Professional Documents
Culture Documents
Proxy Log On
Proxy Log On
1
Proxy_Logon Vulnerability:
ماهي الثغرة ؟
في شهر مارس من عام 2021تم اكتشاف ثغرة جديدة من ضمن ثغرات الـ " "Zero-Dayوتم تصنيفها لثغرة حرجه وتم تسميتها بـ
" "ProxyLogonفي الحقيقة لم تكن فقط واحده بل 4ثغرات معا .وتم اعطهاءها االسماء التالية
أكتشفت مايكروسوفت ان االستغالل للثغرة كان خاص في .Microsoft Exchangeنشرت مايكروسوفت تحديثات خاصه بالثغرة مع
التنوية ان االستغالل الزال نشط من خالل القروب المسمى بـ ". "HAFNIUM
معلومات عن كل ثغرات؟
هي عبارة عن ثغرة أمنية اللغاء التسلسل في خدمة المراسلة .حيث يتم الغاء التسلسل للبيانات بواسطة برنامج .استغالل هذه الثغرة
سمحت لـ " "HAFNIUMبإمكانية تشغيل الكود كـ SYSTEMعلى الـ .Exchangeحيث هذا يتطلب صالحايات الـAdministrator
أو استغالل ثغرة اخرى.
هي كتابة ملف اجباري مابعد المصادقة ( )Post-Authenticationفي الـ " . "Exchangeإذا كان بإمكان " " HAFNIUMعمل
المصادقة باستخدام خادم الـ " " Exchangeثم بعد ذلك يمكنهم استغالل هذه الثغرة االمنية لكتابة ملف الى اي مسار على الخادم .يمكنهم
من المصادقة عن طريق استغالل الثغرة االمنية " "CVE-2021-26855أو عن طريقة صالحيات تمت سرقتها تحمل صالحيات
المسؤول.
الثغرة الثالثة وهي تزوير طلب من جانب السيرفر ():)CVE-2021-26855 SSRF(Server-Side Request Forgery
هي عبارة عن ثغرة امنية تعمل على طلبات مزورة من السيرفر تسمح للمهاجم بارسال عشوائي لطلبات HTTPمزورة و محاولة
المصادقة كأنة الـ ". "Exchange
سبب الثغرة المحتمل :
تكمن المشكلة في المكتبة " ," Microsoft.Exchange.FrontEndHttpProxy.HttpProxy.dllهناك طريقة " " CanHandle
من فئة " , "BEResourceRequestHandlerحيث وجدت أنها تحتاج أو تتطلب عنوان " "URLمع بروتوكول "( "ECPعلى سبيل
المثال , )"\ecp" :ملف التعرف( "X-BEResource" )Cookieونهاية كل "‘ٌ "URLتكون ثابته وهي ( .).js , css, fltبسبب ان الكود
تم تنفيذه في " " HttpProxyفإن الـ " " URLال يحتاج الى تحقق ,وهذا يشرح لنا الحقيقة ان بعض المؤشرات( )IOCsببساطة استخدمت
" " /ecp/y.jsغير موجودة.
2
بإختصار ,يتم تعيين الـ" "headerوإرسال الطلبات الى ملف ثابت في "." /ecp
قامت الـ " "APTsفي اساءت استخدام هذا الضعف االمني لرفع الـ "."Webshellsكما تم اساءت استخدامها لسرقة ايميالت المستخدمين
داخل البريد.
هنالك طريقتين ليتم سحب صندوق البريد من خالل هذه الثغرة :
-1خادم البريد الفردي ( : )Single Exchange Serverوتتم هذه الطريقة من خالل معرفة المهاجم بالـ ( )SIDالخاص بكل
مستخدم للوصول لبريده.
-2خوادم البريد المتعددة ( :)Multiple Exchange Serversفي هذه الحالة يتم تخزين الـ " "configurationsفي سيرفرات
متعدده داخل ) Database Availability Group (DGAهنا في هذه الحالة المهاجم اليحتاج الى الـ( )SIDالخاص بكل
مستخدم للوصول لصندوق البريد .فقط يتطلب منه معرفة عناوين االيميالت الخاصة بهم.
