Vietnam merkezli bir siber güvenlik şirketi, siber suçluların MS Exchange sunucularını hedeflemek için Microsoft sıfır gün güvenlik açıklarını, özellikle de CVE-2022-41040 ve CVE-2022-41082’yi aktif olarak izlediğini bildirdi. Şirket, bu güvenlik açıklarından yararlanan saldırılar gözlemledi.
Exchange Sunucularını Hedefleyen Yeni Saldırı Kampanyası
GTSC, saldırganların daha önce bilinen Microsoft Exchange güvenlik açıklarından nasıl yararlandığını açıklayarak kimliği doğrulanmış bir saldırganın, düşük düzeyde ayrıcalık yükseltmesine sahip olanlar da dahil olmak üzere rastgele kod yürütmesine izin veren Vietnamlı bir firmadır.
Kampanya Ağustos ayının başlarında keşfedildi ve ana hedefi kritik altyapıydı. Şirket, güvenlik açığı ayrıntılarını, kusurları doğrulayan Zero-Day Initiative’e (ZDI) gönderdi.
Siber güvenlik araştırmacısı Kevin Beaumont’un tweetler Saldırganların Exchange sunucularını arka kapıya kapattığını ve hatta bir bal küpü kullandığını iddia ederek GTSC’nin hikayesini doğruladı. Beaumont, Microsoft’un muhtemelen yeni güvenlik açığından haberdar olduğunu da kaydetti. Ancak henüz müşterilerini bilgilendirmedi.
Tanımlanan İki Yeni Kusur
Araştırmalar, Exchange sunucularına yönelik en son saldırının, CVSS puanları 6.3 ve 8.8 olan en az iki yeni kusur (CVE-2022-41040, CVE-2022-41082) kullandığını ortaya koyuyor.
“Dikkatli testlerden sonra, bu sistemlere bu 0 günlük güvenlik açığı kullanılarak saldırıya uğradığını doğruladık. Topluluğun, Microsoft’tan resmi bir düzeltme eki yayınlanmadan önce saldırıyı geçici olarak durdurmasına yardımcı olmak için, Microsoft Exchange e-posta sistemini kullanan kuruluşları hedefleyen bu makaleyi yayınlıyoruz.”
GTSC
ProxyShell Güvenlik Açığı ile benzerlik
Yeni keşfedilen güvenlik açığının, Microsoft’un Mayıs-Temmuz 2021’de güncellemeler yayınladığı ProxyShell açığına benzediğinden şüpheleniliyor. Ancak GTSC araştırmacıları, raporlarında birkaç günlüğü kontrol ettiklerini ve saldırganın hedeflenen sistemde komut çalıştırabileceğini öğrendiklerini kaydetti. Exchange sunucularının sürüm numarası, en son güncellemenin yüklendiğini gösteriyordu.
Bu, ProxyShell güvenlik açığından yararlanmanın imkansız olduğu anlamına gelir. Ancak Kevin Beaumont, birisinin etkili bir ProxyShell istismarı oluşturması ve yama uygulanmamış Exchange sunucularını hedeflemesi durumunda bunun mümkün olduğunu belirtiyor. Bu nedenle, bu aktiviteye Beaumont tarafından ProxyNotShell adı verildi. Tersine, GTCS bir sıfır günün söz konusu olduğuna inanıyor.
Bununla birlikte, Microsoft sorunu kabul etti ve güvenlik yamaları yayınlamaya çalışıyor. Microsoft Güvenlik Yanıt Merkezi tarafından bugün yayınlanan teknik blog gönderisine buradan ulaşabilirsiniz.
Daha Fazla Microsoft Güvenlik Haberi
- Conti iştirakleri, ProxyShell istismarlarıyla Exchange Sunucularını vurdu
- Kimlik Avı Saldırılarında Microsoft Ekibi GIF’lerinden Yararlanan Dolandırıcılar
- Yamasız MS Exchange Sunucuları yeni kimlik avı dolandırıcılığında kötüye kullanıldı
- MS Exchange Sunucularını Hedeflemek için OAuth Uygulamalarını Kötüye Kullanan Spam Saldırısı
- Sahte Microsoft ve Google Çeviri Uygulamalarında Nitrokod Crypto Miner