ملخص
- أصبح ProxyLogon اختبارًا لمساءلة الإصلاح طويلة الذيل، حيث تمكّنت Microsoft من نشر تصحيحات طارئة بسرعة، لكن فقط مالكي الخوادم يمكنهم إثبات أن مثيلات Exchange Server المكشوفة قد تم اكتشافها وتحديثها وفحصها وتنظيفها ومراقبتها بعد الاستغلال.
- مورد MSRC من Microsoft،تحديثات أمنية متعددة لـ Exchange Server، ومنشور الأمان من MicrosoftHAFNIUM يستهدف خوادم Exchangeيثبت إشعار البائع وسجل الإسناد الأولي.
- التوجيه الطارئ 21-02 من CISAالتوجيه الطارئ 21-02، وتنبيه CISA لشهر مارس 2021تنبيه CISA لشهر مارس 2021، ومشورةAA21-062Aتُظهر لماذا كانت هذه مشكلة استمرارية للقطاع العام، وليس مجرد حدث دعم منتج.
- سجلات الثغرات الأربعة،CVE-2021-26855،CVE-2021-26857،CVE-2021-26858، وCVE-2021-27065، تشرح لماذا كان على المدافعين معالجة السلسلة كخطر دخول واستمرار.
- عملية إزالة الويب شيل المأذون بها قضائيًا من وزارة العدلعملية إزالة الويب شيلأظهرت المخاطر المتبقية غير العادية: الإجراء الحكومي أزال ويب شيلات ضارة مختارة من خوادم معينة، لكن التصحيح والتحقيق ومراجعة بيانات الاعتماد والتنظيف الأوسع ظلت من مسؤولية مالكي الخوادم.
التصحيحات الطارئة لا تخلق إصلاحًا فوريًا
بدأت حالة طوارئ Exchange Server بوعد مألوف: قم بتثبيت التحديث. منشور MSRC من Microsoft،تحديثات أمنية متعددة لـ Exchange Server، أخبر العملاء بتصحيح إصدارات Exchange Server المحلية المتأثرة. منشور الأمان من Microsoft،HAFNIUM يستهدف خوادم Exchange، وصف استغلال Exchange Server المحلي، وسرد CVE-2021-26855 و CVE-2021-26857 و CVE-2021-26858 و CVE-2021-27065، وأشار إلى أن Exchange Online غير متأثر. كانت تلك اتصالات بائع ضرورية وعاجلة.
لكن مشكلة المساءلة بدأت بمجرد شحن التصحيحات. توفر التصحيح هو إجراء من البائع. الإصلاح هو نتيجة للنظام البيئي. بالنسبة لـ Exchange Server المحلي، يجب على المالك معرفة أن الخادم موجود، ومعرفة أنه مكشوف، ومعرفة الإصدار، وتثبيت التحديثات التراكمية المطلوبة مسبقًا إذا لزم الأمر، وتطبيق التحديث الأمني، والتحقق من الاستغلال، وإزالة القطع الأثرية، ومراجعة تعرض البريد الإلكتروني وبيانات الاعتماد، ومراقبة الاستمرار، وإبلاغ المخاطر. يمكن أن تمتد هذه العملية إلى ما هو أبعد من تاريخ الإصدار بكثير.
وبالتالي فإن ProxyLogon ليست مجرد قصة عن كشف الثغرات. إنها قصة عن إصلاح طويل الذيل. غالبًا ما تكون خوادم البريد المحلية قديمة وحيوية للأعمال ومخصصة وتديرها مؤسسات ذات طاقم أمني غير متساو. قد تعتمد الوكالات العامة والمدارس والشركات الصغيرة والمنظمات غير الربحية والبلديات وعملاء الخدمات المدارة على Exchange مع عدم وجود قدرة سريعة على الاستجابة للحوادث. التصحيح الطارئ في تلك البيئة ليس زرًا. إنه حملة تشغيلية.
منشور فريق Exchange من Microsoft،تم الإصدار: تحديثات أمان Exchange Server لشهر مارس 2021، قدم سياق التثبيت للإصدارات المدعومة وحالات التحديث التراكمي. هذا السياق مهم لأن بعض المؤسسات لم تكن على بُعد تحديث واحد بسيط من السلامة. كان عليهم أولاً فهم حالة الخدمة. كلما كان مسار التحديث أكثر تعقيدًا، زاد احتمال بقاء الخوادم الضعيفة مكشوفة خلال النافذة الحرجة.
الدرس ليس أن Microsoft وحدها يمكنها تصحيح كل خادم. لم تتمكن من ذلك. الدرس هو أن البائع الذي لديه منتج محلي واسع الانتشار يتحمل مسؤولية جعل الإصلاح الطارئ ممكنًا: مسارات تحديث واضحة، وتخفيفات، ونصوص اكتشاف، وإرشادات للمستجيبين، وتواصل مع العملاء، وتغييرات لاحقة في المنتج تقلل من فرصة بقاء خوادم طويلة الذيل غير مصححة وغير مرئية.
ProxyLogon جمع بين الدخول وتنفيذ الأوامر والاستمرار
كانت سلسلة الثغرات خطيرة لأنها يمكن أن تنتقل من الوصول الأولي إلى تنفيذ الأوامر وكتابة الملفات. سجلات NVD من NIST لـCVE-2021-26855وCVE-2021-26857وCVE-2021-26858وCVE-2021-27065توثق عائلة الثغرات في السجلات العامة. إرشادات المستجيبين من Microsoft،إرشادات للمستجيبين للتحقيق في ثغرات Exchange Server المحلية ومعالجتها، شرحت كيف يمكن ربط الثغرات، وكيف تم زرع ويب شيلات، ولماذا يحتاج المستجيبون إلى التحقيق بما يتجاوز التصحيح.
النقطة الأخيرة هي مركز سجل المساءلة. بمجرد وجود ويب شيل، فإن تصحيح الثغرة لا يزيل الويب شيل. بمجرد أن يقرأ المهاجم البريد أو ينظم أدوات، فإن التصحيح لا يحدد ما تم أخذه. بمجرد احتمال تعرض بيانات الاعتماد، فإن التصحيح لا يقوم بتدويرها. بمجرد استخدام الخادم كمنصة انطلاق، فإن التصحيح لا يثبت أن بقية البيئة نظيفة.
