مجموعة هافينوم تخترق خوادم مايكروسوفت Exchange

تمكن المهاجمون في غضون شهر يناير 2021 من دمج واستغلال أربعة ثغرات أمنية حرجة – والتي يطلق عليها ككل اسم Proxy Logon – بإصدارات خادم مايكروسوفت Exchange لعام 2013 و 2016 و 2019، مما منح للمهاجمين امتيازات مسئولو إدارة الخادم بشكل كامل، وتمكنوا من الوصول إلى الأجهزة المتصلة على نفس الشبكة، والولوج إلى رسائل البريد الإلكتروني وكلمات المرور الخاصة بالمستخدمين على الخوادم المتأثرة، والتي تبين لاحقاً أن عددها يربو على 250.000 خادم تتبع العديد من المنظمات الأمريكية والانجليزية وغيرها، وكذا هيئات عالمية ومنها الهيئة المصرفية الأوروبية وبرلمان النرويج.

ميكروسوفت Exchange Server أو الخادم المسئول عن تبادل البيانات هو أحد منتجات شركة مايكروسوفت يعمل على نظام ويندوز سيرﭬر، والذي يستخدمه قطاع كبير من الشركات لإنشاء العديد من قواعد البيانات كجزء من البنية التحتية لأعمالها بما يدعم العمل الجماعي لأفراد المؤسسة، ويتسع نطاق وظائف الخادم ليشمل (رسائل البريد الإلكتروني والتقويم والمهام وجهات الاتصال والملاحظات وعامل تصفية ذكي لمكافحة البريد العشوائي والمصادقة وقوائم القبول والرفض العالمية “القائمة البيضاء والقائمة السوداء” وغيرها)، كما يمكن استخدام الخادم عبر تطبيق ويب يستخدم Outlook Web App أو عبر الأجهزة المحمولة باستخدام ActiveSync أو الهاتف Outlook Voice Access، وتتم إدارته من خلال تطبيق ويب أو مركز إدارة EAC أو EMS، ويلزم كل مستخدم الحصول على ترخيص الولوج “CAL يكفل له القدرة على استخدام الوظائف المتعددة لخادم مايكروسوفت.

هذا وقد أصدرت مايكروسوفت في الثاني من شهر مارس 2021 تصحيحات لتلك الثغرات الخطرة، والتي تسببت في خرق يناير الأمني الذي أبلغت عنه شركة Dubex، حيث لاحظت نشاطاً مشبوهاً على خوادم مايكروسوفت Exchange في ذات الشهر، كما تجرى الشركة تحقيقات موسعة حول هذه الحادثة الأمنية، وتهدف في المقام الأول إلى كشف غموض سيناريو تَمكُّن المهاجمين من الوصول إلى بيانات الاعتماد اللازمة التي سمحت لهم بالولوج إلى أنظمة مايكروسوفت Exchange، حيث تظن الشركة أن المتسللين قد استحوذوا على كود “PoC” – الذى تستخدمه ادارات أمن المعلومات في محاكاة الهجمات لكشف ومعالجة ثغرات البرمجيات والشبكات – والذى تتشاركه مايكروسوفت مع شركات مكافحة الفيروسات في إطار برنامج الحماية النشطة “Mapp”.

وحري بالذكر أن الشركة تقوم أيضاً بتحديث إصدارها لعام 2010 الذي لم يتأثر بالخرق الأمني السابق، وذلك بهدف تعزيز الأمان والقدرة الدفاعية ضد أية هجمات.

تشير مايكروسوفت بأصابع الاتهام نحو هافنيوم، وهي جهة تهديد متطورة APT تدعمها الصين، والتي تنفى بدورها كما هي العادة تورطها في مثل تلك الهجمات. 

تتخذ مجموعة هافنيوم –والتي تصفها مايكروسوفت بأنها جهة تهديد بالغة الخطورة وعلى قدر عال من الاحترافية – من الخوادم الافتراضية الخاصة VPS وسيطاً لشن هجماتها التي تستهدف وبشكل رئيسي المؤسسات الأمريكية في مختلف قطاعات الصناعة وشركات المحاماة ومؤسسات التعليم العالي ومقاولو الدفاع و المنظمات الغير حكومية NGOs.

ليست هذه المرة الأولى التي تستغل فيها هافنيوم نقاط الضعف في الخوادم خلال هجماتها، والتي حال نجاحها تقوم المجموعة بنشر الملفات التي حصلت عليها على مواقع مشاركة الملفات ومنها موقع Mega الشهير، وتُعد الهجمات الفاشلة للمجموعة – والتي لاحظت مايكروسوفت صلتها المتكررة بمستخدمي Office 365 – بمثابة حملات استطلاعية من شأنها تعزيز رؤية الخصم للأنظمة المستهدفة من خلال الحصول على أية معلومات قد تفيد في هجمات مستقبلية.

الثغرات الفنية وأهميتها

CVE-2021-26855: هي الثغرة الأولى والتي تَمكّن من خلالها المهاجم من المصادقة مع الخادم المستهدف عن طريق ارسال العديد من طلبات المصادقة HTTP المزورة للخادم SSRF.