هي كتابة ملف اجباري مابعد المصادقة ( )Post-Authenticationفي الـ " . "Exchangeإذا كان بإمكان " " HAFNIUMعمل
المصادقة باستخدام خادم الـ " " Exchangeثم بعد ذلك يمكنهم استغالل هذه الثغرة االمنية لكتابة ملف الى اي مسار على الخادم .يمكنهم
من المصادقة عن طريق استغالل الثغرة االمنية " "CVE-2021-26855أو عن طريقة صالحيات تمت سرقتها تحمل صالحيات
المسؤول.
يقوم بتسليم نموذج طلب( )requestالى " " ResetVirtualDirectoryويقوم بجعل الـ " " Exchangeبكتابة الـ"VirtualDirectory
" الخاصة بالـ " " VirtualDirectoryالى المسار المحدد ,ويقوم بحذف الـ " "Configurationsواعادة انشاءة .وتحتوي هذه الـ"
" Configurationsعلى العديد من الخصائص من الـ" " Directoryويمكن كتابتها في اي مجلد داخل النظام باي امتداد.
3
Investigation
هذا ليس تحقيق نهائي ولكنه يفي بالغرض مؤقتا:
-1اي ملف تم انشاءه من تاريخ 2021-01-01في كل الـ " "Public facing folderمع التركيز على االمتدادات التالية
(.).aspx ,ashx, asp, axd, jnlp, js, jsp, php, dll
-2نقوم بتشغل السكربت الذي اعلنت عنه مايكروسوفت TestProxyLogon.ps1للتحقق من وجود الثغرة.
هناك مجموعه من المؤشرات التي يجب التأكد منها وهي كالتالي :
)$compdate=(get-date).adddays(-7
#Get-ADUser -filter * -property whenCreated | where {$_.whenCreated -gt $compdate} | ft Name,
whenCreated -Autosize
4
نقوم بالبحث عن الوصول إلى صندوق البريد باستخدام ( Powershell CmdLetsمثل New-
.)MailboxExportRequest
تحقق من أي عالمة على الـ Exfiltrationللـ Exchangeغير المتصل من األنظمة المخترقة.
مراقبة العمليات التي تكون مشغله بواسطة احد العمليات التالية (" " )""powershell.exe ،cmd.exeلخادم ويب
Exchange IISعملية "."w3wp.exe
الملفات المكتوبة بواسطة " "w3wp.exeأو بواسطة )Microsoft Exchange Server Unified Messaging (UM
“.”UMWorkerProcess.exe
أي ملفات " "compileجديدة لملفات " "ASPXأو "."DLL
ومن األمور الواعدة أيضًا البحث عن األدوات التالية المعروفة بأنها تستخدمها هذه المجموعات المهاجمين
(ولكن ربما تم استخدامها بشكل شرعي من قبل فريقهم -خاصة في حالة :)psexec
▪ psexecو procdumpمن .SysInternals Tool Suite
▪ WinRARالستخراج البيانات المسروقة ،
▪ عمليات الـ .Powershell
▪ صفحات الويب ASPxو .PHPبشكل عام ،ومع ذلك ،يمكنك إلقاء نظرة على الملفات التي تم تحميلها
حول الفترة الزمنية وتحقق منها.
