Bir zamanlar makul insanlar güvenliği, gizliliği ve güvenilirliği önemseyen kendi e-posta sunucularını işletiyordu. Bugün, büyük çoğunluk kişisel e-postalarını bulutta barındırıyor ve bu önemli yükü Google ve Microsoft gibi şirketlerdeki yetenekli güvenlik ve mühendislik ekiplerine veriyor. Şimdi, siber güvenlik uzmanları, kurumsal ve devlet ağları için benzer bir geçişin zamanının geldiğini veya geç kalındığını savunuyor. Şirket içi Microsoft Exchange kullanan ve hala bir dolapta veya veri merkezinde bir yerde kendi e-posta makinesini çalıştıran kuruluşlar için, yalnızca Exchange sunucularında yıllarca süren hatalardan kaçınmak için bir bulut hizmetine geçme zamanı geldi. kararlı bilgisayar korsanlarını dışarıda tutmayı neredeyse imkansız hale getirdi.
Bu mücadelenin en son hatırlatıcısı, bu hafta başında Tayvanlı güvenlik araştırmacısı Orange Tsai’nin Microsoft Exchange’deki bir güvenlik açığının ayrıntılarını ortaya koyan bir blog yazısı yayınlamasıyla geldi. Tsai, Microsoft’u Haziran 2021 gibi erken bir tarihte bu güvenlik açığı konusunda uyardı ve şirket bazı kısmi düzeltmeler yayınlayarak yanıt verirken, Microsoft’un temel güvenlik sorununu tamamen çözmesi 14 ay sürdü. Tsai daha önce Exchange’de, geçen yıl bazı sayılara göre 30.000’den fazla hedefe nüfuz eden Hafnium olarak bilinen Çin devlet destekli bilgisayar korsanları tarafından büyük ölçüde istismar edilen ilgili bir güvenlik açığı bildirmişti. Yine de Tsai’nin bu haftaki gönderisinde açıklanan zaman çizelgesine göre, Microsoft, aynı güvenlik açığının daha yeni varyasyonunu düzeltmeyi defalarca erteledi ve Tsai’ye tam bir yamayı aylarca daha uzun süre zorlamadan önce hatayı en az dört kez yamayacağını garanti etti. Tsai, Microsoft nihayet bir düzeltme yayınladığında, bunun hala manuel aktivasyon gerektirdiğini ve dört ay boyunca herhangi bir belgeye sahip olmadığını yazdı.
Bu arada, araştırmacıların Microsoft’un kusurları düzeltmeye yönelik ilk girişimlerinin başarısız olduğunu göstermesinin ardından, Exchange’de geçen ay ortaya çıkarılan ve aktif olarak yararlanılan başka bir güvenlik açığı çifti hala yamalanmamış durumda. Bu güvenlik açıkları, Exchange’in kodundaki yıllarca süren güvenlik hatalarının en sonuncusuydu. Microsoft, Exchange yamaları yayınlasa bile, zaman alıcı teknik kurulum süreci nedeniyle genellikle yaygın olarak uygulanmazlar.
Bir Exchange sunucusunu çalıştırmanın bilgisayar korsanlarının neden olduğu baş ağrılarını izleyen birçok kişi için bu karmaşık sorunların sonucu, yeterince açık bir mesajdır: Bir Exchange sunucusu, kendi başına bir güvenlik açığıdır ve düzeltme bundan kurtulmaktır. BT.
“Şirket içi Exchange’den sonsuza kadar çıkmanız gerekiyor. Sonuç bu,” diyor ve araştırmacılara yaygın olarak kullanılan yazılımlardaki güvenlik açıklarını bulup bildirmeleri için para ödeyen ve Pwn2Own bilgisayar korsanlığı yarışmasını yürüten Trend Micro’s Zero Day Initiative (ZDI) güvenlik firmasının tehdit farkındalığı başkanı Dustin Childs. “Altyapınızın gerçekten kritik bir bileşeninden bekleyeceğiniz güvenlik düzeltmeleri için desteği alamıyorsunuz.”
Orange Tsai’nin maruz kaldığı birden fazla güvenlik açığı ve geçen ay ortaya çıkan aktif olarak yararlanılan iki yamalanmamış hatanın yanı sıra Childs, Exchange’de bir araştırmacının ZDI’ye bildirdiği ve ZDI’nın da iki hafta önce Microsoft’a bildirdiği ve hangi 20 güvenlik açığına işaret ediyor? yamasız kalır. Childs, “Exchange şu anda çok geniş bir saldırı yüzeyine sahip ve güvenlik açısından yıllardır üzerinde gerçekten kapsamlı bir çalışma yapılmadı” diyor.