CVE-2021-26857: هي الثغرة الثانية والتي سمحت للمهاجم بتشغيل برنامجه بداخل الخادم، والتي تتطلب صلاحية من مسئول النظام أو ثغرة أخرى لاستغلالها.

CVE-2021-26858 و CVE-2021-27065: هما الثغرتين الثالثة والرابعة واللتان يسمحا للمهاجم بكتابة أي ملف ووضعه في أي مسار، وذلك بعد المصادقة مع الخادم من خلال استغلال الثغرة الأولى، أو انتحال هوية مسئول النظام بسرقة بيانات تصريحه الأمني.

استخدمت هافنيوم نقاط الضعف السابقة للمصادقة مع خوادم Exchange، والوصول إلى محتوياتها بهدف سرقتها، ولزرع برمجيات ضارة تهدف إلى تسهيل الوصول للخوادم التي تم اختراقها على المدى الطويل.

هذا ويستطيع المهاجمون تحميل دفتر عناوين Exchange والذي يحتوي على معلومات وفيرة عن المؤسسة وعملائها، كما يمكنهم من خلال زرع البرمجيات الضارة ومنها Ransomware من التأثير على امكانية الوصول للخوادم، وكذا إساءة استخدام حسابات البريد الإلكتروني للموظفين بهدف إعادة توجيه المعاملات المالية بعيدًا عن مستحقيها، وقد يؤدى الحصول على تلك البيانات لاحقًا إلى حملات تصيد احتيالي أو بريد عشوائي تستهدف جهات اتصال الشركة.

وقد حثت وكالة الأمن السيبراني والبنية التحتية (CISA) التابعة لوزارة الأمن الداخلي الأمريكية، كافة الشركات المُعرضة للخطر على ضرورة قراءة تحديث Microsoft، وسرعة تطبيق التصحيحات التي أصدرتها لمعالجة الثغرات الأمنية بأنظمتها بيد أنها لن تستطيع غلق الأبواب الخلفية التي أنشأها المهاجمون خلال الاختراق.

وهذا ويعتبر تصحيح الثغرات الأمنية بمثابة تحد هائل وسباق مع الزمن لمنع المزيد من المتسللين من اكتشاف أو استغلال الثغرات الأمنية لشن هجمات أخرى، كما صرحت ESET أن عشر مجموعات تهديد على الأقل قامت باستغلال نفس ثغرات الخادم، الأمر الذي أكدته تصريحات كاتي نيكلز مديرة الاستخبارات في شركة Red Canary لكشف التهديدات الأمنية، أنّ نشاطاً واضحاً واسع النطاق يستهدف نقاط الضعف في خوادم Exchange، وأضافت أن الخوادم الأكثر انتهاكا كانت هي الأقل من حيث العدد.

وصرح ماثيو ميلتزر، محلل أمني بشركة Volexity للأمن السيبراني بولاية فرجينيا  – والتي نسبت مايكروسوفت فضل الإبلاغ عن الهجمات إلى باحثيها الأمنيين – أنّ علاج الثغرات الأمنية جزء من عملية استرداد النظام، إذ أن معالجة الأنظمة من الأخطاء التي سببها المهاجمون هو الجزء الأهم، والذي قد يشكل تحدياً كبيراً للشركات الصغيرة التي تستعين في معظم الأحيان بإدارات خارجية للدعم الفني المختص بإدارة أنظمة تكنولوجيا المعلومات، من غير المتخصصين في مجال الاستجابة للتهديدات السيبرانية، وذلك بسبب نقص الإمكانيات المادية.

وقد حذر مجلس الأمن القومي التابع للبيت الأبيض – في بيان استثنائي – من أن تصحيح الأخطاء وحده “ليس علاجًا” ، وحث الشركات على “اتخاذ التدابير اللازمة على الفور”.

وهناك العديد من الإجراءات التي ينبغي على الشركات التي تستخدم خوادم Exchange اتباعها جراء تلك الهجمات ومنها:

  1. تثبيت التصحيحات الأمنية على الفور، وذلك وفقاً لإرشادات مركز مايكروسوفت للاستجابة للمخاطر.
  2. تنفيذ إجراءات التخفيف المؤقتة إذا تعذر تثبيت التصحيحات الأمنية لأي سبب، وذلك وفقاً لإرشادات مركز مايكروسوفت للاستجابة للمخاطر.
  3. البحث عن دلائل الاختراق، وذلك باستخدام مؤشرات ICOs لفحص سجلات خادم Exchange للتحقق من دلائل اختراق مجموعة هافنيوم.  
  4. تعزيز معايير حماية حسابات مسئولي إدارة الخوادم، والبقاء في حالة تأهب تحسباً لأي محاولات انتهاك جديدة، واستخدام أدوات الكشف والاستجابة لتحديد أي نشاط ضار قد ينتج عن ثغرات أمنية.
  5. توعية فريق العمل بالمخاطر المحتملة.
  6. اخطار جميع القطاعات المتعاملة مع الشركة بأبعاد الأزمة وبمنتهى الشفافية، وذلك بهدف اتخاذ كافة التدابير اللازمة للتخفيف من المخاطر المُحتملة.
Please follow and like us:

اترك تعليقاً