Microsoft Exchange, saldırganların uzaktan rasgele kod yürütmek veya etkilenen kurulumlardaki hassas bilgileri ifşa etmek için kullanabileceği dört sıfır gün güvenlik açığından etkileniyor.
Sıfır gün güvenlik açıkları, Trend Micro’nun Sıfır Gün Girişimi (ZDI) tarafından dün açıklandı ve bunları 7 ve 8 Eylül 2023’te Microsoft’a bildirdi.
Microsoft’un raporları kabul etmesine rağmen güvenlik mühendisleri kusurların anında hizmet verilmesini garanti edecek kadar ciddi olmadığına karar vererek düzeltmeleri sonraya erteledi.
ZDI bu cevaba karşı çıktı ve Exchange yöneticilerini güvenlik riskleri konusunda uyarmak için kusurları kendi izleme kimlikleri altında yayınlamaya karar verdi.
Kusurların bir özetini aşağıda bulabilirsiniz:
- ZDI-23-1578 – ‘ChainedSerializationBinder’ sınıfında, kullanıcı verilerinin yeterince doğrulanmadığı ve saldırganların güvenilmeyen verileri seri durumdan çıkarmasına olanak tanıyan bir uzaktan kod yürütme (RCE) hatası. Başarılı bir şekilde yararlanma, bir saldırganın Windows’taki en yüksek ayrıcalık düzeyi olan ‘SİSTEM’ olarak rastgele kod yürütmesine olanak tanır.
- ZDI-23-1579 – ‘DownloadDataFromUri’ yönteminde bulunan bu kusur, kaynak erişimi öncesinde bir URI’nin yetersiz doğrulanmasından kaynaklanmaktadır. Saldırganlar, Exchange sunucularındaki hassas bilgilere erişmek için bu durumdan yararlanabilir.
- ZDI-23-1580 – ‘DownloadDataFromOfficeMarketPlace’ yöntemindeki bu güvenlik açığı aynı zamanda hatalı URI doğrulamasından da kaynaklanıyor ve potansiyel olarak bilgilerin yetkisiz olarak ifşa edilmesine yol açıyor.
- ZDI-23-1581 – CreateAttachmentFromUri yönteminde mevcut olan bu kusur, yetersiz URI doğrulamasıyla önceki hatalara benziyor ve yine hassas verilerin açığa çıkması riskini taşıyor.
Tüm bu güvenlik açıklarının kullanımı için kimlik doğrulaması gerekiyor ve bu da CVSS ciddiyet derecesini 7,1 ile 7,5 arasına düşürüyor. Ayrıca, kimlik doğrulama gerektirmek bir azaltıcı faktördür ve muhtemelen Microsoft’un hataların düzeltilmesine öncelik vermemesinin nedeni de budur.
Bununla birlikte, siber suçluların Exchange kimlik bilgilerini elde etmek için zayıf şifreleri kaba kuvvetle kullanmak, kimlik avı saldırıları gerçekleştirmek, bunları satın almak veya bilgi hırsızlığı günlüklerinden elde etmek dahil olmak üzere birçok yolu olduğunu da unutmamak gerekir.
Bununla birlikte, yukarıdaki sıfır günlerin, özellikle ZDI-23-1578’in (RCE) önemsiz olarak değerlendirilmemesi gerekir; bu durum, sistemin tamamen tehlikeye girmesine neden olabilir.
ZDI, göze çarpan tek azaltma stratejisinin Exchange uygulamalarıyla etkileşimi kısıtlamak olduğunu öne sürüyor. Ancak bu, ürünü kullanan birçok işletme ve kuruluş için kabul edilemeyecek derecede yıkıcı olabilir.
Ayrıca, hesap kimlik bilgileri ele geçirilmiş olsa bile siber suçluların Exchange örneklerine erişmesini önlemek için çok faktörlü kimlik doğrulamanın uygulanmasını da öneririz.
BleepingComputer, ZDI’nın açıklamasına ilişkin yorum almak için Microsoft ile iletişime geçti ve hâlâ bir yanıt bekliyor.