شركت كاميران نمایندگی ESET | Kaspersky | Bitdefender - کشف 4 آسیب پذیری در اکسچنج
 
 

 
منوی اصلی
 




 

گواهینامه های کامیران









مرکز ارتباط کامیران

مرکز تماس کامیران :
شبانه روزی

47251 - 021
44007217 - 021
( 40 خط ويژه )

موارد اضطراری امور مشتریان
09302700800


کانال تلگرام کامیران:
KAMIRANChannel@

ارتباط از طریق پیامرسانها:
تلگرام فروش: @KAMIRANco
WhatsApp : 09302700800

  Telegram Support:
@KAMIRANSupport
Whatsapp Support:
09332050007

کامیران در سایر پیامرسانها:
(سروش ، گپ ، بیسفون و ... )
KAMIRAN SocialMedia

سامانه پیامکی:
02147251

Skype : KAMIRAN.Asia
Gmail : KAMIRAN.Asia

 

 


رادار ویروس ها


اطلاعات آخرین آپدیت ها
و لیست ویروس های جدید
از لابراتوار های ESET


اطلاعات شناسائی لحظه ای
از لابراتوآر Kaspersky
 
 

کشف 4 آسیب پذیری در اکسچنج
اخبار ويروس هاي جديد

کشف 4 آسیب پذیری روز صفر حیاتی در Microsoft Exchange !!!

در هفته جاری یک گروه هکری چینی به نام HAFNIUM برای هدف قرار دادن سازمان های مختلف آمریکا از چهار آسیب پذیری روز صفر در Microsoft Exchange  برای دسترسی و سپس سرقت محتوای Mailbox کاربران استفاده کرده است. ضروریست مدیران شبکه گرامی سریعا تا قبل از نصب وصله ها پورت 443 Exchange را بر روی اینترنت محدود کرده و وصله های مربوطه را نصب نمایند.
براي اطلاعات بيشتر  بر روي ادامه خبر كليك نمائيد.






▪️ در هفته جاری یک گروه هکری چینی به نام HAFNIUM برای هدف قرار دادن سازمان های مختلف آمریکا از چهار آسیب پذیری روز صفر در Microsoft Exchange  برای دسترسی و سپس سرقت محتوای Mailbox کاربران استفاده کرده است. ضروریست مدیران شبکه گرامی سریعا تا قبل از نصب وصله ها پورت 443 Exchange را بر روی اینترنت محدود کرده و وصله های مربوطه را نصب نمایند.



🔗 اطلاعات کامل و توضیحات فنی این حملات در سایت مایکروسافت:



🔗 لیست نسخه های Exchange برای تشخیص جدیدترین آپدیت CU :


‼️ اگر طبق لیست فوق سرور شما آخرین CU را ندارد میتواند قابل نفوذ و آسیب پذیر باشد !!!

‼️ با توجه به تعداد زیاد آسیب پذیری های کشف شده در سال 2021 روی پورت 443 سرور Exchange اکیدا توصیه میشود این پورت و سرویس Webmail آن به صورت عمومی روی اینترنت باز نباشد و ترجیحا با IPWhitelist یا VPN محدود گردد !


‼️ طبق برخی اخبار منتشر شده 30.000 سازمان و شرکت آمریکایی به خاطر آسیب پذیری CVE-2021-26855 در اکسچنج هک شده اند. گزارش ها حاکی از هک شدن چندین شرکت و سازمان ایرانی هم به چشم میخورد. لابراتوآر ویروس شناسی کامیران نیز شواهدی بر این اساس را یافته است.

‼️ گزارش مرکز راهبردی افتای ریاست جهموری و مرکز ماهر نیز در این خصوص منتشر شد :

🔗 اطلاعات کامل و توضیحات فنی مرکز افتا



‼️ مایکروسافت روز سه شنبه 2 مارچ 2021 به روزرسانی های اضطراری برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند. این پچ ها برای اکسچنج های 2013 الی 2019 منتشر شده است.

▪️ لیست این آسیب پذیری ها بدین شرح است :

CVE-2021-26855 : آسیب پذیری جعل درخواست سمت سرور
CVE-2021-26857 : آسیب پذیری حیاتی در سرویس Unified Messaging
CVE-2021-26858 : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت
CVE-2021-27065 : آسیب پذیری ایجاد یک فایل دلخواه پس از احراز هویت

‼️ خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور SSRF است که منجر به دسترسی به سرور Microsoft Exchange شده و قابلیت سرقت محتوای کامل   Mailbox میگردد. این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و صرفا با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.

‼️ نحوه استفاده از این آسیب پذیری ها توسط هکر : ارسال درخواست HTTP با روش POST حاوی پیلود XML SOAP توسط هکر به سمت API Exchange Web Services (EWS)، این درخواست SOAP که با استفاده از کوکی های خاص ساخته شده، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند و به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد. درمرحله بعدی هکر با نصب Web Shell دسترسی خود را برای نفوذ به شبکه داخلی حفظ مینماید.

