مایکروسافت در Patch Tuesday اخیر خود 137 آسیبپذیری را پچ کرد اما هیچ آسیبپذیری روز صفری (Zero-Day) در این بهروزرسانیها پوشش داده نشده بود. تنها 48 ساعت بعد، در تاریخ 14 می، آسیبپذیری روز صفر Exchange Server شناسایی شد.
سازمانهایی که از زیرساختهای مایکروسافت استفاده میکنند باید بلافاصله اقدامات کاهش ریسک موقت را برای آسیبپذیری روز صفر Exchange Server انجام دهند، زیرا این ضعف امنیتی در حملات واقعی مورد سوءاستفاده قرار گرفته است.
جزئیات فنی و ماهیت آسیبپذیری روز صفر Exchange Server
این آسیبپذیری با شناسه CVE-2026-42897 شناخته میشود و نسخههای 2016، 2019 و نسخه اشتراکی(Subscription Edition) Exchange Server را تحت تأثیر قرار داده است. این ضعف امنیتی ناشی از خنثیسازی نادرست ورودیها هنگام تولید صفحات وب است که امکان حملات Spoofing و Cross-Site Scripting (XSS) را فراهم میکند. مایکروسافت تأکید کرده است که این آسیبپذیری روز صفر Exchange Server به مهاجم اجازه میدهد پیلودهای دلخواه را در مرورگر کاربر اجرا کرده و مکانیزمهای امنیتی شبکه را دور بزند.
مکانیزم حمله
طبق تحلیلهای فنی، مهاجمان برای سوءاستفاده از آسیبپذیری روز صفر Exchange Server، ایمیلهای دستکاریشده را برای کاربران هدف ارسال میکنند. در این سناریو، زمانی که کاربر ایمیل را در Outlook Web Access (OWA) باز کرده و شرایط تعاملی خاصی فراهم شود، کدهای جاوااسکریپت مخرب در مرورگر اجرا میشوند. این آسیبپذیری به مهاجم اجازه میدهد بخشی از عملکرد مرورگر را کنترل کرده و مکانیزمهای امنیتی را دور بزند.
راهکارهای مقابله با آسیبپذیری روز صفر Exchange Server
مایکروسافت تا زمان ارائه پچ رسمی توصیه میکند که مدیران شبکه سرویس EEMS (Exchange Emergency Mitigation Service) را فعال کنند. همچنین، پیروی از دستورالعملهای رسمی مایکروسافت برای پیکربندی امنیتی OWA، تنها راهکار موقت و فعلی برای کاهش ریسک این آسیبپذیری است.
سابقه حملات و اهمیت مانیتورینگ
هدف قرار گرفتن Exchange Server توسط مهاجمان سابقه طولانی دارد و لیست KEV سازمان CISA شامل حدود 24 آسیبپذیری مشابه است. هرچند این آسیبپذیری روز صفر Exchange Server هنوز در لیست KEV ثبت نشده و هیچ گزارش رسمی از بهرهبرداری آن در حملات واقعی منتشر نشده است، اما شناسایی این ضعف توسط یک محقق ناشناس بار دیگر بر ضرورت مانیتورینگ مستمر شبکه تاکید میکند.
