🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
ذكاء التهديدات

ثغرتا ثغرتان جديدتان لمدة 10 أيام بعد المصادقة تؤثران على خوادم Microsoft Exchange

تم اكتشاف ثغرتين ثغرتين بعد المصادقة لمدة 0 يومًا في أحدث إصدار من خوادم MS Exchange. تم وضع علامة على الثغرات الأمنية CVE-2022-41040 (SSRF) و CVE-2022-41082 (RCE).
تم التحديث بتاريخ
April 17, 2026
تم النشر في
September 30, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
الفئة: ذكاء نقاط الضعففئة نقاط الضعف الأمنية: SSRF بعد المصادقة، RCEغطاء الكهف: CVE-2022-41040 CVE-2022-41082السيرة الذاتية: 3.0 النتيجة: 8.8 6.3

ملخص تنفيذي

تهديدتأثيرتخفيف
  • تم اكتشاف ثغرتين ثغرتين بعد المصادقة لمدة 10 أيام في أحدث إصدار من خوادم MS Exchange.
  • تم وضع علامة على الثغرات الأمنية CVE-2022-41040 (SSRF) و CVE-2022-41082 (RCE).
  • يمكّن CVE-2022-41040 مهاجمًا معتمدًا من تشغيل CVE-2022-41082.
  • يمكن أن تسمح الثغرة الأمنية للجهات الفاعلة في التهديد بالوصول الأولي إلى أنظمة/شبكة المؤسسة وإجراء المزيد من الاستغلال.

التحليل الفني

  • شركة الأمن GTSC محاولات الاستغلال المحددة في سجلات Microsoft IIS Server للعميل.
  • خدمات معلومات الإنترنت (IIS) هي خادم ويب قابل للتكيف وآمن لاستضافة أي شيء على الإنترنت.
  • كانت طلبات الاستغلال مشابهة جدًا للطلبات المستخدمة سابقًا لاستغلال بروكسي شل الضعف.
  • أكد التحقيق الذي أجراه فريق GTSC وجود ثغرتين بعد المصادقة لمدة 0 يومًا في أحدث إصدار من خوادم Microsoft Exchange.
  • تم إرسال الثغرات الأمنية إلى مبادرة Zero Day (ZDI) وتم تخصيص المعرفات التالية:
    • زيدي-كان-18333
    • زي-كان-18802

حول نقاط الضعف

  • قامت Microsoft بتعيين CVE-2022-41040 لثغرة SSRF وCVE-2022-41082 لثغرة RCE.
  • يجب أن يكون لدى المهاجم وصول مصدق إلى خادم Exchange الضعيف حتى يتمكن من استغلال الثغرات الأمنية.
  • يتم استخدام استغلال CVE-202-41040 لتشغيل ثغرة RCE CVE-2022-41082.
  • وفقًا لـ Microsoft، يسمح CVE-2022-41082 بتنفيذ التعليمات البرمجية عن بُعد عندما يكون PowerShell متاحًا للمهاجم. ومع ذلك، من المهم ملاحظة أن هناك طرقًا أخرى لاستغلال خوادم Exchange لـ RCE بدون Powershell.
  • نظرًا لأن الاستغلال يتطلب مصادقة المهاجم، يمكن استخدام تقنيات مثل هجمات حشو بيانات الاعتماد للحصول على المصادقة.
  • تتم ملاحظة أسماء مستخدمي البريد الإلكتروني/النطاق ذات كلمات المرور الشائعة كأسلوب شائع بين المهاجمين للوصول إلى خوادم Exchange.

معلومات من OSINT

  • وفقًا لـ Shodan، يوجد حاليًا أكثر من مائتي ألف خادم MS Exchange نشط.
[معرف التسمية التوضيحية = «المرفق _20822" align= «alignnone» width="1081"]Screenshot of the Shodan search results for active MS Exchange servers لقطة شاشة لنتائج بحث Shodan لخوادم MS Exchange النشطة [/caption]

تأثير محتمل

  • من خلال استغلال هذه الثغرة الأمنية، يمكن للجهات الفاعلة في مجال التهديد التحكم عن بعد في خوادم MS Exchange.
  • يمكن استغلال الوصول أعلاه لما يلي:
    • تنفيذ الأوامر
    • تصعيد الامتيازات
    • تنزيل ملفات ضارة
  • سيزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لشن هجمات برامج الفدية المعقدة وتثبيت شبكات الروبوت والحفاظ على الثبات.

