Ağustos 2022’de bilgisayar korsanları, dünya çapında en az 10 kuruluşu hedef alan sınırlı bir saldırı dalgası başlattı.
Bu saldırılarda bilgisayar korsanları tarafından Exchange sunucularına erişim sağlamak ve bu saldırılarda bu sunucuların güvenliğini sağlamak için istismar edilen yeni açıklanan iki sıfır gün güvenlik açığı vardır.
Uygulamalı klavye erişimini daha rahat hale getirmek için bu saldırılar sırasında Chopper web kabuğu kuruldu. Saldırganlar, verilerin keşfi ve sızdırılması için Active Directory’ye erişim sağlamak için bu tekniği kullanır.
Bu vahşi istismarların bir sonucu olarak, onları silahlandırmaya yönelik artan eğilim nedeniyle bu güvenlik açıklarının önümüzdeki günlerde daha da silahlandırılması muhtemeldir.
0 Günlük Kusurlardan Yararlanma
Aşağıda, vahşi doğada bilgisayar korsanları tarafından 10 kuruluşa saldırmak için istismar edilen iki 0-Günlük kusurdan bahsettik:-
- CVE-2022-41040: CVSS puanı ile Microsoft Exchange Server Ayrıcalık Yükselmesi Güvenlik Açığı: 8.8.
- CVE-2022-41082: CVSS puanı ile Microsoft Exchange Server Uzaktan Kod Yürütme Güvenlik Açığı: 8.8.
Bu iki sıfır gün güvenlik açığının birleşimi “ProxyNotShell” olarak adlandırıldı. Bu güvenlik açıklarından yararlanılması, standart bir kimlik doğrulama işlemine sahip standart bir hesap kullanılarak mümkündür.
Birçok farklı yolla standart kullanıcıların kimlik bilgilerini elde etmek mümkündür. Vietnamlı bir siber güvenlik şirketi olan GTSC, istismar edilen güvenlik açıklarını ilk keşfeden kişi oldu.
Bu izinsiz girişlerin Çinli bir tehdit aktörü tarafından gerçekleştirildiğinden şüpheleniliyor.
Azaltma
Microsoft Exchange Online müşterilerinin herhangi bir işlem yapması gerekmez. Microsoft, şirket içi Exchange kullanan Microsoft Exchange müşterileri için URL Yeniden Yazma Talimatlarını gözden geçirmeyi ve ayrıca kullanıcıların bunları hemen uygulamalarını tavsiye etti.
Microsoft 365 Defender kullanan bir Microsoft Exchange Server kullanıcısıysanız, Microsoft tarafından sağlanan aşağıdaki denetim listesini izlemeniz gerekir:-
- Microsoft Defender Antivirus’te bulut tabanlı korumayı etkinleştirin.
- Kurcalamaya karşı koruma sağlayarak güvenlik hizmetlerini saldırganlar tarafından kesintiye uğramaktan koruyun.
- Endpoint için Microsoft Defender, EDR blok modunda çalışırken kötü amaçlı yapıları algılayabilir.
- Ağ korumasını etkinleştirerek İnternet ağını kötü amaçlı etki alanlarından ve diğer kötü amaçlı içerikten koruyun.
- İnceleme ve düzeltme için tam otomasyonu etkinleştirin. Bunu yaparak, Microsoft Defender for Endpoint, ihlallerden hemen haberdar edilebilir ve anında işlem yapmasına olanak tanır.
- Ağınızın cihazlarını keşfetmek, neler olup bittiğine dair daha fazla görünürlüğe sahip olmanızı sağlayacaktır.
Ek önleme önlemleri olarak, kullanıcılara şunları da tavsiye ettiler:-
- Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin
- Eski kimlik doğrulama devre dışı bırakılmalıdır
- Şüpheli veya bilinmeyen 2FA istemlerini kabul etmeyin
- Karmaşık şifreler kullandığınızdan emin olun