لم تأت تصحيحات الطوارئ لنقاط الضعف الحرجة التي تم الكشف عنها مؤخرًا في خادم البريد الإلكتروني Microsoft Exchange قريبًا بما يكفي ولم يكن لدى المؤسسات سوى القليل من الوقت للاستعداد قبل بدء الاستغلال الجماعي.
تم استغلال هذا الخطأ، الذي تم تسميته بـ ProxyLogon، في البرية حتى قبل أن تتلقى Microsoft تقرير الثغرة الأمنية، مما يمنح المهاجمين بداية مبكرة لمدة شهرين لاختراق الأهداف قبل أن تصبح التحديثات الأمنية متاحة.
تعد الخوادم المعرضة للخطر أهدافًا ساخنة لمجموعة واسعة من مجموعات التهديد التي تبحث عن موطئ قدم أولي في شبكة لأغراض التجسس أو الأغراض المالية. لقد استغل خصوم الدولة، وعصابات برامج الفدية، وأنشطة التشفير بالفعل ProxyLogon.
مع إصدار التصحيحات وظهور رمز استغلال إثبات المفهوم (proof-of-concept PoC) عبر الإنترنت، تظل الآلاف من خوادم Microsoft Exchange في جميع أنحاء العالم عرضة للخطر ولا يزال عدد الهجمات في مستوى مقلق.
تم استغلال هذا الخطأ، الذي تم تسميته بـ ProxyLogon، في البرية حتى قبل أن تتلقى Microsoft تقرير الثغرة الأمنية، مما يمنح المهاجمين بداية مبكرة لمدة شهرين لاختراق الأهداف قبل أن تصبح التحديثات الأمنية متاحة.
تعد الخوادم المعرضة للخطر أهدافًا ساخنة لمجموعة واسعة من مجموعات التهديد التي تبحث عن موطئ قدم أولي في شبكة لأغراض التجسس أو الأغراض المالية. لقد استغل خصوم الدولة، وعصابات برامج الفدية، وأنشطة التشفير بالفعل ProxyLogon.
مع إصدار التصحيحات وظهور رمز استغلال إثبات المفهوم (proof-of-concept PoC) عبر الإنترنت، تظل الآلاف من خوادم Microsoft Exchange في جميع أنحاء العالم عرضة للخطر ولا يزال عدد الهجمات في مستوى مقلق.
تم العثور على تهديد ProxyLogon
في 10 ديسمبر 2020، اكتشف Orange Tsai باحث DEVCORE الخطأ CVE-2021-26855، وهو عيب مهم في التزوير من جانب الخادم (SSRF) يسمح بتجاوز المصادقة في Microsoft Exchange.
قامت DEVCORE بتسمية الخطأ ProxyLogon، وفي نهاية شهر ديسمبر، عثر Tsai على الخطأ الثاني CVE-2021-27065 الذي يمكن استخدامه لتحقيق تنفيذ التعليمات البرمجية عن بُعد.
أرسل الباحث في 5 يناير 2021 تقريرًا إلى Microsoft جنبًا إلى جنب مع استغلال يسلسل العيبين لإثبات صحة النتائج التي توصل إليها.
مجموعات APT تتمتع بميزة شهرين
في الشهر نفسه، اكتشفت شركة Volexity الاستخباراتية للتهديدات والاستجابة للحوادث هجمات ProxyLogon تهدف إلى اختراق الشبكات أو سرقة بيانات البريد الإلكتروني.
قبل يومين من تقديم DEVCORE للتقرير إلى Microsoft توصل الفحص الدقيق إلى أن "عمليات التجسس الإلكتروني باستخدام ثغرة SSRF CVE-2021-26855 بدأت تحدث في 3 يناير 2021".
في يناير، اكتشفت العديد من شركات الأمن السيبراني هجمات ضد خوادم Exchange داخل الشركة في بيئات العميل باستخدام ثغرات zero-day.
تم اختراق شبكة عميل FireEye واحد على الأقل في ذلك الشهر وأنشأ الدخيل قذائف ويب للوصول المستمر وتنفيذ التعليمات البرمجية عن بُعد، وقالت الشركة إن النشاط "اقترح استغلال CVE-2021-26858".
إن إسقاط قذائف الويب (ملفات ASPX) هو أيضًا ما رآه Volexity، متبوعًا بإلقاء بيانات الاعتماد، وإضافة حسابات المستخدمين، وسرقة نسخ من قاعدة بيانات Active Directory (NTDS.DIT)، والحركة الجانبية على الشبكة.
في يناير أيضًا، حققت شركة الاستجابة للحوادث الدنماركية Dubex في نشاط على خوادم Exchange التي استخدمت استغلالًا لليوم صفر (CVE-2021-26857) لكتابة قذائف الويب على القرص، مع إدراج مجموعة من ثلاثة ملفات ASPX ضمن مؤشرات الاختراق (IoCs) .
