سیستم افشای حفره‌های امنیتی مایکروسافت اصلاح می‌شود

 
مایکروسافت پس از درز اطلاعاتی که به حملات سایبری علیه هزاران مشتری نرم افزار اکسچنج این شرکت در سراسر جهان منتهی شد، در حال بازبینی برنامه اشتراک گذاری حفره‌های کدنویسی در محصولاتش با شرکت‌های دیگر است.
 
 بلومبرگ به نقل از شش منبع آگاه نوشت: این غول نرم افزاری در حال بررسی چگونگی و زمان اشتراک گذاری اطلاعات با دستکم ۸۱ مشارکت کننده در برنامه حمایتهای فعال مایکروسافت است.
 
برنامه حمایتهای فعال مایکروسافت به بعضی از مشتریان درباره آسیب پذیریهای موجود در محصولات مایکروسافت روزها یا هفته ها پیش از افشای عمومی آنها اطلاع  می‌دهد و این اطلاعات برای دفاع در برابر حملات احتمالی بسیار مهم قلمداد  می‌شوند.
 
با این حال چهار منبع آگاه از تحقیقات مایکروسافت درباره حمله به سرورهای متکی به نرم افزار اکسچنج  می‌گویند مایکروسافت از این واهمه دارد که مشارکت کنندگان در برنامه حمایتهای فعال درباره آسیب پذیری اکسچنج به هکرها اطلاع داده باشند. مایکروسافت به روزرسانی نرم افزاری برای ترمیم حفره‌های امنیتی این نرم افزار را در دوم مارس منتشر کرده بود.
 
به گفته منابع آگاه، تحقیقات مایکروسافت به دو شرکت چینی به عنوان منابع احتمالی درز اطلاعات متمرکز شده است.
 
افشای آسیب پذیری نرم افزار مایکروسافت در اواخر فوریه پس از وقوع یکی از گسترده ترین حملات سایبری در تاریخ صورت گرفت. مایکروسافت هکرهای چینی تحت حمایت دولت را که هافنیوم نام گرفته بودند، عامل این حمله خواند. در جریان این حمله سایبری بیش از ۶۰ هزار سیستم ایمیل دولتی و خصوصی در سراسر جهان هدف قرار گرفتند و عمده حملات طی آخرین تعطیلات هفتگی فوریه انجام شد.
 
با این حال وزارت امور خارجه چین در پاسخ به درخواست اظهارنظر بلومبرگ نیوز، اعلام کرد چین با هر شکلی از حملات یا نفوذ آنلاین مخالف است. قوانین چینی درباره جمع آوری اطلاعات و کنترل آنها به شکل روشنی از امنیت اطلاعات حمایت کرده و با حملات سایبری و سایر فعالیتهای مجرمانه مخالف است.
 
پیش از این که برنامه حمایتهای فعال مایکروسافت ایجاد شود، هکرها و محققان امنیتی منتظر انتشار وصله های امنیتی مایکروسافت در دومین سه شنبه هر ماه می شدند. سپس این دو گروه به تلاش برای مهندسی معکوس وصله ها می پرداختند تا ریشه آسیب پذیری را شناسایی کنند. سپس هکرها به بهره برداری از حفره‌های امنیتی و محققان به تلاش برای دفاع از آنها مشغول می شدند.
 
برنامه وصله سه شنبه هنوز وجود دارد. برنامه حمایتهای فعال مایکروسافت در سال ۲۰۰۸ آغاز به کار کرد تا به بعضی از بزرگترین مشتریان مایکروسافت اجازه دهد در این زمینه از خلافکاران سایبری جلوتر باشند.
 
دستکم ۱۳ شرکت چینی در این برنامه حضور داشتند که دو شرکت از میان آنها حذف شدند. شرکت هانگژو دی پی تک تکنولوژیز در سال ۲۰۱۲ به دلیل نقض توافق عدم افشا از این برنامه حذف شد. یک محقق امنیت سایبری دریافت که هانگژو مدارک یک آسیب پذیری حساس در یک محصول مایکروسافت را به هکرهای چینی لو داده است. شرکت کیهو ۳۶۰ تکنولوژی هم پس از این که سال گذشته به دلیل نگرانیهای امنیت ملی هدف کنترلهای صادراتی آمریکا قرار گرفت، از برنامه مایکروسافت حذف شد.
 
بر اساس گزارش بلومبرگ، مایکروسافت بعید است با وجود درز اطلاعات آسیب پذیری اکسچنج، اعضای چینی در برنامه حمایتهای فعال مایکروسافت را حذف کند اما این شرکت ممکن است میزان اطلاعاتی که با اعضای این برنامه در چین به اشتراک می گذارد را محدود کند.
 

