آخرین اخبار
هشدار اضطراری مرکز مدیریت راهبردی افتا در ارتباط با آسیب‌پذیری‌های اخیر Microsoft Exchange شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخه‌های مختلف Microsoft Exchange ترمیم کرده است. شواهد حاکی از آن است که مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند. سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.
در این راستا اقدامات زیر توصیه می‌شود:
1.    جدا سازی موقت سرورهای Exchange از شبکه
2.    بررسی فارنزیکی سرورهای Exchange
2.1.    بررسی شواهد نفوذ زیر
•    درخواست‌های HTTP POST به مسیرهای زیر
  •     /owa/auth/Current/themes/resources/logon.css
  •     /owa/auth/Current/themes/resources/owafont_ja.css
  •     /owa/auth/Current/themes/resources/lgnbotl.gif
  •     /owa/auth/Current/themes/resources/owafont_ko.css
  •     /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
  •     /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
  •     /owa/auth/Current/themes/resources/lgnbotl.gif

•    وجود رشته‌ای شبیه عبارت زیر در لاگ‌های ECP (مسیر <exchange install path>\Logging\ECP\Server\)
  •     S:CMD=Set-OabVirtualDirectory.ExternalUrl='

•    وجود فایل‌های aspx. در مسیرهای زیر (وب شل)
  •     \inetpub\wwwroot\aspnet_client\ (any .aspx file under this folder or sub folders)
  •     \<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)
  •     \<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a standard install)
  •     \<exchange install path>\FrontEnd\HttpProxy\owa\auth\Current\ (any aspx file in this folder or subfolders)
  •     \<exchange install path>\FrontEnd\HttpProxy\owa\auth\<folder with version number>\ (any aspx file in this folder or subfolders)
•    وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /owa/auth/Current
  •     DuckDuckBot/1.0;+(+http://duckduckgo.com/duckduckbot.html)
  •     facebookexternalhit/1.1+(+http://www.facebook.com/externalhit_uatext.php)
  •     Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)
  •     Mozilla/5.0+(compatible;+Bingbot/2.0;++http://www.bing.com/bingbot.htm)
  •     Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html
  •     Mozilla/5.0+(compatible;+Konqueror/3.5;+Linux)+KHTML/3.5.5+(like+Gecko)+(Exabot-Thumbnails)
  •     Mozilla/5.0+(compatible;+Yahoo!+Slurp;+http://help.yahoo.com/help/us/ysearch/slurp)
  •     Mozilla/5.0+(compatible;+YandexBot/3.0;++http://yandex.com/bots)
  •     Mozilla/5.0+(X11;+Linux+x86_64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/51.0.2704.103+Safari/537.36
•    وجود User-Agentهای زیر در لاگ درخواست به فایل‌های مسیر‌ /ecp/
  •     ExchangeServicesClient/0.0.0.0
  •     python-requests/2.19.1
  •     python-requests/2.25.1
•    وجود User-Agentهای زیر در لاگ‌های درخواست وب (برای ارتباط با وب‌شل)
  •     antSword/v2.1
  •     Googlebot/2.1+(+http://www.googlebot.com/bot.html)
  •     Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)

•    وجود عبارات زیر در لاگ‌های IIS برای authentication bypass و RCE
  •     POST /owa/auth/Current/
  •     POST /ecp/default.flt
  •     POST /ecp/main.css
  •     POST /ecp/<single char>.js
•    وجود ارتباطات شبکه‌ای با IPهای مهاجمین
  •     103.77.192[.]219
  •     104.140.114[.]110
  •     104.250.191[.]110
  •     108.61.246[.]56
  •     149.28.14[.]163
  •     157.230.221[.]198
  •     167.99.168[.]251
  •     185.250.151[.]72
  •     192.81.208[.]169
  •     203.160.69[.]66
  •     211.56.98[.]146
  •     5.254.43[.]18
  •     5.2.69[.]14
  •     80.92.205[.]81
  •     91.192.103[.]43
•    یکسان بودن هش صفحات وب با هش‌های زیر (وب شل) 
  •     b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  •     097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  •     2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  •     65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  •     511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  •     4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  •     811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  •     1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

2.2.    بررسی سایر شواهد وجود وب شل به کمک کتابچه شکار وب شل

3.    گزارش حادثه به مرکز افتا در صورت وجود شواهد نفوذ
3.1.    پست الکترونیک: cert@afta.gov.ir
4.    اعمال وصله‌‌های ارائه شده توسط مایکروسافت بر روی سرورهای Exchange و اتصال سرورها به شبکه در صورت عدم وجود شواهد نفوذ
5.    بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه به جهت کشف شواهد Lateral Movement احتمالی
5.1.    لاگ‌های آنتی ویروس
5.2.    لاگ اجرای پاورشل‌های مشکوک
5.3.    نصب سرویس‌های مشکوک همچون PsExec
5.4.    و ...

برای دریافت اطلاعات بیشتر به لینک‌های زیر مراجعه کنید: