كانت النسخ الاحتياطية والتصحيحات التي تصحح الثغرات الأمنية إحدى أكثر المشكلات إشكالية في مجال تكنولوجيا المعلومات لسنوات عديدة. وإذا كانت الأمور أفضل مع النسخ الاحتياطي (على الرغم من أن الحكاية عن مسؤولي النظام الذين لا يقومون بعمل نسخ احتياطية أو يقومون بعملها بالفعل ستكون ذات صلة لفترة طويلة) ، فكل شيء محزن فيما يتعلق بالأمان. القصة مع Garmin هي تأكيد آخر على ذلك.
التمويل المتبقي وآمال "الصدفة" وعوامل أخرى تؤدي إلى حدوث تسريبات وعمليات اقتحام منتظمة. لكن الأشياء لا تزال موجودة. Cloud4Y أكثر من مرة المشتركة قصص مضحكة حول الأمن التسريبات و الخارقة . وإليكم قصة أخرى تؤكد فقط جمود الشركات في قضية تبدو مهمة مثل أمن البيانات.
ما المشكلة
مرة أخرى في فبراير 2020 ، قامت Microsoft بتصحيح الثغرة الأمنية CVE-2020-0688 التي تؤثر على خوادم Microsoft Exchange. هذه الثغرة الأمنية موجودة في مكون لوحة تحكم Exchange (ECP) وتسمح للمهاجمين باختطاف خوادم Microsoft Exchange المعرضة للخطر باستخدام أي بيانات اعتماد بريد إلكتروني صالحة مسروقة سابقًا. للتأكيد على أهمية المشكلة ، أضافت الشركة علامة الاستغلال الأكثر احتمالًا للضعف "الاستغلال محتمل للغاية" ، في إشارة إلى أن الثغرة الأمنية هي هدف جذاب للمهاجمين.
يرتبط خطأ خطير بعمل مكون ECP. لا يمكن لـ Exchange إنشاء مفاتيح تشفير فريدة أثناء التثبيت ، مما يمنح المهاجمين الذين يجتازون مرحلة المصادقة القدرة على تنفيذ تعليمات برمجية عشوائية عن بعد بامتيازات SYSTEM وتعريض الخادم الضعيف للخطر تمامًا.
بالمناسبة ، مرحلة المصادقة نفسها ليست مشكلة أيضًا. يمكن للمهاجمين تمريرها باستخدام أدوات لجمع المعلومات حول موظفي الشركة عبر LinkedIn. ثم استخدم المعلومات التي تم جمعها ، إلى جانب حشو بيانات الاعتماد ، مقابل Outlook Web Access (OWA) و ECP.
في فبراير ، حذر خبراء أمنيون من أنهم يقومون بمسح الشبكة بحثًا عن خوادم Microsoft Exchange المعرضة للخطر. لتنفيذ الهجوم ، كل ما كان عليهم فعله هو تحديد الخوادم المعرضة للخطر ، والعثور على عناوين البريد الإلكتروني التي يمكن الحصول عليها من عنوان URL لعميل الويب OWA ، أو جمع البيانات من التسريبات السابقة. إذا كان المهاجم قادرًا على الانتقال إلى خادم Exchange ، فيمكنه إفشاء رسائل البريد الإلكتروني الخاصة بالشركة أو انتحالها.
كما أصدرت وكالتان غربيتان لأمن المعلومات ، NSA و CISA ، تحذيرات تدعو إلى التثبيت الفوري للتصحيح CVE-2020-0688 ، مشيرة إلى حالات استغلال هذه الثغرة الأمنية من قبل مجموعات من المتسللين.
غلي ونسي
ولكن ، كما يحدث في كثير من الأحيان ، لم ينتبه الجميع فقط إلى الضجيج (ج). تجاهلت معظم الشركات التهديد. بعد شهرين ، استخدمت شركات الأمن السيبراني Rapid7 أداة الويب Project Sonar لاكتشاف جميع خوادم Exchange العامة على الإنترنت. وكانت النتائج محزنة للغاية.
ووجدوا أن ما لا يقل عن 357،629 (82.5٪) من 433،464 خادم Exchange لا يزال مفتوحًا للهجمات التي تستغل الثغرة الأمنية CVE-2020-0688.
