उच्च-गंभीरता वाले Microsoft Exchange 0-दिन के हमले के तहत 220,000 सर्वरों को खतरा है

शून्य और शून्य से भरी स्क्रीन के बीच ज़ीरो-डे शब्द छिपा है।

माइक्रोसॉफ्ट ने गुरुवार देर रात अपने एक्सचेंज एप्लिकेशन में दो महत्वपूर्ण कमजोरियों के अस्तित्व की पुष्टि की, जो पहले से ही कई सर्वरों से समझौता कर चुके हैं और दुनिया भर में अनुमानित 220,000 से अधिक के लिए गंभीर जोखिम पैदा कर चुके हैं।

वर्तमान में अप्रकाशित सुरक्षा दोष अगस्त की शुरुआत से सक्रिय शोषण के अधीन हैं, जब वियतनाम स्थित सुरक्षा फर्म GTSC ने पाया कि ग्राहक नेटवर्क दुर्भावनापूर्ण वेबशेल से संक्रमित हो गए थे और प्रारंभिक प्रवेश बिंदु किसी प्रकार की एक्सचेंज भेद्यता थी। रहस्य शोषण 2021 से प्रॉक्सीशेल नामक एक एक्सचेंज जीरो-डे के लगभग समान दिखता था, लेकिन ग्राहकों के सर्वरों को भेद्यता के खिलाफ पैच किया गया था, जिसे CVE-2021-34473 के रूप में ट्रैक किया गया है। आखिरकार, शोधकर्ताओं ने पाया कि अज्ञात हैकर्स एक नई एक्सचेंज भेद्यता का फायदा उठा रहे थे।

Webshells, पिछले दरवाजे और नकली साइटें

शोधकर्ताओं ने एक में लिखा, “इस शोषण में सफलतापूर्वक महारत हासिल करने के बाद, हमने जानकारी एकत्र करने और पीड़ित प्रणाली में पैर जमाने के लिए हमले दर्ज किए।” बुधवार को प्रकाशित पोस्ट. “हमले की टीम ने प्रभावित सिस्टम पर पिछले दरवाजे बनाने और सिस्टम में अन्य सर्वरों के लिए पार्श्व आंदोलन करने के लिए विभिन्न तकनीकों का भी उपयोग किया।”

गुरुवार शाम को, माइक्रोसॉफ्ट ने पुष्टि की कि कमजोरियां नए थे और कहा कि यह एक पैच विकसित करने और जारी करने के लिए पांव मार रहा था। नई कमजोरियां हैं: CVE-2022-41040, सर्वर-साइड अनुरोध जालसाजी भेद्यता, और CVE-2022-41082, जो पॉवरशेल के हमलावर के लिए सुलभ होने पर रिमोट कोड निष्पादन की अनुमति देता है।

Microsoft सुरक्षा प्रतिक्रिया केंद्र टीम के सदस्यों ने लिखा, “इस समय, Microsoft उपयोगकर्ताओं के सिस्टम में आने के लिए दो कमजोरियों का उपयोग करके सीमित लक्षित हमलों के बारे में जानता है।” “इन हमलों में, CVE-2022-41040 एक प्रमाणित हमलावर को दूरस्थ रूप से CVE-2022-41082 ट्रिगर करने में सक्षम बना सकता है।” टीम के सदस्यों ने जोर देकर कहा कि सफल हमलों के लिए सर्वर पर कम से कम एक ईमेल उपयोगकर्ता के लिए वैध क्रेडेंशियल की आवश्यकता होती है।

भेद्यता ऑन-प्रिमाइसेस एक्सचेंज सर्वर को प्रभावित करती है और, कड़ाई से बोलते हुए, माइक्रोसॉफ्ट की होस्टेड एक्सचेंज सेवा को नहीं। बड़ी चेतावनी यह है कि माइक्रोसॉफ्ट के क्लाउड ऑफ़रिंग का उपयोग करने वाले कई संगठन एक विकल्प चुनते हैं जो ऑन-प्रिमाइसेस और क्लाउड हार्डवेयर के मिश्रण का उपयोग करता है। ये हाइब्रिड वातावरण स्टैंडअलोन ऑन-प्रिमाइसेस वाले की तरह ही असुरक्षित हैं।

Shodan पर खोजें इंगित करती हैं कि वर्तमान में 200,000 से अधिक ऑन-प्रिमाइसेस Exchange सर्वर इंटरनेट के संपर्क में हैं और 1,000 से अधिक हाइब्रिड कॉन्फ़िगरेशन हैं।

बुधवार के GTSC पोस्ट में कहा गया है कि हमलावर वेबशेल के साथ सर्वर को संक्रमित करने के लिए शून्य-दिन का फायदा उठा रहे हैं, एक टेक्स्ट इंटरफ़ेस जो उन्हें कमांड जारी करने की अनुमति देता है। इन वेबशेल्स में सरलीकृत चीनी अक्षर होते हैं, जिससे शोधकर्ताओं ने अनुमान लगाया कि हैकर्स चीनी भाषा में धाराप्रवाह हैं। जारी किए गए आदेशों पर भी हस्ताक्षर होते हैं चीन हेलिकॉप्टरआमतौर पर चीनी-भाषी धमकी देने वाले अभिनेताओं द्वारा उपयोग किया जाने वाला एक वेबशेल, जिसमें कई उन्नत लगातार खतरे वाले समूह शामिल हैं जिन्हें पीपुल्स रिपब्लिक ऑफ चाइना द्वारा समर्थित माना जाता है।

GTSC ने आगे कहा कि खतरा अभिनेताओं द्वारा स्थापित मैलवेयर अंततः Microsoft की Exchange वेब सेवा का अनुकरण करता है। यह आईपी पते से भी जुड़ता है 137[.]184[.]67[.]33, जिसे बाइनरी में हार्डकोड किया गया है। स्वतंत्र शोधकर्ता केविन ब्यूमोंट कहा पता एक नकली वेबसाइट को होस्ट करता है जिसमें केवल एक उपयोगकर्ता के साथ एक मिनट का लॉगिन समय होता है और यह अगस्त से ही सक्रिय है।

congorepat

केविन ब्यूमोंट

मैलवेयर तब डेटा भेजता और प्राप्त करता है जो रनटाइम पर उत्पन्न होने वाली RC4 एन्क्रिप्शन कुंजी के साथ एन्क्रिप्ट किया गया है। ब्यूमोंट ने आगे कहा कि पिछले दरवाजे का मैलवेयर उपन्यास प्रतीत होता है, जिसका अर्थ है कि यह पहली बार जंगली में उपयोग किया गया है।

ऑन-प्रिमाइसेस एक्सचेंज सर्वर चलाने वाले लोगों को तत्काल कार्रवाई करनी चाहिए। विशेष रूप से, उन्हें एक अवरुद्ध नियम लागू करना चाहिए जो सर्वर को ज्ञात हमले के पैटर्न को स्वीकार करने से रोकता है। नियम “IIS प्रबंधक -> डिफ़ॉल्ट वेब साइट -> URL पुनर्लेखन -> क्रियाएँ” पर जाकर लागू किया जा सकता है। कुछ समय के लिए, Microsoft लोगों को HTTP पोर्ट 5985 और HTTPS पोर्ट 5986 को ब्लॉक करने की भी सिफारिश करता है, जिसे हमलावरों को CVE-2022-41082 का फायदा उठाने की आवश्यकता होती है।

Microsoft की सलाह में संक्रमण का पता लगाने और पैच उपलब्ध होने तक शोषण को रोकने के लिए कई अन्य सुझाव शामिल हैं।

amar-bangla-patrika