تمامی نسخه‌های Exchange باید به روزرسانی شوند

 مرکز مدیریت راهبردی افتا با همکاری شرکت رها (راهکار هوشمند امن) به تولید ابزاری برای شناسایی آسیب ‌پذیری با شناسه CVE-2020-0688 و شواهد نفوذ مربوط، اقدام کرده است.
 بهره‌جویی از آسیب‌ پذیری مذکور، مهاجم را قادر می‌سازد تا کد مورد نظر خود را از راه دور با سطح دسترسی SYSTEM روی سرور اجرا کند.  نسخه اول ابزار آشکارساز آسیب‌پذیری، بر اساس رفتار دیده شده در اکثر سامانه‌هایی که مهاجمین به آنها نفوذ کرده‌اند، ایجاد شده است .
 
مرکز افتا برای انتقال و اشتراک دانش میان کارشناسان این حوزه، کد منبع آشکارساز  را منتشر کرده است. با توجه به اهمیت موضوع، مرکز افتا همچنین از کارشناسان و تحلیل‌گران مراکز عملیات امنیت زیرساخت‌های کشور خواسته‌اند تا  برای بهبود عملکرد ابزار معرفی شده این مرکز ، پیشنهادات خود را با را عنوان: CVE-2020-0688 به ایمیل  [email protected] ارسال کنند.
 
آسیب‌پذیری با شناسه CVE-2020-0688 مربوط به سرویس Exchange شرکت مایکروسافت است که در 22 بهمن 98، به عنوان یک آسیب‌پذیری بسیار خطرناک معرفی و کد سوء‌استفاده از این آسیب‌پذیری ‌نیز در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد.
 
تمامی نسخه‌های Exchange  که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر بوده و باید بلافاصله به‌روزرسانی شوند.
 
 نسخ از رده خارجی که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به CVE-2020-0688 آسیب‌پذیر هستند. اگر چه در توصیه‌نامه این شرکت صریحاً از آنها نام برده نشده است. این آسیب‌پذیری که Exchange Control Panel  (به اختصار ECP) از آن تأثیر می‌پذیرد از عدم توانایی Exchange  در ایجاد کلیدهای رمزگاری منحصربه‌فرد در زمان نصب محصول ناشی می‌شود.
 
هر مهاجم خارجی که موفق به دستیابی به اطلاعات اصالت‌سنجی حداقل یکی از کاربران سازمان شود، امکان بهره‌جویی از این آسیب‌پذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
 
کارشناسان معاونت پایش مرکز مدیریت راهبردی افتای ریاست جمهوری با بررسی تکنیک های استفاده شده در این مجموعه از حملات سایبری، اعلام کرده‌اند که استفاده از روش های تشخیص مبتنی بر امضا، به هیچ عنوان نمی توانند راهکاری برای تشخیص اینگونه حملات باشند و بر وجود تحلیل گر خبره در مراکز عملیات امنیت و استفاده از ابزار تشخیصی مبتنی بر رفتار، تاکید و آن را لازمه  تشخیص اینگونه حملات، اعلام کرده‌اند.
 
با توجه به اینکه در مواردی دیده شده که بروزرسانی سرور Exchange بعد از نفوذ مهاجمین شکل گرفته است، این احتمال وجود دارد که همچنان دسترسی مهاجمین حتی بعد از بروزرسانی برقرار باشد. همچنین این احتمال وجود دارد که مهاجم با گسترش دسترسی خود به قسمت های دیگر شبکه ی قربانی، وب شل و یا سایر ابزار مخرب اولیه خود را از روی سرور Exchange پاک کرده باشد.
 
مرکز افتا از کارشناسان و تحلیل‌گران مراکز عملیات امنیت زیرساخت‌های کشور خواسته است، برای دریافت جزییات بیشتر همچون نحوه سوءاستفاده مهاجمین، به دو اطلاعیه‌ قبلی این مرکز که در (https://www.afta.gov.ir/Portal/home/) منتشر شده است، مراجعه کنند.
 

هشدار مرکز افتا درباره آسیب‌پذیری خطرناک سرویس مایکروسافت

مرکز افتا نسبت به سوءاستفاده گسترده از آسیب‌پذیری سرویس مایکروسافت Exchange هشدار داد و از سازمان ها خواست سرورهای خود را به روزرسانی کنند.
 
به گزارش مرکز مدیریت راهبردی افتا، هر مهاجم سایبری با استفاده از آسیب پذیری سرویس Microsoft Exchange که موفق به هک دستگاه یا دستیابی به اطلاعات اصالت‌سنجی حداقل یکی از کاربران هر سازمانی شود، امکان در اختیار گرفتن کنترل سرور Exchange آن سازمان را خواهد داشت.
 
