1399/4/21 شنبه

انتشار ابزار آشکار ساز آسیب پذیری CVE-2020-0688

مهاجم با استفاده از آسیب‌پذیری CVE-2020-0688 می‌تواند کد مورد نظر خود را با سطح دسترسی SYSTEM از راه دور بر روی سرور اجرا کند.
مرکز مدیریت راهبردی افتا با همکاری شرکت رها (راهکار هوشمند امن) اقدام به تولید یک ابزار آشکار ساز برای شناسایی آسیب‌پذیری شناسه CVE-2020-0688 و تشخیص شواهد نفوذ مربوط به آن، کرده است. 
به گزارش روابط عمومی مرکز مدیریت راهبردی افتا، کد منبع اولین نسخه این ابزار با هدف اشتراک دانش با کارشناسان این حوزه از طریق پایگاه اطلاع رسانی این مرکز منتشر شده است.
با توجه به اهمیت موضوع، مرکز افتا همچنین از کارشناسان و تحلیل‌گران مراکز عملیات امنیت زیرساخت‌های کشور خواسته است تا  برای بهبود عملکرد ابزار معرفی شده این مرکز، پیشنهادات  خود را با را عنوان CVE-2020-0688 به ایمیل  Cert@afta.gov.ir ارسال کنند.
شرکت مایکروسافت آسیب پذیری سرویس Exchange با شناسه CVE-2020-0688 را به عنوان یک آسیب‌پذیری بسیار خطرناک در تاریخ 22 بهمن 98، اطلاع‌رسانی و اصلاحیه امنیتی مربوط به آن را منتشر کرد و کد سوء ‌استفاده از این آسیب پذیری ‌نیز در ابتدای اسفند ۱۳۹۸ به صورت عمومی منتشر شد.
تمامی نسخه‌های Exchange  که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر بوده و باید بلافاصله به‌روزرسانی شوند. نسخ از رده خارجی که پشتیبانی Microsoft از آنها به پایان رسیده نیز نسبت به شناسه CVE-2020-0688 آسیب‌پذیر هستند. اگر چه در توصیه نامه این شرکت صریحاً از آنها نام برده نشده است.
این آسیب‌پذیری که Exchange Control Panel  (به اختصار ECP) از آن تأثیر می‌پذیرد از عدم توانایی Exchange  در ایجاد کلیدهای رمزگاری منحصر به فرد در زمان نصب محصول ناشی می‌شود. 
مهاجم با استفاده از آسیب‌پذیری مذکور می‌تواند کد مورد نظر خود را از راه دور با سطح دسترسی SYSTEM بر روی سرور اجرا کند.
در عمل هر مهاجمی که موفق به دستیابی به اطلاعات اصالت سنجی حداقل یکی از کاربران سازمان شود، امکان بهره جویی از این آسیب پذیری و در نهایت در اختیار گرفتن کنترل سرور Exchange را خواهد داشت.
متأسفانه با وجود اطلاع رسانی‌های متعدد صورت پذیرفته، نشانه‌هایی از آسیب پذیری و آلودگی سرورهای مختلفی در سطح کشور مشاهده می‌شود.
با بررسی تکنیک‌های استفاده شده در این مجموعه حملات، میتوان این نتیجه را گرفت که استفاده از روش‌های تشخیص مبتنی بر امضا، به هیچ عنوان نمی‌توانند راهکاری برای تشخیص اینگونه حملات باشند. به عبارت دیگر وجود تحلیلگر خبره در مراکز عملیات امنیت و استفاده از ابزار تشخیصی مبتنی بر رفتار، لازمه‌ی تشخیص حملاتی از این دست، خواهد بود.
مرکز مدیریت راهبردی افتا از تحلیل‌گران و کارشناسان مراکز عملیات امنیت می‌خواهد تا بعد از مطالعه فایل راهنما، ابزار آشکار ساز تحت عنوان “CVE-2020-0688_Detector.exe” را بر روی سرورهای Exchange اجرا (حتی اگر "به آخرین نسخه" بروزرسانی شده است) و درصورت وجود شواهدِ نفوذ، مراتب را سریعا منعکس کنند.
با توجه به اینکه در مواردی دیده شده که بروزرسانی سرور Exchange بعد از نفوذ مهاجمین شکل گرفته است، این احتمال وجود دارد که دسترسی مهاجمین حتی بعد از بروزرسانی همچنان برقرار باشد. همچنین این احتمال وجود دارد که مهاجم با گسترش دسترسی خود به قسمت‌های دیگر شبکه قربانی، وب شل و یا سایر ابزار مخرب اولیه خود را از روی سرور Exchange پاک کرده باشد. 
برای دریافت جزییات بیشتر همچون نحوه سوء استفاده مهاجمین، می‌توانید به دو اطلاعیه‌ی قبلی مرکز افتا در مورد این آسیب پذیری مراجعه کنید:

 دریافت فایل راهنما، کد منبع و فایل اجرایی آشکارساز
 

 
امتیاز دهی
 
 

نسخه قابل چاپ
  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.