ارتفعت هجمات Microsoft Exchange ProxyLogon 10 مرات في أربعة أيام

8

زادت عمليات استغلال الثغرات الأمنية لـ Microsoft Exchange ProxyLogon عشرة أضعاف في أربعة أيام فقط

نشرت: 15 مارس 2021 14:45

زاد عدد محاولات الهجمات التي تمت ملاحظتها ضد خوادم Microsoft Exchange Servers المعرضة للخطر بمقدار عشرة أضعاف في مساحة أربعة فقط يومًا ، من 700 يوم الخميس 11 مارس إلى 7200 يومًا بحلول يوم الاثنين 15 مارس ، وفقًا للبيانات الجديدة التي تم جمعها من عملاء Check Point.

وفقًا لـ Check Point Research ، فإن المدافعين الآن في سباق مع الجهات الفاعلة الخبيثة لإحباط الهجمات ضد خوادم Microsoft Exchange المحلية غير المصححة ، حيث كانت الولايات المتحدة هي الدولة الأكثر تضررًا ، حيث شهدت 17٪ من جميع محاولات الاستغلال ، تليها ألمانيا والمملكة المتحدة وهولندا وروسيا.

لا تزال القطاعات الأكثر استهدافًا التي تراها Check Point هي القطاعات الحكومية والعسكرية ، والتي تقع على الطرف المتلقي لـ 23٪ من الشروع في الهجمات ، يليها التصنيع (15٪) ، والخدمات المصرفية والمالية (14٪) ، وموردي البرمجيات (7٪) ، والصحة (6٪).

تمكّن الثغرات الأمنية ProxyLogon المهاجمين من قراءة رسائل البريد الإلكتروني من خادم Exchange فعلي محلي بدون مصادقة – لا تتأثر مثيلات Office 365 والسحابة – ومن خلال تسلسل نقاط الضعف الإضافية ، يمكن الاستيلاء على خادم البريد الخاص بالضحية ، مما يشكل خطرًا أمنيًا كبيرًا – سلالة جديدة من برامج الفدية ، DearCry ، ha ظهرت بالفعل للاستفادة من هذا.

“يمكن للخوادم المخترقة تمكين مهاجم غير مصرح به من استخراج رسائل البريد الإلكتروني الخاصة بشركتك وتنفيذ تعليمات برمجية ضارة داخل مؤسستك بامتيازات عالية “، قال مدير استخبارات التهديدات Check Point Lotem Finkelstein.

“يجب ألا تتخذ المنظمات المعرضة للخطر إجراءات وقائية في البورصة فحسب ، بل يجب أيضًا فحص شبكاتها بحثًا عن التهديدات الحية وتقييم جميع الأصول.”

اعتبارًا من أواخر يوم الجمعة 12 مارس ، المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ذكرت أنها شهدت في مكان ما بين 7000 و 8000 خادم ضعيف في المملكة المتحدة ، تم تصحيح نصفها تقريبًا بالفعل – ومن المؤكد أن هذا الرقم قد انخفض خلال عطلة نهاية الأسبوع ، لكن NCSC قال إنه من المؤكد أن هناك بعض الخوادم التي لن يتم تصحيحها أبدًا – لا يزال يجد في كثير من الأحيان معدات معرضة للأخطاء القديمة.

منظمات غير مسبوقةيتواصل NCSC بشكل استباقي مع المنظمات غير المسبوقة التي حددها ، ويشجع أي شخص لا يزال يشغل خادم Exchange في مقر الشركة على التصحيح فورًا ، قبل فحص أنظمته بحثًا عن علامات تدل على وجود التطفل.

جون هولتكويست ، نائب رئيس التحليل في Mandiant Threat قال الذكاء ، على المدى القريب ، إنه يتوقع المزيد من الاستغلال لنقاط الضعف ProxyLogon – لا سيما من قبل الجهات الفاعلة في برامج الفدية ، مع انتشار كلمة DearCry.

“على الرغم من أن العديد من المنظمات التي لم يتم إصلاحها بعد ربما تم استغلالها من قبل جهات التجسس الإلكتروني ، فإن عمليات الفدية الإجرامية قد تشكل خطرًا أكبر لأنها تعطل المنظمات بل وتبتز الضحايا من خلال قال هولتكويست: “يطلقون رسائل البريد الإلكتروني المسروقة”. “يمكن لمشغلي برامج الفدية تحقيق الدخل من وصولهم عن طريق تشفير رسائل البريد الإلكتروني أو التهديد بتسريبها ، وهو أسلوب اعتمدوه مؤخرًا”.

“علاوة على ذلك ، يمكنهم الاستفادة من الوصول المكتسب من خلال الثغرات لمزيد من اختراق الشبكات المستهدفة. لسوء الحظ ، ستكون العديد من المنظمات الضعيفة المتبقية عبارة عن شركات صغيرة ومتوسطة الحجم ، وحكومات حكومية ومحلية ، ومدارس ، والتي ستكافح لمواكبة طوفان الجهات الفاعلة التي تستفيد من هذا الاستغلال المتاح بشكل متزايد “.

قال آندي بارات ، العضو المنتدب لشركة استشارات الأمن السيبراني Coalfire في المملكة المتحدة ، : “من المحتم أن يتم بالفعل استغلال أعداد كبيرة من الشركات البريطانية نتيجة ضعف Microsoft Exchange. هذه هي منصة البريد الإلكتروني الأكثر استخدامًا على هذا الكوكب ، لذا فإن شاغلي الرئيسي هو لآلاف الشركات الصغيرة التي تستخدمها حاليًا ، مع خبرة إلكترونية محدودة داخلية ، والتي ربما تكون قد تعرضت بالفعل للخطر.

“ربما تكون تحذيرات برامج الفدية التي وضعها مركز NCSC مجرد غيض من فيض من حيث يمكن للمتسللين استخراج القيمة من الشركات عبر Exchange. غالبًا ما يكون البريد الإلكتروني جزءًا من سلسلة الموافقة على الفواتير وكشوف المرتبات ، مما يوفر لمجرمي الإنترنت الكثير من الفرص للقيام بالاحتيال عن طريق إرسال فواتير مزيفة أو التظاهر بأنهم من كبار موظفي الشركة. إن مجموعة الأدوات الجاهزة المتاحة لمجرمي الإنترنت على الويب المظلم تعني أيضًا أن عمليات السرقة الرقمية هذه يمكن تنفيذها بمعرفة تقنية محدودة.

“تحتاج أي شركة تستخدم Exchange إلى تثبيت تصحيح Microsoft على الفور ، لكن هذا لن يساعد أولئك الذين تم اختراقهم بالفعل. قال بارات ، بدءًا من الآن ، تحتاج الشركات إلى معرفة ما إذا كان قد تم اختراقها وما هي الأنظمة التي يتم استغلالها “. .

  • تصدر Microsoft أداة التخفيف ProxyLogon بنقرة واحدة
  • يستخدم برنامج الفدية DearCry غير المعتاد نهجًا “نادرًا” للتشفير

     

  •  برنامج الفدية DearCry الذي يؤثر على خوادم Microsoft Exchange

     

     

  •  يصدر NCSC تنبيهًا طارئًا على تصحيح Microsoft Exchange