▪ أدوات من .Nishang Tool Suite Github
▪ netcat powercatفي .Github :Powershell
غالبًا ما يتم إساءة استخدام أدوات مساعدة Windowsالمعروفة لتفريغ ذاكرة LSASSأو Active Directory
قاعدة بيانات "."NTDS.dit
5
:)CVE-2021-26855 SSRF( ثغرة
%PROGRAMFILES%\Microsoft\Exchange Server\V15\Logging\HttpProxy
" AnchorMAilbox" " فارغ وAuthenticatedUser "" المدخلة عندما يكون الـlog" الثغرة يمكن ايجادها من خالل الـ
. "ServerInfo~*/* "يحتوب على نمط من
الواردة إلى الملفات الصالحة المرتبطةPOST حيث أظهرت السجالت طلبات، "wild" الذي تم العثور عليه فيURL فيما يلي عنواوين
.Outlook Web Access (OWA) مع الصور وجافا سكريبت وأوراق األنماط المتتالية والخطوط المستخدمة بواسطة
- /owa/auth/Current/themes/resources/logon.css
- /owa/auth/Current/themes/resources/
- /owa/auth/Current/themes/resources/owafont_ja.css
- /owa/auth/Current/themes/resources/lgnbotl.gif
- /owa/auth/Current/themes/resources/owafont_ko.css
- /owa/auth/Current/themes/resources/SegoeUI-SemiBold.eot
- /owa/auth/Current/themes/resources/SegoeUI-SemiLight.ttf
: " CVE-2021-26855 " " التي تشير الى نجاح الثغرةlog" هنا مثال بسيط من سجالت الـ
6
Get-EventLog -LogName Application -Source "MSExchange Unified Messaging" -EntryType
Error | Where-Object { $_.Message -like "*System.InvalidCastException*" } :)CVE-2021-26857( ثغرة وهي خدمة المراسلة الموحدة
.هي عادية ولكن في نفس الوقت خطيرة جدا للسيرفر النها ببساطة تقوم في انشاء ملف قابل للتشغيل
)Windows Event log( حتى نتمكن من التحقق في حالة اساءة استخدام هذه الثغرة نتحقق من سجل احداث الويندوز
:IOCs عنECP ابحث في سجالت، "Remote Code Execution" لتحديد النشاط المحتمل المتعلق باستغالل
. على سكربت مطلقًاSet- <AppName> VirtualDirectory يجب أال تحتوي كافة خصائص
."“<exchange install path>\Logging\ECP\Server\” " “ داخل هذا المسارLogs” تخزن الـECP عادة سيرفرات
: " CVE-2021-26855 " " التي تشير الى نجاح الثغرةlog" هنا مثال بسيط من سجالت الـ
bd0d9a70065d&schema=ResetOABVirtualDirectory 200 0
` الظاهري الدليل الذي يؤدي إلى كتابةOAB `` وإعادة تعيينOAB` " للـConfigurations" أعاله عملية تغيير الـIIS تُظهر سجالت
. ملف اجباري
: " مع تفاصيل زياده شوي من خالل المسار التاليpath"" في الـlogs" ممكن تالقي نفس الـ
7
C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy
User-Agent يرجى مالحظة أن. " الغير عاديين الذين ظهروا فقط بعد نشر الثغرةUser-Agent" ابحث عن
. المشبوهةURL لعناوينPOST لذا ادمج البحث مع طلبات، هؤالء يمكن أن يكونوا أيضًا شرعيين
" التي لم يتم الوصول لها قبل نشر الثغرة االمنية ( احتمالية.aspx"قم بالبحث داخل ملفات السجالت عن ملفات الـ
.Webshells تكون هي الـ
من الممكن ان.forensics artifacts ) الى ملفات تم ايجادها خالل عملية الـrequests(أبحث عن الطلبات
.تعطينا تلميح اذا كان هنالك اي عملية اختراق نشطة بعد االختراق االولي
lateral وابحث عن اي عالمة الي عمليةActive Directory خذلك نظرة قريبه من السجالت الخاصة في الـ
.movement
" أوMimiKatz" طرد الداة مثل/ الي مدخل مشبوه به مثل عملية حجبAnti-virus نطلع ايضا على سجالت الـ
.اي اداة اختراق اخرى
. للخارجExchange ) من الـOutbound( ) تكون صادرةRDP(راقب اي عملية اتصاالت
: أبحث عن أي من الروابط التي تحتوي على هذه الجمل
S:CMD=Set- OabVirtualDirectory.ExternalUrl='.
WebShell Indictors
C:\inetpub\wwwroot\aspnet_client\
C:\inetpub\wwwroot\aspnet_client\system_web
\<exchange install path>\FrontEnd\HttpProxy\ecp\auth\ (any file besides TimeoutLogoff.aspx)
\<exchange install path>\FrontEnd\HttpProxy\owa\auth\ (any file or modified file that is not part of a
standard install)
%PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
C:\Exchange\FrontEnd\HttpProxy\owa\auth\
8
Containment
االن سوف نتكلم عن عملية االحتواء في حالة الـ Incident
اعزل خوادم Exchangeالتي تم اختراقها حتى ال تتمكن من االتصال بأي خوادم أخرى شبكة أو نظام.
حدد الحسابات التي تم استخدامها على الجهاز المخترق واعتبر هذه الحسابات مخترقة .قم بإعادة تعيين كلمات المرور أو
إيقاف الحسابات.