في 2 مارس، أصدرت Microsoft تحديثات لـ Exchange Server وأبلغت عن "عمليات استغلال متعددة لـ zero-day يتم استخدامها لمهاجمة الإصدارات المحلية من Microsoft Exchange Server في هجمات محدودة وموجهة".
تنسب Microsoft الحوادث إلى مجموعة ترعاها الدولة تسمى Hafnium تعمل خارج الصين وتستغل الثغرات الأمنية التالية قبل توفر التصحيح:
في الشهر نفسه، اكتشفت شركة Volexity الاستخباراتية للتهديدات والاستجابة للحوادث هجمات ProxyLogon تهدف إلى اختراق الشبكات أو سرقة بيانات البريد الإلكتروني.
قبل يومين من تقديم DEVCORE للتقرير إلى Microsoft توصل الفحص الدقيق إلى أن "عمليات التجسس الإلكتروني باستخدام ثغرة SSRF CVE-2021-26855 بدأت تحدث في 3 يناير 2021".
في يناير، اكتشفت العديد من شركات الأمن السيبراني هجمات ضد خوادم Exchange داخل الشركة في بيئات العميل باستخدام ثغرات zero-day.
تم اختراق شبكة عميل FireEye واحد على الأقل في ذلك الشهر وأنشأ الدخيل قذائف ويب للوصول المستمر وتنفيذ التعليمات البرمجية عن بُعد، وقالت الشركة إن النشاط "اقترح استغلال CVE-2021-26858".
إن إسقاط قذائف الويب (ملفات ASPX) هو أيضًا ما رآه Volexity، متبوعًا بإلقاء بيانات الاعتماد، وإضافة حسابات المستخدمين، وسرقة نسخ من قاعدة بيانات Active Directory (NTDS.DIT)، والحركة الجانبية على الشبكة.
في يناير أيضًا، حققت شركة الاستجابة للحوادث الدنماركية Dubex في نشاط على خوادم Exchange التي استخدمت استغلالًا لليوم صفر (CVE-2021-26857) لكتابة قذائف الويب على القرص، مع إدراج مجموعة من ثلاثة ملفات ASPX ضمن مؤشرات الاختراق (IoCs) .
في 2 مارس، أصدرت Microsoft تحديثات لـ Exchange Server وأبلغت عن "عمليات استغلال متعددة لـ zero-day يتم استخدامها لمهاجمة الإصدارات المحلية من Microsoft Exchange Server في هجمات محدودة وموجهة".
تنسب Microsoft الحوادث إلى مجموعة ترعاها الدولة تسمى Hafnium تعمل خارج الصين وتستغل الثغرات الأمنية التالية قبل توفر التصحيح:
CVE-2021-26855, pre-authentication SSRF
CVE-2021-26857, insecure deserialization leading to privilege escalation to SYSTEM level
CVE-2021-26858, post-authentication file write
CVE-2021-27065, post-authentication file write
CVE-2021-26857, insecure deserialization leading to privilege escalation to SYSTEM level
CVE-2021-26858, post-authentication file write
CVE-2021-27065, post-authentication file write
إن شركة Hafnium، التي ربما تكون قد اخترقت 68500 خادم Exchange بحلول الوقت الذي توفرت فيه التصحيحات، ليست مجموعة APT الوحيدة التي استفادت من الأخطاء المذكورة أعلاه قبل ظهور التصحيحات.
قالت ESET إن الجهات الفاعلة الأخرى- Tick و LuckyMouse و Calypso و Winnti و Websiic- العديد منهم مرتبطون بالصين، كانوا يستغلونهم بنشاط منذ 28 فبراير على الأقل وأوصت المنظمات بالبحث عن ملفات ASPX المشبوهة.
“This suggests that multiple threat actors gained access to the details of the vulnerabilities before the release of the patch, which means we can discard the possibility that they built an exploit by reverse engineering Microsoft updates” - ESET
اكتشف Huntress Labs، مزود الكشف عن التهديدات MSP، الذي يحلل بضع مئات من خوادم Exchange المخترقة، أن بعضها قد تم اختراقه قبل أيام من إصدار Microsoft للتصحيحات، في 27 فبراير.
ممثل التهديد يستخدم عمل DEVCORE
إحدى الثغرات المستخدمة وصول التصحيحات هي نفس السلسلة التي قدمتها DEVCORE إلى Microsoft في 5 يناير كجزء من الكشف المسئول.
يؤكد DEVCORE هذا في تحديث على موقع ProxyLogon، مشيرًا إلى أنه بدأ في التحقيق بعد أن أبلغ Volexity عن الاستغلال النشط لخلل SSRF.
