IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Exchange Server

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

سوءاستفاده از نرم افزار Exchange Server برای اجرای باج افزار DearCry

 

در حال حاضر، بیش از 80،000 سرور در معرض باج افزار DearCry قرار دارند. مایکروسافت نیز از مشتریان خود خواسته است تا وصله های صادر شده در هفته گذشته را نصب کنند.

هفته گذشته مایکروسافت فاش کرد که سرور Exchange Email این شرکت توسط هکرهای چینی هدف قرار گرفته است و پس از آن 30000 سازمان در سراسر جهان را در معرض خطر قرار داده است. این سازمان ها شامل سازمان بانکی اروپا (EBA) است که قبلاً تایید کرده است که هکرها در سیستم ایمیل آن نفوذ کرده بودند.

اکنون مایکروسافت عوامل تهاجمی جدیدی را شناسایی کرده است که باج افزار DearCry را بر روی سیستم هایی که به آخرین نسخه به روز نمی شوند، اجرا می کنند؛ به این معنی که سرور Exchange Email آنها هنوز بروزرسانی نشده و همچنان در معرض حمله است.

هشدارهای مایکروسافت درباره شاخه های دیگری از باج افزارDearCry

مایکروسافت هشداری را منتشر کرده است تا به کاربران Exchange در مورد آسیب های جدید باج افزار با نام DearCry هشدار دهد. براساس توئیتی که از طرف تیم امنیتی اطلاعاتی مایکروسافت منتشر شده است، هکرها برای قرار دادن باج افزار DearCry در سیستمها، سرورهای Exchange بروزرسانی ندشه موجود را هدف قرار داده اند.

به گفته مایکروسافت، هکرها به طور خاص سرورهایی را هدف قرار می دهند که هنوز در معرض چهار آسیب پذیری هستند که هکرهای حمایت شده از دولت چین از آنها سو استفاده کرده اند. توییت ذکر شده، به شرح زیر میباشد:

"ما خانواده جدیدی از باج افزارها را که پس از به خطر افتادن اولیه سرورهای Exchange بروزرسانی نشده و استفاده می شوند را شناسایی کرده و در حال حاضر آنها را مسدود کرده ایم. مایکروسافت در برابر این تهدید معروف به Ransom: Win32 / DoejoCrypt.A و همچنین DearCry محافظت می نماید".

هک سرور هافنیوم که قبلاً شناسایی شده بود، انگیزه جاسوسی داشتند. اما بالعکس، کمپانی ESET گزارش داده است که حداقل ده گروه هک تحت حمایت دولت در تلاشند تا از نقص های بروزرسانی نشده سرور Exchange سوءاستفاده کنند.

آنها شامل گروه Winniti ، Tick ، ​​Calypso ، LuckyMouse (APT27) است که قصد دارتد سرورهای Exchange را به خطر بیاندازد. در مقابل، حملات و تهاجم های تازه کشف شده به وضوح در راستای مقاصد مجرمانه پیش می روند.

کاربران سرورExchange، بروزرسانی ها را اعمال کنند

مایکروسافت همچنین با انتشار توییتی، از کاربران خواسته است تا بروزرسانی های اضطراری هفته گذشته خود را که بر سرورهای ایمیل داخلی Exchange تأثیر می گذارند، اعمال نمایند.

فیلیپ میسنر، از محققین مایکروسافت در توئیتر خود نوشت که مجرمان اینترنتی در تلاشند تا از نقایص سرور ProxyLogon Exchange  که به شدت مورد سوءاستفاده قرار گرفته است، برای نصب باج افزار DearCry استفاده کنند.

میسنر در توئیت خود نوشت: "حملات باج افزارهای که توسط کاربران انسانی و نه ربات مدیریت میشوند، از نقاط آسیب پذیر مایکروسافت Exchange برای سوءاستفاده از مشتریان بهره برداری می کنند".

این شرکت توییت کرد که کاربران مایکروسافت Defender که بروزرسانی خودکار را فعال کرده اند نیازی به اقدام ویژه ای ندارند، اما کاربران Exchange Server باید بلافاصله بروزرسانی های امنیتی را نصب نمایند.

توییت مایکروسافت

مشتریان Microsoft Defender که از بروزرسانی های خودکار استفاده می کنند برای دریافت این بروزرسانی های امنیتی، نیازی به اقدامات اضافی ندارند. مشتریان Exchange Server باید بروزرسانی های امنیتی را که در اینجا ذکر شده است، در اولویت قرار دهند. (امنیت اطلاعات مایکروسافت، 12 مارس سال 2021 میلادی)

حدود 80،000 سرور هنوز بروزرسانی نشده اند

باج افزار DearCry از رفع آسیب پذیری از طریق بروزرسانی ویندوز جلوگیری می کند و می تواند همه پرونده ها را رمزگذاری کرده و یک متن برای دریافت باج در دسکتاپ قربانی نمایش دهد. مایکروسافت یک بروزرسانی را برای جلوگیری از این آسیب، حدود ده روز پیش منتشر کرده است.

با این حال، به گفته مت کرانینگ، مدیر ارشد فناوری Palo Alto Networks، هنوز هم 80،000 سرور قدیمی بروزرسانی نشده اند. این نرخ برای هر سیستمی که به یک وصله امنیتی احتیاج دارد و به اندازه مایکروسافت Exchange بسیار پیچیده و گسترده است ، نرخ بالایی محسوب میگردد.

مت کرانینگ افزود: "در حال حاضر ما از سازمان هایی که همه نسخه های Exchange را اجرا می کنند، میخواهیم قبل از اینکه در معرض خطر قرار بگیرند، سیستم خود را بروزرسانی کنند؛ زیرا ما می دانیم که مهاجمان حداقل از دو ماه قبل از انتشار بروزرسانی مایکروسافت در 2 مارس ، از آسیب پذیری های روز صفر تا حد امکان سوءاستفاده می کردند".