طغت هجمات Microsoft Exchange على التصحيح يوم الثلاثاء

10

تحديث Microsoft March يوم الثلاثاء يسقط وسط التداعيات المستمرة لهجمات Exchange واسعة النطاق

نشرت: ١٠ مارس ٢٠٢١ ١١:٤٠

قامت Microsoft بتصحيح ما مجموعه 89 من نقاط الضعف والتعرض الشائعة (CVEs) في أحدث إصدار لها الثلاثاء الثلاثاء التحديث ، الذي تم إسقاطه في 9 مارس ، بما في ذلك 14 خطأ تم تصنيفها على أنها حرجة – لكن الجولة الأخيرة من التحديثات طغت عليها الأزمة النامية حول أربعة من برامج مكافحة التطرف العنيف disclo sed الأسبوع الماضي في تصحيح خارج النطاق لـ Microsoft Exchange Server.

شهد الوضع المستمر عددًا كبيرًا من توجيهات الطوارئ من أجهزة الأمن القومي حول العالم ، وسط تقارير تفيد بأن أكثر من 100،000 منظمة ربما تم اختراقها. وفقًا للقياس عن بُعد الذي جمعه فريق بالو ألتو نتوركس للوحدة 42 ، بلغ عدد الخوادم المعرضة للخطر 33000 في الولايات المتحدة ، و 21000 في ألمانيا ، و 7900 في المملكة المتحدة ، و 5100 في فرنسا ، و 4600 في إيطاليا.

وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) – التي أمرت بالفعل الهيئات الحكومية الأمريكية بتصحيح أنظمة – قالت إنها قررت أن استغلال منتجات Exchange في أماكن العمل يشكل “خطرًا غير مقبول”.

“نشرت CISA صفحة الويب الخاصة بمعالجة نقاط الضعف في Microsoft Exchange والتي تحث بشدة جميع المؤسسات على معالجة الثغرات الأمنية الأخيرة في منتج Microsoft Exchange Server ،” كما جاء في بيان تم تحديثه مؤخرًا.

“بما أن استغلال نقاط الضعف هذه منتشر وعشوائي ، فإن CISA تنصح المنظمات بشدة باتباع الإرشادات المنصوص عليها في صفحة الويب. توفر الإرشادات خطوات محددة لكل من القادة وموظفي أمن تكنولوجيا المعلومات وهي قابلة للتطبيق على جميع أحجام المؤسسات في جميع القطاعات. ”

بدأ ضحايا التنازلات الناشئة عن مكافحة التطرف العنيف التي تم الكشف عنها بالفعل في التعريف بأنفسهم ، ومن بينهم الهيئة المصرفية الأوروبية (EBA) ، وهذا هو الحجم الناشئ للحادث الذي جعل الولايات المتحدة من المفترض أن تقوم الحكومة بتشكيل فريق عمل مخصص للطوارئ.

تيم ماكي ، مدير قال استراتيجي الأمن في Synopsys CyRC (مركز أبحاث الأمن السيبراني) ، إنه على الرغم من أن فرق تكنولوجيا المعلومات والأمن ستكون أكثر استخدامًا لتحديثات ودورات التصحيح المنتظمة ، فمن المهم أيضًا ملاحظة أن المجموعة الحالية من التحديثات لـ Exchange Server تسلط الضوء على الحاجة إلى التحقق لإشارات التسوية.

“الثغرات الأمنية الأربعة في Exchange Server الموجودة في يتم استغلال تحديث التصحيح لهذا الشهر بنشاط لتشكيل جزء من القتل عبر الإنترنت سلسلة ، “قال. “تسمح سلسلة القتل هذه للمهاجمين بترك وراءهم قذائف الويب التي يمكن استخدامها بعد ذلك لتعزيز هجومهم.

“نظرًا لأن قذيفة الويب ليست أكثر من جزء من التعليمات البرمجية الضارة التي تشبه واجهة الويب وتتصرف كواحدة ، فمن السهل إخفاء حركة المرور الضارة المتدفقة من واجهة ويب واحدة على خوادم الإنتاج مثل Microsoft تبادل.

“طبعا بما أن المهاجمين يحددون قواعد مشاركتهم ، ما تفعله قذيفة الويب هذا متروك لهم. هذا يعني أنه يمكنهم تجربة أي شيء من سرقة البيانات من الخادم إلى استخدام موارد الخادم لتشغيل برامج التشفير.

