کاربران Exchange Server مایکروسافت هدف حمله باجافزار Hive قرار گرفتهاند
بهتازگی خبرهای متعددی درمورد مشکلات امنیتی در محصولات مایکروسافت منتشر شده و ظاهراً حالا نوبت به Exchange Server این شرکت رسیده است. مشتریان Exchange Server مایکروسافت هدف موجی از حملات باجافزاری قرار گرفتهاند که توسط Hive، یکی از پلتفرمهای معروف باجافزار، بهعنوان سرویس (RaaS) انجام میشود و مشاغل و انواع سازمانها را هدف قرار میدهد.
XDA درمورد مشکل امنیتی Exchange Server مایکروسافت مینویسد این حملهی باجافزاری از مجموعهای از آسیبپذیریها در سرور Microsoft Exchange معروف به ProxyShell استفاده میکند. این مورد یک آسیبپذیری حیاتی اجرای کد از راهدور است که به مهاجمان اجازه میدهد تا کدهای موردنظر خود را بهصورت راهدور روی سیستمهای آسیبدیده اجرا کنند. درحالیکه وصلهی نرمافزاری برای رفع سه آسیبپذیری ProxyShell در مه ۲۰۲۱ منتشر شده است، بسیاری از کسبوکارها نرمافزار خود را آنطور که باید بهروزرسانی نمیکنند؛ بدینترتیب، مشتریان مختلفی تحت تأثیر این مشکل قرار میگیرند که ازجمله میتوان به تیم پزشکی قانونی Varonis اشاره کرد که اولینبار این نوع حملات را گزارش داد.
هنگامیکه مهاجمان از آسیبپذیریهای ProxyShell سوءاستفاده کردند، یک اسکریپت وب را در یک فهرست عمومی در سرور Exchange هدف قرار میدهند و در گام بعد این اسکریپت، کد مخرب موردنظر را اجرا و سپس فایلهای مرحلهای اضافه را از سرور فرمان و کنترل دانلود و اجرا میکند. مهاجمان در مرحلهی بعد یک مدیر سیستم جدید ایجاد و از Mimikatz برای سرقت هش NTLM استفاده میکنند که به آنها اجازه میدهد بدون اطلاع از رمزهای عبور ازطریق تکنیک Pass-The-Hash کنترل سیستم را در دست بگیرند.
مهاجمان برای یافتن فایلهای حساس و مهم، کل شبکه را اسکن میکنند. در نهایت یک Payload سفارشی (فایل فریبندهای که Windows.exe نامیده میشود) ایجاد و مستقر میشود تا همهی دادهها را رمزنگاری و همچنین گزارشهای رویداد را پاک کند. این فایل همچنین کپیهای موجود را حذف و راهکارهای امنیتی دیگر را غیرفعال میکند تا شناسایی نشود. هنگامیکه همهی دادهها رمزنگاری میشوند، Payload هشداری به کاربران نشان میدهد که از آنها درخواست میکند برای بازگرداندن دادههای خود و ایمن نگهداشتن آن، هزینهای پرداخت کنند.
روش کار Hive این است که علاوهبر رمزنگاری دادهها، یک وبسایت قابل دسترسی ازطریق مرورگر Tor راهاندازی میکند که درصورت عدم موافقت با پرداخت، دادههای حساس شرکتها را به اشتراک خواهد گذاشت. این شرایط برای قربانیانی که میخواهند دادههای مهم همچنان محرمانه باقی بماند، فوریت اضافهای ایجاد میکند.
طبق گزارش تیم پزشکی قانونی Varonis از بهرهبرداری اولیه از آسیبپذیری Microsoft Exchange Server، کمتر از ۷۲ ساعت طول کشید تا مهاجمان در نهایت به هدف موردنظر خود در یک مورد خاص برسند.
اگر سازمان شما به سرور Microsoft Exchange متکی است، باید مطمئن شوید که آخرین وصلههای امنیتی را نصب کردهاید تا از این موج حملات باجافزاری در امان بمانید. بهطور کلی بهروز بودن ایدهی بسیار خوبی است زیرا آسیبپذیریها اغلب پس از انتشار وصلههای امنیتی آشکار میشوند و سیستمهای قدیمیتر را درمعرض دید مهاجمان قرار میدهند.