وفقًا لتقرير من Wall Street Journal، تحقق Microsoft حاليًا فيما إذا كان أحد شركائها الذين تمكنوا من الوصول إلى المعلومات قد سربها عن قصد أو عن طريق الصدفة.
يعد معظم موفري برامج الأمان جزءًا من برنامج الحماية النشطة (Microsoft Active Protections Program MAPP)، والذي يمنحهم الوصول المبكر إلى معلومات الثغرات الأمنية حتى يتمكنوا من تحديث الحماية لعملائهم بشكل أسرع.
طيف واسع من المهاجمين
بمجرد ظهور التصحيحات الرسمية، حتى بالنسبة للإصدارات غير المدعومة، أصبحت خوادم Microsoft Exchange الضعيفة المكشوفة مباشرة على الإنترنت هدفًا أكثر سخونة حيث يمكن للجهات الفاعلة في التهديد عكس هندسة التحديثات لبناء استغلال.
شهدت ESET أكثر من 10 مجموعات من APT تندفع لمهاجمة الأجهزة غير المصححة. كان العديد يديرون عمليات تجسس إلكتروني، وتشمل هذه القائمة Mikroceen و Tonto Team، لكن ليس كلهم.
لاحظ الباحثون نشاطًا من مجموعة يطلقون عليها اسم "Opera" Cobalt Strike والتي استغلت نقاط الضعف في Microsoft Exchange لتثبيت منتج اختبار الاختراق Cobalt Strike الشائع لدى بعض عصابات برامج الفدية عالية المستوى.
في حالة أخرى، شهدت ESET خصمًا قام بإسقاط قذائف الويب من أجل "تثبيت ما يسمى بأبواب IIS الخلفية". تمت مشاهدة النشاط المنسوب إلى شبكة الروبوتات الخاصة بالتشفير DLTMiner [1، 2] على الخوادم التي تم استهدافها باستخدام ثغرات ProxyLogon.
تُظهر الروبوتات DLTMiner أوجه تشابه في البنية التحتية والسلوك مع شبكة روبوت أخرى للعملات المشفرة تسمى Lemon_Duck، تم توثيق بنيتها التحتية في IoCs لخوادم Exchange التي تم اختراقها.
رأى المتخصصون في مجال الأمن في Shadowserver أمس أكثر من 8000 عنوان IP أظهرت علامات على نشاط DLTMiner، معظمها في الصين والولايات المتحدة.
قفزت برامج الفدية أيضًا وبدأت في اختراق خادم Microsoft Exchange باستخدام ثغرات ProxyLogon.
PoCs وأدوات الهجوم
ابتداءً من 10 مارس، بدأ إثبات PoC لاستغلال ثغرات Exchange التي تم استغلالها على نطاق واسع في الظهور عبر الإنترنت. كان البديل الأول هو استغلال التعليمات البرمجية التي تجرها الدواب عن بُعد والتي قامت Microsoft بسحبها بسرعة من GitHub لمنع إساءة الاستخدام على نطاق أوسع.
ظهر برنامج ProxyLogon PoC جديد خلال عطلة نهاية الأسبوع، مما زاد من فرص حتى المهاجمين ذوي المهارات المنخفضة لملاحقة خوادم Exchange الضعيفة، والتي من المحتمل أن تصل إلى الآلاف.
علاوة على ذلك، هناك الكثير من المعلومات لإعادة إنتاج استغلال ProxyLogon عن طريق الهندسة العكسية للتصحيحات الرسمية من Microsoft. نشرت شركة الأمن السيبراني Praetorian مدونة تحتوي على تفاصيل تقنية كاملة لإنشاء استغلال شامل.
أنشأت SophosLabs أداة تسمى metasploit_gather_exchange يمكنها استخراج جميع محتويات صندوق الوارد كملف PST. لا يساعد في اختراق خوادم Exchange ولكن يُقصد به أن يكون أداة ما بعد الاستغلال post-exploitation tool لعمليات اختبار اختراق الفريق الأحمر.
كشف تقرير من Shadowserver اليوم، والذي يجمع البيانات من KryptosLogic، أنه يوم الأحد، كان عدد خوادم Microsoft Exchange التي يحتمل أن تكون معرضة للخطر في العالم 59218.
هذه الأرقام أقل من 80000 التي سجلتها Palo Alto Networks في عمليات مسح على الإنترنت بين 8-11 مارس باستخدام منصة Expanse الخاصة بها، ويرجع ذلك على الأرجح إلى معدلات التصحيح المرتفعة لـ Microsoft Exchange.
هذه الأرقام أقل من 80000 التي سجلتها Palo Alto Networks في عمليات مسح على الإنترنت بين 8-11 مارس باستخدام منصة Expanse الخاصة بها، ويرجع ذلك على الأرجح إلى معدلات التصحيح المرتفعة لـ Microsoft Exchange.
قال Matt Kraning، كبير مسئولي التكنولوجيا، وCortex في Palo Alto Networks، إن المؤسسات التي تشغل أي إصدار من Exchange يجب أن "تفترض أنها تعرضت للاختراق قبل تصحيح أنظمتها" بسبب الاستغلال الهائل الذي بدأ في يناير.
حتى إذا كانت الخوادم لا تواجه الإنترنت العام، يجب على الشركات تحديثها للدفاع ضد الجهات الفاعلة التي يمكن أن تكون على الشبكة المحلية.
يتوقع John Hultquist نائب رئيس التحليل، مزيدًا من الاستغلال للثغرات الأمنية في ProxyLogon قريبًا من عصابات برامج الفدية، والتي قد تجد ناقل الهجوم "جذابًا بشكل خاص" لأنه يوفر "وسيلة فعالة لاكتساب وصول مسئول المجال".
“That access enables them to deploy encryption across the enterprise. In cases where organizations are unpatched, these vulnerabilities will provide criminals a faster path to success” - John Hultquist
حذرت Kaspersky أيضًا من المخاطر العالية للإصابة ببرامج الفدية الضارة وخطر سرقة البيانات المرتبط بهذه الهجمات. منذ أن أصدرت Microsoft التصحيحات، شهدت الشركة "عددًا متزايدًا من المحاولات الآلية للاستغلال الجماعي لنقاط الضعف الجديدة في Exchange."
وفقًا لـ Check Point Research، يواصل المتسللون محاولة استغلال ProxyLogon، مع تزايد الهجمات بأكثر من عشر مرات خلال الأيام الأربعة الماضية. منذ يوم الخميس، شهدت الشركة ارتفاع عدد المحاولات من 700 إلى 7200 اليوم.
قال المركز الوطني للأمن السيبراني في المملكة المتحدة يوم الجمعة إن أكثر من 3000 خادم بريد إلكتروني في البلاد معرضة للخطر وأنه تم اكتشاف برامج ضارة في 2300 منها.
أدوات ومعلومات التجارة
مع بدء جميع عمليات القرصنة منذ أكثر من شهرين، ربما تم اختراق العديد من خوادم Exchange بحلول الوقت الذي تحصل فيه على التحديثات.
نشرت CISA سبعة تقارير لتحليل البرامج الضارة لتنبيهها مع عوامل التخفيف من الثغرات الأمنية في Microsoft Exchange Server. يقدم كل واحد منهم تفاصيل حول Webshell المستخدم في الهجمات لمنح الخصوم إدارة عن بعد على النظام.
توصي العديد من شركات الأمن السيبراني بشدة بالتحقق من علامات الاختراق قبل تثبيت التصحيحات. لهذا الغرض، أضافت Microsoft توقيعات إلى Microsoft Defender لاكتشاف قذائف الويب web shells المثبتة بعد استغلال الثغرات الأمنية.
يمكن تحقيق الشيء نفسه باستخدام أداة دعم الطوارئ المحمولة (Microsoft Support Emergency Response Tool MSERT)، والتي تحذف تلقائيًا أي ملفات تم اكتشافها دون عزل.
يمكن للمسئولين أيضًا استخدام برنامج PowerShell script للتحقق مما إذا تم اختراق خوادم Exchange باستخدام ثغرات ProxyLogon. يقوم بأتمتة مجموعة من الأوامر التي يمكن تشغيلها يدويًا لاختبار واحد أو كل الخوادم الموجودة على أجهزة الشركة.
توصي Dubex بالتحقق من ملفات سجلات Exchange و (Internet Information Services IIS) للتعرف على IoCs المعروفة [1، 2، 3، 4، 5، 6] والمضيفين بحثًا عن علامات على قذائف الويب / التجزئة، IoCs في المسارات وأسماء الملفات المعروفة، وتفريغ LSASS.
علاوة على ذلك، يمكن للشركات التحقق مما إذا كان Exchange Server الخاص بهم قد تعرض للاختراق باستخدام Check My OWA. إنها خدمة جديدة تجمع قوائم الخوادم المخترقة مع تشغيل (Outlook Web Access OWA). تتضمن البيانات عناوين IP والمجالات المتأثرة ويمكن أن تكشف ما إذا كان الفاعلون في الهجمات الأولية قادرين على تحميل غلاف على الجهاز.
يمكن استخدام Check My OWA عن طريق تحميله ببساطة من خادم Exchange وينبثق تحذير إذا تم العثور عليه في قائمة الخدمة، أو يمكنك كتابة عنوان بريد إلكتروني خاص بالعمل وستصل رسالة إلى صندوق الوارد الخاص بك لإعلامك بما إذا كان نطاقك مطابقًا في قاعدة البيانات.
