Microsoft Corp. saldırganların daha önce bilinmeyen iki güvenlik açığından yararlandığına dair raporları araştırıyor. Exchange Sunucusu, birçok kuruluşun e-posta göndermek ve almak için güvendiği bir teknoloji. Microsoft, güvenlik açıklarını kapatmak için yazılım yamaları üzerinde çalışmayı hızlandırdığını söylüyor. Bu arada, bir Exchange müşterisi alt kümesini, devam eden saldırıları azaltmaya yardımcı olabilecek bir ayarı etkinleştirmeye çağırıyor.
Perşembe günü yayınlanan müşteri kılavuzunda Microsoft, Microsoft Exchange Server 2013, 2016 ve 2019’u etkileyen bildirilen iki sıfır gün kusurunu araştırdığını söyledi. CVE-2022-41040, kimliği doğrulanmış bir Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığıdır. saldırganın, aşağıdaki durumlarda uzaktan kod yürütülmesine (RCE) izin veren ikinci sıfır gün güvenlik açığını (CVE-2022-41082) uzaktan tetiklemesini sağlar. Güç kalkanı saldırgan tarafından erişilebilir.
Microsoft dedi Çevrimiçi Değişim müşterileri korumak için yerinde tespitler ve azaltma vardır. kullanan müşteriler şirket içi Microsoft Exchange sunucularının, Microsoft’un bilinen saldırı modellerini engellemesi gerektiğini söylediği güvenlik danışma belgesinde önerilen azaltmaları gözden geçirmesi isteniyor.
Vietnam güvenlik firması GTSC Perşembe günü, iki Exchange sıfır gün kusuru hakkında bir yazı yayınladı ve saldırıların ilk olarak Ağustos ayının başlarında “web kabuklarını” düşürmek için kullanıldığını gözlemlediğini söyledi. Bu web tabanlı arka kapılar, saldırganlara İnternet üzerinden herhangi bir tarayıcıdan erişilebilen, kullanımı kolay, parola korumalı bir bilgisayar korsanlığı aracı sunar.
GTSC, “Çoğunlukla gizlenmiş web kabuklarının Exchange sunucularına düştüğünü tespit ettik” diye yazdı. “Kullanıcı aracısını kullanarak, saldırganın, web kabuğu yönetimini destekleyen, Çin merkezli, açık kaynaklı, platformlar arası etkin bir web sitesi yönetim aracı olan Antsword’ü kullandığını tespit ettik. Web kabuğu kod sayfası, basitleştirilmiş Çince için bir Microsoft karakter kodlaması olan 936 olduğu için bunların bir Çinli saldırı grubundan geldiğinden şüpheleniyoruz.”
GTSC’nin tavsiyesi, ödün verme sonrası etkinlik ve ilgili kötü amaçlı yazılımlarla ilgili ayrıntıların yanı sıra, müşterilerin Exchange Sunucusu ortamlarındaki etkin güvenlik ihlallerine yanıt vermelerine yardımcı olmak için atılan adımları içerir. Ancak şirket, şimdilik güvenlik açıklarının daha fazla teknik detayını saklayacağını söyledi.
Mart 2021’de, Exchange Server’daki dört sıfırıncı gün güvenlik açığı sayesinde dünya çapında yüz binlerce kuruluşun e-postaları çalındı ve birden çok arka kapı web kabuğu kuruldu.
Kabul edelim ki, bu fiyaskoya neden olan sıfır gün kusurları, bu hafta açıklanan ikisinden çok daha kritikti ve açıklardan yararlanma kodunun halka açık olarak yayınlandığına dair henüz bir işaret yok (bu muhtemelen yakında değişecek). Ancak geçen yılki Exchange Server toplu saldırısını bu kadar yaygın yapan şeyin bir kısmı, savunmasız kuruluşların Exchange Server ortamlarının tamamı birden fazla saldırganın mülkiyetine geçmeden önce ne aramaları gerektiği konusunda çok az veya hiç bildirimde bulunmamasıydı.
Microsoft, bu sıfırıncı gün kusurlarının, bir saldırganın bir Exchange kullanıcısı için geçerli bir kullanıcı adı ve parolaya sahip olmasını gerektirdiğini belirtmekte hızlıdır, ancak bu, Exchange Server’a karşı bu en son istismarların arkasındaki bilgisayar korsanları için o kadar da yüksek bir emir olmayabilir.
Steven Adair 2021 toplu hack’inde hedeflenen Exchange sıfır günleri hakkında ilk alarm verenler arasında yer alan Virginia merkezli siber güvenlik firması Volexity’nin başkanıdır. Adair, GTSC’nin yazısının, saldırganlar tarafından kullanılan ve Volexity’nin son zamanlarda Exchange kullanıcılarının kimlik bilgileri için kimlik avı yaptığı gözlemlenen Çin merkezli bir bilgisayar korsanlığı grubuna yüksek güvenle bağladığı bir İnternet adresini içerdiğini söyledi.
Ağustos 2022’de Volexity, aynı Çinli bilgisayar korsanlığı grubunun, Dünya’daki sıfırıncı gün güvenlik açığından kitlesel olarak yararlanılmasının arkasında olduğu konusunda uyardı. Zimbra İşbirliği Süitibirçok işletmenin e-posta ve diğer mesajlaşma biçimlerini yönetmek için kullandığı Microsoft Exchange’in rakibidir.
Kuruluşunuz Exchange Server çalıştırıyorsa, lütfen Microsoft azaltımlarını ve GTSC otopsi incelemelerini gözden geçirmeyi düşünün.