CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), bir devlet devlet kuruluşunun ağ ortamına ilişkin meta veriler de dahil olmak üzere ana bilgisayar ve kullanıcı bilgilerini içeren belgelerin bir karanlık web aracılık sitesinde bulunmasının ardından bir siber güvenlik tavsiyesi yayınladı.
Bir saldırgan, kuruluşun eski bir çalışanının hesabı aracılığıyla ağ yöneticisi kimlik bilgilerini ele geçirmeyi başardı. Saldırgan, dahili bir sanal özel ağ (VPN) erişim noktasında kimlik doğrulamayı, kurbanın şirket içi ortamında daha fazla gezinmeyi ve bir etki alanı denetleyicisine karşı çeşitli hafif dizin erişim protokolü (LDAP) sorgularını yürütmeyi başardı.
CISA, hesap ayrıntılarının veri ihlali nedeniyle saldırganın eline geçtiğinden şüpheleniyor. Çalışan ayrıldığında hesap devre dışı bırakılmış olsaydı bu durum bir sorun teşkil etmeyecekti. Ancak hesabın, SharePoint ve iş istasyonu da dahil olmak üzere iki sanallaştırılmış sunucuya yönetici ayrıcalıklarıyla hâlâ erişimi vardı.
Olay müdahale ekiplerinin kayıtları, saldırganın ilk olarak bilinmeyen bir sanal makineden (VM) kurbanın şirket içi ortamına dahili VPN aralığındaki internet protokolü (IP) adresleri aracılığıyla bağlandığını ortaya çıkardı.
Saldırgan, SharePoint sunucusunda, sunucuda yerel olarak depolanan genel etki alanı yöneticisi kimlik bilgilerini ele geçirdi. Bu hesap aynı zamanda saldırganın şirket içi Active Directory (AD) ve Azure AD’ye erişmesini de sağladı.
Saldırgan, kullanıcı, ana bilgisayar ve güven ilişkisi bilgilerini toplamak için LDAP sorgularını yürüttü. Bu sorguların sonuçlarının da satışa sunulan bilgiler arasında olduğu düşünülüyor.
Azaltma tavsiyesi
Bir çalışan ayrıldığında, tüm hesaplarının derhal kaldırılmaması için birkaç olası neden olabilir. Ama en azından bir an önce ayrıcalıklarını kaldırmalı ve şifresini değiştirmelisiniz.
CISA danışma belgesi, kullanıcı hesaplarıyla ilgili çeşitli tavsiye noktalarını listeler:
- Mevcut yönetici hesaplarını inceleyin ve yalnızca ağ yönetimi için gerekli olanların bakımını yapın.
- Bir kullanıcı için birden fazla yönetici hesabının kullanımını kısıtlayın.
- Erişimi bölümlere ayırmak için şirket içi ve Azure ortamları için ayrı yönetici hesapları oluşturun.
- En az ayrıcalık ilkesini uygulayın ve yalnızca gerekli olana erişim izni verin. İhtiyaç duyulan görev tamamlandıktan sonra ayrıcalıkları iptal etmek mantıklıdır.
- Kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) kullanın. Kimlik avına karşı yaygın olarak kullanılabilen tek kimlik doğrulama, FIDO/WebAuthn kimlik doğrulamasıdır.
Daha genel ipuçları şunlardır:
- Hesap ve grup politikaları: Ayrılan çalışanların hesaplarının kaldırıldığından ve artık ağa erişemediğinden emin olmak için sağlam ve sürekli bir kullanıcı yönetimi süreci oluşturun.
- Çevrenizin farkındalığı: Varlıkların kapsamlı belgelenmesi, güncel olmayan yazılımlara ilişkin farkındalığın sürdürülmesi için mevcut sürüm bilgilerinin takip edilmesi ve varlıkların iş ve kritik işlevlerle eşleştirilmesi yoluyla güçlü bir varlık yönetimi politikası sürdürün.
- Yama prosedürleri: Güvenlik Açığı ve Yama Yönetimi çözümünüz yoksa tüm işletim sistemleri, uygulamalar ve yazılımlar için rutin bir yama döngüsü oluşturun.
- İzleme ve günlüğe kaydetme: Ortamınızda olup bitenleri takip etmeniz çok önemlidir, böylece tam olarak ne olduğunu anlamanıza yardımcı olabilecek alışılmadık olaylardan ve günlüklerden haberdar olursunuz.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.