لهذا السبب تعتبر إرشادات التخفيف الطارئ مهمة. صفحة MSRC من Microsoft حولتخفيفات ثغرات Exchange Serverقدمت موارد للكشف والتخفيف. مستشار وكالة الأمن القومي NSA بصيغة PDF،تخفيف ثغرات Microsoft Exchange Server، قدم إرشادات فنية فيدرالية. مشورة CISAAA21-062Aقدمت تعليمات التخفيف والكشف والمعالجة. تظهر هذه السجلات التسلسل المتوقع: تصحيح، تحقيق، تنظيف، مراقبة.
أضافت تقارير شركات الأمن ملاحظات عملية. تقرير Volexity عنالاستغلال النشطوصف الاستغلال ونشاط الويب شيل الذي لوحظ قبل إصدار التصحيح العام. تحليل Palo Alto Networks Unit 42 لـثغرات Exchange Serverوكتابة Tenable عنالثغراتساعدت المدافعين على فهم السلسلة. السياق الأقدم من Mandiant حولChina Chopper لا يزال نشطًايساعد في شرح لماذا لاستمرار الويب شيل ذيل طويل. هذه ليست سجلات ضحايا عالمية، لكنها تدعم مشكلة الاستجابة العملية.
سؤال الإصلاح المسؤول بسيط: بعد التحديث، هل يمكن لكل مؤسسة إثبات عدم وجود ويب شيل متبقي، أو استمرار نشط، أو مسار مكشوف لبيانات الاعتماد، أو وصول إلى صندوق البريد لم يتم التحقيق فيه؟ إذا لم يكن الأمر كذلك، فقد تم تصحيح الخادم ولكن لم يتم إصلاحه بالكامل.
الوكالات العامة كان عليها التحرك أسرع من المشتريات العادية
التوجيه الطارئ 21-02 من CISA،تخفيف ثغرات منتج Microsoft Exchange المحلي، طلب من الوكالات التنفيذية المدنية الفيدرالية تحديد الأنظمة المتأثرة، وفصلها أو تحديثها فورًا، والإبلاغ عن الحالة. تنبيه CISA لـ3 مارسأعلن التوجيه وحذر من الثغرات. يوضح هذا الإجراء الفيدرالي مدى سرعة تحول حادث Exchange إلى مشكلة استمرارية للقطاع العام.
البريد الإلكتروني الحكومي ليس تطبيقًا عامًا. إنه يحمل اتصالات المواطنين، وأعمال السياسات، والتحقيقات، والمشتريات، وتنسيق الصحة العامة، وإدارة المدارس، وإدارة الطوارئ. إذا تم اختراق خادم Exchange محلي، يمكن أن يشمل الضرر السرية والثقة التشغيلية والاستمرارية. لا يمكن للوكالات ببساطة انتظار نوافذ الصيانة العادية عندما تكون ويب شيلات قد تكون موجودة بالفعل.
تكشف التوجيهات الطارئة أيضًا عن العبء التشغيلي للجرد. للامتثال، كان على الوكالات معرفة مكان وجود خوادم Exchange. تصبح تقنية المعلومات المخفية والبيئات القديمة ومثيلات الاختبار والخوادم المنسية مسؤوليات في مثل هذه اللحظات. السؤال الأول ليس "هل يمكننا التصحيح؟" بل "هل نعرف كل نظام يحتاج إلى تصحيح؟" تعتمد مساءلة القطاع العام على أن يكون هذا الجرد محدثًا قبل الطوارئ.
دخول KEV لـ CISA لـسجل الثغرات المستغلة المعروفة لـ CVE-2021-26855لاحقًا أدمج الثغرة في انضباط المعالجة الفيدرالي الأوسع. يساعد علاج KEV في تقليل فرصة أن تتعامل الوكالات مع الثغرات المستغلة كتراكم عادي. لكن السجل لا يمكنه تنظيف خادم. إنه يحدد الإلحاح. لا تزال الوكالات بحاجة إلى قدرة تشغيلية.
درس القطاع العام أوسع من الوكالات الفيدرالية. حكومات الولايات والحكومات المحلية والمدارس وهيئات الصحة العامة والمقاولون العموميون غالبًا ما يديرون بريدًا إلكترونيًا محليًا أقدم. قد يكون لديهم فرق أصغر ومشتريات أبطأ. يمكن أن يكشف تصحيح Exchange الطارئ عن فجوات في إدارة الأصول والتسجيل وعقود الاستجابة للحوادث وعقود الخدمات المدارة وإجراءات النسخ الاحتياطي. حول ProxyLogon تلك الفجوات إلى أسئلة مخاطر عامة.
ملاحظة الطباعة
عملية إزالة ويب شيل من FBI أظهرت مدى غير عادي للبقايا
أبرز دليل عام على المخاطر طويلة الذيل كان إعلان وزارة العدل في أبريل 2021 عن جهد مأذون به قضائيًا لتعطيل استغلال Microsoft Exchange Server، المنشور باسموزارة العدل تعلن عن جهد مأذون به قضائيًا. قال الإعلان إن FBI نسخ وأزال ويب شيلات من مئات أجهزة الكمبيوتر الضعيفة في الولايات المتحدة. إشعار الصناعة الخاص لـ FBIإشعار الصناعة الخاصوصف العملية والإرشادات المستمرة.
يجب قراءة هذه العملية بشكل ضيق وجاد. لم تقم بتصحيح الخوادم. لم تقم بإزالة كل قطعة أثرية محتملة. لم تقرر أن البيئات نظيفة. أزالت ويب شيلات مختارة في عملية مأذون بها قضائيًا من أنظمة معينة. هذا التحديد هو بالضبط لماذا تهم العملية. كانت بقايا الاستغلال خطيرة بما يكفي لدرجة أن سلطات إنفاذ القانون سعت للحصول على سلطة لإزالة القطع الأثرية من الأنظمة الخاصة، مع ترك بقية عبء الإصلاح على عاتق المالكين.
