🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
النوع الاستشاري
ذكاء نقاط الضعفسلسلة CVE
غطاء الكهف
درجة السيرة الذاتية
CVE-2021-268559.1CVE-2021-268577.8CVE-2021-268587.8CVE-2021-270657.8قائمة التهديدات
الهافنيوم (ممثل الدولة القومية)، UNC2639، UNC2640، UNC2643 كريبتومينرز قذائف الويب غير المصرح بها برنامج الفدية Dear Cryالنظام المتأثر
(داخل الشركة فقط) خوادم ميكروسوفت إكسهانج 2019 و2016 و2013منصة
شبابيكملخص تنفيذي
Proxylogon عبارة عن سلسلة من الثغرات الأمنية (CVE-26855/26857/26858/27065) التي يتم استغلالها بنشاط في البرية من قبل عصابات برامج الفدية والجهات الفاعلة في الدولة القومية. هدفهم هو اختراق مثيلات Exchange التي تواجه الإنترنت للحصول على موطئ قدم في الشبكة المستهدفة. يقوم عامل التهديد بمصادقة وصول المستخدم إلى خادم Exchange من خلال استغلال CVE-2021-26855. بعد ذلك، يكتبون قذائف الويب/البرامج الضارة إلى الخادم الضعيف، مما يسمح للمهاجم باستغلال أي من العيوب المدرجة، CVE-26857/26858/27065، مما يؤدي إلى هجوم RCE.حملات الهافنيوم الأخيرة
استنادًا إلى المعلومات الاستخباراتية التي تم جمعها من مصادر مختلفة، في وقت سابق من شهر يناير من هذا العام، ممثل الدولة القومية الهافنيوم خوادم Exchange المستهدفة برموز استغلال يوم الصفر. وبحسب ما ورد، لا تزال الحملة نشطة وتشير إلى تورط الصين في عمليات تجسس تستهدف في الغالب دول أمريكا الشمالية، وتحديداً الكيانات الحكومية وشركات التكنولوجيا. نفذ الهافنيوم إلى جانب الجهات الفاعلة الأخرى مرحلة ما بعد الاستغلال باستخدام الأدوات والتكتيكات التالية:التكتيكات
الإجراء/الأدوات
تنفيذ الأوامرأغلفة ويب ASPX/PHPتفريغ بيانات الاعتمادروندل32 C:\windows\system32\comsvcs.dll مينيدامب lsass.dmpحركة جانبيةPsExecإصرار إضافة مستخدم لحساب النطاقاستخراجأداة سطر أوامر WinRAR لأرشفة البيانات من أجل التصفيةالتفاصيل الفنية
يتصل المهاجمون بخوادم Exchange عبر المنفذ 443 عبر الإنترنت. بمجرد أن يقوم ممثل التهديد بإنشاء اتصال بالخادم المستهدف، فإنه يستفيد من تسلسل استغلال proxylogon لاختراق النظام.CVE-2021-26855 (المصادقة المسبقة) هي ثغرة أمنية لتزوير الطلبات من جانب الخادم (SSRF) في Exchange تسمح للمهاجم بإرسال طلبات HTTP عشوائية ومصادقة خادم Exchange.CVE-2021-26857 (Post-Auth) هي ثغرة غير آمنة لإلغاء التسلسل في خدمة المراسلة الموحدة. إلغاء التسلسل غير الآمن هو المكان الذي يتم فيه إلغاء تسلسل البيانات غير الموثوق بها التي يمكن التحكم فيها من قبل المستخدم بواسطة البرنامج. يمكن للمهاجمين الحصول على امتياز SYSTEM على خادم Exchange الذي يعادل المستخدم الأساسي على أجهزة Linux.CVE-2021-26858 (بعد المصادقة) يكتب الملف التعسفي ثغرة أمنية في Exchange. يربط المهاجم هذا الخلل بثغرة CVE-2021-26855 SSRF أو يعرض بيانات اعتماد المسؤول الشرعي للخطر.CVE-2021-27065 (بعد المصادقة) يكتب الملف التعسفي ثغرة أمنية في Exchange. يربطها المهاجم بثغرة CVE-2021-26855 SSRF أو تعرض بيانات اعتماد المسؤول الشرعي للخطر.التأثير
- يمكن للمهاجمين استرداد رسائل البريد الإلكتروني لأي مستخدم عبر طلبات SOAP XML المصممة خصيصًا والمرسلة إلى الخادم.
- يمكن للمهاجم الحصول على امتياز إداري على الخادم باستخدام إمكانات RCE عن طريق تسلسل ثغرات Proxylogon. وبالتالي، المساس بالوصول الكامل إلى النظام.
- يستهدف المهاجمون خوادم Exchange للحصول على موطئ قدم في الشبكة المستهدفة لنشر برامج الفدية أو برامج التشفير أو لأغراض التجسس لاحقًا.
