به گزارش کارگروه امنیت مایکروسافت؛ مایکروسافت امروز به ادمین ها هشدار داد تا یک آسیب پذیری بسیار جدی در سرور اکسچنج مایکروسافت را اصلاح کنند. این آسیب پذیری می تواند امکان اجرای از راه دور کد بر روی سرورهای آسیب پذیر را برای مهاجمین مهیا کند.
این نقص امنیتی (CVE-2021-42321) سرور اکسچنج 2016 و 2019 را تحت الشعاع قرار می دهد. طبق گزارش شرکت امنیتی ردموند، این نقص به دلیل اعتبارسنجی نا مناسب کامندلت یا همان cmdlet (یک دستور ساده در پاور شِل) به وجود آمده است.
CVE-2021-42321 تنها سرورهای محلی و درون شبکه ای مایکروسافت اکسچنج را تحت تاثیر قرار می دهد.
شرکت مایکروسافت گفت:
توصیه ما، نصب هر چه سریع تر آپدیت ها برای حفاظت از محیط کاربری تان می باشد.
مایکروسافت در ماه سپتامبر ویژگی جدیدی به نام Microsoft Exchange Emergency Mitigation را به سرور اکسچنج این شرکت اضافه کرد که به طور خودکار از سرورهای آسیب پذیر اکسچنج محافظت می کند.
اما شرکت ردموند در گزارش این ماه خود در مورد آپدیت های امنیتی، اشاره ای به استفاده از این ویژگی جدید نکرده است.
ادمین های اکسچنج از شروع سال 2021 با دو موج حمله به آسیب پذیری های ProxyShell و ProxyLogon دست و پنجه نرم کرده است.
بازیگران مخرب متعددی از شروع ماه مارس اقدام به بهره برداری از کدهای مخرب ProxyLogon کردند تا بتوانند با استفاده از بدافزارهای مختلف، 250 هزار سرور مایکروسافت اکسچنج را مورد هدف قرار دهند. این سرورها متعلق به ده ها هزار سازمان مختلف در سرتاسر جهان بودند.
چهار ماه پس از این اتفاق، آمریکا و متحدانش از جمله اتحادیه اروپا، بریتانیا و ناتو، به صورت رسمی چین را مسئول این کمپین هکری گسترده معرفی کردند.
مهاجمین در ماه آگوست نیز با استفاده از آسیب پذیری های ProxyShell اقدام به اسکن و هک سرورهای اکسچنجی کردند. در ابتدای کار، پی لودهای کارگذاری شده در سرورهای اکسچنج بی خطر بودند اما بازیگران مخرب پس از آن، شروع به استفاده از پی لودهای باج افزار LockFile کردند که از طریق دامین های هک شده ویندوز انتقال داده شده بودند. (با استفاده از کدهای مخرب PetitPotam)