كشف الإجراء عن واقع مؤلم: بعض مالكي الخوادم لم يزيلوا ويب شيلات بأنفسهم. ربما لم يعلموا أنهم تعرضوا للاختراق. ربما افتقروا إلى المهارة أو الأدوات أو الوقت أو الوعي. ربما قاموا بالتصحيح ولكن لم ينظفوا. ربما كانوا منظمات صغيرة ليس لديها فريق استجابة للحوادث. حولت بقايا ويب شيل حالة الطوارئ البرمجية إلى إجراء حكومي غير عادي لتعطيل الأذى.
بالنسبة للمساءلة، تقدم عملية وزارة العدل نقطتين في وقت واحد. أولاً، تتدخل السلطات العامة أحيانًا عندما يخلق فشل التنظيف الخاص مخاطر مستمرة. ثانيًا، هذا التدخل لا يعفي مالكي الخوادم أو النظام البيئي للبائع من بناء مسارات إصلاح أفضل. تشير الحاجة إلى مثل هذه العملية إلى أن إرشادات التصحيح وأدوات التخفيف والإبلاغ ودعم الخدمات المدارة لم تصل إلى كل بيئة ضعيفة بالسرعة الكافية.
يجب أن يتضمن معيار الإصلاح طويل الذيل دليلًا على أن التصحيح وإزالة القطع الأثرية مرتبطان. لا ينبغي أن يكون مالك الخادم قادرًا على اعتبار الحادث مغلقًا بعد تثبيت التحديث إذا لم يتم التحقق من مسارات ويب شيل المعروفة. لا ينبغي لمزود الخدمات المدارة أن يعتبر بيئات العملاء مصححة ما لم يتم أيضًا معالجة تقييم الاختراق. يجب على البائع تصميم إرشادات الطوارئ بحيث يكون الفرق بين التصحيح والتنظيف لا لبس فيه.
المؤسسات الصغيرة ورثت متطلبات استجابة على مستوى المؤسسات
كان ProxyLogon صعبًا بشكل خاص على المؤسسات الصغيرة والمتوسطة لأن Exchange Server يمكن أن يكون حيويًا للمهمة دون أن يكون موظفًا بشكل احترافي على نطاق المؤسسات. قد تعتمد شركة محاماة صغيرة أو مكتب حكومي محلي أو مدرسة أو عيادة أو مصنع أو منظمة غير ربحية على Exchange المحلي لأنه تم تثبيته قبل سنوات، أو مدمج مع سير العمل، أو يديره مزود تقنية معلومات صغير. عندما يحدث استغلال طارئ، تحتاج تلك المنظمة فجأة إلى استجابة على مستوى المؤسسات.
يجب عليها تحديد الخادم، وتحديد التعرض، وتطبيق التحديثات، وتشغيل نصوص الكشف، ومراجعة سجلات IIS، وفحص الملفات المشبوهة، وتقييم الوصول إلى صندوق البريد، وتدوير بيانات الاعتماد، ومراقبة الاستمرار، والتواصل مع المستخدمين، وربما استئجار مساعدة خارجية. هذا عبء عمل كبير لفريق صغير. موضوع أتمتة الأمان مهم هنا لأن الأدوات والنصوص يمكن أن تقلل العبء اليدوي، ولكن فقط إذا كانت واضحة وآمنة وقابلة للوصول.
حاولت إرشادات التخفيف والاستجابة من Microsoft تقديم مثل هذه الأدوات. منشور فريق Exchange حول التحديثات الفصلية لشهر مارس 2021،تم الإصدار: تحديثات Exchange الفصلية لشهر مارس 2021، أشار أيضًا إلى سياق الخدمة الأوسع. لاحقًا، قدمت Microsoft خدمة التخفيف الطارئ لـ Exchange في منشور بعنوانميزة أمان جديدة في التحديث التراكمي لشهر سبتمبر 2021 لـ Exchange Server. هذه الميزة اللاحقة مهمة لأنها تظهر استجابة على مستوى المنتج لمشكلة الذيل الطويل: يمكن للتخفيفات المضمنة شراء الوقت عندما يكون التصحيح الفوري صعبًا.
التخفيف الطارئ ليس بديلاً عن التصحيح، والميزة اللاحقة لا تثبت أن كل بيئة عام 2021 تم إصلاحها. لكنها تعترف بالواقع. بعض مشغلي Exchange لن يقوموا بالتصحيح فورًا. بعضهم سيفتقد الإشعارات. بعضهم سيكون لديه إصدارات غير مدعومة. بعضهم سيحتاج وقتًا لتثبيت التحديثات التراكمية. منتج مع ذيل طويل محلي يحتاج إلى آليات تقلل الضرر بينما يلحق العملاء بالركب.
مساءلة المؤسسات الصغيرة مشتركة. لا ينبغي للمشغل تشغيل خوادم بريد إلكتروني مكشوفة وغير مدعومة إلى أجل غير مسمى. يجب على مزودي الخدمات المدارة جرد خوادم العملاء وتصحيحها بسرعة. يجب على البائعين جعل إرشادات الطوارئ مفهومة لغير المتخصصين. يجب على الوكالات العامة تقديم تنبيهات واضحة. يجب على شركات التأمين والمدققين طلب دليل على أن خدمات البريد الإلكتروني عالية المخاطر الموجهة للإنترنت معروفة ومغطاة بخطط الاستجابة للحوادث. أظهر ProxyLogon أنه لا يمكن لأي جهة أن تحمل الذيل الطويل وحدها.
بيانات المسح ساعدت في العثور على التعرض، لكن التعرض ليس اختراقًا
أصبح قياس التعرض جزءًا كبيرًا من الاستجابة. مشروع Shadowserver حولثغرات Microsoft Exchange Serverقدم سياقًا للمسح والتعرض. مثل هذه المشاريع تساعد المدافعين والوكالات العامة على رؤية الذيل الطويل للمخاطر الموجهة للإنترنت. يمكنها إظهار ما إذا كانت المجموعات المكشوفة تتقلص بعد التصحيحات والإشعارات.
