Microsoft, tehdit aktörlerinin şirket içi Exchange Server ve SharePoint Server’daki kritik güvenlik açıklarından yararlanmalarını artırdığı konusunda dünya çapında kuruluşları uyardı.
Son aylarda gözlemlenen bu saldırılar, siber suçluların hedeflenen ortamlara kalıcı ve ayrıcalıklı erişim elde etmesini sağlayarak uzaktan kod yürütmesine, yanal harekete ve hassas verilerin uygulanmasına yol açmıştır.
Exchange ve SharePoint sunucuları sakladıkları hassas veriler nedeniyle uzun süredir cazip hedefler olsa da, saldırganlar artık giderek daha sofistike teknikler kullanıyor.
.png
)
NTLM rölesi ve gizli kalıcılık Teknikler
Dikkate değer bir değişim, NTLM rölesinin yükselişi ve Exchange Server’a karşı kimlik bilgisi sızıntısı saldırılarının artması oldu. Bu senaryolarda, saldırganlar, çalınan kimlik bilgilerini savunmasız sunuculara aktararak, potansiyel olarak kullanıcı hesaplarını tehlikeye atarak ve daha fazla kötü amaçlı etkinlik sağlayarak NTLM kimlik doğrulama protokolündeki zayıflıklardan yararlanırlar.
Son kampanyalar, saldırganların NTLM karmalarını yakalamasına ve aktarmasına izin veren güvenlik açıklarından yararlandı ve genellikle ayrıcalıklı hesapları maksimum etki için hedef aldı.
SharePoint Server saldırıları da daha gizli hale geldi. Tehdit aktörleri, web kabuğu kodunu mevcut sayfalara eklemek ve uzaktan izleme ve yönetim (RMM) araçlarını dağıtmak gibi meşru dosyaları değiştirme gözlemlenmiştir.
Bu taktikler, geleneksel güvenlik önlemlerini kullanarak tespit edilmesi zor olan kalıcı, gizli erişimi mümkün kılar.
AMSI entegrasyonu çıtayı yükseltir
Bu tehditlere karşı koymak için Microsoft, Windows Antimal Yazılım Tarama Arayüzünü (AMSI) hem Exchange hem de SharePoint sunucusuna entegre etti. AMSI, uygulama katmanına ulaşmadan önce, kötü niyetli içerik için istek gövdeleri de dahil olmak üzere gelen HTTP isteklerini inceleyerek IIS boru hattında bir güvenlik filtresi görevi görür.
Bir tehdit tespit edildiğinde, AMSI talebi gerçek zamanlı olarak engeller, HTTP 400 kötü istek yanıtı döndürür ve resmi yamalar uygulanmadan önce sömürü önler.
Bu proaktif savunma, saldırganların kuruluşların sistemlerini güncelleme şansı olmadan önce sık sık grev yaptıkları sıfır gün güvenlik açıkları için özellikle kritiktir.
AMSI’nin entegrasyonu, SSRF, Web Kabuğu Dağıtım ve Kimlik Bilgisi Hırsızlığı gibi kötü niyetli girişimlerin tespit edilmesini ve engellenmesini sağlar ve daha fazla araştırma ve iyileştirme için Microsoft Defender’a olaylar ortaya çıkar.
Microsoft, şirket içi değişim veya SharePoint sunucularını çalıştıran kuruluşları şunlara şiddetle teşvik eder:
- En son güvenlik yamalarını ve güncellemeleri gecikmeden uygulayın.
- AMSI entegrasyonunu etkinleştirin ve uyumlu antimal yazılım çözümlerinin etkin olduğundan emin olun.
- NTLM kimlik doğrulama yapılandırmalarını denetleyin ve sertleştirerek, mümkün olduğunca kimlik doğrulama (EPA) için genişletilmiş koruma sağlar.
- Anormal HTTP istekleri veya yetkisiz posta kutusu erişimi gibi şüpheli etkinlikleri izleyin.
Saldırganlar yenilik yapmaya devam ettikçe, kritik iş varlıklarını uzlaşmaya karşı korumak için katmanlı savunmalar ve hızlı tepki gereklidir.
Malware Trends Report Based on 15000 SOC Teams Incidents, Q1 2025 out!-> Get Your Free Copy