Microsoft’un Şubat ayı Salı günü yama güncellemelerinde aktif olarak yararlanılan başka bir güvenlik açığının olduğu ortaya çıktı.
Microsoft, CVE-2024-21410 güncelleme kılavuzunda bu güvenlik açığından saldırganların yararlanabileceğini söylediğinde şaka yapmıyordu. Kısa bir süre sonra durumu “İstismar Tespit Edildi” olarak değiştirdiler.
Bugün, Alman Federal Bilgi Güvenliği Dairesi’nin (BSI) aynı güvenlik açığıyla ilgili bir uyarısını fark ettikten sonra bu konuda uyarıldım: BSI’nin hafife almadığı bir şey.
Exchange güvenlik açığı, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanında, CVSS puanı 10 üzerinden 9,8 olan bir ayrıcalık yükselmesi güvenlik açığı olan CVE-2024-21410 olarak listelenmiştir.
Microsoft’un güvenlik açığına ilişkin açıklaması biraz daha açıklayıcı:
“Bir saldırgan, NTLM kimlik bilgilerini sızdıran türden bir güvenlik açığına sahip Outlook gibi bir NTLM istemcisini hedefleyebilir. Sızan kimlik bilgileri daha sonra kurban istemcisi olarak ayrıcalıklar kazanmak ve kurban adına Exchange sunucusunda işlemler gerçekleştirmek için Exchange sunucusuna aktarılabilir.
Bir Windows ağında NTLM (Yeni Teknoloji LAN Yöneticisi), kullanıcılara kimlik doğrulama, bütünlük ve gizlilik sağlamayı amaçlayan bir Microsoft güvenlik protokolleri paketidir. Bir saldırganın meşru bir kullanıcının kimliğine bürünmesi felaketle sonuçlanabilir.
Microsoft Exchange Sunucuları ve genel olarak posta sunucuları her kuruluştaki merkezi iletişim düğümleridir ve bu nedenle siber suçlular için çekici hedeflerdir. Karma geçiş saldırısı gerçekleştirebilmek, saldırgana ağın kalbine giden döşeli bir yol sağlayacaktır.
Güncelleştirmenin bir parçası olarak Microsoft, Exchange Server 2019 Kümülatif Güncelleştirme 14 (CU14) ile varsayılan olarak Kimlik Doğrulaması için Genişletilmiş Korumayı (EPA) etkinleştirmiştir. Koruma etkinleştirilmediğinde, bir saldırgan, sızdırılan NTLM kimlik bilgilerini diğer hedeflerden (örneğin Outlook) aktarmak için Exchange Server’ı hedefleyebilir.
Exchange Server 2019 CU13 veya önceki bir sürümünü çalıştırıyorsanız ve daha önce NTLM kimlik bilgileri Aktarma Korumalarını etkinleştiren betiği çalıştırdıysanız bu güvenlik açığından korunuyorsunuz demektir. Ancak Microsoft, en son toplu güncelleştirmenin yüklenmesini önemle önerir.
Geçtiğimiz yıl Microsoft, Exchange Server 2016 CU23 için isteğe bağlı bir özellik olarak Genişletilmiş Koruma desteğini tanıttı.
Kuruluşunuzun Genişletilmiş Korumayı yapılandırıp yapılandırmadığından emin değilseniz Exchange Server Sağlık Denetleyicisi komut dosyasının en son sürümünü kullanabilirsiniz. Komut dosyası size sunucunuzun Genişletilmiş Koruma durumuna ilişkin bir genel bakış sağlayacaktır.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.