لكن التعرض ليس نفس الشيء مثل الاختراق. يمكن أن يشير المسح إلى أن خادم Exchange يمكن الوصول إليه أو لديه ملف استجابة معين. لا يمكن دائمًا إثبات الإصدار الدقيق، أو الاستغلال الناجح، أو وجود ويب شيل، أو سرقة البيانات، أو التنظيف. على العكس، يمكن تصحيح الخادم بعد الاختراق وما زال يتطلب التحقيق. خريطة التعرض هي أداة فرز، وليست سجلًا نهائيًا.
هذا التمييز مهم للتواصل العام. العناوين الرئيسية عن آلاف الخوادم المكشوفة أو الضعيفة يمكن أن تحشد العمل، لكنها يمكن أيضًا أن تطمس الفئات. يحتاج مالكو الخوادم إلى معرفة ما إذا كانوا مكشوفين أو ضعفاء أو مستغلين أو مصححين أو نظيفين أو مراقبين. كل حالة تتضمن إجراءً مختلفًا. يجب أن يتتبع الجرد النظيف تلك الحالات بشكل منفصل.
يجب أن يعزز البائع والجهات الحكومية هذا. "طبق التحديث" هو إجراء واحد فقط. "قم بتشغيل خطوات الكشف والمعالجة" هو إجراء آخر. "افترض الاختراق إذا كان مكشوفًا خلال النافذة" قد يكون مناسبًا في بعض السياقات، لكن حتى هذا الافتراض يجب أن يتحول إلى تحقيق ملموس. مشكلة الذيل الطويل هي جزئيًا مشكلة تصنيف: عدد كبير جدًا من المؤسسات تعتبر الخادم آمنًا لأن مهمة واحدة مكتملة.
يجب أن يتضمن سجل الإصلاح دليلًا على انتقال الحالة. متى تم اكتشاف الخادم؟ متى تم عزله أو تحديثه؟ هل تم العثور على مؤشرات؟ هل تمت إزالة ويب شيلات؟ هل تم تدوير بيانات الاعتماد؟ هل تم تقييم الوصول إلى البريد؟ هل تم زيادة المراقبة؟ من تحقق من الإغلاق؟ بدون تلك الطوابع الزمنية، يكون لدى المؤسسة حدث تصحيح، وليس سجل حادث.
خوادم البريد هي أنظمة استمرارية وسرية في نفس الوقت
Exchange Server هو منصة اتصالات ومستودع للتاريخ الحساس. يمكن لخادم البريد المخترق كشف الرسائل والمرفقات وجهات الاتصال والتقويمات والمناقشات القانونية وسجلات المشتريات ومراسلات الوكالات العامة وبيانات الاعتماد المرسلة عبر البريد وتدفقات إعادة تعيين كلمة المرور وخطط الأعمال الداخلية. يمكن أن يؤثر أيضًا على الاستمرارية لأن البريد الإلكتروني هو كيفية تنسيق المؤسسات للعمل والاستجابة للحوادث والبائعين والعملاء والاتصالات العامة.
هذا الدور المزدوج يجعل الإصلاح أكثر تعقيدًا. إذا تم اختراق خادم ملفات، قد تركز المؤسسة على الملفات. إذا تم اختراق خادم بريد، يجب على المؤسسة أن تسأل عن صناديق البريد التي تم الوصول إليها، وما هي الرسائل التي تحتوي على بيانات اعتماد أو بيانات حساسة، وما هي جهات الاتصال الخارجية التي تأثرت، وما إذا كان المهاجمون يمكنهم استخدام الخادم لإرسال البريد أو التحرك جانبيًا. الخادم هو أرشيف وقناة تحكم حية.
اعترفت إرشادات المستجيبين من Microsoft ومشورة CISA بذلك من خلال التركيز على التحقيق والمعالجة، وليس فقط التصحيح. عملية FBI عكست أيضًا مشكلة الاستمرار. ويب شيل على خادم بريد هو مسار وصول مستمر. حتى بعد التصحيح، يمكن استخدامه إذا لم تتم إزالته. حتى بعد الإزالة، يجب على المؤسسة أن تسأل عما فعله المهاجم قبل الإزالة.
بالنسبة لاستمرارية القطاع العام، يكون دور البريد أكثر حدة. تستخدم الوكالات البريد الإلكتروني لتنسيق الخدمات والاستجابة للطوارئ والتعاقد والمزايا والمدارس والمحاكم والصحة. إذا كان نظام البريد مشكوكًا فيه، يتباطأ العمل العادي. قد ينقل الموظفون المحادثات إلى قنوات بديلة، لكن ذلك يمكن أن يخلق مشاكل في إدارة السجلات والأمان. يمكن لخادم بريد مخترق بالتالي إنتاج تكاليف حوكمة فورية ومؤجلة.
يجب أن يتضمن سجل الإصلاح المسؤول السرية والاستمرارية. هل استعادت المؤسسة استخدام البريد الآمن؟ هل حددت صناديق البريد التي يحتمل تعرضها؟ هل حافظت على الأدلة؟ هل أبلغت الأشخاص المتأثرين حيثما مطلوب؟ هل أعادت تعيين بيانات الاعتماد التي قد تكون مرت عبر البريد؟ هل راقبت الانتحال أو الحركة الجانبية؟ هل حدثت خطط الاستمرارية بحيث يكون للطوارئ البريدية التالية قناة بديلة؟
استمر إصلاح البائع بعد مارس
عمل Exchange اللاحق من Microsoft مهم لأن ProxyLogon كشف عن مشكلة صيانة منتج لم تنته في مارس 2021. خدمة التخفيف الطارئ لـ Exchange، الموصوفة فيمنشور التحديث التراكمي لشهر سبتمبر 2021 من Microsoft، صُممت لتطبيق تخفيفات مؤقتة تلقائيًا في ظل ظروف معينة. تحديث خارطة طريق Exchange لاحق من Microsoftتحديث خارطة طريق Exchange Serverاستمر في مناقشة اتجاه الخدمة.