“في حالة تصحيحات Exchange Server هذه ، فإن تصحيح خادم Exchange ببساطة ليس كافيًا كما لو كانت هناك علامات على التسوية ، فستحتاج إلى تشغيل خطة الاستجابة للحوادث وتنفيذ بعض الأدلة الجنائية تحليل لتحديد مدى أي ضرر حدث. ”

آخر يتضمن التحديث أيضًا تصحيحات لتغطية العديد من الإصدارات غير المدعومة من Microsoft Exchange Server – وهو حدث نادر يشير إلى شدة الهجمات ومدى وصولها.

بصرف النظر عن مشكلات البورصة ، لخص ألان ليسكا من ريكورديد فيوتشر بعض نقاط الضعف الأكثر بروزًا التي يجب على مسؤولي أمن المعلومات وفرقهم الانتباه إليها هذا الشهر.

“بدءًا من CVE-2021-27077 ، رفع مستوى Windows Win32k من الثغرات الأمنية ، t تؤثر ثغراته على نظامي التشغيل Windows 7-10 و Windows Server 2008-2019 “. “إنها ثغرة أمنية لتصعيد الامتيازات المحلية تم الإبلاغ عنها لأول مرة من قبل مبادرة Zero Day Initiative من Trend Micro في يناير.

“لا يُعتقد أن هذه الثغرة الأمنية يتم استغلالها في البرية ، ولكن طول الفترة الزمنية بين الكشف الأولي والإفراج عن التصحيح يجب أن يكون مدعاة للقلق لأنه قد يكون قد أعطى الجهات الفاعلة في التهديد الخبيث فرصة لمعرفة الثغرة الأمنية واستغلالها. ثغرة مماثلة ، اكتشفتها أيضًا مبادرة Zero Day وتم الإبلاغ عنها العام الماضي ، CVE-2020-0792 ، لم يتم استغلالها على نطاق واسع.

“ثغرة يوم الصفر الأخرى التي تم تصحيحها هذا الشهر هي CVE-2021-26411. هذه ثغرة أمنية تتعلق بفساد ذاكرة Internet Explorer والتي يتم استغلالها حاليًا في البرية ، وتحديداً ضد أهداف كورية جنوبية. إذا كانت مؤسستك لا تزال تشغل Internet Explorer من Microsoft ، فيجب أن تكون هذه أولوية للتصحيح. ”

أبرز ليسكا أيضًا ستة أخطاء في Microsoft DNS – وهو اتجاه مستمر – جدير بالملاحظة بشكل خاص. هذه هي CVEs 2021-26877 و -26893 و -26894 و -26896 و -26895 -26896 و -27063. من بين هذه ، قال ، يجب إعطاء الأولوية -26877 و -26893 حتى -26895 لأنها ثغرات أمنية عن بُعد (RCE) تؤثر على DNS على Windows Server 2008 حتى عام 2016 ، على الرغم من تصنيفها على أنها مهمة فقط ، مما قد يعكس بعضًا صعوبة استغلالهم. النوعان الآخران من CVEs المذكورين أعلاه هما ثغرات أمنية لرفض الخدمة تؤثر على خوادم DNS على Windows 2008 حتى 2019 ، كما تم تصنيفهما على أنهما مهمان.

وأضاف: “أخيرًا ، هناك ثغرة أمنية تتعلق برفع الامتياز في برنامج تشغيل DirectX على نظامي التشغيل Windows 10 و Windows Server 2019. هذه الثغرة الأمنية ، CVE-2021 -24095 ، يمكن أن يسمح للمهاجمين بالحصول على امتياز الوصول إلى نظام لديهم وجود بالفعل. بينما تصنف Microsoft هذه الثغرة الأمنية على أنها “احتمال أكبر” ، يبدو أن DirectX قد تراجعت عن شعبيتها في السنوات الأخيرة. هناك القليل من الأدلة على أن ثغرات DirectX الأخيرة قد تم استغلالها على نطاق واسع في البرية. ”

تلوح في الأفق إصدارات Exchange Server خلال March Patch Tuesday

Mandiant: تم استغلال أخطاء MS Exchange لأول مرة في يناير

 

تصحيح الطوارئ يعالج خادم تبادل مايكروسوفت صفر أيام