Kimlik doğrulama gereksinimi nedeniyle ‘ProxyNotShell’ kötüye kullanımı 2021 saldırı dalgasından daha az şiddetli
Microsoft, Microsoft Exchange Server’da aktif olarak yararlanılan iki sıfırıncı gün güvenlik açığı için bir yama geliştiriyor.
CVE-2022-41040 ve CVE-2022-41082 olarak izlenen kusurlar, Microsoft’un kurumsal posta sunucusunda Vietnamlı siber güvenlik firması GTSC tarafından keşfedildi. Microsoft, şirket içi Microsoft Exchange Server sürümleri 2013, 2016 ve 2019’u etkileyen kusurlardan yararlanan “az sayıda hedefli saldırının” farkında olduğunu söyledi.
Hatalar, 2021’de geniş çapta kötüye kullanılan kritik ProxyShell güvenlik açıklarının PowerShell kimlik doğrulamasının gerekli olması nedeniyle daha az tehlikeli türevleri gibi görünüyor.
RCE zinciri
GTSC’nin orijinal güvenlik danışmanlığında araştırmacılar, Ağustos ayında Exchange Server aracılığıyla “kritik” altyapıya yönelik bir saldırı keşfettiklerini söyledi.
İlk güvenlik açığı, CVE-2022-41040 (CVSS 8.8), sunucu tarafı istek sahteciliği (SSRF) sorunudur. CVE-2022-41082’yi (CVSS 6.3) başlatmak için uzaktan tetiklendiğinde, hata uzaktan kod yürütülmesine (RCE) neden olabilir.
En son kurumsal güvenlik haberlerini yakalayın
Güvenlik açıkları henüz yamalanmadığından, tüm teknik ayrıntılar yayınlanmadı – ancak kavram kanıtı (PoC) kodunun yakında görünmesi bekleniyor.
GTSC, Trend Micro’nun Sıfır Gün Girişimi’ne (ZDI) bulgularını bildirdi. ZDI, kusurları doğruladıktan ve Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) ulaştıktan sonra, Redmond devi raporu doğruladı ve kusurlardan yararlanan saldırıların bir analizini yayınladı.
Microsoft, “Her iki güvenlik açığından da başarıyla yararlanmak için güvenlik açığı bulunan Exchange Sunucusuna kimliği doğrulanmış erişim gereklidir ve bunlar ayrı olarak kullanılabilir” dedi.
Ne yazık ki, gereken kimlik doğrulama, standart bir kullanıcıdan başka bir şey değildir. Sonuç olarak, siber suçlular bu kimlik bilgilerini hırsızlık, kimlik bilgileri doldurma ve kaba kuvvet saldırıları yoluyla elde edebilir.
Devlet destekli saldırılar
Microsoft’a göre, dünya çapında 10’dan az kuruluş, muhtemelen “devlet destekli bir kuruluş” tarafından hedef alındı.
GTSC araştırmacıları, Çinli bir tehdit grubunun web kabuğu işlevine sahip bir Çin platformlar arası web sitesi yönetim paketi olan Antsword’den yararlandığına dair göstergeler olduğunu söyledi.
Bir web kabuğu olan China Chopper, görünüşe göre Active Directory keşif ve veri hırsızlığı yapmak için kullanıldı. Bu tanıdık geliyorsa, 2021’de Exchange Server sıfırıncı gün güvenlik açıklarından yararlanan saldırılarda aynı web kabuğu kullanıldı. Bu saldırılar, devlet destekli Çinli tehdit grubu HAFNIUM’a atfedildi.
ARKA FON ‘Tamamen yeni bir saldırı yüzeyi’ – Araştırmacı Orange Tsai, ProxyLogon’un Microsoft Exchange Server’a karşı açıklarını belgeliyor
Güvenlik araştırmacısı Kevin Beaumont, ‘ProxyNotShell’ olarak adlandırdığı yeni böceklerin kullandığı yollar ile geçen yılın sıfır günleri arasında benzerlikler kaydetti.
Orijinal ProxyShell kusurlarını keşfeden geliştirici araştırmacı Orange Tsai, geçen yıl Black Hat USA’da (PDF) yaptığı bir konuşmada, temel yol karışıklık sorunlarının daha fazla ProxyShell varyantının ortaya çıktığını görebileceğini öne sürdü – şimdi gerçekleşmiş bir tahmin.
Azaltma tavsiyesi
Microsoft, bir yama üzerinde çalışırken yeni hataları azaltmak için müşteri kılavuzu yayınladı.
Şirket, müşterileri yönetici olmayanlar için uzaktan PowerShell erişimini hemen devre dışı bırakmaya çağırıyor. Exchange Acil Durum Azaltma Hizmeti (EEMS) etkinleştirilirse, daha fazla etki azaltma otomatik olarak uygulanacaktır.
Teknoloji devine göre Exchange Online müşterilerinin herhangi bir işlem yapmasına gerek yok. Ancak Beaumont, Microsoft Exchange Online geçişinin karma, internete yönelik Exchange sunucularını kullanmayı içerdiği göz önüne alındığında bu ifadenin doğruluğunu sorgulamıştır.
Microsoft, “Güvenlik araştırmacıları ve siber suçlular yayınlanmış araştırmayı araç setlerine dahil ettikçe ve kavram kodunun kanıtları kullanıma sunuldukça, benzer tehditlerin ve bu güvenlik açıklarından genel olarak yararlanmanın artması bekleniyor” yorumunu yaptı.
CISA, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna iki sıfır günü ekledi.
Microsoft söyledi Günlük Swig Şirketin yayınlanan tavsiyelerin ötesinde paylaşacak başka bir şeyi olmadığı.
BUNU DA BEĞENEBİLİRSİN #AttachMe Oracle bulut hatası, birimleri veri hırsızlığına ve ele geçirmeye maruz bıraktı