لا ينبغي معاملة هذه المصادر اللاحقة كدليل على أن كل اختراق ProxyLogon تم تنظيفه. إنها أدلة على حوكمة المنتج. تظهر أن Microsoft أدركت الحاجة إلى حماية أكثر تلقائية في القاعدة المثبتة محليًا. هذا الاعتراف مهم لأن المنتجات المحلية تتقدم في العمر بشكل غير متساو. يؤخر العملاء التحديثات التراكمية. بعض البيئات معزولة عن الإدارة الحديثة. البعض الآخر مكشوف ولكن غير مراقب بشكل جيد. يمكن لميزات التخفيف الطارئ تقليل المخاطر خلال الفارق الزمني.
مع ذلك، التخفيف التلقائي له حدود. قد يتطلب تحديثًا تراكميًا مدعومًا. قد لا ينطبق على الإصدارات غير المدعومة. قد يخلق مخاوف توافق. قد يقلل التعرض لمسار معين دون القضاء على كل المخاطر. قد لا يزيل ويب شيلات موجودة. لا يزال العملاء بحاجة إلى التصحيح والتحقيق والتنظيف. الأتمتة تساعد في الذيل الطويل؛ لا تلغي المساءلة.
واجب البائع الدائم هو جعل مسار الإصلاح أقصر وأوضح. يجب أن تكون التصحيحات الطارئة قابلة للتثبيت من قبل مجموعة واسعة من العملاء. يجب أن تكون التخفيفات متاحة عندما لا يمكن تثبيت التصحيحات فورًا. يجب أن تكون إرشادات الكشف سهلة التشغيل والتفسير. يجب أن تعطي قنوات الدعم الأولوية للعملاء ذوي المخاطر العالية. يجب أن تشرح الوثائق متى تكون إعادة البناء أكثر أمانًا من التنظيف. يجب أن يكون للمنتجات طويلة الذيل مسارات دورة حياة وترقية تقلل التعرض غير المدعوم.
يظهر ProxyLogon أيضًا لماذا الانتقال إلى السحابة ليس الإجابة الوحيدة. قالت Microsoft إن Exchange Online لم يتأثر بهذه الثغرات، وتستخدم العديد من المؤسسات البريد المستضاف في السحابة لتجنب تشغيل خوادم بريد مكشوفة. لكن العديد من المؤسسات لا تزال تدير Exchange محليًا لأسباب هجينة أو تنظيمية أو تكلفة أو قديمة أو تشغيلية. سؤال المساءلة هو كيفية حوكمة السكان المحليين المتبقين، وليس مجرد إخبار الجميع بالمغادرة.
أصبح مزودو الخدمات المدارة جزءًا من سلسلة الإصلاح
العديد من المؤسسات الصغيرة لا تدير Exchange بمفردها. تعتمد على مزودي الخدمات المدارة أو شركات تقنية المعلومات المحلية أو مزودي الاستضافة أو الاستشاريين. خلال ProxyLogon، أصبح هؤلاء المزودون جزءًا من سلسلة الإصلاح. كانوا بحاجة إلى تتبع جرد العملاء، وتطبيق التحديثات، وتشغيل الكشف، وإبلاغ المخاطر، والحفاظ على الأدلة، وتصعيد الاختراق المشتبه به. إذا كان أحد المزودين يدير العديد من خوادم Exchange، فإن سرعة استجابته أثرت على العديد من المؤسسات.
يجب أن تحدد العقود هذا الدور الطارئ قبل الأزمة. هل للمزود سلطة تطبيق التصحيحات الطارئة دون انتظار نافذة صيانة؟ هل يراقب إشعارات البائع؟ هل يقوم بتقييم الاختراق أم فقط تثبيت التحديثات؟ هل يحتفظ بالسجلات؟ هل يبلغ العملاء عن الاختراق المشتبه به؟ هل لديه تأمين إلكتروني؟ هل يعرف متى يستدعي مستجيبي الحوادث؟ حوّل ProxyLogon تلك الشروط التعاقدية إلى حقائق تشغيلية.
العميل أيضًا لديه واجبات. يجب أن يعرف أي مزود يدير Exchange، وما هو الإصدار الذي يعمل، وما إذا كان الخادم مكشوفًا، وكيف تعمل النسخ الاحتياطية، وكيف يتم الاحتفاظ بالسجلات، ومن يتخذ القرارات الطارئة. الاستعانة بمصادر خارجية لا تلغي الحاجة إلى الوعي بالأصول. قد لا تدير الشركة الصغيرة الخطوات الفنية بنفسها، لكن يجب أن تكون قادرة على طلب دليل على أنها تمت.
يمكن للوكالات العامة وشركات التأمين المساعدة من خلال طلب دليل أوضح. بعد ثغرة حرجة مستغلة، لا ينبغي أن يكون "قمنا بالتصحيح" كافيًا للأنظمة عالية المخاطر. يجب أن يتضمن الدليل التاريخ والإصدار ونتائج الكشف ومراجعة القطع الأثرية وإجراءات بيانات الاعتماد والمراقبة. بالنسبة لعملاء الخدمات المدارة، يجب تقديم هذا الدليل بشكل يمكن للعميل الاحتفاظ به. خلاف ذلك، يبدأ التدقيق التالي أو إشعار الاختراق من الذاكرة.
كان ذيل ProxyLogon الطويل جزئيًا مشكلة سوق: العديد من المؤسسات الصغيرة اشترت تشغيل البريد كخدمة من مزودين محليين دون بالضرورة شراء استجابة للحوادث. الانهيار الطارئ يلغي هذا التمييز. إذا كان المزود يدير الخادم، يجب أن يكون مستعدًا لتقييم الاختراق أو أن يكون لديه مسار للحصول عليه بسرعة.
المقياس النهائي هو الإصلاح القابل للتحقق
أقوى درس للمساءلة من ProxyLogon هو أن الإصلاح يجب أن يكون قابلاً للتحقق. يجب أن يكون مالك الخادم قادرًا على إظهار الجدول الزمني من إشعار الثغرة إلى اكتشاف الجرد، وتثبيت التصحيح، والتخفيف، وتقييم الاختراق، والتنظيف، ومراجعة بيانات الاعتماد، والمراقبة. يجب أن يكون البائع قادرًا على إظهار كيف قلل من صعوبة ذلك الجدول الزمني. يجب أن تكون السلطات العامة قادرة على رؤية ما إذا كانت المجموعات المكشوفة تتناقص وما إذا كانت الوكالات الحرجة امتثلت.
