Microsoft Exchange Sunucularına Saldırmak İçin ProxyLogon ve ProxyShell Kullanan Bilgisayar Korsanları

   Temmuz 5, 2024  Posted in CyberSecurityNews


Microsoft Exchange Sunucularına Saldırmak İçin ProxyLogon ve ProxyShell Kullanan Bilgisayar Korsanları

Bilgisayar korsanları, Microsoft Exchange sunucularına saldırır çünkü bunlar genellikle çeşitli yasadışı amaçlar için kullanılabilecek hassas iletişim verileri içerir.

Bunun yanı sıra Microsoft Exchange’in kurumlarda yaygın olarak kullanılması, onu siber suçlular için cazip ve yüksek etkili bir hedef haline getiriyor.

Üç yıl sonra ProxyLogon ve ProxyShell güvenlik açıkları Microsoft Exchange sunucularını etkiledi.

Hunt Araştırma Ekibi yakın zamanda, bu açıkları istismar ederek Afganistan’ın Başkanlık Sarayı da dahil olmak üzere birçok bölgedeki hassas hükümet iletişimlerine erişip bunları çalan bir sunucu keşfetti.

2021’de ortaya çıkan bu güvenlik açıkları, kimliği doğrulanmamış saldırganların sunucu tarafı istek sahteciliği yaparak ve Autodiscover ve MAPI gibi meşru servisleri kullanarak kullanıcıları taklit ederek komutlar yürütmesine ve posta kutularına erişmesine olanak tanıyor.

Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.

ProxyLogon ve ProxyShell

Afganistan ve Laos da dahil olmak üzere çok sayıda ülkenin hassas hükümet iletişimleri DigitalOcean sunucusunda keşfedildi.

Sunucu, benzer bir Squirrelwaffle yükleyici istismar kodu aracılığıyla kullanıcı e-postalarına yetkisiz erişime izin verdi. Sunucuda ayrıca benzersiz bir sertifikaya sahip bir Acunetix Web Güvenlik Açığı Tarayıcısı da var.

İçerisinde yaklaşık 4 bin dosyanın bulunduğu ifşa edilen dizin, bulunduğu anda hemen güvenlik altına alındı.

Açık dizinler açığa çıktı (Kaynak – Hunt)

Bu, karmaşık saldırı aktörlerinin bölgeler genelinde hükümet sektörlerini hedef alabileceğini gösteriyor. Bu, Çince klasör adlarının ve kullanılan belirli istismar kodlarının varlığından anlaşılıyor.

Aşağıda hedeflenen tüm ülkeleri belirttik:

  • Afganistan
  • Gürcistan
  • Arjantin
  • Laos

Bilinen güvenlik açıklarından yararlanılarak ayarlanmış açık kaynak kodlarının kullanılmasıyla çeşitli ülkelerdeki devlet dairelerini hedef alan binlerce dosyanın ifşa edildiği görüldü.

Ancak, ifşa durumunun kısalığı, kötü niyetli aktörlerin hala eski güvenlik açıklarını istismar ettiği gerçeğini vurguluyor.

Hunt’ın Açık Dizinler özelliği, bu tür canlı tehditlere ilişkin görünürlüğü artırmak için olmazsa olmazdır.

IoC’ler

IoC’ler (Kaynak – Hunt)

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo



Source link