مايكروسوفت بقع الطوارئ التي تم إصدارها لمعالجة أربع عيوب أمنية لم يكشف عنها سابقًا في خادم التبادل الذي يقول إنه يتم استغلاله بنشاط من قبل ممثل تهديد صيني جديد برعاية الدولة بهدف ارتكاب سرقة البيانات.
وقال مركز Microsoft Threat Intelligence (MSTIC) ، الذي وصف الهجمات بأنها “محدودة ومستهدفة” ، إن الخصم استخدم نقاط الضعف هذه للوصول إلى خوادم البورصة الداخلية ، بدوره منح الوصول إلى حسابات البريد الإلكتروني ويمهد الطريق لتركيب البرامج الضارة الإضافية لتسهيل الوصول على المدى الطويل إلى بيئات الضحايا.
عزا عملاق التكنولوجيا في المقام الأول الحملة بثقة عالية لممثل التهديد الذي تسميه الحافنيوم ، وهو قراصنة ترعاها الدولة التي تعمل خارج الصين ، على الرغم من أنها تشتبه في أن مجموعات أخرى قد تكون متورطة أيضًا.
مناقشة التكتيكات والتقنيات والإجراءات (TTPs) للمجموعة لأول مرة ، ترسم Microsoft Hafnium باعتباره “ممثلًا ذا مهارات عالية ومتطورة” يتفوق بشكل رئيسي على الكيانات في الولايات المتحدة ، ودافعات عن المقاول ، والدفاع عن المعلومات الحساسة ، والدفاع عن المعلومات الحساسة ، والمعلومات الحساسة للسياسة.
يُعتقد أن الحافنيوم ينظم هجماته من خلال الاستفادة من الخوادم الخاصة المستأجرة في الولايات المتحدة في محاولة لتبديد نشاطها الخبيث.
يتضمن الهجوم من ثلاث مراحل الوصول إلى خادم Exchange إما مع كلمات مرور مسروقة أو باستخدام نقاط الضعف غير المكتشفة مسبقًا ، تليها نشر قذيفة ويب للتحكم في الخادم المخترق عن بُعد. يستخدم الرابط الأخير في سلسلة الهجوم الوصول عن بُعد إلى صناديق بريد نهب من شبكة المؤسسة وتصدير البيانات التي تم جمعها إلى مواقع مشاركة الملفات مثل MEGA.
لتحقيق ذلك ، بقدر ما أربعة نقاط الضعف في اليوم الصفر اكتشف الباحثون من Volexity و Dubex كجزء من سلسلة الهجوم –
- CVE-2021-26855: ضعف طلب التزوير (SSRF) في خادم Exchange Server
- CVE-2021-26857: تعرض غير الآمن في خدمة المراسلة الموحدة في خدمة المراسلة الموحدة
- CVE-2021-26858: ملف تعريفي لما بعد المصادقة في المقاومة ، و
- CVE-2021-27065: ملف تعسفي لما بعد المصدقة تعرضية للكتابة في التبادل
على الرغم من أن نقاط الضعف تؤثر على Microsoft Exchange Server 2013 ، و Microsoft Exchange Server 2016 ، و Microsoft Exchange Server 2019 ، قالت Microsoft إنها تقوم بتحديث Exchange Server 2010 لأغراض “الدفاع في العمق”.
علاوة على ذلك ، نظرًا لأن الهجوم الأولي يتطلب اتصالًا غير موثوق به إلى منفذ خادم Exchange 443 ، تشير الشركة إلى أنه يمكن للمؤسسات تخفيف المشكلة عن طريق تقييد الاتصالات غير الموثوق بها أو باستخدام VPN لفصل خادم Exchange عن الوصول الخارجي.
وقالت Microsoft ، إلى جانب التأكيد على أن المآثر لم تكن متصلة بالانتهاكات المرتبطة بالطاقة الشمسية ، إنها أطلعت وكالات الحكومة الأمريكية المناسبة حول الموجة الجديدة من الهجمات. لكن الشركة لم توضح عدد المنظمات التي تم استهدافها وما إذا كانت الهجمات كانت ناجحة.
ذكرت أن حملات التسلل قد بدأت في حوالي 6 يناير 2021 ، حذرت Volexity من أنها اكتشفت استغلالًا نشطًا في الطرف من نقاط الضعف في Microsoft Exchange المتعددة المستخدمة لسرقة البريد الإلكتروني وتسوية الشبكات.
“بينما يبدو أن المهاجمين قد طوا في البداية إلى حد كبير تحت الرادار من خلال سرقة رسائل البريد الإلكتروني ببساطة ، إلا أنهم قاموا مؤخرًا بتوجيه مآثر للحصول على موطئ قدم”. أوضح في الكتابة.
“من وجهة نظر Volexity ، يبدو أن هذا الاستغلال يشمل العديد من المشغلين باستخدام مجموعة واسعة من الأدوات والأساليب لإلقاء بيانات الاعتماد ، والتحرك بشكل جانبي ، ومزيد من أنظمة الورقة الخلفية.”
بصرف النظر عن التصحيحات ، قام محلل استخبارات Microsoft التهديد Kevin Beaumont أيضًا مخلوق أ المكون الإضافي NMAP يمكن استخدامها لمسح شبكة لخوادم Microsoft Exchange الضعيفة.
بالنظر إلى شدة العيوب ، فليس من المستغرب أن تم طرح البقع قبل أسبوع من جدول تصحيح الشركة يوم الثلاثاء ، والذي عادة ما يتم حجزه ليوم الثلاثاء الثاني من كل شهر. يوصى بالعملاء الذين يستخدمون إصدارًا ضعيفًا من Exchange Server لتثبيت التحديثات على الفور لإحباط هذه الهجمات.
“على الرغم من أننا عملنا بسرعة لنشر تحديث لاستغلال هافنيوم ، فإننا نعلم أن العديد من الجهات الفاعلة في الدولة القومية والمجموعات الإجرامية ستتحرك بسرعة للاستفادة من أي أنظمة غير مدعومة” ، “نائب رئيس شركة Microsoft لأمن العملاء ، توم بيرت ، قال. “تطبيق تصحيحات اليوم على الفور هو أفضل حماية ضد هذا الهجوم.