الإصلاح القابل للتحقق لا يتطلب إصدارًا عامًا لكل سجل أو تفصيل جنائي. يتطلب سجلًا جيدًا بما يكفي للمؤسسة ومجلس إدارتها وعملائها ومدققيها ومنظميها لفهم ما تم فعله. في مؤسسة صغيرة، قد يكون هذا السجل تقرير خدمة مدارة. في وكالة فيدرالية، قد يكون دليل الامتثال للتوجيه. في مؤسسة كبيرة، قد يكون ملف قضية استجابة للحوادث. يمكن أن يختلف الشكل. لا ينبغي أن تختلف فئات الأدلة.
لا ينبغي تذكر ProxyLogon فقط كحدث تصحيح من Microsoft. كان اختبارًا للقاعدة المثبتة: من يعرف خوادم Exchange الخاصة بهم، ومن يمكنه تحديثها بسرعة، ومن يمكنه العثور على ويب شيلات، ومن يمكنه تقييم تعرض البريد، ومن يمكنه حماية المؤسسات الصغيرة، ومن يمكنه إثبات الإغلاق بعد انتهاء الطوارئ. تظل عملية إزالة ويب شيل من وزارة العدل علامة حية على أن الذيل الطويل كان حقيقيًا.
الدرس العام عملي بالمثل. بالنسبة للأنظمة المحلية الموجهة للإنترنت، التصحيح هو الحد الأدنى. يبدأ سجل المساءلة بالتصحيح ويستمر من خلال الكشف والتنظيف وتدوير بيانات الاعتماد وإبلاغ المستخدمين وتحسين المنتج لاحقًا. إذا لم يتم إثبات هذه الخطوات، يصبح التصحيح الطارئ مسرحًا: إجراء مرئي قد يترك بقايا غير مرئية.
تشير ميزات التخفيف اللاحقة من Microsoft وتوجيهات CISA وإشعاراتها وإجراءات إنفاذ القانون الفيدرالية وتقارير مجتمع الأمن وواجبات المشغل المحلي إلى نفس الاستنتاج. المسار من التصحيح إلى الأمان طويل. المؤسسات التي تعتمد على Exchange تحتاج إلى دليل على أن المسار قد تم قطعه بالفعل.
الإغلاق يتطلب قائمة تحقق مختلفة عن التصحيح
إرشادات المستجيبين من MSRC من Microsoft حولالتحقيق في ثغرات Exchange Server المحلية ومعالجتهاتوضح أن المدافعين كانوا بحاجة إلى البحث عن ويب شيلات وقطع أثرية أخرى، وليس فقط تثبيت التحديثات. كان ينبغي أن ينتج عن هذا التمييز قائمتا تحقق منفصلتين داخل كل مؤسسة متأثرة. القائمة الأولى هي التصحيح: تحديد الإصدار، تلبية المتطلبات الأساسية، تثبيت التحديث، التحقق من البنية. الثانية هي الإغلاق: البحث عن الاختراق، إزالة القطع الأثرية، تدوير بيانات الاعتماد، مراجعة الوصول إلى صندوق البريد، الحفاظ على الأدلة، مراقبة إعادة الدخول، وتحديد ما إذا كان الإخطار مطلوبًا.
غالبًا ما تفضل المؤسسات القائمة الأولى لأن لها خط نهاية مرئي. الخادم إما لديه تصحيح أو لا. القائمة الثانية أكثر فوضوية. تسأل عما إذا كان المهاجمون موجودين قبل التصحيح، وما إذا كانت السجلات تعود إلى الوراء بما يكفي، وما إذا تمت إزالة ويب شيلات، وما إذا كانت استمرارية أخرى باقية، وما إذا تم الوصول إلى صناديق البريد، وما إذا حدثت حركة جانبية. هذا العمل يمكن أن يتطلب مهارات لا تمتلكها مؤسسة صغيرة.
مشورة CISAAA21-062Aومشورة التخفيف من NSAمشورة التخفيفساعدت في تحديد تلك القائمة الثانية للمدافعين. المشكلة ليست غياب الإرشاد. إنها التبني التشغيلي. يجب أن يصل الإرشاد إلى الشخص الذي يملك الخادم، وأن يكون مفهومًا بما يكفي للتنفيذ، وأن يتناسب مع أدوات المؤسسة وسلطتها.
يجب على مزودي الخدمات المدارة تحويل قوائم التحقق للإغلاق إلى تقارير للعملاء. لا ينبغي أن يقول التقرير ببساطة "تم تحديث Exchange". يجب أن يذكر أي خادم تم تحديثه ومتى ومن أي إصدار وما هي خطوات الكشف التي تم تشغيلها وما إذا تم العثور على ويب شيلات وما تم إزالته وما إذا تم تدوير بيانات الاعتماد وما إذا تم فحص النسخ الاحتياطية وما هي المراقبة المتبقية. يصبح هذا التقرير دليل العميل عندما يسأل المؤمنون أو المدققون أو المنظمون أو المستخدمون المتأثرون عما حدث.
بالنسبة للمؤسسات الأكبر، يجب أن يغذي الإغلاق حوكمة المخاطر. إذا كان Exchange مكشوفًا، يجب أن يعرف القادة المدة التي ظل فيها ضعيفًا بعد الإشعار العام، وما إذا تم العثور على اختراق، وما هي وحدات الأعمال التي استخدمت الخادم، وما إذا كانت صناديق البريد الحساسة متأثرة، وما الذي منع الإصلاح الأسرع. إذا كانت الإجابة "لم نكن نعرف أن الخادم موجود"، فإن مشكلة الإصلاح هي إدارة الأصول. إذا كانت الإجابة "عرفنا لكن لم نتمكن من التصحيح"، فإن المشكلة هي جاهزية الخدمة. إذا كانت الإجابة "قمنا بالتصحيح لكن لم نحقق"، فإن المشكلة هي نضج استجابة الحوادث.
