Microsoft, çeşitli Exchange Server güvenlik açıkları için bant dışı yamalar yayınladı. Şirkete göre bu güvenlik açıklarından dördü zaten hedefli saldırılarda kullanılıyor, bu nedenle yamaları en kısa sürede yüklemek akıllıca olacaktır.
Risk ne kadar büyük?
Zaten istismar edilmiş olan en tehlikeli dört güvenlik açığı, saldırganların üç aşamalı bir saldırı gerçekleştirmesine olanak tanıyor. Önce bir Exchange sunucusuna erişiyorlar, ardından uzaktan sunucu erişimi için bir Web kabuğu oluşturuyor ve son olarak bu erişimi kurbanın ağından veri çalmak için kullanıyorlar. Sözkonusu güvenlik açıkları:
- CVE-2021-26855 – sunucu tarafında sahte istekler yollamak için kullanılabilir ve kodların uzaktan yürütülmesini sağlar,
- CVE-2021-26857 – sistem adına isteğe bağlı kod çalıştırmak için kullanılabilir (bu, yönetici haklarını veya önceki güvenlik açığından yararlanmayı gerektirir);
- CVE-2021-26858 ve CVE-2021-27065 – bir saldırgan tarafından sunucudaki dosyaların üzerine başka dosya yazmak için kullanılabilir.
Siber suçlular, dört güvenlik açığını birbirleriyle bağlantılı olarak kullanıyorlar; ancak Microsoft’a göre, ilk saldırı yerine bazen çalıntı kimlik bilgilerini de kullanıyorlar ve CVE-2021-26855 güvenlik açığını kullanmadan sunucuda kimliklerini doğruluyorlar.
Aynı yama,- ayrıca, Exchange’deki sözkonusu aktif hedefli saldırılarla doğrudan ilişkili olmayan (bildiğimiz kadarıyla) birkaç küçük güvenlik açığını da düzeltiyor.
Kimler risk altında?
Exchange’in bulut sürümü bu güvenlik açıklarından etkilenmiyor; yalnızca altyapı içinde dağıtılan sunucular için tehdit oluşturuyor. Microsoft ilk olarak, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 ve Microsoft Exchange Server 2019 ve ek olarak Microsoft Exchange Server 2010 için “derinlemesine savunma” güncellemelerini yayınladı. Ancak, güvenlik ihlalinin ciddiyeti nedeniyle, ilk yamalardan sonra daha eski Exchange Sunucuları için de yamalar yayınladılar.
Microsoft’taki araştırmacılara göre, gizli bilgileri çalmak için bu güvenlik açıklarından yararlananlar Hafnium grubundaki bilgisayar korsanlarıydı. Bu grubun hedefleri arasında ABD’li sanayi şirketleri, bulaşıcı hastalık araştırmacıları, hukuk firmaları, kar amacı gütmeyen kuruluşlar ve siyasi analistler bulunuyor. Kurbanların tam sayısı bilinmiyor, ancak KrebsOnSecurity’nin kaynaklarına göre ABD’de küçük işletmeler, kasaba ve şehir yönetimleri ve yerel yönetimler dahil olmak üzere en az 30.000 kuruluş bu güvenlik açıkları aracılığıyla saldırıya uğradı. Uzmanlarımız, yalnızca Amerikan kuruluşlarının tehlikede olmadığını, dünyanın her yerindeki siber suçluların bu güvenlik açıklarını kullandığını keşfetti. Securelist’in gönderisinde saldırının coğrafi yayılımı hakkında daha fazla bilgi bulabilirsiniz.
MS Exchange saldırılarına karşı güvenlik nasıl sağlanır?
- İlk olarak, Microsoft Exchange Server kurulumunuza yamaları indirin. Şirketiniz güncellemeleri yükleyemiyorsa, Microsoft bir dizi geçici çözüm öneriyor.
- Microsoft’a göre, Exchange sunucusuna 443 numaralı bağlantı noktasındaki güvenilmeyen erişimleri reddetmek veya genel olarak kurumsal ağ dışından gelen bağlantıları sınırlamak saldırının ilk aşamasını durdurabilir. Ancak saldırganlar zaten altyapının içindeyse veya kötü amaçlı bir dosyayı çalıştırmak için yönetici haklarına sahip bir kullanıcının erişim haklarını elde ederse, bu çözüm size yardımcı olmaz.
- Bir Uç Nokta Tespit ve Yanıtlama sınıfındaki bir çözüm (dahili uzmanlarınız varsa) veya harici Yönetilen Tespit ve Yanıt hizmeti uzmanları bu tür kötü niyetli hareketleri algılayabilir.
- İster sunucu ister iş istasyonu olsun, internete bağlı her bilgisayarın, istismarları önlemek ve kötü niyetli davranışları proaktif olarak tespit etmek için güvenilir bir uç nokta güvenlik çözümüne ihtiyacı olduğunu her zaman aklınızda bulundurun.