فحص أكثر تكرارا لـ Microsoft Exchange مع وجود ثغرات أمنية غير مصححة في ProxyShell

 يسمح الاستغلال التراكمي لـ ProxyShell لمهاجم بعيد غير مصرح له بتنفيذ تعليمات برمجية على خادم ضعيف.

يقوم مجرمو الإنترنت بفحص الإنترنت بشكل نشط بحثًا عن عمليات التثبيت المتاحة لـ Microsoft Exchange مع وجود ثغرات أمنية غير مسبوقة في ProxyShell. بدأت بالاشعة بعد تفاصيل جديدة عن نقاط الضعف قدمت الأسبوع الماضي في مؤتمر القبعة السوداء في لاس فيغاس.

ProxyShell هو الاسم الشائع لثلاث نقاط ضعف في Microsoft Exchange والتي ، عند دمجها ، تسمح لمهاجم بعيد غير مصرح له بتنفيذ تعليمات برمجية عشوائية على خادم ضعيف. وفقًا للباحثين ، يحاول المهاجمون حاليًا استغلال ProxyShell عن بُعد من خلال خدمة وصول العميل (CAS) التي تعمل على المنفذ 443 في خدمات معلومات الإنترنت (IIS).

هذه هي نقاط الضعف التالية:
CVE-2021-34473 - قائمة التحكم في الوصول (تجاوز ACL). تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-34523 - تصعيد الامتياز في Exchange PowerShell Backend. تم إصلاحه في أبريل 2021 في التحديث KB5001779 ؛
CVE-2021-31207 - تنفيذ التعليمات البرمجية عن بُعد. ثابت في مايو 2021 في تحديث KB5003435.

تم الكشف عن الثغرات الأمنية CVE-2021-34473 و CVE-2021-34523 في يوليو ، على الرغم من إصلاحها في أبريل. تم اكتشافها من قبل كبير الباحثين الأمنيين في شركة أمن المعلومات Devcore Orange Tsai ، التي حصل فريقها على جائزة بقيمة 200000 دولار لاستخدامها في مسابقة Pwn2Own للقراصنة في عام 2021 في أبريل.

تحدث تساي عن نقاط الضعف في Microsoft Exchange التي تم اكتشافها أثناء الهجمات التجريبية على Microsoft Exchange Client Access Service (CAS) في مؤتمر Black Hat في لاس فيجاس الأسبوع الماضي. كما أوضح الباحث ، استهدف أحد مكونات سلسلة هجوم ProxyShell خدمة Microsoft Exchange Autodiscover.

يسمح الاكتشاف التلقائي لعميل البريد الإلكتروني بتكوين التكوين الخاص به تلقائيًا مع الحد الأدنى من تفاعل المستخدم.

وفقا ل باحث الأمن كيفن بومونت، استطاع أن مجرمي الإنترنت "الصيد" محاولة لمهاجمة الكشف التلقائي في مصائد مخترقي الشبكات عبر له. على الرغم من أن محاولاتهم لم تنجح في البداية ، إلا أنه في اليوم الآخر ، بعد أن قدمت تساي معلومات إضافية حول نقاط الضعف ، قام المهاجمون بتغيير عملية المسح وبدأوا في استخدام عنوان URL الخاص بالاكتشاف التلقائي الذي نشره الباحث. هذا يسمح لهم بتحديد الأنظمة الضعيفة بنجاح.

لتجنب الهجمات المحتملة ، يُنصح مسؤولو Microsoft Exchange بتثبيت آخر التحديثات التراكمية. وفقًا لـ Tsai ، يتوفر حاليًا 400000 خادم Microsoft Exchange عبر الإنترنت. اتصلت بومونت بشركة Microsoft وأبلغتها بعمليات الفحص المكتشفة ، لكنها لم تتلق أي رد حتى الآن.