‼️ در حال حاضر (در زمان درج این خبر ) وب شل اصلی حملات گروه HAFNIUM توسط 24 نوع آنتی ویروس (از مجموع 60 آنتی ویروس موجود) شناسائی میشود که لیست آنها بر اساس گزارش VirusTotal بدین شرح است:

🔗 https://www.site-shot.com/XZ353n3fEeuhjgJCrBEABQ

بروزرسانی 19 اسفند 1399 : ‼️ اما وب شل های جدید تر این حملات حتی یک هفته پس از اعلام مایکروسافت تنها توسط تعداد محدودی آنتی ویروس قابل شناسائی است :



نمونه شناسائی وب شل های آلوده در یکی از شرکت های ایرانی :










▪️ اگر آنتی ویروس سرور اکسچنج شما هنوز وب شل ها و حملات مشابه را شناسائی نکرده است میتوانید با این ابزار بررسی نمائید که گروه HAFNIUM به Exchange شما نفوذ کرده اند یا خیر ؟

🔗 https://github.com/microsoft/CSS-Exchange/tree/main/Security

🔗 توضیحات بیشتر در سایت WeLiveSecurity

 
‼️ برخی وب شل های این حملات توسط ESET , Kaspersky و Bitdefender با عناوین زیر شناسائی میشود :

ESET:
ASP/SecChecker.A
JS/Exploit.CVE-2021-26855.Webshell.A
JS/Exploit.CVE-2021-26855.Webshell.B

Kaspersky:
Trojan_ASP_Agent_bh
HEUR:Exploit.Script.CVE-2021-26855.a

Bitdefender:
Generic.SecChecker.A.7CFC55B3


‼️ از آنجایی که شروع این حملات با پورت 443 روی سرور Exchange آغاز میشود الزامیست مدیران شبکه گرامی تا اطمینان کامل از پچ شدن این آسیب پذیری ، پورت 443 را بر روی اینترنت بسته یا محدود به VPN نمایند.


📡 لینک دانلود پچ های Exchange مربوط به آسیب پذیری های اخیر گروه HAFNIUM:

راهنمای نصب : برای نصب Cumulative Update های جدید باید نسخه های قدیمی به ترتیب روی سرور نصب شود و در نهایت آخرین CU نصب گردد. این آپدیت ها نیاز به اجرای پاورشل دارند لذا در آنتی ویروس های ESET FileSecurity قبل از آپدیت موقتا سیستم HIPS Antiransomware را غیر فعال نمائید تا دسترسی PowerShell باز شود :

ابتدا از مسیر زیر Override policy را فعال کنید :
Setup— Advanced setup— Override Policy
سپس از مسیر زیر کلیه قوانین ضد باج افزاری HIPS را موقتا حذف یا غیر فعال نمائید تا دسترسی پاورشل روی سرور شما باز شود :
Setup — Advanced setup  — Detection Engine — HIPS — Rules — Edit
پس از پایان نصب آپدیت ها گزینه End Override را در آنتی ویروس بزنید تا مجددا پالیسی های ضد باج افزاری HIPS در سرور اجرا شده و دسترسی پاورشل محدود گردد.


لیست نسخه های Exchange برای تشخیص جدیدترین آپدیت CU مخصوص Exchange :



چگونه Build number سرور اکسچنج را تشخیص دهیم ؟

در کنترل پنل سرور در بخش Programs and Features  میتوان نسخه Cumulative Update نصب شده را مشاهده نمود و با لیست فوق مقایسه کرد . اگر Exchange شما آخرین CU را ندارد میتواند آسیب پذیر و قابل نفوذ باشد:




دانلود ابزار جدید مخصوص این آسیب پذیری ( انتشار 15 مارچ 2021 - 25 اسفند 1399) :



بروزرسانی 22 اسفند 1399 :

‼️ طبق اعلام مایکروسافت، همانطور که انتظار میرفت حملات گروه باج افزاری جدیدی با نام DearCry به داستان آسیب پذیری جدید Exchange اضافه شد. قربانیانی از آمریکا، کانادا، دانمارک، اتریش و استرالیا هم ظرف 48 ساعت گذشته گزارش شده است.

▪️ این حمله باج افزاری فایل های قربانی را با پسوند CRYPT و با الگوریتم AES-256 و RSA-2048 رمزنگاری میکند.

▪️ فایل های این گروه باج افزاری در این لحظه توسط حدود 35-40 نوع آنتی ویروس مختلف شناسائی میشود که لیست آنها در لینک های زیر در دسترس شماست. اما با توجه به اینکه آسیب پذیری کشف شده دسترسی Administrator را تقدیم هکر مینماید، غیر فعال کردن آنتی ویروس سرور کار غیر ممکنی برای هکر نخواهد بود !

