Microsoft SharePoint sunucusundaki takılmamış güvenlik açıklarını hedefleyen sofistike bir sıfır günlük istismar kampanyası, dünya çapında yaklaşık 400 kuruluşu tehlikeye attı ve yetersiz raporlama ve gecikmiş tespitler nedeniyle çok daha yüksek bir kurban sayısı potansiyeli.
Geçen hafta Hollandalı siber güvenlik firması göz güvenliği tarafından belirlenen saldırılar, şirket içi SharePoint kurulumlarında kritik kusurlardan yararlanarak, tehdit aktörlerinin kötü amaçlı yazılım enjekte etmesine, duyarlı verileri püskürtmesine ve acil uyarıları tetiklemeden kalıcı erişim sağlamasına izin veriyor.
Küresel sıfır gün saldırıları dalgası
Microsoft Azure tarafından yönetilen bulut barındıran örneklerin aksine, bu kendi kendine barındırılan sunucular genellikle otomatik yama mekanizmalarına sahip değildir, bu da onları uzaktan kod yürütme (RCE) ve ayrıcalık artış istismarları için birincil hedefler haline getirir.
Kampanyanın kapsamı, devlet kurumları, çok uluslu şirketler ve eğitim kurumları da dahil olmak üzere birçok sektöre kapsamakta ve giderek artan gelişmiş gelişmiş kalıcı tehditler (APT’ler) çağındaki miras içi dağıtımlarla ilişkili riskleri vurgulamaktadır.
Teknik açıdan, istismarlar, potansiyel olarak henüz kamuya açıklanmayan CVE eşdeğerleri de dahil olmak üzere, saldırganların kimlik doğrulama kontrollerini atlamasını ve özel yükleri dağıtmasını sağlayan çoklu güvenlik açıklarını zincirlediği görülmektedir.
Göz güvenliğinin analizi, ilk saldırı vektörünün SharePoint’in Web arayüzlerine yetkilendirilmemiş erişim ve ardından dahili ağlarda yanal hareket içerdiğini göstermektedir.
Bu, ABD’nin en yüksek ihlal konsantrasyonunu bildiren yaygın enfeksiyonlarla sonuçlandı ve bunu Mauritius, Ürdün, Güney Afrika ve Hollanda’da önemli olaylar izledi.
Kötü amaçlı yazılım varyantları, geleneksel antivirüs imzalarından kaçınmak için bellekte ikamet eden ve harici sunucularla komut ve kontrol (C2) iletişimlerini belirlemek için anti-forensik teknikleri dahil eden, filessiz yürütmenin sergiler özelliklerini tespit etti.
Daha geniş sömürü
Güney Afrika Ulusal Hazinesi, finansal veri işbirliği ve raporlama için kullanılan SharePoint tabanlı bir platform olan Altyapı Raporlama Modeli (IRM) web sitesinde bir kötü amaçlı yazılım enfeksiyonunu doğruladı.
İzinsiz giriş, başarılı bir istismar zincirini gösteren anormal davranışları ortaya çıkararak rutin uç nokta tespiti ve yanıt (EDR) izleme ile tespit edildi.
Uzlaşmaya rağmen, Hazine yetkilileri, bunu etkilenen sistemin hızlı bir şekilde izolasyonuna ve adli analiz ve iyileştirme için Microsoft ile işbirliğine atfeten operasyonel aksamaların gerçekleşmediğini belirtti.
Olay, kuruluşların veri egemenliği ve özel güvenlik katmanlarına öncelik verdiği, ancak genellikle sıfır gün tehditleri için yama yönetimine düştüğü şirket içi SharePoint konfigürasyonlarının doğasında var olan güvenlik açıklarının altını çiziyor.
Gizlilik nedenleriyle belirli mağdur kimliklerini saklayan göz güvenliği, Güney Afrika hedeflerinin iki ek isimsiz kuruluşun yanı sıra önde gelen bir otomotiv üretim kuruluşu, büyük bir üniversite, çeşitli yerel yönetim organları ve federal bir ajans içerdiğini açıkladı.
Rapora göre, bu ihlaller koordineli tehdit avı ve hafifletme çabalarını kolaylaştırmak için Güney Afrika’nın Bilgisayar Güvenliği Olay Yanıt Ekibi (CSIRT) ile paylaşıldı.
Saldırılar, SharePoint’in belge kitaplıkları ve iş akışı otomasyonu gibi işbirlikçi özelliklerinden, kötü amaçlı yazılımları yanal olarak yaymak, potansiyel olarak hassas fikri mülkiyet, finansal kayıtlar ve kişisel bilgileri içeren veri ihlallerine yol açar.
Örneğin otomotiv sektöründe, tehlikeye atılan sistemler tedarik zinciri verilerini ortaya çıkarabilirken, eğitim kurumları öğrenci kayıtlarının ve araştırma veritabanlarının sızıntılarını riske atar.
Bu kampanyanın daha geniş etkileri, Microsoft ekosistemlerine kurumsal içerik yönetimi için güveninin maruz kalmayı artırdığı Afrika’nın dijital altyapısına yayılıyor.
Microsoft, güvenlik güncellemelerinin derhal uygulanmasını ve riskleri azaltmak için ağ segmentasyonunun uygulanmasını tavsiye ederek yalnızca şirket içi SharePoint sunucularının etkilendiğini açıkladı.
Soruşturmalar devam ettikçe, siber güvenlik uzmanları, kalıcılığı korumak için gizlenmiş PowerShell senaryolarının kullanımı ve kara kanalları (Lolbins) de dahil olmak üzere gelişen taktikleri uyarıyor.
Saldırı yüzeyinin genişlesiyle, kuruluşların bu tür sıfır gün tehditlerine etkili bir şekilde karşı koymak için sıfır tröst mimarileri ve sürekli güvenlik açığı taraması istenir.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!