قم بحظر اتصال الشبكة بمجاالت C2المعروفة وعناوين IPلجميع األنظمة.
قم بحظر الوصول إلى اإلنترنت لخوادم Exchangeمؤقتا.
قم بالتحقيق من كيف تأثرت االجهزة.
قم بالتحقيق من الجدول الزمني( )timelineللجهاز للحصول على مؤشرات( )IOCsالي انشطة خاصة في
الـ lateral movementباستخدام أحد الحسابات المخترقة .تحقق من األدوات اإلضافية التي ربما قام المخترق في
أسقطها لتمكينه من الوصول إلى بيانات االعتماد ( )credentialsوالحركة الجانبية ( )lateral movementوأنشطة
الهجوم األخرى.
Eradication
االن سوف نتكلم عن عملية االستئصال في حالة الـ Incidentالتي تصنف بعد عملية االحتواء ولكن بسبب اختالف عمليات االختراق
تعتبر هذه العملية ليست اساسيه
تأكد من تحديث جميع منتجات الحماية وتشغيلها .في حين أن االستغالل نفسه قد ال يكون لديه عدد كبير من IoCsالمنشورة
على محركات الكشف حتى اآلن ،يمكن أن يكون نشاط ما بعد االستغالل بسهولة تم الكشف عنها باستخدام األدوات الحديثة.
نسوي اعادة تهيئة لكل الـ ( )credentialsالتي من الممكن ان تكون متأثرة من االختراق وتأكد ان تكون الـ()credentials
الجديدة التكون مشابهه للـ ( )credentialsالقديمة .وأستخدم ( )credentialsمعقدة تحتوي على حرف وارقام ورموز لكل
الـ . domain admins
تأكد من استخدام كلمات مرور مختلفة على جميع األجهزة ؛ استخدم حلول إدارة كلمات المرور حيثما أمكن ذلك.
مكن جميع برامج مكافحة الفايروسات او اي من الحلول االخرى.
قم بمراجعة المجموعات ذات الصالحيات العالية مثل المسؤولين ومستخدمي ( )RDPو (.)Enterprise admins
قم بعمل نسخة احتياطية لكل السيرفرات الحساس حتى ال تتضرر ويتوقف العمل.
قم بعمل compromise assessmentsسنويا.
Recommendations
تأكد من أن حسابات المستخدمين ذات الحقوق اإلدارية تتبع أفضل الممارسات.
التأكد من أن حسابات الخدمة ومديري الخدمة ذوي الحقوق اإلدارية يستخدمون أسرار إنتروبيا عالية ،مثل الشهادات المخزنة
بشكل آمن .مراقبة التغييرات على األسرار المستخدمة لحسابات الخدمة والخدمة كجزء من برنامج مراقبة األمان الخاص بك.
مراقبة االستخدام الشاذ لحسابات الخدمة.
ال تعرض Exchangeلإلنترنت مباشرة .إما أن يكون أمامه WAFو /أو استخدم SMTPتصفية الوكيل أمام خوادم
.Exchange
لديك عملية تصحيح طارئة تسمح لك بإصالح بنيتك التحتية ،وخاصة العناصر التي يتعرضون بشكل مباشر لإلنترنت ،في
غضون فترة زمنية قصيرة جدًا (ساعات).
9
. وابحث عن أنماط غير عاديةSIEM واجمعها في، Exchange Server راقب عن كثب جميع ملفات سجالت
. للمستخدمين2multi-factor-authontcation قم دائ ًما
. بصالحيات عاليةExchange Server استخدم شبكة إدارة مخصصة للوصول إلى
. مركزيا وتحليلها على أساس منتظمAD تسجيل جميع سجالت
.) (اكتشاف نقطة النهاية واالستجابة لهاEDR قم بزيادة الرؤية على نقاط النهاية باستخدام أداة
: المراجع
/https://threatpost.com/microsoft-exchange-servers-proxylogon-patching/165001
https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/proxy-logon
https://github.com/microsoft/CSS-Exchange/tree/main/Security
/https://www.praetorian.com/blog/reproducing-proxylogon-exploit
/https://blog.truesec.com/2021/03/07/exchange-zero-day-proxylogon-and-hafnium
10