Siber suçlular, Microsoft tarafından onaylandığı gibi, yama uygulanmamış Exchange Server sıfırıncı gün güvenlik açıklarının bir sonucu olarak gerçek hayattaki saldırılarda iki 0 günlük Exchange Server güvenlik açığından yararlandı.
Ağustos 2022’de Vietnam güvenlik şirketi GTSC, Microsoft Exchange’in güvenlik açıkları olduğunu ilk keşfeden şirketti.
Ağustos 2022’nin başlarından itibaren, bu iki sıfır günlük güvenlik açığı, saldırganlar tarafından müşterilerinin ortamlarına saldırmak için istismar edildi.
0 Günlük Güvenlik Açıkları
Tanımlanan iki güvenlik açığı aşağıdaki gibidir: –
- CVE-2022-41040: 10 üzerinden 8,8 önem puanına sahip bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığıdır.
- CVE-2022-41082: Bu kusur, saldırgan tarafından PowerShell’e erişildiğinde Uzaktan Kod Yürütmesine (RCE) izin verir. Ve bu kusur 10 üzerinden 6,3 puan aldı.
Son raporlara göre Microsoft, bu güvenlik açıklarından yararlanarak kullanıcıların sistemlerini ihlal etmek için kullanılan sınırlı sayıda hedefli saldırının farkındadır.
İki güvenlik açığından birini başarıyla kullanmak için, bir saldırganın güvenlik açığı olan bir Exchange Sunucusuna erişimi olması gerekir.
Microsoft Exchange Server 2013, 2016 ve 2019, şirket içi dağıtımları etkileyen bu güvenlik açıklarından etkilenir.
Bu güvenlik açıklarından başarıyla yararlanan bilgisayar korsanları aşağıdakileri gerçekleştirebilir:-
- Kurbanın bilgisayar sistemine sızmak
- Bir web kabuğu edinin ve kurun
- Güvenliği ihlal edilmiş ağda yan yönde seyahat edin
Bunun dışında Microsoft, mümkün olan en kısa sürede bir düzeltme yayınlamak için istikrarlı bir şekilde çalıştıklarını iddia etti. Ancak, Microsoft Exchange Online’da müşterilerin bu gibi risklerden korunmasını sağlayan yerleşik korumalar vardır.
Microsoft, herhangi bir kötü amaçlı etkinlik için tüm bu algılamaları sürekli olarak gözlemlediğinden, müşterilerinin güvenliğini sağlamak için buna göre yanıt verecektir.
Exchange Server için geçerli azaltma yöntemi, aşağıdakileri yapan bir engelleme kuralının eklenmesiyle ilgilidir:-
IIS Yöneticisi -> Varsayılan Web Sitesi -> URL Yeniden Yazma -> Eylemler
Sonuç olarak, saldırıların oluşmasını önlemek için bilinen saldırı kalıpları engellenir.
Şirket bu konuda yorum yapmayı reddettiği için, düzeltmelerin yayınlanmasından önce yararlanılan güvenlik açıklarıyla ilgili teknik ayrıntılar hakkında henüz bir bilgi yok.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin