Rackspace Hosted Exchange hizmeti Aralık ayında bir fidye yazılımı saldırısıyla karşı karşıya kaldığında, asıl nedenin bir Microsoft Exchange güvenlik açığıyla (CVE-2022-41080 olarak belirlenmiş) sıfırıncı gün açıklarından yararlandığı tespit edildi. Bu, bilgisayar korsanlarının birden fazla hesaba erişmesine izin verdi ve on binlerce kullanıcının önceki e-postalarına erişimi kaybetmesine neden oldu.
Microsoft Exchange’deki güvenlik açığının ayrıcalıkların yükselmesine neden olabileceği keşfedildi. Bu zayıflık, uzaktan kod yürütmeyi sağlamak için CVE-2022-41082 ProxyNotShell hatasıyla birleştirilebilir. Siber suçlular, Microsoft Exchange Server’da uzaktan ayrıcalık yükseltme elde etmek için bu kritik güvenlik açığından yararlanıyor.
O zamandan beri araştırmacılar bu tür birkaç örneği tespit ediyorlar. Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rackspace olayının gün ışığına çıkmasından birkaç gün sonra, istismar edilen hatalar veritabanına güvenlik zayıflıkları ekledi.
The Cyber Express, tekrarlanan örneklere, CISA bildirimine ve hatta Microsoft’tan yama yönetimi için bir eylem çağrısına rağmen, birçok kuruluşun henüz bir yama başlatmadığını buldu.
Microsoft Güvenlik Açığı: Büyük hata ve yama yok mu?
The Cyber Express tarafından kayıtlı okuyucularımız arasında gerçekleştirilen bir anket, birçoğunun güvenlik açığının etkisinin farkında olmadığını ortaya çıkardı.
Çeşitli sektörlerden ve konumlardan ankete katılan yaklaşık 40 siber güvenlik lideri ve yöneticisinden yaklaşık %20’si Ocak ayında uyarı aldıktan sonra hatayı düzeltmek için harekete geçti. Şaşırtıcı bir şekilde, %40’a yakını sistemlerini hala tam olarak güncellemedi.
Bir raporda CrowdStrike, ‘OWASSRF’ istismarının Outlook web erişimi aracılığıyla uzaktan kod yürütülmesine izin veren iki güvenlik açığından oluştuğunu belirtti.
Saldırganlar, ProxyNotShell için saldırı vektörlerini Remote PowerShell’e kullandılar ve ilk erişimi elde ettiler.
Microsoft, Küba fidye yazılımının Microsoft Exchange sunucularını hacklemek için OWASSRF kusuru adlı sıfır gün açığını kullandığı konusunda uyarıda bulundu. Teksas merkezli bulut bilgi işlem sağlayıcısı Rackspace, ProxyNotShell URL yeniden yazma hafifletmelerini de atladıklarını doğruladı.
Microsoft Exchange Server’daki eski kusurlar
Microsoft Exchange Server’da geçtiğimiz iki yıl içinde ortaya çıkan çeşitli kusurlar, fidye yazılımı çeteleri için hala anahtar delikleri olmaya devam ediyor.
Bir dizi Exchange Server güvenlik açığı olan ProxyShell, Ağustos 2021’de ifşa edildi ve bunun ardından, ProxyLogon ve ProxyShell’de savunmasız değişim sunucuları arayan tehdit aktörleri bulundu.
Tenable, ProxyLogon (CVE-2021-26855) ve CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065’in devlet destekli bir siber suç grubu olan HAFNIUM tarafından sıfır gün güvenlik açıkları olarak kullanıldığını belirtti.
Yama uygulanmamış kurum içi Exchange sistemleri, istismar edilmeyi bekleyen değerli bilgiler barındırıyor, diye uyardı Microsoft.
Örneğin, kullanıcı posta kutuları genellikle hassas veriler içerir ve her Exchange sunucusu, organizasyon yapısı, iş unvanları ve iletişim bilgileri gibi sosyal mühendislik saldırıları için yararlı bilgiler sağlayan bir şirket adres defteri içerir.
Ek olarak, Exchange, Active Directory’ye kapsamlı erişime sahiptir ve hibrit ortamlarda, bağlı bulut ortamına da erişime sahiptir.
Acil yama yapılması çağrısında bulunan Microsoft blog gönderisinde, “Daha önce de söyledik, şimdi de söylüyoruz ve söylemeye devam edeceğiz: Exchange sunucularınızı güncel tutmak çok önemlidir.”
ProxyNotShell yaması
Microsoft, Eylül 2022’de ifşa edilen ProxyNotShell’in iki ayı için hafifletme kılavuzu sunmuştur.
Kusurun açıklanmasından yaklaşık bir ay sonra gelen 8 Kasım’a kadar hiçbir yama yayınlanmadı. Ayrıca, OWASSRF’de, siber suçluların CVE-2022-41080’den yararlanarak ProxyNotShell için sunulan azaltmayı atlamasına izin veren bir azaltma bypass’ı bulundu.
Microsoft’un Kasım Salı Yaması’nda sunulan güvenlik açıkları için düzeltme ekini uygulamayan kuruluşlar, 2022’de bulunan saldırılara karşı savunmasız olmaya devam ediyor. Azaltma yönergelerini izleyenler siber saldırılara karşı tam olarak korunmuyor ve kusurları düzeltmeleri isteniyor.
Viettel Security’deki araştırmacılar, CVE-2022-41080 ile OWASSRF’nin, Aralık 2022’de yamasına rağmen PowerShell’de uzaktan kod yürütmeyi etkinleştirebileceğine dikkat çekti.
Testleri gerçekleştirdikten sonra, isteğe bağlı PowerShell cmdlet’lerini çalıştırmak üzere PowerShell korumalı alanına girmek için her iki güvenlik açığından da yararlanabildiler.
(Resim: Sürdürülebilir)
Tenable, güvenlik açığı bulunan Exchange sunucularının sayısını ölçmek için bir eklenti kullandı ve Kasım 2022’den Ocak 2023’e kadar sunucu sayısının azalmasına rağmen, sistemlerine yama uygulaması gereken kullanıcıların hala olduğunu tespit etti. ProxyNotShell azaltma önlemleri uygulanmış olsa bile sunucular, bilgisayar korsanlarının istismar ettiği Exchange sunucu kusurlarına karşı savunmasızdır.
Kasım 2022 yamasıyla en son Exchange güvenlik güncelleştirmeleri uygulanmalıdır. Veya kuruluşların siber saldırılara karşı savunmasız kalmamak için güvenlik açıkları düzeltilene kadar Outlook Web Access’i devre dışı bırakması gerekir.