این آسیب‌پذیری که Exchange Control Panel از آن تأثیر می‌پذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزنگاری منحصربه‌فرد در زمان نصب محصول ناشی می‌شود. بهره‌جویی (Exploit) از آسیب‌پذیری مذکور، مهاجم را قادر می‌سازد تا کد مورد نظر خود را «به‌صورت از راه دور» با سطح دسترسی SYSTEM روی سرور اجرا کند.
 
شرکت مایکروسافت، آسیب پذیری سرویس Microsoft Exchange را با شناسه CVE-۲۰۲۰-۰۶۸۸ ، به عنوان یک آسیب‌پذیری بسیار خطرناک معرفی کرده است.
 
هشدارهای سوء‌استفاده از این آسیب‌پذیری ‌در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد و شرکت مایکروسافت نیز اصلاحیه امنیتی مربوط به آن را بلافاصله منتشر کرد.
 
تمامی نسخه‌های Exchange  که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.
 
نسخ از رده خارج شده Exchange که پشتیبانی مایکروسافت از آنها به پایان رسیده است، نیز نسبت به CVE-۲۰۲۰-۰۶۸۸ آسیب‌پذیر هستند. اگر چه در توصیه‌نامه این شرکت صریحاً از آنها نام برده نشده است.
 
مرکز افتا تاکید کرد: متأسفانه با وجود اطلاع رسانی‌های متعدد صورت پذیرفته، نشانه‌هایی از آسیب‌پذیری و آلودگی سرورهای مختلفی در سطح کشور وجود دارد. در موارد دیده شده، بردار حمله مهاجمین به طور خلاصه به صورت زیر بوده است:
 
•    پویش سرورهای Exchange موجود در بستر اینترنت
•    تلاش برای یافتن نام کاربری و رمز عبور یکی از کاربران (به عنوان مثال از طریق Brute-Force)
•    نفوذ به سازمان و بارگذاری چندین وب شل در مسیرهای مختلف از Exchange
•    ارسال دستوراتی همچون  net group domain admins  و net group Exchange Trusted Subsystem به وب شل برای یافتن کاربران دارای سطح دسترسی بالا در سطح Local و Domain
•    بارگذاری سایرفایل‌های مخرب همچون Mimikatz بصورت یک پاورشل رمز شده
•    دریافت اطلاعات کاربری کلیه کاربرانی که به سرور وارد می‌شوند (به وسیله Mimikatz)
•    نفوذ به شبکه داخلی و سایر سرورهای سازمان
 
با توجه به موارد بیان شده، مرکز مدیریت راهبردی افتا از تمامی دستگاه‌ها درخواست می‌کند، هر چه سریعتر سرورهای Exchange خود را به‌روز رسانی و از عدم وجود آلودگی روی این سرورها اطمینان حاصل کنند.
 
کارشناسان افتا از همه دستگاه‌ها درخواست می‌کنند تا برای به‌روزرسانی سرورهای Exchange این سرورها و تمامی فایل‎های قابل اجرا روی وب سرور را به طور دقیق  بررسی کنند، این بررسی بسته به تنظیمات وب سرور شامل فایل‌هایی با پسوند  (aspx,asp,php,ps,ps۱  py,…)  نیز می‌شود.
 
در گام بعدی ه بویژه در صورت وجود شواهد نفوذ، بدون اعمال هرگونه تغییری در شواهد (به منظور انجام عملیات فارنزیک)، سرور مربوط را از شبکه خارج کرده و یک سرور جدید Exchange با استفاده از آخرین نسخه ارائه شده مایکروسافت، راه‎اندازی کنید.
 
درصورتی که نیازمند برگرداندن فایل‌های پشتیبان خود هستید، این نکته را در نظر داشته باشید که شروع فعالیت مهاجمین دقیقا بعد از انتشار اخبار آسیب‌پذیری مربوطه بوده است، بنابراین بهتر است که از فایل‌های پشتیبان سالمِ قبل از ۲۲ بهمن ۹۸ استفاده کنید.
 
لازم است تا دستگاه‌های اجرایی، در مرحله بعد، نام‌کاربری و رمزعبور تمامی کاربران به خصوص کاربران با دسترسی بالا را، روی سرور و شبکه تغییر دهند و سیاست‌های سختگیرانه‌ای مبنی بر انتخاب رمزعبور اتخاذ کنند.
 
دو اطلاع رسانی پیشین مرکز مدیریت راهبردی افتا از آسیب پذیری سرویس Microsoft Exchange با امکان دریافت جزییات بیشتر همچون نحوه سوءاستفاده مهاجمین از این آسیب پذیری، در دو لینک https://b۲n.ir/۱۱۹۸۲۴ و https://b۲n.ir/۴۵۲۶۷۴ قابل مشاهده است.