कई राष्ट्र-राज्य समूह माइक्रोसॉफ्ट एक्सचेंज सर्वर को हैक कर रहे हैं

  • Sep 07, 2023

एक्सचेंज ईमेल सर्वर पर कब्ज़ा करने के लिए सरकार समर्थित समूह CVE-2020-0688 का उपयोग कर रहे हैं।

माइक्रोसॉफ्ट केंद्र

विशेष सुविधा

विशेष रिपोर्ट: साइबर सुरक्षा के लिए एक विजयी रणनीति (मुफ़्त पीडीएफ)

नवीनतम ZDNet/TechRepublic विशेष सुविधा पर आधारित यह ईबुक, आपकी महत्वपूर्ण डिजिटल संपत्तियों की सुरक्षा के लिए जोखिम प्रबंधन नीतियां बनाने के तरीके पर एक विस्तृत नज़र पेश करती है।

अभी पढ़ें

कई सरकार समर्थित हैकिंग समूह माइक्रोसॉफ्ट एक्सचेंज ईमेल सर्वर में हाल ही में पैच की गई भेद्यता का फायदा उठा रहे हैं।

शोषण के प्रयासों को पहली बार शुक्रवार को यूके की साइबर-सुरक्षा फर्म वोलेक्सिटी द्वारा देखा गया और आज DOD के एक स्रोत द्वारा ZDNet को इसकी पुष्टि की गई।

प्रदर्शित

  • क्या विंडोज 10 अपने फायदे के लिए बहुत लोकप्रिय है?
  • अपना करियर शुरू करने के लिए सबसे अच्छी जगह ढूंढने के 5 तरीके
  • इस प्रकार जेनेरिक एआई गिग इकॉनमी को बेहतरी के लिए बदल देगा
  • 3 कारण जिनकी वजह से मैं Google के Pixel 6a की तुलना में इस $300 वाले Android को प्राथमिकता देता हूँ

Volexity ने इस एक्सचेंज भेद्यता का फायदा उठाने वाले हैकिंग समूहों के नाम साझा नहीं किए। Volexity ने अतिरिक्त विवरण के लिए टिप्पणी के अनुरोध का जवाब नहीं दिया।

डीओडी स्रोत ने हैकिंग समूहों को "सभी बड़े खिलाड़ियों" के रूप में वर्णित किया, साथ ही समूहों या देशों के नाम भी बताए।

माइक्रोसॉफ्ट एक्सचेंज भेद्यता

ये राज्य-प्रायोजित हैकिंग समूह माइक्रोसॉफ्ट एक्सचेंज ईमेल सर्वर में भेद्यता का फायदा उठा रहे हैं, जिसे माइक्रोसॉफ्ट ने पिछले महीने पैच कर दिया था। फरवरी 2020 पैच मंगलवार.

भेद्यता को पहचानकर्ता के अंतर्गत ट्रैक किया जाता है सीवीई-2020-0688. नीचे भेद्यता के तकनीकी विवरण का सारांश दिया गया है:

  • स्थापना के दौरान, Microsoft एक्सचेंज सर्वर एक्सचेंज नियंत्रण कक्ष के लिए एक अद्वितीय क्रिप्टोग्राफ़िक कुंजी बनाने में विफल हो जाते हैं।
  • इसका मतलब यह है कि पिछले 10+ वर्षों के दौरान जारी किए गए सभी Microsoft एक्सचेंज ईमेल सर्वर अपने नियंत्रण कक्ष के बैकएंड के लिए समान क्रिप्टोग्राफ़िक कुंजी (validationKey और decryptionKey) का उपयोग करते हैं।
  • हमलावर दुर्भावनापूर्ण क्रमबद्ध डेटा वाले एक्सचेंज कंट्रोल पैनल को विकृत अनुरोध भेज सकते हैं।
  • चूंकि हैकर्स नियंत्रण कक्ष की एन्क्रिप्शन कुंजियों को जानते हैं, वे यह सुनिश्चित कर सकते हैं कि क्रमबद्ध डेटा क्रमरहित है, जिसके परिणामस्वरूप एक्सचेंज सर्वर के बैकएंड पर दुर्भावनापूर्ण कोड चल रहा है।
  • दुर्भावनापूर्ण कोड सिस्टम विशेषाधिकारों के साथ चलता है, जिससे हमलावरों को सर्वर पर पूर्ण नियंत्रण मिलता है।

