یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در | 👁 امنیت سایبری
یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است. مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.
جزئیات فنی کاملتر به شرح ذیل میباشد: 1- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد. این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و صرفا با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد. نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ، با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ، به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.
2- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.
3- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند
4- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.
جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس (لیست پروسس ها/ هش وب شل ها/نام وب شل های مورد استفاده و...) میتوان از لینک زیر استفاده نمود.
