ProxyNotShell istismarlarının hedeflediği iki güvenlik açığından biri olan CVE-2022-41082 RCE güvenlik açığı, 60.000’den fazla Microsoft Exchange sunucusuna yama uygulanmadı ve sonuç olarak çevrimiçi olarak açığa çıktı.
Söz konusu bir diğer kusur ise CVE-2022-41080 olarak izlendi. İlk olarak Eylül ayında açıklanan ProxyNotShell sıfır gün güvenlik açıklarından yararlanmak için tehdit aktörleri tarafından bir dizi hedefli saldırı kullanıldı.
Shadowserver Foundation’daki güvenlik araştırmacılarının yakın tarihli bir tweet’ine göre, yaklaşık 70.000 Microsoft Exchange sunucusunun proxyNotShell saldırıları riski altında olduğu bildirildi.
Son veriler itibariyle, 2 Ocak’ta 60.865 Exchange sunucusunun savunmasız olduğu tespit edildi ve bu sayı, Aralık ortasındaki 83.946’dan düşen bir rakam.
Savunmasız Değişim Sürümleri
Toplu bir terim olarak ProxyNotShell, bu iki güvenlik hatasının birleşimidir. Bunun dışında, bu kusurların Exchange Server’ı etkilediği tespit edildi: –
x_owa_version başlığı, uzmanların değerlendirmesinin temelini oluşturdu. Aşağıda, bu kusurlara açık olan Exchange sürümleri listelenmiştir (CVE-2022-41080/CVE-2022-41082):-
2019
- 15.2.1118.15 – 15.2.1118.7 <– 4 sayının tamamının tam eşleşmesi gerekir
- 15.2.986.30 – 15.2.986.5 <– 4 sayının hepsinin tam eşleşmesi gerekli
- 15.2.922.27 – 15.2.196.0 (15.2.922’den küçük veya buna eşit herhangi bir şey)
^^^ ilk 3 sayının daha gevşek eşleşmesi gereklidir
2016
- 15.1.2507.13 – 15.1.2507.6 <– 4 sayının hepsinin tam eşleşmesi gerekli
- 15.1.2375.32 – 15.1.2375.7 <– 4 sayının tamamının tam eşleşmesi gerekir
- 15.1.2308.27 – 15.1.225.16 (15.1.2308’den küçük veya ona eşit herhangi bir şey)
^^^ ilk 3 sayının daha gevşek eşleşmesi gereklidir
2013
- 15.0.1497.31 – 15.0.1497.2 <– 4 sayının hepsinin tam eşleşmesi gerekli
- 15.0.1473.6 – 15.0.516.32 (15.0.1473’e eşit veya daha küçük herhangi bir şey)
^^^ ilk 3 sayının daha gevşek eşleşmesi gereklidir
Saldırganlar, güvenliği ihlal edilmiş sunuculardaki ayrıcalıkları yükseltmek için bu güvenlik açığını kullanabilir ve ayrıca uzaktan rasgele kod yürütebilir.
Öneri
Kasım 2022 Salı Yaması sırasında Microsoft, kusurları çözmek için bunları ele alan güvenlik güncellemeleri yayınladı. Eylül ayı boyunca, tehdit istihbaratı sağlayan bir şirket olan GreyNoise, ProxyNotShell’in devam eden istismarını yakından izliyor.
Bir güvenlik önlemi olarak, Microsoft tarafından Kasım ayında yayınlanan ProxyNotShell güvenlik yamalarını uygulamanız önerilir. Bu, Exchange sunucularınızın gelen saldırılara karşı korunmasını sağlayacaktır.
Şirket tarafından bir hafifletme planı da sağlandı, ancak saldırganlar bu önlemleri atlatabilir. Kısacası, tehlikeye karşı güvenli olan sunucular tamamen yamalı sunuculardır.
Güvenli Web Ağ Geçidi – Web Filtresi Kuralları, Etkinlik İzleme ve Kötü Amaçlı Yazılımdan Koruma – Ücretsiz E-Kitap İndirin