Güvenlik araştırmacıları, etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için gerçek dünya saldırılarında kötü niyetli aktörler tarafından istismar edilen tam yama uygulanmış Microsoft Exchange sunucularındaki daha önce açıklanmayan kusurlar konusunda uyarıyorlar.
Bu, Ağustos 2022’de güvenlik izleme ve olay müdahale çabalarının bir parçası olarak eksiklikleri keşfeden Vietnamlı siber güvenlik şirketi GTSC’ye göre.
Resmi olarak henüz CVE tanımlayıcıları atanmamış olan iki güvenlik açığı, Zero Day Initiative tarafından şu şekilde izleniyor: ZDI-CAN-18333 (CVSS puanı: 8.8) ve ZDI-CAN-18802 (CVSS puanı: 6.3).
GTSC, kusurların başarılı bir şekilde kullanılmasının, kurbanın sistemlerinde bir dayanak elde etmek için kötüye kullanılabileceğini ve rakiplerin web kabuklarını düşürmesini ve güvenliği ihlal edilmiş ağ boyunca yanal hareketler gerçekleştirmesini sağladığını söyledi.
Şirket, “Çoğunlukla gizlenmiş web kabuklarının Exchange sunucularına düştüğünü tespit ettik” dedi. “Kullanıcı aracısını kullanarak, saldırganın, web kabuğu yönetimini destekleyen, Çin tabanlı etkin bir açık kaynak çapraz platform web sitesi yönetim aracı olan Antsword’ü kullandığını tespit ettik.”
IIS günlüklerindeki istismar isteklerinin, ProxyShell Exchange Server güvenlik açıklarıyla aynı biçimde göründüğü söyleniyor ve GTSC, hedeflenen sunucuların Mart 2021’de ortaya çıkan kusurlara karşı zaten yamalandığını belirtiyor.
Siber güvenlik şirketi, web kabuğunun basitleştirilmiş Çince olarak kodlaması nedeniyle saldırıların muhtemelen bir Çinli bilgisayar korsanlığı grubundan kaynaklandığını öne sürdü (Windows Kodu sayfa 936).
Saldırılarda ayrıca, kalıcı uzaktan erişim sağlayabilen ve saldırganların daha fazla istismar için herhangi bir zamanda yeniden bağlantı kurmasına izin verebilen hafif bir arka kapı olan China Chopper web kabuğu da yer alıyor.
China Chopper web kabuğunun, geçen yıl ProxyShell güvenlik açıklarının yaygın bir şekilde sömürülmesine maruz kaldığında, Çin dışında faaliyet gösteren ve devlet destekli olduğundan şüphelenilen bir grup olan Hafnium tarafından da konuşlandırıldığını belirtmekte fayda var.
GTSC tarafından gözlemlenen diğer sömürü sonrası faaliyetler, kötü amaçlı DLL’lerin belleğe eklenmesini, WMI komut satırı (WMIC) yardımcı programını kullanarak virüslü sunucularda ek yükleri bırakmasını ve yürütmesini içerir.
Şirket, en az birden fazla kuruluşun sıfır gün kusurlarından yararlanan bir saldırı kampanyasının kurbanı olduğunu söyledi. Hatalarla ilgili ek ayrıntılar, aktif sömürü ışığında saklandı.
Daha fazla yorum için Microsoft’a ulaştık ve haber alırsak hikayeyi güncelleyeceğiz.
Bu arada, geçici çözüm olarak, IIS sunucuları için URL Yeniden Yazma Kuralı modülünü kullanarak, güvenlik ihlali göstergeleriyle istekleri engellemek için bir kural eklemeniz önerilir –
- FrontEnd’de Otomatik Bulma’da, URL Yeniden Yazma sekmesini seçin ve ardından İstek Engelleme’yi seçin.
- URL Yoluna “.*autodiscover\.json.*\@.*Powershell.*” dizesini ekleyin ve
- Koşul girişi: {REQUEST_URI} öğesini seçin
Güvenlik araştırmacısı Kevin Beaumont, bir dizi tweet’te, “Bir bal küpü de dahil olmak üzere, önemli sayıda Exchange sunucusunun arka kapıya kapatıldığını doğrulayabilirim” diyerek, “yine yönetici arayüzüne proxy’nin bir varyantı gibi görünüyor” dedi.
Beaumont, “Microsoft Exchange’i şirket içinde çalıştırmıyorsanız ve Outlook Web App’in internete dönük olması durumunda, etkilenmezsiniz,” dedi.