Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
CrowdStrike Forensic Probe, Yalnızca Barındırılan Exchange Müşterilerinin Risk Altında Olduğunu Sonuçlandırdı
Mathew J. Schwartz (euroinfosec) •
6 Ocak 2023
Barındırma devi Rackspace, kendisine yönelik geçen ay ortaya çıkan fidye yazılımı saldırısının, 27 müşteri kuruluşunun Microsoft Exchange verilerine saldırganlar tarafından erişilmesiyle sonuçlandığını söylüyor.
Ayrıca bakınız: Siber Olgunluk: Önceliklendirmeye, Riski Ölçmeye Yeni Bakış
27 kuruluşun tümü, Rackspace’in Barındırılan Exchange hizmetinin kullanıcılarıydı (bkz: Rackspace, Fidye Yazılımlarının Hit Başarısından Zero-Day İstismarını Suçluyor).
Saldırıyı araştırmak için Rackspace tarafından tutulan siber güvenlik firması CrowdStrike, saldırganın 27 müşterinin her biri için Exchange verilerini depolamak için kullanılan “kişisel bir depolama tablosuna eriştiğini” bildirdi. Hepsi veri ifşası konusunda bilgilendirildi.
Rackspace Perşembe günkü ihlal güncellemesinde, “CrowdStrike’a göre, tehdit aktörünün 27 Hosted Exchange müşterisinden herhangi biri için PST’lerdeki e-postaları veya verileri gerçekten görüntülediğine, elde ettiğine, kötüye kullandığına veya yaydığına dair hiçbir kanıt yok.” Ancak delil olmaması, saldırganların bunu yapmadığını kanıtlamaz. Rackspace, halihazırda doğrudan bilgilendirilmemiş herhangi bir müşterinin kurbanlardan biri olmadığını söylüyor.
Geçen ayki saldırının ardından, Rackspace barındırılan Exchange teklifini durdurdu ve bunu kullanan 30.000 müşterinin Microsoft 365 veya Rackspace Email’e geçiş yapmasına yardımcı oluyor.
Rackspace’in 6 Aralık’ta fidye yazılımı kullanan saldırganlar tarafından saldırıya uğradığına dair uyarısının ardından, bazı güvenlik uzmanları, şirketin kendisini ilk kez geçen Eylül ayında ortaya çıkan ProxyNotShell istismarına karşı koruyup korumadığını merak etti.
Geçtiğimiz Kasım ayında Microsoft, saldırganlar tarafından yama uygulanmamış Exchange sunucularında uzaktan kod yürütmek için birlikte kullanılabilecek ProxyNotShell’i oluşturan iki güvenlik açığı da dahil olmak üzere bir dizi Exchange yama yayınladı. Güvenlik açıkları, saldırganların arka uç sunuculara erişmek için kullanabileceği bir sunucu tarafı istek sahteciliği güvenlik açığı olan CVE-2022-41040 ve Uzak PowerShell etkinleştirildiğinde uzaktan kod yürütülmesine izin veren CVE-2022-41082’dir. Saldırganlar ilk açıktan yararlanarak ikinciyi tetikleyebilir.
Rackspace, Outlook Web Access’i veya OWA’yı erişilemez hale getirebileceğine dair yaygın raporlar nedeniyle Microsoft’tan Exchange güncellemesini yüklemediğini bildirdi. Bunun yerine, Microsoft’un tamamen çalışan bir güvenlik güncelleştirmesi yayınlamasını bekleyen şirket, saldırganların ProxyNotShell’i oluşturan iki kusuru kullanmasını engellemek için Microsoft’un önerdiği geçici çözümleri uygulamaya koydu.
20 Aralık’ta CrowdStrike, Play fidye yazılımı grubuna bağladığı birden fazla izinsiz girişten elde edilen bulguları ayrıntılarıyla anlatan bir blog gönderisi yayınladı. Bu blog yazısı, Rackspace’i kurbanlardan biri olarak adlandırmasa da, Rackspace daha sonra CrowdStrike’ın bulgularının kendisi için de tamamen geçerli olduğunu doğruladı.
CrowdStrike’ın blog gönderisi, Play’in Rackspace ve diğerlerine karşı ProxyNotShell kullanmadığını bildiriyor. Bunun yerine, önce Kasım ayında yine Microsoft tarafından yamalanan farklı bir Exchange güvenlik açığı olan CVE-2022-41080’i hedef aldı. Bundan sonra, Exchange kullanıcıları Microsoft’un Kasım ayında sağladığı hafifletme tavsiyesini uygulamış olsalar bile, saldırganlar ProxyNotShell, CVE-2022-41082’den oluşan ikinci güvenlik açığını tetikleyebildiler. Saldırganlar daha sonra Exchange sunucularında uzaktan kod yürüttüler.
Rackspace, “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve kötüye kullanılabilecek bir uzaktan kod yürütme zincirinin parçası olduğuna dair notlar eklemedi” diyor.
Microsoft, Play grubu tarafından kullanılan saldırı zincirini öğrendiğinde yorum talebine yanıt vermedi.
Rackspace, dijital adli tıp soruşturmasının sona erdiğini ve CrowdStrike’ın soruşturması sayesinde ek istihbaratın gün ışığına çıktığını söylüyor. “Gelecekte bu tür istismarlara karşı hep birlikte daha iyi savunma yapabilmek için müşterilerimiz ve güvenlik topluluğundaki meslektaşlarımızla daha ayrıntılı bilgiler paylaşacağız” diyor.
Veri Geri Yükleme İşlemleri Devam Ediyor
Rackspace’in Barındırılan Değişim teklifi, öncelikle küçük ve orta ölçekli kuruluşlar tarafından kullanıldı. Şirket, bu müşterilerin saldırı nedeniyle erişilemez hale gelen 2 Aralık’tan önceki e-postalarını geri yüklemek için çalışıyor.
Rackspace, kesintinin saldırganların sistemlerini şifrelemesinden mi yoksa şirketin saldırıyı hafifletmesinden mi yoksa her ikisinin birleşiminden mi kaynaklandığına ilişkin yorum talebine yanıt vermedi. Ayrıca, saldırının kamuya açık belirtileri 2 Aralık’ta başlamadan önce, saldırganların Exchange sunucularına ilk kez ne zaman erişim sağladığı hakkında yorum yapmadı.
Perşembe gününden itibaren Rackspace, müşterilerinin %50’si için en azından bazı Barındırılan Exchange verilerini ve bazı durumlarda tüm verileri geri yüklediğini bildirdi. Bunlar, müşterilerin Microsoft 365’e aktarabileceği PST dosyaları olarak sağlanmaktadır.
Rackspace şunları ekliyor: “Bu müşterilerin %5’inden azı, kullanıma sunduğumuz posta kutularını fiilen indirdi. Bu bize, birçok müşterimizin verilerinin yerel olarak yedeklendiğini, arşivlendiğini veya geçmiş verilere başka bir şekilde ihtiyaç duymadığını gösteriyor.”
Şirket, etkilenen tüm verileri geri yüklemeye devam ettiğini ve verilerinin %50 veya daha fazlası geri yüklenip kullanıma sunulduğunda her müşteriyi doğrudan bilgilendirdiğini söylüyor. Ayrıca, süreci daha otomatik hale getirmek için yeni işlevler geliştiriyor.
Rackspace, “Paralel olarak, verilerini indirmeye devam etmek isteyen müşteriler için isteğe bağlı bir çözüm geliştiriyoruz” diyor. “Talep üzerine çözümün iki hafta içinde kullanıma sunulmasını bekliyoruz.”