آسیبپذیری بحرانی در وبسرور IIS
مایکروسافت برای رفع یک آسیبپذیری روزصفر با شدت بحرانی (امتیاز 9.8 از ۱۰) و شناسه CVE-2023-364 وصله امنیتی منتشر نموده است.
مهاجم با استفاده از این آسیبپذیری میتواند از راه دور و با روش Brute Force به رمز عبور کاربران دسترسی پیدا کرده و به وبسرور نفوذ کند و سپس دستورات دلخواه خود را اجرا نماید.
در یک حمله مبتنی بر شبکه، مهاجم میتواند از طریق حملهی Brute force، رمز حسابهای کاربری را به دست آورده و به عنوان کاربرِ سیستم وارد شود. مایکروسافت کاربران را به استفاده از رمزهای عبور قوی و پیچیده تشویق میکند که به دست آوردن آنها برای مهاجم سختتر باشد.
اگرچه مایکروسافت بهروزرسانیهای امنیتی را برای رفع این آسیبپذیری منتشر نموده است، اما به مدیران Exchange نیز توصیه میکند که به منظور حفاظت از سرورها در برابر حملاتی که با استفاده از اکسپلویتهای آسیبپذیری CVE-2023-21709 قابل انجام هستند، ماژول آسیبپذیر Windows IIS Token Cache را به صورت دستی و یا با استفاده از این اسکریپت PowerShell حذف نمایند.
به عنوان بخشی از وصله روز سهشنبه این ماه، مایکروسافت یک بهروزرسانی امنیتی جدید (CVE-2023-36434) منتشر کرده است که به طور کامل نقص CVE-2023-21709 را برطرف میکند و به هیچ مرحله اضافی نیاز ندارد.
به گفتهی تیم Exchange: "در بهروزرسانیهای ماه آگوست 2023، توصیه شد که کاربران از یک راهحل دستی یا یک اسکریپت استفاده کرده و ماژول IIS Token Cache را به عنوان راهی برای رفع آسیبپذیری CVE-2023-21709 غیرفعال نمایند."
در بهروزرسانی سهشنبه این ماه، تیم ویندوز برای عامل اصلی این آسیبپذیری، وصلهی امنیتی IIS را به شکل اصلاحیهای برای CVE-2023-36434 منتشر کرده است. توصیه میشود وصلهی امنیتی ارائهشده برای IIS را نصب کنید. پس از اعمال وصلههای امنیتی میتوانید ماژول Token Cache را مجدداً در سرورهای Exchange خود فعال نمایید.
از مدیران خواسته شده است که ماژول آسیبپذیر IIS را مجدد فعال نمایند. اگر قبلاً Windows IIS Token Cache را به منظور رفع نقص ارتقاء سطح دسترسی در ماه آگوست حذف کردهاید، اکنون باید بهروزرسانیهای امنیتی را نصب کرده و با استفاده از این اسکریپت یا با اجرای دستور زیر توسط یک حساب کاربری دارای سطح دسترسی بالا، ماژول IIS را دوباره فعال کنید:
New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"
به مدیرانی که هنوز بهروزرسانیهای امنیتی ماه آگوست را برای آسیبپذیری CVE-2023-21709 اعمال نکردهاند، توصیه میشود بهروزرسانیهای امنیتی اکتبر 2023 ویندوز سرور را نصب نمایند.
مایکروسافت در بهروزرسانیهای امنیتی روز سهشنبه اکتبر 2023، 104 نقص، شامل 12 مورد بحرانی و 3 آسیبپذیری روزصفر را که به طور فعال در حملات مورد سوء استفاده قرار میگیرند، وصله کرده است.
طبق بررسیهای صورت گرفته، حدود 241792 آیپی در ایران دارای آسیبپذیری مذکور هستند.
نرمافزار Exchange از IIS استفاده میکند بنابراین همه Exchangeها و دیگر وبسرویسها در معرض خطر هستند.
توجه: ایران اکسس کردن سرویسها فقط سطح حمله را کاهش میدهد و آسیب را برطرف نمیکند، لذا هرگز این روش را به عنوان راهکار امنیتی لحاظ نکنید.