مايكروسوفت : قراصنة مرتبطون بمجموعة صينية تدعى ( Hafnium ) أستولت على محتويات البريد ألالكتروني لعدة مستخدمين

قالت الشركة وباحثون خارجيون يوم الثلاثاء إن مجموعة تجسس إلكتروني مرتبطة بالصين تقوم بألاستيلاء على ( وارد ) البريد الإلكتروني عن بعد, بإستخدام عيوب تم اكتشافها حديثًا في برنامج خادم ( Server ) بريد لشركة مايكروسوفت Microsoft, وهو مثال على كيفية إستغلال البرامج الشائعة الاستخدام

وقالت شركة مايكروسوفت في منشور لها

” إن حملة القرصنة أستخدمت أربع نقاط ضعف لم يتم أكتشافها من قبل في إصدارات مختلفة من البرنامج ( Mail Server / Microsoft Exchange Server ), وكانت مجموعة يطلق عليها اسم HAFNIUM, وهي مجموعة ترعاها الدولة يعمل من داخل الصين “

في منشور منفصل, قالت شركة أمن البيانات الرقمية, Volexity

” إنها لاحظت في كانون الثاني / يناير ٢٠٢١, وجود متسللين يستخدمون إحدى نقاط الضعف لسرقة المحتويات الكاملة للعديد من ( وارد ) البريد ألالكتروني للمستخدمين عن بُعد “

أضافت الشركة Volexity

” كل ما احتاجوا إلى معرفته هو تفاصيل خادم شركة مايكروسوفت Exchange للبريد ألالكتروني والحساب الذي أرادوا سرقته “

قال المتحدث باسم وزارة الخارجية الصينية وانغ وين بين في مؤتمر صحفي في بكين يوم الأربعاء

” إن الصين تعارض جميع أشكال الهجمات الإلكترونية “

قبل إعلان شركة مايكروسوفت Microsoft, بدأت تحركات المتسللين العدوانية المتزايدة في جذب الانتباه عبر مجتمع أمن البيانات ألالكترونية.

خضعت مجموعة منتجات Microsoft لعمليات فحص وتدقيق منذ الكشف عن إختراق شركة SolarWinds, وهي شركة برمجيات مقرها تكساس والتي كانت بمثابة نقطة انطلاق للعديد من عمليات القرصنة لـمؤسسات الحكومية والقطاع الخاص.

في حالات أخرى, أستغل المتسللون الطريقة التي أنشأ بها العملاء خدمات البريد من شركة مايكروسوفت Microsoft , الخاصة بهم لإختراق أهدافهم أو التمدد بشكل أكبر في الشبكات المتأثرة.

المتسللين الذين أستغلوا ثغرات شركة SolarWinds , قاموا أيضًا بإختراق شركة Microsoft نفسها, حيث تستخدم خدمات شركة ( سولر وندز ), والوصول إلى ( البرنامج ) المصدر وتنزيلها, بما في ذلك البرنامج المصدر لـمنتج شركة مايكروسوفت الخاص بالبريد ألالكتروني Exchange والبريد الإلكتروني للشركة وتطبيق ( التقويم ).

قالت شركة مايكروسوفت بأنها أصدرت العديد من تحديثات الأمان لـ Microsoft Exchange Server لمعالجة الثغرات الأمنية التي تم استخدامها في هجمات مستهدفة محدودة.

نظرًا للطبيعة الحرجة لهذه الثغرات الأمنية, نوصي بأن يقوم العملاء بتثبيت التحديثات على الأنظمة المتأثرة على الفور للحماية من عمليات الاستغلال هذه ولمنع إساءة الاستخدام في المستقبل

تؤثر الثغرات الأمنية على Microsoft Exchange Server, لا يتأثر تطبيق Exchange عبر الإنترنت.

الإصدارات المتأثرة هي:

Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

تُستخدم نقاط الضعف هذه كجزء من سلسلة هجوم.

يتطلب الهجوم الأولي القدرة على إجراء اتصال ( غير موثوق به ) بمنفذ ( Port ٤٤٣ ) لخادم Exchange

يمكن الحماية من ذلك من خلال ( تقييد) الاتصالات غير الموثوق بها, أو عن طريق إعداد شبكة خاصة وهمية VPN , لفصل خادم Exchange عن ألاتصال الخارجي.

سيؤدي استخدام هذه ألاجراءات للحماية فقط من الجزء الأول من الهجوم, يمكن تشغيل أجزاء أخرى من السلسلة إذا كان المهاجم لديه بالفعل وصول للخادم ( Server ) أو يمكنه ( إقناع المسؤول Administrator ) بتشغيل ملف ضار.

نوصي بإعطاء الأولوية لتثبيت التحديثات على خوادم Exchange, يجب في النهاية تحديث كافة خوادم Exchange المتأثرة.