قد تظل بعض الخوادم التي تم وضع علامة عليها بواسطة Rapid7 على أنها محمية من الهجمات عرضة للهجوم لأن تصحيح Microsoft لم يقم بتحديث جميع إصدارات نظام التشغيل. لكن هذا ليس كل شيء. وجد الباحثون ما يقرب من 11000 خادم يعمل بنظام Microsoft Exchange 2007 باستخدام برنامج نهاية الدعم (EoS) ، والذي أنهى الدعم في عام 2017 ، و 166000 خادم يعمل بنظام Microsoft Exchange 2010 ، والذي سينهي الدعم في أكتوبر 2020. توجت الكعكة بالمعلومات التي تفيد بأن ما يقرب من 31 ألف خادم Microsoft Exchange 2010 متصل بالإنترنت ، والتي لم يتم تحديثها منذ عام 2012 ، و 800 منها لم يتم تحديثها أبدًا.
سوف نقرر فيما بعد على من يقع اللوم. ماذا أفعل؟
بطريقة ودية ، من الضروري ليس فقط تثبيت التصحيحات ، ولكن أيضًا لتحديد ما إذا كان المهاجمون قد حاولوا استغلال الثغرة الأمنية. نظرًا لأنه يجب على المهاجمين التحكم في حساب واحد على الأقل للقيام بذلك ، يجب اعتبار أي حساب مرتبط بمحاولة الاستغلال مخترقًا.
يمكن اكتشاف حسابات المستخدمين المخترقة التي تم استخدامها للهجوم على خوادم Exchange عن طريق التحقق من سجلات أحداث Windows و IIS بحثًا عن أجزاء من الحمولة المشفرة ، بما في ذلك النص "حالة العرض غير الصالحة" أو السلسلة "__VIEWSTATE" و "__VIEWSTATEGENERATOR" في طلبات الاستعلام في المسار في الدليل / ecp.
الطريقة الوحيدة التي يجب أن يُنظر إليها على أنها ذات مغزى هي تثبيت تصحيحات على خوادمك قبل أن يعثر عليها المتسللون ويخترقون شبكتك بالكامل. خلاف ذلك ، قد يكون من الضروري تغيير جميع حسابات المستخدمين وكلمات المرور المسروقة.
تتوفر روابط تنزيل تحديثات الأمان للإصدارات المتأثرة من Microsoft Exchange Server ومقالات قاعدة المعارف ذات الصلة في الجدول أدناه:
| إصدار MS Exchange | مقالة - سلعة | رقعة قماشية |
| مجموعة تحديثات Microsoft Exchange Server 2010 Service Pack 3 30 | 4536989 | تحديث الأمان |
| التحديث التراكمي لـ Microsoft Exchange Server 2013 23 | 4536988 | تحديث الأمان |
| التحديث التراكمي لـ Microsoft Exchange Server 2016 14 | 4536987 | تحديث الأمان |
| التحديث التراكمي لـ Microsoft Exchange Server 2016 15 | 4536987 | تحديث الأمان |
| التحديث التراكمي لـ Microsoft Exchange Server 2019 3 | 4536987 | تحديث الأمان |
| التحديث التراكمي لـ Microsoft Exchange Server 2019 4 | 4536987 | تحديث الأمان |
لا تنسى الأمان. إن نقص الحماية بعد أشهر قليلة من إطلاق اللصقة أمر محزن للغاية.
ما هي الأشياء المفيدة الأخرى التي يمكنك قراءتها في مدونة Cloud4Y
→ يغني الذكاء الاصطناعي عن الثورة
→ ما هي هندسة الكون؟
← هل نحتاج إلى السحب في الفضاء
← بيض عيد الفصح على الخرائط الطبوغرافية لسويسرا
← الفائزون في مسابقة بدء التشغيل The Europas Awards 2020
اشترك في قناة Telegram الخاصة بنا حتى لا تفوتك مقالة أخرى. لا نكتب أكثر من مرتين في الأسبوع وفقط عن العمل. بالمناسبة ، عقدنا مؤخرًا ندوة عبر الإنترنت حول حساب التكلفة الإجمالية للملكية لمشاريع تكنولوجيا المعلومات ، حيث أجبنا على الأسئلة الملحة. إذا كنت مهتمًا - ويلكوم!