الخوادم غير المدعومة والمتأخرة هي خطر مجتمعي
كشف ProxyLogon عن مشكلة خطر مجتمعي حول الخوادم المحلية غير المدعومة أو المتأخرة. يمكن أن يصبح خادم Exchange المكشوف لمؤسسة ما نقطة انطلاق أو مصدر بريد عشوائي أو هدف سرقة بيانات أو منصة انطلاق لاختراق أوسع. قد يبدأ الضرر محليًا، لكن البنية التحتية للبريد المخترقة يمكن أن تؤثر على المراسلين والشركاء والعملاء والثقة العامة في الاتصالات. لهذا السبب فإن التصحيح طويل الذيل ليس فقط خطرًا خاصًا للمالك.
إرشادات فريق Exchange من Microsoft حولتحديثات أمان Exchange Server لشهر مارس 2021وتحديثات Exchange الفصلية اللاحقةتحديثات Exchange الفصليةتشير إلى مشكلة الخدمة. بعض العملاء كانوا على تحديثات تراكمية مدعومة ويمكنهم التحرك بسرعة. آخرون كان عليهم اللحاق بالركب. البعض ربما كان يدير إصدارات غير مدعومة. كلما زادت فجوة الخدمة، زادت صعوبة الإصلاح الطارئ.
خدمة التخفيف الطارئ لـ Exchange اللاحقة الموصوفة فيسبتمبر 2021كانت إجابة واحدة على هذا الخطر المجتمعي. يمكن للتخفيفات المؤقتة تقليل التعرض بينما يستعد العملاء للتحديثات الكاملة. لكن التخفيف المؤقت يعتمد على أن يكون العملاء على إصدارات يمكنها تلقي الميزة وعلى أن تقبل المنظمات نموذج التخفيف. لا يمكن أن يحمي كل خادم مهجور أو غير مدعوم.
يمكن للسلطات العامة المساعدة باستخدام قياس التعرض والإبلاغ. مشروع مسح ثغرات Exchange من Shadowserverمشروع مسح ثغرات Exchangeيظهر كيف يمكن للقياس الخارجي تحديد المجموعات التي قد تحتاج إلى إجراء. يجب أن يقترن هذا القياس باتصال دقيق: بيانات التعرض ليست دليلًا على الاختراق، لكنها يمكن أن تساعد المستجيبين الوطنيين والقطاعيين في الوصول إلى المالكين الذين قد يفوتون الإشعار.
درس الخطر المجتمعي هو أن القاعدة المثبتة تحتاج إلى رعاية مستمرة. يجب على البائعين تصميم مسارات تحديث تقلل الاحتكاك. يجب على العملاء الحفاظ على الخوادم في حالات مدعومة. يجب على مزودي الخدمات المدارة الحفاظ على الجرد. يجب على الحكومات وهيئات القطاع تحذير المؤسسات المكشوفة. يجب على شركات التأمين والمدققين معاقبة البنية التحتية للبريد الإلكتروني غير المرئية الموجهة للإنترنت. يتقلص الذيل الطويل فقط عندما يعامل كل جهة الخوادم المتأخرة كخطر مشترك.
تعرض صندوق البريد أصعب في الشرح من اختراق الخادم
ويب شيل هو قطعة أثرية مرئية. تعرض صندوق البريد يمكن أن يكون أصعب في الشرح. قد يسمح خادم Exchange المخترق بالوصول إلى الرسائل والمرفقات ودفاتر العناوين وعناصر التقويم أو الوظائف الإدارية. لكن تحديد محتوى صندوق البريد الذي تمت قراءته بالضبط يمكن أن يكون صعبًا، خاصة إذا كان التسجيل غير كامل أو استخدم المهاجمون وصولًا على مستوى الخادم. هذا يخلق مشكلة إبلاغ وثقة بعد التنظيف الفني.
منشور HAFNIUM الأولي من Microsoftمنشور HAFNIUMومركز موارد Exchange Server من MSRCمركز موارد Exchange Serverركزا على التحديثات العاجلة والاستغلال الملحوظ. بالنسبة للمؤسسات المتأثرة، كان السؤال التالي غالبًا أصعب: ما البريد الذي وصل إليه المهاجم؟ قد لا تكون الإجابة ثنائية. بعض المؤسسات يمكنها العثور على دليل وصول واضح. أخرى يمكنها فقط استنتاج الخطر من اختراق الخادم ووجود القطع الأثرية.
يجب أن يكون هذا الغموض جزءًا من التواصل العام. إذا لم تتمكن المؤسسة من تحديد الوصول الدقيق إلى صندوق البريد، يجب أن تقول ما الأدلة التي لديها، وما تفتقر إليه، وما الخطوات الوقائية المعقولة. قد يحتاج المستخدمون إلى إعادة تعيين كلمات المرور، ومراجعة المرفقات الحساسة، ومراقبة التصيد المستهدف، أو نقل الاتصالات إلى قنوات أكثر أمانًا مؤقتًا. قد يحتاج الشركاء إلى عدم الثقة في الرسائل المرسلة خلال النافذة. قد تحتاج الفرق القانونية وأفرقة السجلات إلى الحفاظ على مواد التحقيق.
الجانب المتعلق بالاستمرارية يحتاج أيضًا إلى شرح. إذا تم إيقاف البريد الإلكتروني للتحقيق، فما هي القناة البديلة الموثوقة؟ إذا بقي البريد الإلكتروني متصلاً أثناء تنظيف الخادم، فما القيود المطبقة؟ إذا تواصلت وكالة عامة مع المواطنين، كيف تتجنب فقدان الثقة العامة؟ هذه الأسئلة تشغيلية، وليست تقنية بحتة.
جعل ProxyLogon ثقة صندوق البريد فئة إصلاح. يمكن لخادم مصحح أن يترك المستخدمين يتساءلون عما إذا كانت المحادثات القديمة قد تمت قراءتها أو ما إذا كان يمكن الوثوق بالرسائل الجديدة. يجب أن يشرح أقوى سجل إصلاح حالة البنية التحتية وحالة ثقة الاتصال. هكذا يصبح حادث البريد مغلقًا حقًا.
