یک محقق امنیتی در این آخر هفته POC جدیدی از اکسپلویت برای نصب وب شل بر روی سرورهای Microsoft Exchange آسیب پذیر در برابر آسیب پذیری های ProxyLogon که به طور فعال مورد سو استفاده قرار می گیرند منتشر کرد.
از آنجایی که مایکروسافت آسیب پذیری های امنیتی Microsoft Exchange که با نام ProxyLogon شناخته می شود منتشر کرده ، مدیران و محققان امنیتی در تلاشند تا از سرورهای آسیب پذیر در اینترنت محافظت کنند.
در اوایل این هفته ، یک محقق امنیتی به نام نگوین جانگ یک پست وبلاگی منتشر کرد که در آن جزئیات اکسپلویت (POC) برای آسیب پذیری Microsoft Exchange ProxyLogon ارائه شده است. جانگ همچنین یک اکسپلویت که کار نمیکرد در GitHub به اشتراک گذاشت که برای درست کار کردن به برخی از اصلاحات نیاز داشت.
جانگ به منابع خبری گفت: "اولاً ، PoC من دادم نمی تواند به درستی اجرا شود. با بسیاری از خطاها خراب می شود. با این وجود ، PoC اطلاعات كافی را در اختیار شما قرار می داد كه محققان امنیتی و مهاجمان می توانند از آن برای توسعه یك اکسپلویت functional برای اجرای كد از راه دور در سرورهای Microsoft Exchange استفاده كنند.
بلافاصله پس از انتشار PoC ، جانگ ایمیلی از طرف GitHub متعلق به مایکروسافت دریافت کرد مبنی بر اینکه PoC به دلیل نقض خط مشی ها ، در حال حذف است.
ویل دورمن ، تحلیلگر آسیب پذیری در CERT / CC ، این آسیب پذیری را بر روی سرور مایکروسافت آزمایش کرد و به منابع خبری گفت که با تغییر بسیار جزئی این اکسپلویت به خوبی کار می کند.
همانطور که از تصویر زیر مشاهده می کنید ، دورمن با استفاده از یک اکسپلویت در برابر یک سرور Microsoft Exchange از راه دور یک شل گرفته و دستور 'whoami' را اجرا کرده است.
استیونز تحلیلگر ارشد NVISO و SANS ISC مدیر ارشد ، گفت که او PoC جدید را در برابر Exchange 2016 بدون وصله بدون هیچ گونه به روزرسانی تجمعی آزمایش کرده است. هنوز هم ، PoC بدون تغییر برخی از تنظیمات Active Directory کار نمی کند.
با این حال ، استیونز گفت که اطلاعات جدیدی که در آخر هفته در PoC منتشر شد ، وی را قادر می سازد تا با PoC که Jang منتشر کرده بود اجرای کد از راه دور را بر سرور Microsoft Exchange خود با موفقیت به انجام برساند.
با در دسترس قرار گرفتن اکسپلویت آسیب پذیری های Microsoft Exchange ، مهمتر از هر زمان دیگری است که مدیران سرورهای خود را وصله کنند. طبق تحقیقات Palo Alto Networks ، تقریباً 80،000 سرور آسیب پذیر Microsoft Exchange در اینترنت وجود دارد.
پالو آلتو گفته: "بر اساس اسکن های اینترنتی Expanse که در 8 و 11 مارس انجام شده است ، تعداد سرورهای آسیب پذیر که از نسخه های قدیمی Exchange استفاده می کنند و نمی توانند وصله های امنیتی اخیراً منتشر شده را مستقیماً اعمال کنند ، بیش از 30٪ از 125،000 به 80،000 کاهش یافت.
"بر اساس دورسنجی از RiskIQ ، در تاریخ 1 مارس شاهد وجود كل جهان تقریباً 400000 سرور Exchange بودیم. تا 9 مارس كمی بیش از 100000 سرور هنوز آسیب پذیر بودند. این تعداد به طور مداوم در حال كاهش است و فقط حدود 82،000 مورد دیگر به روز می شوند. "
بسیاری از این سرورها برای نسخه های قدیمی تر هستند که به روزرسانی امنیتی در دسترس ندارند.
روز پنجشنبه ، مایکروسافت به روزرسانی های امنیتی اضافی را برای نسخه های قدیمی Microsoft Exchange منتشر کرد که اکنون 95٪ از سرورهای موجود در اینترنت را پوشش می دهد.
نویسنده : نیما دباغی
برای دریافت بروزترین اخبار امنیت سایبری عضویت در کانال تلگرامی ما رو فراموش نکنید!
Telegram.me/Alert_Security