माइक्रोसॉफ्ट ने 11 फरवरी को इस बग के लिए पैच जारी किया था, जब उसने भविष्य के हमलों की आशंका को देखते हुए सिस्टम एडमिन को जल्द से जल्द सुधार स्थापित करने की चेतावनी भी दी थी।

लगभग दो सप्ताह तक कुछ नहीं हुआ. हालाँकि, चीजें महीने के अंत में और बढ़ गईं, जब ज़ीरो-डे इनिशिएटिव, जिसने माइक्रोसॉफ्ट को बग की सूचना दी, ने प्रकाशित किया एक तकनीकी रिपोर्ट बग का विवरण और यह कैसे काम करता है।

रिपोर्ट ने सुरक्षा शोधकर्ताओं के लिए एक रोडमैप के रूप में कार्य किया, जिन्होंने इसमें मौजूद जानकारी का उपयोग तैयार करने के लिए किया प्रूफ-ऑफ़-कॉन्सेप्ट शोषण करता है ताकि वे अपने स्वयं के सर्वर का परीक्षण कर सकें और पहचान नियम बना सकें और तैयारी कर सकें शमन.

इनमें से कम से कम तीन प्रमाण-अवधारणाओं को GitHub पर अपना रास्ता मिल गया[1, 2, 3]. ए मेटास्प्लोइट मॉड्यूल शीघ्र ही अनुसरण किया गया।

पहले के कई अन्य मामलों की तरह, एक बार जब तकनीकी विवरण और प्रूफ-ऑफ-कॉन्सेप्ट कोड सार्वजनिक हो गए, तो हैकर्स ने भी ध्यान देना शुरू कर दिया।

26 फरवरी को, जीरो-डे इनिशिएटिव रिपोर्ट लाइव होने के एक दिन बाद, हैकर समूहों ने स्कैन करना शुरू कर दिया एक्सचेंज सर्वरों के लिए इंटरनेट, कमजोर सर्वरों की सूची संकलित करना जिन्हें वे बाद की तारीख में लक्षित कर सकते हैं। इस प्रकार के पहले स्कैन का पता इंटेल फर्म बैड पैकेट्स द्वारा लगाया गया था।

CVE-2020-0688 सामूहिक स्कैनिंग गतिविधि शुरू हो गई है। स्कैन करने वाले मेजबानों का पता लगाने के लिए "टैग=सीवीई-2020-0688" के लिए हमारे एपीआई को क्वेरी करें। #धमकीटेल

- ख़राब पैकेट रिपोर्ट (@ Bad_packets) 25 फरवरी 2020

अब, वोल्क्सिटी के अनुसार, एक्सचेंज सर्वर के लिए स्कैन वास्तविक हमलों में बदल गए हैं।

इस बग को हथियार बनाने वाले पहले लोग एपीटी थे - "उन्नत लगातार खतरे", यह शब्द अक्सर राज्य प्रायोजित हैकर समूहों का वर्णन करने के लिए उपयोग किया जाता है।

हालाँकि, अन्य समूहों से भी इसका अनुसरण करने की अपेक्षा की जाती है। सुरक्षा शोधकर्ताओं, जिनसे ZDNet ने आज पहले बात की थी, ने कहा कि उन्हें उम्मीद है कि बग बहुत लोकप्रिय हो जाएगा रैंसमवेयर गिरोह जो नियमित रूप से उद्यम नेटवर्क को निशाना बनाते हैं।

पुराने, बेकार फ़िश्ड क्रेडेंशियल्स को हथियार बनाना

हालाँकि, इस एक्सचेंज भेद्यता का फायदा उठाना सीधा नहीं है। सुरक्षा विशेषज्ञों को नहीं लगता कि स्क्रिप्ट किडीज़ (निम्न-स्तरीय, अकुशल हैकर्स का वर्णन करने के लिए इस्तेमाल किया जाने वाला शब्द) द्वारा इस बग का दुरुपयोग किया जा रहा है।

CVE-2020-0688 एक्सचेंज बग का फायदा उठाने के लिए, हैकर्स को एक्सचेंज सर्वर पर एक ईमेल खाते के लिए क्रेडेंशियल्स की आवश्यकता होती है - कुछ ऐसा जो स्क्रिप्ट बच्चों के पास आमतौर पर नहीं होता है।

