Almanya Federal Bilgi Güvenliği Dairesi (BSI), bugün, Almanya'da internetten kısıtlama olmadan erişilebilen yaklaşık 45.000 Microsoft Exchange sunucusunun yaklaşık yüzde 12'sinin “o kadar eski olduğu için güvenlik güncellemeleri artık sunulmuyor” uyarısında bulundu. .
Ayrıca, internete bakan tüm sunucuların yaklaşık yüzde 25'i Exchange 2016 ve 2019 çalıştırıyor ancak güvenlik yamalarıyla güncel değil.
Acil eyleme ihtiyaç var
BSI, saldırganların hedeflenen kullanıcının NTLM kimlik bilgilerini öğrenmesine ve kullanıcı olarak savunmasız bir Exchange Sunucusunda kendilerini doğrulamak için bunları “aktarmasına” olanak tanıyan kritik bir ayrıcalık yükselmesi hatası olan CVE-2024-21410'u kullanarak bu sunucuları ihlal etmesinden endişe ediyor.
Microsoft tarafından CVE-2024-21410 için bir düzeltme sağlandı ve şirket aşağıdakilere yükseltme yapılmasını önerdi:
- Exchange Server 2019 Toplu Güncelleme (CU) 14, NTLM geçiş saldırılarına karşı halihazırda mevcut azaltıcı önlemleri (Kimlik Doğrulama için Genişletilmiş Koruma) zorunlu kılar
- Exchange Server 2016 CU23, ardından Microsoft tarafından sağlanan bir komut dosyası kullanarak Genişletilmiş Korumayı açma
Microsoft, “bu güvenlik açığından yararlanıldığının farkında olduğunu” ve daha sonra bu güvenlik açığının CISA'nın Bilinen Yararlanan Güvenlik Açıkları kataloğuna eklendiğini söyledi.
BSI, “Microsoft Exchange'de ayrıca güvenlik güncellemelerinin yakın zamanda kullanıma sunulduğu başka bir güvenlik açığı daha var” dedi; muhtemelen kimliği doğrulanmamış saldırganların yama uygulanmamış sunucularda uzaktan kod yürütmesine olanak tanıyan bir DLL yükleme güvenlik açığı olan CVE-2024-26198'e atıfta bulunuyordu Mart 2024'te düzeltildi.
BSI, “Bu güncellemeler yüklenmezse tehdit durumu daha da artar” dedi. Bu, Almanya'daki en az 17.000 Microsoft Exchange sunucusu örneğinin (ve muhtemelen daha fazlasının) bir veya daha fazla kritik güvenlik açığına karşı savunmasız olduğu anlamına geliyor.
BSI, Microsoft Exchange bulut sunucusu operatörlerine güncel sürümleri kullanmaları, mevcut güvenlik güncellemelerini yüklemeleri ve bulut sunucularını güvenli bir şekilde yapılandırmaları çağrısında bulundu.
Dışarıda kaç tane daha savunmasız Microsoft Exchange sunucusu var?
Shadowserver Foundation şu anda dünya çapında 17.800'den fazla internete yönelik Exchange Sunucusunun CVE-2024-21410'a karşı savunmasız olduğunu, 73.300'den fazla muhtemelen CVE-2024-21410'a karşı savunmasız olduğunu (bilinmeyen “Genişletilmiş Koruma uygulandı” durumu nedeniyle) ve 70.000'den fazla Sunucunun olduğunu tespit ediyor CVE-2024-26198'e karşı savunmasız.
BSI, CERT'in Almanya'daki ağ operatörlerini, bilinen güvenlik açığı bulunan Exchange sunucularının bulunduğu ağlarındaki IP adresleri hakkında e-posta yoluyla bilgilendirdiğini söyledi.