مرکز آپا دانشگاه کردستان

حمله هکرها به سرورهای Exchange با بهره‌برداری از آسیب‌پذیری‌های ProxyShell و ProxyLogon برای انتشار بدافزار

در هفته‌های اخیر هکرها سرورهای Microsoft Exchange را با استفاده از توزیع بدافزار مورد هدف قرار داده‌اند. این آسیب‌پذیری‌ها به هکرها اجازه می‌دهد تا با ارسال ایمیل‌هایی با پیوست‌های بدافزار یا پیام‌هایی حاوی لینک‌های مخرب به کارمندان ارسال کنند. این کار با بهره‌برداری از آسیب‌پذیری‌های Exchange، با نام ProxyShell و ProxyLogon انجام شده است. عوامل تهدید از تعدادی تکنیک و روش های مختلف برای گمراه کردن کاربر برای باز کردن ایمیل و کلیک کردن بر روی پیوست مخرب استفاده می کنند. این روش‌ها می‌تواند جعل یک فرستنده قانونی باشد، یا از یک ایمیل ساختگی استفاده کنند که به نظر می‌رسد از یک شرکت غیر معتبر ارسال شده است. محققان TrendMicro یک نقص برای سوءاستفاده از سرورهای مایکروسافت Exchange به خطر افتاده برای توزیع ایمیل های مخرب بین کاربران داخلی یک شرکت کشف کرده اند. همه اینها با ارسال یک ایمیل آلوده به قربانی و سپس ارسال آن به تمام مخاطبین قربانی انجام می شود. به نظر می‌رسد ایمیل‌ها از حساب خود قربانی ارسال می‌شوند و موضوع مانند یک ایمیل معمولی در نظر گرفته می‌شود. اعتقاد بر این است که هکرهای پشت این حمله از گروه TA هستند، این یک گروه هکری معروف است که ایمیل‌هایی را با پیوست‌های مخرب توزیع می‌کند. این گروه در گذشته با استفاده از فرمت‌های فایل زیر در ایمیل های خود کمپین‌های متعدد توزیع بدافزار داشته‌اند: Microsoft Office Files (.doc, .xls, .ppt) Rich Text Format (.rtf) Portable Document Format (.pdf) Single File Web Page (.mht) Compiled HTML (.chm) Compiled Help File (.chm or .hlp) Shell Executable files (.exe, .com, or .bat) مراحل انجام ارسال ایمیل مخرب در این حملات آسیب پذیری هایی که مورد سوء استفاده قرار می گیرند عبارتند از: CVE-2021-34473: The pre-auth path confusion CVE-2021-34523: Exchange PowerShell backend elevation-of- privilege CVE-2021-26855: The pre-authentication proxy vulnerability توصیه شرکت مایکروسافت به کاربران خود این بوده است که سرورهای Exchange خود را همیشه به روزرسانی کنید. تهیه و تدوین: پدارم قاسمی