🔗 https://www.site-shot.com/IPIlvIMxEeuf0wJCrBEABA

🔗 https://www.site-shot.com/PO-6zIMxEeubKgJCrBEABQ

🔗 https://www.site-shot.com/j7i41oM_Eeuk2gJCrBEABQ

‼️ این درحالی است که علی رغم هشدار های وسیع داده شده، بر اساس گزارش Shodan حداقل 800 سرور Exchange آسیب پذیر کماکان تا این لحظه در کشور آنلاین هستند !






بروزرسانی 26 اسفند 1399 :

‼️ محققین امنیتی ESET اعلام کردند علاوه بر گروه HAFNIUM ، حدود 10 گروه هکری دیگر حتی 4 روز قبل از ارائه وصله های امنیتی توسط مایکروسافت در حال هک کردن سرورهای اکسچنج و نصب وب شل ها بوده اند.

▪️ اطلاعات شبکه ابری شناسائی ویروس های ESET نشان میدهد گروه Tick از 28 فوریه ( 4 روز قبل از ارائه پچ های مایکروسافت ) شروع به هک سرورهای اکسچنج نموده اند و سپس سایر مهاجمان با حدود 10 گروه هکری به بیش از 5.000 سرور در 115 کشور نفوذ کرده و اقدام به ایجاد وب شل ها نموده اند.

▪️ آمار فوق از 28 فوریه تا 9 مارچ 2021 میباشد و فقط مربوط به سرورهایی است که آنتی ویروس های ESET بر روی آنها نصب بوده است.

▪️ نکته بسیار تامل بر انگیز در مورد هک Exchange اینست که این آسیب پذیری 2 ماه قبل در تاریخ 5 ژانویه 2021 توسط Orange Tsai و Volexity شناسائی و به مایکروسافت گزارش شده بود.

▪️ آنتی ویروس های ESET وب شل های این حملات را با عنوان JS/Exploit.CVE-2021-26855.Webshell شناسائی میکنند.

🔗 منبع کامل تحلیل حملات در سایت Welivesecurity


‼️ طبق بررسی های ESET تا کنون 23 نوع بدافزار و 17 دامنه/آی پی در حملات اخیر سرورهای Exchange در بیش از 115 کشور مورد استفاده هکرها قرار گرفته است که لیست آنها و وضعیت شناسائی توسط ESET در لینک زیر درج شده است :

🔗 https://github.com/eset/malware-ioc/tree/master/exchange_exploitation

‼️ نکته بسیار خطرناک در مورد این حملات این است که برخی وب شل های مورد استفاده هکرها تا 9 مارچ 2021 (10 روز بعد از شروع حملات) تنها توسط 4 نوع آنتی ویروس شناسائی میشد که لیست آنها بر اساس گزارش VirusTotal بدین شرح هستند :

🔗 https://www.site-shot.com/sGwBrIESEeu_JQJCrBEABQ



▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.

 
▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.


با تشكر
 
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________





کلمات کليدي : کشف آسیب پذیری در اکسچنج Exchange

ارسال شده در مورخه : شنبه، 16 اسفند ماه ، 1399 توسط administrator  چاپ مطلب

 

مرتبط با موضوع :

 آسیب پذیری روز صفر CVE-2021-40444  [يكشنبه، 21 شهريور ماه ، 1400]
 آنالیز فنی حمله راه آهن و وزارت راه  [سه شنبه، 12 مرداد ماه ، 1400]
 آسیب پذیری روز صفر حیاتی PrintNightmare  [جمعه، 18 تير ماه ، 1400]
 آسیب پذیری 17 ساله Windows DNS Server  [چهارشنبه، 25 تير ماه ، 1399]
 آسیب پذیری بحرانی SMBGhost  [سه شنبه، 3 تير ماه ، 1399]
 حملات گروه هکری APT27  [شنبه، 10 اسفند ماه ، 1398]
 آسیب پذیری حیاتی در Citrix  [دوشنبه، 23 دي ماه ، 1398]
 شکار ویروس روز صفر Vools  [چهارشنبه، 29 اسفند ماه ، 1397]

امتیاز دهی به مطلب
امتیاز متوسط : 5
تعداد آراء: 2


لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید :

عالی
خیلی خوب
خوب
متوسط
بد


اشتراک گذاري مطلب


انتخاب ها

 نمایش تمام صفحه این مقاله نمایش تمام صفحه این مقاله


صفحه اصلي |  آنتی ویروس اورجینال |  نمایندگان ما |  برخی از مشترکین کامیران |  تماس با کامیران
كليه حقوق اين وب سايت متعلق به شركت ایمن کارا کام ایرانیان ( صاحب امتیاز برند کامیران ) مي باشد - 2020-2008

  


وقت بخیر، کاربر عزیز
از مشاوره آنلاین ما استفاده کنید!



مشاوره خرید و پشتیبانی
نمایندگی قویترین آنتی ویروسهای جهان
( شبانه روزی )