اگه تو محیط کار و سازمانی که مشغول فعالیت هستید از سرویس ایمیل مایکروسافت Exchange استفاده میکنید احتمالا تو ماه های گذشته در مورد HAFNIUM Exploit و آسیب پذیری Proxy-Logon زیاد شنیدید و اینجا هم قرار نیست که با تکرار موارد مطلب رو طولانی کنیم و حوصله شما رو سر ببریم.
اگه سیستم شما هدف حمله قرار گرفته و با استفاده از ابزارها و اسکریپت ها بررسی های لازم رو انجام دادید و حتی آپدیت های امنیتی رو هم نصب کردید،باید عرض کنم که کار اینجا تموم نشده!
اخیرا تو اعمال بروزرسانی های CU19 و CU20 روی سرورهای چند مجموعه متوجه خطای زیر شدیم و عملا روند بروزرسانی ممکن نبود.
Failed to install the product c:\temp\Exchange Cu20\exchangeserver.msi. Fatal error during installation. Error code: 1603. Last error issued by the MSI package: 'The installer has insufficient privileges to access this directory: C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\15.1.2242.8. The installation cannot continue. Log on as administrator or contact your system administrator. '.
این خطا صرفا به این پوشه محدود نبوده و میتونه از پوشه HttpProxy به بعد تمامی Sub-Directory ها رو شامل بشه.
با بررسی های انجام شده متوجه شدیم یکی از موارد مهمی که این حمله مورد تغییر قرار میده تغییر دسترسی ها و بعضا Ownerهای این فولدرها است و مهم ترین قسمت شناساییش هم اینه که مجوز Read رو به Everyone روی این پوشه ها تنظیم میکنه!
برای رفع خطا و رسیدن به بروزرسانی موفقیت آمیز باید نسبت به تصحیح دسترسی ها و همچنین حذف دسترسی Everyone از روی فولدر HttpProxy و تغییر Owner این پوشه به گروه Domain-Admins اقدام کنید.
همچنین ویژگی Inherit Permission برای Child-Object رو هم روی این پوشه فعال کنید تا ACL ها رو از فولدر Parent دریافت کنند.
میتونید برای شناسایی پوشه هایی که دچار این تغییرات شدن از اسکریپ زیر هم استفاده کنید:
$FolderRoot = "C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy"
$Principal = "Everyone"
$AllFolders = (Get-ChildItem $FolderRoot -Recurse -Directory | select fullname).Fullname
foreach ($Folder in $Allfolders) {
Get-Acl $Folder | where {$_.access.IdentityReference -match $Principal -and $_.access.FileSystemRights -match "Read"}
}
با این اصلاح دسترسی مشکل عدم نصب CU های جدید مرتفع میشه اما حواستون به چندتا نکته باشه:
1- مشخص شد که موفقیت آمیز بودن حمله صرفا با وجود یا عدم وجود وب شل و فایل های مشکوک aspx قابل اثبات نیست،به مرور تغییرات و آسیب های بعدی نمایان میشن.
2- بروزرسانی و نصب وصله ی امنیتی صرفا شما رو در برابر نفوذهای بعدی واکسینه میکنه و هیچ ضمانتی برای ایمن شدن سرور و محیط عملیاتیتون در برابر حملات قبلی نداره،در واقع این بروزرسانی ها جهت پاکسازی سرور شما از اثرات حمله نیستند(این مهم ترین اشتباهی هست که در هفته های اخیر در پروژه ها باهاش مواجه بودیم)
3- علیرغم اینکه مایکروسافت با ترکیب چند مکانیزم و ابزار اعلام کرده که نسبت به شناسایی و رفع تغییرات و تهدیدات به وجود آمده اقدام میکنه ولی در نهایت خود مایکروسافت ایمن ترین گزینه برای عبور از این تهدیدات رو نصب مجدد سرویس و انتقال میل باکس ها و دیتابیس ها به سرور جدید و حذف کردن کامل و اصولی نسخ فعلی میدونه.
پس اگر شرایط این کار رو دارید یک دقیقه تردید نکنید.