تدابير التخفيف

ملاحظة: تم الحصول على عوامل التخفيف هذه من الإرشادات الصادرة عن Microsoft يجب على عملاء Microsoft Exchange المحليين مراجعة وتطبيق تعليمات «إعادة كتابة عنوان URL» التالية وحظر أي منافذ Remote PowerShell مكشوفة.
    • افتح إدارة IIS
    • قم بتوسيع موقع الويب الافتراضي
    • حدد الاكتشاف التلقائي
    • في عرض الميزات، انقر فوق إعادة كتابة عنوان URL
    • انقر على خيار إضافة قواعد المتوفر في لوحة الإجراءات.
    • حدد حظر الطلب وانقر فوق موافق
    • إضافة سلسلة». *اكتشاف تلقائي\ .json.*\ @. *Powershell.*» (باستثناء علامات الاقتباس) وانقر فوق موافق
    • قم بتوسيع وتحديد القاعدة بالنمط». *اكتشاف تلقائي\ .json.*\ @. *غلاف كهربائي.*»
    • انقر فوق تحرير ضمن الشروط
    • قم بتغيير إدخال الشرط من {URL} إلى {REQUEST_URI}
  • ارجع إلى الملحق قسم لقطات الشاشة التي تصف الخطوات المذكورة أعلاه.
  • لا يوجد أي تأثير معروف على وظيفة Exchange إذا تم تثبيت وحدة URL Rewrite على النحو الموصى به.
  • سيتمكن المهاجمون المعتمدون الذين يمكنهم الوصول إلى PowerShell Remoting على أنظمة Exchange الضعيفة أيضًا من تشغيل RCE باستخدام CVE-2022-41082. يمكن أن يؤدي حظر المنافذ التالية المستخدمة لـ Remote PowerShell إلى الحد من هذه الهجمات.
    • HTTP: 5985
    • HTTPS: 5986

مؤشرات التسوية

ملاحظة: هذه IOCs هي من الهجوم الذي اكتشفه فريق GTSC.هاشات SHA256c838e77afe 750d713e67ffe 4ec1b82e9066 cbe21f1181 f34429 f70831 ec165 a002 f655 dc1751adf284c080ab2e97c381518 d3a31 d27f53e7253 c7747d2f0af5310e8319 288 f818392298 fd92009926268 cac 8381 e77afe 750 d713e67 ffeb4ec1b82e9066 cbe21 f11181 fd34429 f70831 ec1 be07bd 9310 d7a487c2 f49 bcdaafb 9513c0c8f99921 f79a05 eaba25b52d257074eb0e75 bb2d8f59f1 fd571a8c5c5b76f9c899834893 da6f7591b68531 f2b5d8245 c8233236 a69a081 ee390d4afa253177180b2b45d8ed8ed08369e07429 ffbe099 ceca98c2b2424e30d64184 d9d9d2470f6f2509 ed914dfb87604123057a141c029b75e12901c3006440651c6342dc 3c0672210 cfb339141c75e12e 12f6c84d 990931 سم 3 سم 8 ج 907 أ 67955 ب د ف 07 د 11 د 35 ف 2 أ 23 49 ب 5 ج 5 ج 6 ب 5 د 7 ف 36870 سى اف 07 دا 47 بى اف 276 2 اف 2644 سى بى 372 اف 540 دى 179 سى ب 71 دى 71 دى 3 ب 71 دى 560 ايه 65 دى دى دى دى دى 7 دا 3701 هرابطhxxp: //206 [.] 188 [.] 196 [.] 77:8080 /المواضيع [.] aspxعنوان IP125 [.] 212 [.] 220 [.] 48104 [.] 244 [.] 79 [.] 686 [.] 48 [.] 12 [.] 6494 [.] 140 [.] 8 [.] 485 [.] 180 [.] 61 [.] 17 [.] 118 [.] 48 [.] 186212 [.] 119 [.] 34 [.] 1194 [.] 140 [.] 8 [.] 1347 [.] 242 [.] 39 [.] 92122 [.] 155 [.] 174 [.] 188103 [.] 9 [.] 76 [.] 211103 [.] 9 [.] 76 [.] 20861 [.] 244 [.] 94 [.] 85125 [.] 212 [.] 241 [.] 101 [.] 182194 [.] 150 [.] 167 [.] 8886 [.] 48 [.] 6 [.] 69

المراجع

الملحق

[معرف التسمية التوضيحية = «المرفق 20823" align= «alignnone» width="637"]Vulnerabilities listed on ZDI website نقاط الضعف المدرجة على موقع ZDI الإلكتروني [/caption] [معرف التسمية التوضيحية = «المرفق 20824" align= «alignnone» width="1024"]Screenshot of the Microsoft IIS Server logs containing the URL Rewrite option لقطة شاشة لسجلات خادم Microsoft IIS تحتوي على خيار إعادة كتابة عنوان URL [/caption] [معرف التسمية التوضيحية = «المرفق _20825" alignnone» العرض = «1024"]Screenshot of the Add Rules option present in the Actions pane of the URL Rewrite لقطة شاشة لخيار إضافة القواعد الموجود في لوحة الإجراءات في عنوان URL Rewrite [/caption] [معرف التسمية التوضيحية = «المرفق 20826" align= «alignnone» width="1024"]Screenshot of the Request Blocking option present in the Add Rules dialogue box لقطة شاشة لخيار حظر الطلب الموجود في مربع حوار إضافة قواعد [/caption] [معرف التسمية التوضيحية = «المرفق 20827" align= «alignnone» العرض = «1024"]Screenshot of adding the string in the Pattern (URL Path) data field لقطة شاشة لإضافة السلسلة في حقل بيانات النمط (مسار URL) [/caption] [معرف التسمية التوضيحية = «المرفق _20828" align= «alignnone» width="1024"]Screenshot of the Pattern selection لقطة شاشة لاختيار النمط [/caption] [معرف التسمية التوضيحية = «المرفق 20829" align= «alignnone» العرض = «1024"]Screenshot of the Condition input being changed to {REQUEST_URL} لقطة شاشة لإدخال الشرط الذي يتم تغييره إلى {REQUEST_URL} [/caption]
CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد