218% ارتفاعًا في الهجمات على MS Exchange في أغسطس مقارنة بيوليو الماضيين في السعودية

نما عدد المستخدمين الذين تعرّضوا لمحاولات هجوم عبر عمليات استغلال للثغرات الأمنية في نظام Microsoft Exchange Server، والتي استطاعت حلول كاسبرسكي الأمنية إيقافها ومنعها، بنسبة 170% في أغسطس، وذلك من 7,342 إلى 19,839 مستخدمًا، في حين بلغ النمو في محاولات الهجوم هذه في المملكة العربية السعودية 218% في الشهر المذكور. ويرتبط هذا النمو الهائل، وفقًا لخبراء كاسبرسكي، بالعدد المتزايد من الهجمات التي تحاول استغلال الثغرات الأمنية التي اكتشفت في هذا النظام، وبحقيقة عدم مسارعة المستخدمين إلى تصحيح الثغرات البرمجية بمجرد اكتشافها، ما يساهم في توسعة نطاق الهجمات المحتملة.

وتسببت الثغرات التي وجدت في النظام Microsoft Exchange Server في حدوث الكثير من الفوضى هذا العام؛ ففي 2 مارس الماضي، علم الجمهور بوجود ثغرات برمجية في هذا النظام يمكن استغلالها في شنّ هجمات صفرية (فورية)، وهو ما جرى ضمن موجة من الهجمات استهدفت شركات ومؤسسات في جميع أنحاء العالم. وفي وقت لاحق من العام، أصدرت مايكروسوفت تصحيحات برمجية لسلسلة ProxyShellالتي تشتمل على الثغرات CVE-2021-34473 وCVE-2021-34523 وCVE-2021-31207، التي تمثل معًا تهديدًا خطرًا وقد تُمكِّن المجرمين الرقميين من تجاوز المصادقة وتنفيذ شيفرات برمجية كأي مستخدم يحظى بامتيازات وصول عالية إلى النظام. وبالرغم من مرور وقت على إصدار التصحيحات لهذه الثغرات الأمنية، لم يتردد مجرمو الإنترنت في محاولة استغلالها، حيث واجه 74,274 مستخدمًا من مستخدمي كاسبرسكي محاولات استغلال لهذه الثغرات خلال الأشهر الستة الماضية.

وتجري حاليًا محاولات نشطة لاستغلال ثغرات ProxyShell من قبل مجرمي الإنترنت في موجة حديثة من الهجمات، بالرغم من التحذير الذي أصدرته قبل أيام وكالة الأمن الرقمي وأمن البنية التحتية في الولايات المتحدة في 21 أغسطس الماضي، فيما أوضحت مايكروسوفت من جانبها في تحذير أصدرته في 26 من الشهر نفسه، أن النظام Exchange Server سيكون معرضًا للخطر إذا لم يخضع لـ “تحديث تراكمي” Cumulative Update يتضمن التحديث الأمني الذي يعود إلى مايو الماضي على الأقلّ.

المستخدمون الفريدون الذين واجهوا هجمات على MS Exchange، بين مارس وأغسطس 2021

وأظهرت بيانات كاسبرسكي التليمترية أن الأسبوع الأخير من الصيف شهد تعرّض أكثر من 1,700 مستخدم يوميًا لهجمات استغلت ثغرات ProxyShell، ما أدّى إلى زيادة عدد المستخدمين الذين تعرضوا للهجوم في أغسطس 2021 بنسبة 170% مقارنةً بشهر يوليو 2021، الأمر الذي يعكس اتساع المشكلة التي يجسدها ترك هذه الثغرات دون تصحيح.

ولم يستغرب الباحث الأمني لدى كاسبرسكي إفغيني لوباتان حقيقة حرص مجرمي الإنترنت على استغلال هذه الثغرات بنشاط، موضحًا أن الثغرات الأمنية التي تُكتشف ويجري إصدار تصحيح برمجي لها من قبل مطوري النظام، تمثل في الغالب تهديدًا أكبر لأنها تصبح معروفة على نطاق واسع، ما يدفع مجرمي الإنترنت للسعي إلى محاولة اختراق الشبكات من خلالها. وأضاف: “مرة أخرى، يوضح هذا النمو الكبير في الهجمات أهمية المسارعة إلى تصحيح الثغرات الأمنية لمنع اختراق الشبكات. ونوصي بشدّة باتباع أحدث إرشادات صادرة عن مايكروسوفت لمنع أية مخاطر قد تقع”.

هذا، وتحمي منتجات كاسبرسكي المستخدمين من عمليات الاستغلال لثغرات ProxyShell، وذلك باستخدام المكونات البرمجية القادرة على اكتشاف الاختلاف في السلوك ومنع الاستغلال، كما أنها تعرّف محاولات الاستغلال بالرموز التالية:

• PDM: Exploit.Win32.Generic
• HEUR: Exploit.Win32.ProxyShell. *
• HEUR: Exploit. *. CVE-2021-26855. *

وتوصي كاسبرسكي باتباع التدابير التالية للحماية من الهجمات التي تستغل الثغرة الأمنية المذكورة:

• المسارعة إلى تحديث Exchange Server.
• تركيز استراتيجية الدفاع على كشف حركة البيانات الجانبية ومحاولات سحب البيانات إلى الإنترنت، مع الانتباه لحركة البيانات الصادرة من أجل اكتشاف محاولات الاتصال التي يجريها المجرمون الرقميون. نسخ البيانات احتياطيًا بانتظام. تأكد من أنه يمكنك الوصول إليه بسرعة في حالة الطوارئ
• استخدام حلول مثل Kaspersky Endpoint Detection and Response وخدمة Kaspersky Managed Detection and Response، للمساعدة على تحديد الهجوم وإيقافه في مراحل مبكرة، قبل وصول المهاجمين إلى أهدافهم.
• استخدام حل أمني موثوق به للنقاط الطرفية، مثل Kaspersky Endpoint Security for Business الذي يعتمد في عمله على محرك خاصّ بمنع محاولات الاستغلال واكتشاف السلوك والاستجابة للحوادث، قادر على إلغاء الإجراءات التخريبية. ويشتمل هذا الحلّ على آليات دفاعية تمنع المجرمين من إزالته.