يجب أن يقابل إلحاح التصحيح اكتشاف المالك
يفترض التصحيح الطارئ أن شخصًا ما يعرف من يملك النظام. كشف ProxyLogon عن مدى هشاشة هذا الافتراض. قد يكون لدى المؤسسة خوادم Exchange إنتاجية، وخوادم هجينة، وأنظمة اختبار، ومضيفين متقاعدين لكنهم لا يزالون يعملون، وخوادم بريد يديرها مقاولون، ونقاط نهاية منسية موجهة للإنترنت. يصل إشعار التصحيح إلى فريق الأمان، لكن الخادم الضعيف قد يكون مملوكًا لوحدة أعمال أو مكتب محلي أو مزود خدمة مدارة قديم أو شخص غير محدد بوضوح.
لهذا السبب بدأ التوجيه الطارئ 21-02 من CISAالتوجيه الطارئ 21-02بالتحديد والإبلاغ، وليس فقط التثبيت. بالنسبة للوكالات الفيدرالية، كانت معرفة مكان وجود Exchange المحلي بحد ذاتها جزءًا من الإجراء الطارئ. نفس الانضباط ينطبق خارج الحكومة. جرد الأصول ليس قائمة إدارية؛ إنه أول تحكم في حدث استغلال جماعي.
يجب أن يشمل اكتشاف المالك الملكية الفنية والتجارية. المالك الفني يمكنه تطبيق التصحيحات أو الاتصال بالمزود. المالك التجاري يفهم ما إذا كان الخادم يدعم صناديق بريد قانونية أو خدمات عامة أو اتصالات تنفيذية أو حسابات طلابية أو عمليات سريرية أو وصول أرشيفي. بدون كليهما، قد تقوم فرق الاستجابة بتصحيح الجهاز لكن تفوت الآثار التجارية للتعرض.
يجب أن يشمل سجل المالك أيضًا السلطة. من يمكنه فصل الخادم إذا اشتبه في الاختراق؟ من يمكنه الموافقة على وقت تعطل طارئ؟ من يمكنه إنفاق المال على استجابة خارجية؟ من يمكنه إبلاغ المستخدمين؟ من يمكنه اتخاذ قرار إعادة البناء بدلاً من التنظيف؟ ضغط ProxyLogon هذه القرارات في أيام. المؤسسات التي لم تخصص السلطة مسبقًا كان عليها التفاوض بينما كان المهاجمون يتحركون بالفعل.
إرشادات البائع والحكومة يمكن أن تذهب فقط إلى حد إذا كانت الملكية مفقودة. مركز موارد Exchange Server من Microsoftمركز موارد Exchange Serverوتنبيه CISAتنبيه CISAوتقارير شركات الأمان يمكن أن تخبر المدافعين بما يهم. لم يتمكنوا من تسمية كل خادم مهمل. يظل ذلك واجب العميل، وبالنسبة للمؤسسات الصغيرة غالبًا ما يكون الواجب الأهم.
الإصلاح الدائم هو بالتالي جرد تم اختباره من قبل المالك. بشكل دوري على الأقل، يجب على المؤسسات إثبات أن كل نظام بريد موجه للإنترنت له مالك محدد وإصدار مدعوم ومسار تحديث وخطة نسخ احتياطي وخطة تسجيل وسلطة حوادث وتصنيف تأثير أعمال. عندما يصل التصحيح الطارئ التالي، لا ينبغي قضاء الساعة الأولى في السؤال عن من يملك الخادم.
يجب أن تكون قرارات إعادة البناء جزءًا من الخطة
تنظيف خادم Exchange مخترق يمكن أن يكون صعبًا. إذا كانت ويب شيلات أو عمليات مشبوهة أو سجلات غير مؤكدة موجودة، قد يضطر المدافعون إلى تحديد ما إذا كانت الإزالة كافية أو ما إذا كانت إعادة البناء من وسائط معروفة جيدة أكثر أمانًا. يعتمد هذا القرار على تحمل الأعمال وجودة النسخ الاحتياطي واحتياجات الأدلة وثقة المؤسسة في الاحتواء. لا ينبغي أن يكون مرتجلًا بعد الاستغلال.
توضح عملية إزالة ويب شيل من وزارة العدلعملية إزالة ويب شيلحد إزالة القطع الأثرية. إزالة ويب شيل معروف يقلل مسار وصول واحد. لا يثبت أن الخادم موثوق به بخلاف ذلك. إشعار FBIالإشعارعزز حاجة مالكي الخوادم لمواصلة المعالجة. هذا هو سؤال إعادة البناء في شكل عام: ما مستوى الأدلة الكافي للثقة في النظام مرة أخرى؟
يجب على المؤسسات وضع محفزات إعادة البناء مسبقًا. على سبيل المثال، ويب شيل مؤكد بالإضافة إلى سجلات غير كافية قد يتطلب إعادة بناء. دليل على حركة جانبية قد يتطلب استجابة بيئية أوسع. حالة إصدار غير مدعومة قد تتطلب هجرة بدلاً من إصلاح. تعرض صندوق بريد حساس قد يتطلب مراجعة قانونية قبل الاستعادة. هذه المحفزات تساعد الفرق الفنية على التصرف بحزم دون انتظار نقاش تنفيذي مخصص.
تخطيط إعادة البناء يكشف أيضًا واقع النسخ الاحتياطي. إعادة البناء النظيفة تتطلب وسائط تثبيت معروفة جيدة ووثائق تكوين وحماية بيانات البريد واختبارات استعادة وطريقة للحفاظ على الأدلة الجنائية قبل المسح. غالبًا ما تكتشف المؤسسات الصغيرة أثناء الحوادث أن النسخ الاحتياطية موجودة لكن خطوات الاستعادة غير مؤكدة. أظهر ProxyLogon أن التصحيح الطارئ واستعادة الكوارث مترابطان؛ الخادم الذي لا يمكن إعادة بنائه بأمان يصبح من الصعب إغلاقه.
معيار المساءلة ليس أن كل خادم مخترق يجب دائمًا إعادة بنائه. إنه أن المؤسسة يجب أن تعرف متى تكون إعادة البناء هي المسار الأكثر أمانًا وأن يكون لديها الوسائل للقيام بذلك. الإصلاح طويل الذيل يكون أقوى عندما تحكم قرارات التنظيف بعتبات أدلة بدلاً من الأمل.

