری امتیازات 8.8 و 6.3 از 10 داده است.

بااین‌حال، شرکت GTSC گزارش می‌دهد که مجرمان سایبری این دو آسیب‌پذیری را برای ایجاد درهای پشتی روی سیستم قربانی و همچنین حرکت جانبی از طریق شبکه آسیب‌دیده، در اختیار گرفته‌اند. به گفته این شرکت مهاجمان پس از تسلط موفقیت‌آمیز بر این رفتار، به ضبط حملاتی که برای جمع‌آوری اطلاعات و ایجاد رد پایی در سیستم قربانی انجام شده بودند، پرداخته‌اند.

شرکت GTSC در ادامه می‌افزاید که احتمال دارد یک گروه چینی مسئول حملات جاری باشد؛ زیرا صفحه کد وب پوسته از رمزگذاری کاراکتر برای چینی ساده‌شده استفاده می‌کند. مهاجمان همچنین پوسته وب چاینا چاپر (China Chopper) را در حملات برای دسترسی از راه دور دائمی به کار گرفته‌اند؛ پوسته‌ای که یک درب پشتی است که معمولاً توسط گروه‌های هکر تحت حمایت دولت چین استفاده می‌شود.

مایکروسافت از اعلام زمان در دسترس قرار گرفتن وصله‌ها خودداری کرده است، اما در پست وبلاگ خود اشاره کرده که اصلاحات آتی، در دستور کار قرار گرفته‌اند.

تا آن زمان، این شرکت توصیه می‌کند که مشتریان از اقدامات کاهش موقت مشترک GTSC پیروی کنند که شامل اضافه کردن یک قانون مسدود کردن در IIS Manager است. این شرکت خاطرنشان کرد که مشتریان اکسچنج آنلاین (Exchange Online) در حال حاضر نیازی به انجام هیچ اقدامی ندارند؛ زیرا روزهای صفر فقط بر سرورهای اکسچنج پیش‌فرض تأثیر خواهند گذاشت.