أكدت شركة مايكروسوفت أن مجرمي الإنترنت يستغلون ثغرتين غير مصححتين في Exchange Server في هجمات في العالم الحقيقي.
قالت شركة الأمن السيبراني الفيتنامية GTSC ، التي اكتشفت لأول مرة العيوب كجزء من استجابتها لحادث الأمن السيبراني للعميل في أغسطس 2022 ، إن يومي الصفر تم استخدامهما في الهجمات على بيئات عملائها التي يعود تاريخها إلى أوائل أغسطس 2022.
قال مركز الاستجابة الأمنية من مايكروسوفت (MRSC) في منشور مدونة في وقت متأخر من يوم الخميس أنه تم تحديد ثغرتين على أنهما CVE-2022-41040 ، وهي ثغرة في طلب تزوير من جانب الخادم (SSRF) ، بينما تم تحديد الثانية على أنها CVE-2022-41082 ، يسمح بتنفيذ التعليمات البرمجية عن بُعد على خادم ضعيف عندما يكون PowerShell متاحًا للمهاجم.
وأكدت شركة التكنولوجيا العملاقة: 'في هذا الوقت ، تدرك مايكروسوفت أن الهجمات المستهدفة محدودة باستخدام نقطتي الضعف للوصول إلى أنظمة المستخدمين'.
أشارت مايكروسوفت إلى أن المهاجم سيحتاج إلى وصول مصدق عليه إلى خادم Exchange Server المعرض للخطر ، مثل بيانات الاعتماد المسروقة ، لاستغلال أي من الثغرات الأمنية بنجاح ، والتي تؤثر على Microsoft Exchange Server المحلي في 2013 و 2016 و 2019.
لم تشارك مايكروسوفت أي تفاصيل أخرى حول الهجمات. أعطت شركة الأمن Trend Micro تصنيفي شدة الثغرات الأمنية 8.8 و 6.3 من 10. ومع ذلك ، أفادت GTSC أن مجرمي الإنترنت قاموا بتقييد نقطتي الضعف لإنشاء أبواب خلفية على نظام الضحية وأيضًا التحرك بشكل جانبي عبر الشبكة المخترقة. قال GTSC: 'بعد إتقان الاستغلال بنجاح ، سجلنا هجمات لجمع المعلومات وإنشاء موطئ قدم في نظام الضحية'.
قالت GTSC إنها تشتبه في أن جماعة تهديد صينية قد تكون مسؤولة عن الهجمات المستمرة لأن صفحة الويب الشفافة تستخدم ترميز الأحرف للغة الصينية المبسطة. قام المهاجمون أيضًا بنشر Webshell China Chopper في هجمات للوصول المستمر عن بُعد ، وهو باب خلفي تستخدمه بشكل شائع مجموعات القرصنة التي ترعاها الصين.
قال الباحث الأمني كيفين بومونت ، الذي كان من بين الأوائل الذين ناقشوا نتائج GTSC في سلسلة من التغريدات يوم الخميس ، إنه على دراية بأن الثغرة الأمنية 'يتم استغلالها بشكل نشط في البرية' وأنه 'يمكنه تأكيد وجود عدد كبير من خوادم Exchange مستتر.
رفضت مايكروسوفت تحديد موعد توفر التصحيحات ، لكنها أشارت في منشورها على المدونة إلى أن الإصلاح القادم على 'جدول زمني سريع'.
حتى ذلك الحين ، توصي الشركة العملاء باتباع إجراءات التخفيف المؤقتة التي تشاركها GTSC ، والتي تتضمن إضافة قاعدة حظر في IIS Manager. أشارت الشركة إلى أن عملاء Exchange عبر الإنترنت لا يحتاجون إلى اتخاذ أي إجراء في الوقت الحالي لأن أيام الصفر تؤثر فقط على خوادم Exchange داخل الشركة.
تابع موقعنا tech1new.com انضم إلى صفحتنا على فيسبوك و متابعتنا على Twitter للحصول على تحديثات إخبارية فورية ومراجعات وشروحات تقنية
ليست هناك تعليقات:
إرسال تعليق