تم استغلال CVEs Microsoft Exchange على نطاق واسع أكثر مما كان يعتقد

14

 

تصدر CISA الأمريكية إرشادات الطوارئ حيث أصبح تأثير أربع ثغرات أمنية تم الكشف عنها مؤخرًا في Microsoft Exchange أكثر وضوحًا

نشرت: 4 آذار (مارس) 2021 14:49

أصدرت وكالة الأمن السيبراني وأمن البنية التحتية التابعة للحكومة الأمريكية (CISA) توجيهًا طارئًا يحذر جميع الإدارات والوكالات المدنية الحكومية العاملة تثبيت Microsoft Exchange محليًا لتحديث المنتج أو فصله بسبب تأثير أربع ثغرات أمنية تم الكشف عنها حديثًا – CVE-2021-26855 و CVE-2021-26857 و CVE-2021-26858 و CVE-2021-27065 – ينتشر.

كما دعت CISA الوكالات الأمريكية لجمع صور الطب الشرعي والبحث عن مؤشرات معروفة للتسوية (IOCs) ردًا على الاستغلال النشط لنقاط الضعف ، والتي لديها طلب تصحيحًا خارج التسلسل من Microsoft.

“سيساعدنا توجيه الطوارئ هذا على تأمين الشبكات الفيدرالية ضد التهديد الفوري بينما تعمل CISA مع وكالاتها المشتركة قال القائم بأعمال مدير CISA براندون ويلز: “شركاء لفهم تقنيات الجهات الفاعلة الخبيثة ودوافعها للمشاركة مع أصحاب المصلحة لدينا بشكل أفضل”.

“تعكس السرعة التي أصدر بها CISA هذا التوجيه الطارئ مدى خطورة هذا الضعف وأهمية جميع المنظمات – في الحكومة والقطاع الخاص – في اتخذ خطوات لمعالجته. ”

علق خبير الأمن الحكومي Nominet ستيف فوربس:” توجيه CISA … للوكالات للإبلاغ عن مستوى تعرضها ، قم بتطبيق الإصلاحات الأمنية ، أو فصل البرنامج ، هي الأحدث في سلسلة من توجيهات الطوارئ المنتظمة بشكل متزايد والتي أصدرتها الوكالة منذ إنشائها قبل عامين.

وقال: “نقاط الضعف مثل هذه تظهر ضرورة هذه الإجراءات الوقائية الوطنية المنسقة للتخفيف بكفاءة وفعالية من آثار الهجمات التي يمكن أن يكون لها تداعيات كبيرة على الأمن القومي”.

[And] الحذر من جانب مؤسسات القطاع العام – أصدر المركز الوطني للأمن السيبراني في المملكة المتحدة أيضًا تنبيهًا – يبدو جيدًا ، حيث إن الأمن يدرس الباحثون والمراقبون من جميع أنحاء العالم نقاط الضعف ، قائلين إنها ربما يتم استغلالها على نطاق أوسع بكثير مما قد يعنيه كشف Microsoft.

“السرعة التي أصدر بها المجلس الهندي لأمريكا الجنوبية (CISA) هذا التوجيه الطارئ يعكس مدى جدية هذا الأمر الضعف وأهمية جميع المنظمات – في الحكومة والقطاع الخاص – لاتخاذ خطوات لمعالجتها ” براندون ويلز ، CISA

بينما وصف ريدموند الهجمات بأنها مستهدفة ومحدودة – ومن المحتمل أن تكون مصدرها ممثل صيني مدعوم من الدولة يُعرف باسم هافنيوم في مصفوفة التصنيف الخاصة به – قال جون هاموند من Huntress Security إن عمليات الفحص التي أجراها حددت أكثر من 200 خادم من شركائه. التي تلقت حمولات شبكة الويب وفقًا لإفصاح Microsoft.

“لا تتوافق هذه الشركات تمامًا مع إرشادات Microsoft نظرًا لأن بعض الأشخاص عبارة عن فنادق صغيرة ، شركة كريم ، وهي شركة لتصنيع أجهزة المطبخ ، والعديد من مجتمعات كبار السن وغيرها من الشركات المتوسطة “، قال هاموند.

” نحن لقد شهدنا أيضًا العديد من الضحايا الحكوميين في المدينة والمقاطعة ، ومقدمي الرعاية الصحية ، والبنوك [and] والمؤسسات المالية ، والعديد من مزودي الكهرباء السكنية. ”

قال هاموند أنه من بين الخوادم الضعيفة ، عثرت عمليات المسح التي أجراها على أكثر من 350 قذيفة ويب (قد يكون لدى بعض العملاء أكثر من واحدة) مما قد يشير إلى النشر الآلي أو عدة جهات فاعلة غير منسقة. وأضاف أن نقاط النهاية التي تمت ملاحظتها تحتوي على برامج مكافحة فيروسات أو اكتشاف نقاط النهاية والاستجابة لها ، ولكن يبدو أن الجهات الفاعلة في التهديد تتخطى معظم المنتجات الدفاعية ، مما يجعل التصحيح أكثر أهمية.

“مع نظرة ثاقبة من المجتمع ، رأينا مهاجمة مواضع الجذب ، مما يوضح أن الجهات الفاعلة في التهديد تقوم فقط بمسح الإنترنت بحثًا عن ثمار متدلية” ، كما قال.

“هذه الهجمات خطيرة بسبب حقيقة أن كل بريد إلكتروني لمنظمة [relies on] و Microsoft Exchange يستخدم على نطاق واسع. عادة ما تكون هذه الخوادم متاحة للجمهور على الإنترنت المفتوح ويمكن استغلالها عن بُعد. يمكن الاستفادة من هذه الثغرات الأمنية للحصول على تنفيذ التعليمات البرمجية عن بُعد وتعريض الهدف للخطر بشكل كامل. من هناك ، يتمتع المهاجمون بموطئ قدم في الشبكة ويمكنهم توسيع نطاق وصولهم وإلحاق المزيد من الضرر “.

قالت كاتي نيكلز ، مديرة استخبارات ريد كناري ، إنها ، أيضًا ، كان يراقب نشاطًا متعلقًا باستغلال نقاط الضعف التي تم الكشف عنها ، ولكن كانت هناك بعض الأخبار الجيدة في أنه ، في هذه الحالة ، يمكن اكتشاف نشاط ما بعد الاستغلال بشكل كبير.

“لن نكون قادرين أبدًا على إيقاف الصفر ، لكن المنظمات التي تمارس الدفاع المتعمق وتحافظ على التحليلات السلوكية للتنبيه بشأن الهجمات الشائعة يجب أن تشعر بالثقة بشأن قدرتها على اكتشاف هذا النشاط” ، قالت.

“بعض الأنشطة التي لاحظناها تستخدم غلاف الويب China Chopper ، والذي كان موجودًا منذ أكثر من ثماني سنوات ، مما يمنح المدافعين متسعًا من الوقت لتطوير الاكتشاف منطق لذلك. [And] بينما لا يمكننا أبدًا منع جميع أشكال الاستغلال تمامًا ، يمكن للمدافعين العمل على تقليل الوقت الذي يستغرقه تحديد نشاط ما بعد الاستغلال. من خلال الإمساك به في أسرع وقت ممكن ، يمكنهم منع الخصوم من الحصول على موطئ قدم إضافي في بيئتهم والتسبب في أضرار كبيرة “.

يستمر المحتوى أدناه