مايكروسوفت تكسر الصمت عند وابل من هجمات ProxyShell

تتأثر إصدارات البرنامج بسلسلة من الأخطاء التي تتعرض للاستغلال النشط.

كسرت Microsoft صمتها بشأن وابل الهجمات الأخيرة على العديد من ثغرات ProxyShell التي أبرزها باحث في Black Hat في وقت سابق من هذا الشهر.

أصدرت الشركة تقريرًا استشاريًا في وقت متأخر من يوم الأربعاء لإعلام العملاء بأن الجهات الفاعلة في التهديد قد تستخدم خوادم Exchange غير المصححة “لنشر برامج الفدية أو إجراء أنشطة أخرى بعد الاستغلال” وتحثهم على التحديث على الفور.

قالت الشركة: “توصيتنا ، كما هو الحال دائمًا ، هي تثبيت أحدث CU و SU على جميع خوادم Exchange الخاصة بك لضمان حمايتك من أحدث التهديدات”. “الرجاء التحديث الآن!”
كتبت الشركة أن العملاء الذين قاموا بتثبيت تحديثات الأمان لشهر مايو 2021 أو تحديثات الأمان لشهر يوليو 2021 على خوادم Exchange الخاصة بهم محميون من هذه الثغرات الأمنية ، وكذلك عملاء Exchange Online طالما أنهم يضمنون تحديث جميع خوادم Exchange المختلطة.

وفقًا للاستشارة ، “ولكن إذا لم تقم بتثبيت أي من هذه التحديثات الأمنية ، فإن الخوادم والبيانات الخاصة بك ستكون عرضة للخطر”.

أخطاء ProxyShell التي أوضحها الباحث الأمني ​​الرئيسي في Devcore أورانج تساي في عرض تقديمي في Black Hat. تتيح الثغرات الأمنية الثلاث (CVE-2021-34473 ، CVE-2021-34523 ، CVE-2021-31207) للخصم تشغيل تنفيذ التعليمات البرمجية عن بُعد على خوادم Microsoft Exchange. قالت Microsoft إنه يمكن استغلال الأخطاء في الحالات التالية:

• يقوم الخادم بتشغيل وحدة تحكم CU قديمة وغير مدعومة ؛
• يقوم الخادم بتشغيل تحديثات الأمان لإصدارات Exchange القديمة غير المدعومة التي تم إصدارها في مارس 2021 ؛ أو
• يقوم الخادم بتشغيل وحدة تحكم CU قديمة وغير مدعومة ، مع تطبيق عوامل التخفيف EOMT لشهر مارس 2021.

وفقًا لما ذكرته شركة Microsoft ، “في جميع السيناريوهات المذكورة أعلاه ، يجب عليك تثبيت واحدة من أحدث وحدات CU المدعومة وجميع وحدات SU القابلة للتطبيق لتتم حمايتها”. “أي خوادم Exchange غير موجودة على CU مدعومة وأحدث SU متاح معرضة لخطر ProxyShell والهجمات الأخرى التي تستفيد من الثغرات الأمنية القديمة.”

دق ناقوس الخطر

بعد العرض التقديمي الذي قدمته تساي حول الأخطاء ، ذكر جان كوبريفا من مركز عاصفة الإنترنت SANS أنه وجد أكثر من 30 ألف خادم Exchange ضعيف عبر فحص Shodan وأن أي ممثل تهديد يستحق هذا العنوان سيجد أنه من السهل تنفيذه ، نظرًا لمقدار المعلومات المتوفرة متوفرة.

أفاد باحثو الأمن في Huntress أيضًا أنهم شاهدوا ثغرات ProxyShell يتم استغلالها بشكل نشط طوال شهر أغسطس لتثبيت الوصول إلى الباب الخلفي بمجرد نشر رمز استغلال ProxyShell في 6 أغسطس. تم إطلاقه على 1900 خادم Exchange غير مصحح.

انضمت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إلى أولئك الذين دقوا ناقوس الخطر خلال عطلة نهاية الأسبوع ، وأصدروا تنبيهًا عاجلاً. وحثوا أيضًا المؤسسات على تثبيت أحدث تحديث أمان من Microsoft على الفور.

في ذلك الوقت ، أعرب الباحث Kevin Beaumont عن انتقادات لجهود Microsoft في المراسلة المتعلقة بالثغرة الأمنية والحاجة الملحة لعملائها لتحديث أمان Exchange Server الخاص بهم.

وأوضح بومونت: “قررت Microsoft التقليل من أهمية التصحيحات ومعاملتها على أنها تصحيح صرف قياسي شهري ، وهو أمر مستمر منذ عقود”.

لكن بومونت قال إن نقاط الضعف في تنفيذ التعليمات البرمجية عن بُعد (RCE) “… خطيرة بقدر ما تأتي”. وأشار إلى أن الشركة لم تساعد في الأمور من خلال الإخفاق في تخصيص مكافحة التطرف العنيف لها حتى يوليو – بعد أربعة أشهر من إصدار التصحيحات.

وفقًا لترتيب أولوية التصحيح ، وفقًا لـ Beaumont ، فإن نقاط الضعف هي: CVE-2021–34473 و CVE-2021–34523 و CVE-2021–31207.

تم تصحيح CVE-2021-34473 ، وهي ثغرة أمنية يؤدي فيها ارتباك مسار المصادقة المسبقة إلى تجاوز ACL ، في أبريل. CVE-2021-34523 ، الذي تم تصحيحه أيضًا في أبريل ، هو رفع للامتياز في الواجهة الخلفية لـ Exchange PowerShell. تم تصحيح CVE-2021-31207 ، وهو خطأ يؤدي فيه كتابة ملف تعسفي بعد المصادقة إلى تنفيذ التعليمات البرمجية عن بُعد ، في مايو.