آسیب‌پذیری Proxyshell چیست؟

ترکیبی از 3 آسیب‌پذیری CVE-2021-34473، CVE-2021-34523 و CVE-2021-31207 است که با هم برای اجرای کد از راه دور و افزایش امتیاز استفاده می‌شوند. در ادامه توضیحات هر یک و نحوه‌ی استفاده از آنها را با هم مرور می‌کنیم.

CVE-2021-34473: این یک آسیب‌پذیری اجرای کد از راه دور بر روی Microsoft Exchange  است. یک نقص اصلی در سرویس Autodiscover وجود دارد که ناشی از اعتبار سنجی نادرست URI قبل از دسترسی به منابع است. یک مهاجم می‌تواند از این مورد همراه با آسیب‌پذیری‌های دیگر برای اجرای کد دلخواه مهاجم را در کانتکس کاربر «System» که معمولاً دسترسی سطح ادمین دارد، استفاده کند.

CVE-2021-34523: این یکی دیگر از آسیب‌پذیری بر روی سرویس ایمیل مایکروسافت (Exchange) است که در آن اعتبار سنجی توکن دسترسی قبل از PowerShell، نامناسب است. موجودیتی که از این نقص استفاده می‌کند می‌تواند دسترسی کاربر “سیستم” را به دست آورد که به نوبه خود دسترسی Admin دارد.

این آسیب‌پذیری به دلیل نقص در مدیریت اکسپورت در صندوق پستی(Mailbox) وجود دارد. این مشکل به دلیل عدم اعتبارسنجی مناسب داده‌های ارائه شده توسط کاربر و آپلود فایل‌های دلخواه رخ می‌دهد. یک مهاجم می‌تواند از این نقص برای دسترسی با امتیاز سطح “سیستم” استفاده کند. اغلب افراد، پروکسی شل را با پروکسی لوگون اشتباه می‌گیرند. لاگین پروکسی توسط یک مهاجم سایبری شناخته شده  به نام «هافنیوم» ، در 21 مارس برای حمله به چندین سرور تبادل استفاده شد. آسیب‌پذیری‌های مرتبط با هر دوی اینها با هم متفاوت است. در لاگین پراکسی، 2 آسیب‌پذیری مرتبط CVE-2021-26855 (آسیب‌پذیری دور زدن احراز هویت سرور تبادل) و CVE-2021-27065 (آسیب‌پذیری نوشتن فایل دلخواه Post Auth) بودند.

 

سوال اصلی این است که چه چیزی آسیب‌پذیری Proxyshell را تا این حد کشنده می‌کند؟

  1. از آنجایی که Proxyshell ترکیبی از 3 آسیب‌پذیری با هر 3 آسیب پذیری حیاتی است، بهره‌برداری از آن منجر به نشت گسترده داده می‌شود.
  2. این آسیب‌پذیری در سرور Microsoft Exchange وجود دارد که حتی اکنون در عصر ابری نیز به‌طور گسترده مورد استفاده قرار می‌گیرد. از این رو یک زیرساخت حیاتی تحت تأثیر قرار می‌گیرد.
  3. با توجه به اینکه سرورهای Microsoft Exchange معمولاً بر روی اینترنت قرار می‌گیرند، به راحتی برای مهاجمین قابل دسترسی است.

مراحل انجام حمله با استفاده از این آسیب‌پذیری‌ها را هم مرور می‌کنیم:

مرحله 1: CVE-2021-34473

انجام حمله SSRF علیه Autodiscover و درخواست آدرس ایمیل برای شروع حمله.

سرویس Auto Discover‌، با ایجاد یک اتصال خودکار بین سرورهای Exchange Server و Outlook 2007 بدون نیاز به استفاده از اسکریپت‌های خاص، بدون مداخله پٌرمشقت کاربر یا بدون ابزارهایی مانند Custom Installation Wizard از Office Resource Kit، استقرار کلاینت Outlook را ساده می‌کند.

