مایکروسافت اکسچنج سرور

مایکروسافت اکسچنج سرور آسب‌پذیری‌ها و هک‌ها

مایکروسافت اکسچنج سرور یک سرور پست الکترونیکی و سرور تقویم است که توسط مایکروسافت توسعه یافته و به صورت انحصاری بر روسی سیستم عامل ویندوز سرور اجرا می‌شود. اولین نسخه Exchange Server 4.0 نام داشت و جایگزین Microsoft Mail 3.5 بود. اکسچنج سرور در ابتدا از سرویس X.400 استفاده می‌کرد اما بعدا به Active Directory تغییر مکان داد. نسخه 5 اکسچنج سرور همراه با یک سرویس گیرنده ایمیل به نام Microsoft Exchange Client بود که با آمدن Microsoft Outlook متوقف شد. اکسچنج سرور در ابتدا از یک پروتکل اختصاصی به نام MAPI برای ارتباط با مشتریان ایمیل استفاده می‌کرد اما بعدها پشتیبانی از POP3، IMAP و EAS را اضافه کرد. همچنین پروتکل استاندارد SMTP که برای برقراری ارتباط با سایر سرورهای ایمیل اینترنتی است، استفاده می‌شود. مایکروسافت اکسچنج سرور هم به عنوان نرم‌افزار داخلی و هم به عنوان سرویس (SaaS) دارای مجوز است. در نرم‌افزار داخلی مشتری مجوز‌های دسترسی مشتری (CALs) را خریداری می‌کنند. اگر بخواهید به عنوان SaaS استفاده کنید مایکروسافت هزینه ماهانه دریافت می‌کند.

تاریخچه مایکروسافت اکسچنج سرور

مایکروسافت قبلا تعدادی از محصولات ایمیل ساده‌تر را فروخته بود، اما اولین نسخه Exchange (Exchange Server 4.0 در مارس 1996) یک سیستم کاملاً جدید مبتنی بر سرویس X.400 کلاینت-سرور با یک منبع پایگاه داده بود که خدمات X.500 directories را نیز پشتیبانی می‌کرد. دایرکتوری مورد است توسط اکسچنج سرور در نهایت به سرویس اکتیو دایرکتوری مایکروسافت تبدیل شد، یک سرویس دایرکتوری سازگار با LDAP که در ویندوز 2000 به عنوان پایه دامنه های ویندوز سرور ادغام شد. تا سال 2020، ده نسخه از مایکروسافت اکسچنج سرور منتشر شده است.

آسب‌پذیری‌ها و هک‌ها

سرور‌های آسب‌پذیر مایکروسافت اکسچنج سرور از جمله اهداف مورد علاقه مهاجمان سایبری است. برای مثال در فروردین 1400 تروجان IcedID با بهره‌گیری از آسیب‌پذیری‌های ProxyShell حساب ایمیل کاربران به کنترل گرفت. IcedID یک تروجان پرخطر است که تهدیدی قابل توجه برای حریم خصوصی و امنیت مالی و رایانه شما است. معمولاً با استفاده از تروجان دیگری به نام Emotet که اغلب با استفاده از کمپین های ایمیل اسپم توزیع می شود، تکثیر می شود. پس از نفوذ موفقیت آمیز به سیستم، IcedID اقدامات مخرب مختلفی را برای نظارت بر فعالیت مرور، سرقت اطلاعات شخصی و دستکاری سیستم انجام می دهد.

2020

در فوریه 2020 یک آسیب‌پذیری ASP.NET که به مهاجمان اجازه می‌داد کد دلخواه راه با امتیازات سیستم اجرا کنند، کشف و مورد سوء استفاده قرار گرفت. فقط نیاز بود به سرور متصل شوند و با Credential stuffing انجام دهند. Credential stuffing نوعی حمله سایبری است که در آن مهاجم اطلاعات حساب‌ را دزدیده و جمع‌آوری می‌کند. این اطلاعات معمولا شامل فهرست‌هایی از نام‌های کاربری و یا آدرس‌های ایمیل و رمز‌های عبور است که برای دسترسی غیرمجاز به کاربر استفاده می‌شود.

2021

در سال 2021 کدهای مخرب بحرانی روز صفر در مایکروسافت اکسچنج سرور کشف شد. این تکنیکی است که برای سرقت اطلاعات و نصب کد مخرب استفاده می‌شود و هزاران سازمان تحت تاثیر هکرها قرار گرفتند. مایکروسافت فاش کرد که این آسیب‌پذیری‌ها برای حدود 10 سال وجود داشتند، اما فقط از ژانویه 2021 به بعد مورد سوء استفاده قرار گرفتند. این حمله بر سیستم‌های ایمیل حدود 250000 مشتری جهانی، از جمله دولت‌های ایالتی و محلی، اندیشکده‌های سیاستگذاری، مؤسسات دانشگاهی، محققان بیماری‌های عفونی و مشاغلی مانند شرکت‌های حقوقی و پیمانکاران دفاعی تأثیر گذاشت.

در یک رویداد جداگانه از سال 2019 یک کمپین ناعادلانه توسط آژانس های امنیتی بریتانیا و آمریکا (NSA، FBI، CISA) به GRU در حال انجام است که از آسیب‌پذیری‌های عمومی شناخته شده در مایکروسافت اکسچنج سرور و اطلاعات حساب‌های کاربری که قبلا سرقت شده و روش‌های دیگر برای نفوذ به شبکه‌ها و سرقت داده‌ها استفاده می‌کند.