CVE-2020-0688 सुरक्षा दोष एक तथाकथित पोस्ट-ऑथेंटिकेशन बग है। हैकर्स को पहले लॉग इन करना होगा और फिर दुर्भावनापूर्ण पेलोड चलाना होगा जो पीड़ित के ईमेल सर्वर को हाईजैक कर लेता है।

लेकिन हालांकि यह सीमा स्क्रिप्ट किडियों को दूर रखेगी, लेकिन यह एपीटी और रैंसमवेयर गिरोहों को नहीं रोकेगी, विशेषज्ञों ने कहा।

एपीटी और रैंसमवेयर गिरोह अक्सर अपना अधिकांश समय लॉन्च करने में बिताते हैं फ़िशिंग अभियान, जिसके बाद वे कंपनी के कर्मचारियों के लिए ईमेल क्रेडेंशियल प्राप्त करते हैं।

यदि कोई संगठन लागू करता है दो तरीकों से प्रमाणीकरण (2एफए) ईमेल खातों के लिए, वे क्रेडेंशियल अनिवार्य रूप से बेकार हैं, क्योंकि हैकर्स 2एफए को बायपास नहीं कर सकते हैं।

भी: अपनी सुरक्षा करें: सही दो-कारक प्रमाणक ऐप कैसे चुनें

CVE-2020-0688 बग APTs को अंततः उन पुराने 2FA-संरक्षित खातों के लिए एक उद्देश्य ढूंढने देता है, जिन्हें उन्होंने महीनों या वर्षों पहले फ़िश किया था।

वे 2FA को बायपास किए बिना CVE-2020-0688 शोषण के हिस्से के रूप में उन पुराने क्रेडेंशियल्स में से किसी का उपयोग कर सकते हैं, लेकिन फिर भी पीड़ित के एक्सचेंज सर्वर पर कब्जा कर सकते हैं।

इस मद में एक अच्छी बात: कभी-कभी एक एपीटी किसी लक्ष्य संगठन पर उपयोगकर्ता खातों के लिए कुछ वैध पासवर्ड प्राप्त करेगा, फिर भी 2एफए लागू होने के कारण उनका तत्काल उपयोग करने में सक्षम नहीं होगा। हालाँकि, यह उन विश्वसनीयता पर कायम रह सकता है और नए अवसरों के उभरने के लिए धैर्यपूर्वक प्रतीक्षा कर सकता है। https://t.co/HzY8CmSepM

- पिट्सबर्ग में ब्रायन (@arekfurt) 7 मार्च 2020

जिन संगठनों के खतरे मैट्रिक्स पर "एपीटी" या "रैनसमवेयर" हैं, उन्हें सलाह दी जाती है कि वे अपने एक्सचेंज ईमेल सर्वर को जल्द से जल्द फरवरी 2020 सुरक्षा अपडेट के साथ अपडेट करें।

सभी Microsoft एक्सचेंज सर्वरों को असुरक्षित माना जाता है, यहां तक ​​कि वे संस्करण भी जिनका जीवन समाप्त हो चुका है (ईओएल)। ईओएल संस्करणों के लिए, संगठनों को नए एक्सचेंज संस्करण को अपडेट करने पर विचार करना चाहिए। यदि एक्सचेंज सर्वर को अपडेट करना कोई विकल्प नहीं है, तो कंपनियों को सभी एक्सचेंज खातों के लिए पासवर्ड रीसेट करने की सलाह दी जाती है।

ईमेल सर्वरों पर कब्ज़ा करना एपीटी हमलों का पवित्र ग्रिल है, क्योंकि यह राष्ट्र-राज्य समूहों को किसी कंपनी के ईमेल संचार को रोकने और पढ़ने की अनुमति देता है।

एपीटी ने पहले भी एक्सचेंज सर्वर को लक्षित किया है। एक्सचेंज को हैक करने वाले पिछले एपीटी में शामिल हैं तुरला (एक रूसी-जुड़ा समूह) और एपीटी33 (एक ईरानी समूह)।

यह TrustedSec से ब्लॉग पोस्ट इस बग के माध्यम से एक्सचेंज सर्वर को पहले ही हैक कर लिया गया है या नहीं इसका पता लगाने के निर्देश शामिल हैं।

दुनिया का सबसे मशहूर और खतरनाक APT (राज्य-विकसित) मैलवेयर

सुरक्षा

अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें
  • अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
  • अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
  • सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
  • कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें