تمامی نسخههای Exchange باید به روزرسانی شوند
مرکز مدیریت راهبردی افتا با همکاری شرکت رها (راهکار هوشمند امن) به تولید ابزاری برای شناسایی آسیب پذیری با شناسه CVE-2020-0688 و شواهد نفوذ مربوط، اقدام کرده است.
بهرهجویی از آسیب پذیری مذکور، مهاجم را قادر میسازد تا کد مورد نظر خود را از راه دور با سطح دسترسی SYSTEM روی سرور اجرا کند. نسخه اول ابزار آشکارساز آسیبپذیری، بر اساس رفتار دیده شده در اکثر سامانههایی که مهاجمین به آنها نفوذ کردهاند، ایجاد شده است .
مرکز افتا برای انتقال و اشتراک دانش میان کارشناسان این حوزه، کد منبع آشکارساز را منتشر کرده است. با توجه به اهمیت موضوع، مرکز افتا همچنین از کارشناسان و تحلیلگران مراکز عملیات امنیت زیرساختهای کشور خواستهاند تا برای بهبود عملکرد ابزار معرفی شده این مرکز ، پیشنهادات خود را با را عنوان: CVE-2020-0688 به ایمیل Cert@afta.gov.ir ارسال کنند.
آسیبپذیری با شناسه CVE-2020-0688 مربوط به سرویس Exchange شرکت مایکروسافت است که در 22 بهمن 98، به عنوان یک آسیبپذیری بسیار خطرناک معرفی و کد سوءاستفاده از این آسیبپذیری نیز در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد.
تمامی نسخههای Exchange که فاقد آخرین بهروزرسانیهای منتشر شده از سوی مایکروسافت هستند، آسیبپذیر بوده و باید بلافاصله بهروزرسانی شوند.
نسخ از رده خارجی که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به CVE-2020-0688 آسیبپذیر هستند. اگر چه در توصیهنامه این شرکت صریحاً از آنها نام برده نشده است. این آسیبپذیری که Exchange Control Panel (به اختصار ECP) از آن تأثیر میپذیرد از عدم توانایی Exchange در ایجاد کلیدهای رمزگاری منحصربهفرد در زمان نصب محصول ناشی میشود.
هر مهاجم خارجی که موفق به دستیابی به اطلاعات اصالتسنجی حداقل یکی از کاربران سازمان شود، امکان بهرهجویی از این آسیبپذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
کارشناسان معاونت پایش مرکز مدیریت راهبردی افتای ریاست جمهوری با بررسی تکنیک های استفاده شده در این مجموعه از حملات سایبری، اعلام کردهاند که استفاده از روش های تشخیص مبتنی بر امضا، به هیچ عنوان نمی توانند راهکاری برای تشخیص اینگونه حملات باشند و بر وجود تحلیل گر خبره در مراکز عملیات امنیت و استفاده از ابزار تشخیصی مبتنی بر رفتار، تاکید و آن را لازمه تشخیص اینگونه حملات، اعلام کردهاند.
با توجه به اینکه در مواردی دیده شده که بروزرسانی سرور Exchange بعد از نفوذ مهاجمین شکل گرفته است، این احتمال وجود دارد که همچنان دسترسی مهاجمین حتی بعد از بروزرسانی برقرار باشد. همچنین این احتمال وجود دارد که مهاجم با گسترش دسترسی خود به قسمت های دیگر شبکه ی قربانی، وب شل و یا سایر ابزار مخرب اولیه خود را از روی سرور Exchange پاک کرده باشد.
مرکز افتا از کارشناسان و تحلیلگران مراکز عملیات امنیت زیرساختهای کشور خواسته است، برای دریافت جزییات بیشتر همچون نحوه سوءاستفاده مهاجمین، به دو اطلاعیه قبلی این مرکز که در (https://www.afta.gov.ir/Portal/home/) منتشر شده است، مراجعه کنند.