مهاجم، درخواست را به سرورهای مورد نظر ارسال می‌کند و در صورت عدم بازگشت کد وضعیت HTTP 200، درخواست انجام نمی‌شود. اگر اطلاعات قدیمی در پاسخ نباشد، درخواست ناموفق خواهد بود و سعی می‌کند نام متمایز قدیمی را بدست آورد. مقادیر DN قدیمی معمولاً شبیه به این هستند:

/o=Organisation/ou=Administrative Group/cn= Recipients/cn=Username

مرحله 2: CVE-2021-34473

DN قدیمی که با موفقیت به‌ دست آمده است با هدف استفاده می‌شود و حمله SSRF را برای به دست آوردن شناسه امنیتی (SID) با استفاده از MAPI Emsmdb انجام می‌دهد، MAPI EMSMDB به Exchange Transport، EMSMDB32 اشاره دارد و EMSABP به معنای ارائه‌دهنده کتاب آدرس Exchange، EMSABP32 است. MAPI یک API است که تا حد زیادی در MAPI32.DLL پیاده‌سازی شده است.

بدنه MAPI نادرست دیگر، SID را با استفاده از SSRF (جعل درخواست سمت سرور) و با افزودن مقادیر تصادفی (در این مورد 0 0 0 0 0 228 4 0 0 9 4 0 0 9 4 0 0 0 0 0 0) به DN قدیمی دریافت می‌کند.

درخواست Post HTTP ویژگی کشف خودکار نامیده می‌شود. اگر درخواست پست مخرب ناموفق باشد یا وضعیت حاوی صندوق پستی کاربر نباشد، مرحله 2 با شکست مواجه می‌شود. اگر در هر صورت، موفقیت‌آمیز باشد، SID را دریافت می‌کند. اگر SID ادمین نباشد، با افزودن 500 به آن، آن را مدیر محلی می‌کند.

برای یادگیری بیشتر این مرحله، درباره‌ی ابزار DnsTwist – رویکرد پیشگیرانه برای رسیدگی به پرونده‌های فیشینگ – مطالعه کنید.

مرحله 3: CVE-2021-34523 و CVE-2021-31207

با SID ادمین، اکنون می‌توانیم با ارسال یک محتوای دلخواه از طریق ویژگی Autodiscover، به Powershell دسترسی پیدا کنیم.

در صورتی که امکان دسترسی به وب سایت از طریق رخنه وجود داشته باشد، با استفاده از PowerShell می‌توانید کد دلخواه را اجرا کنید.

مرحله 4: CVE-2021-34523

شما ویژگی WSMV (پروتکل مدیریت وب سرویس) را با استفاده از دسترسی PowerShell مدیریت می‌کنید و برای مرحله نهایی اجرای اکسپلویت آماده می‌شوید. تقریباً هر روز شاهد اجرای IOC‌های اکسپلویت هستیم.

برای مطالعه بیشتر می‌توانید آخرین IOC – نشانی‌های اینترنتی عامل تهدید، IP و هش بدافزارها را بررسی کنید.

توصیه‌های امنیتی که باید رعایت شود عبارتند از:

  1. پچ‌ها توسط مایکروسافت منتشر شده است. اطمینان حاصل کنید که آنها به روز هستند.
  2. اگر این امکان وجود ندارد، لطفاً از نظارت بر فعالیت‌های مشکوک با استفاده از فایروال اطمینان حاصل کنید.
  3. اطمینان حاصل کنید که فروشندگان IPS و Endpoint شما با امضاهایی برای شناسایی این تهدیدات به روز شده‌اند.
  4. Sysmon را بر روی سرور Exchange‌، به طور خاص، نصب کرده و بر روی فعالیت‌های مرتبط با proxyshell نظارت کنید تا اکسپورت فایل دلخواه را شناسایی کند.
  5. قوانین siem را متناسب با رویدادهای دریافت شده از Sysmon به روز کنید.