Saldırıya uğrayan 0 günlük yüksek önemdeki Microsoft Exchange 220.000 sunucuyu tehdit ediyor


SIFIR GÜN kelimesi, birler ve sıfırlarla dolu bir ekranın ortasında gizlidir.

Microsoft Perşembe günü geç saatlerde, Exchange uygulamasında birden çok sunucuyu tehlikeye atan ve dünya çapında tahmini 220.000 daha fazla kişi için ciddi bir risk oluşturan iki kritik güvenlik açığının varlığını doğruladı.

Şu anda yamalanmamış güvenlik açıkları, Vietnam merkezli güvenlik firması GTSC’nin müşteri ağlarına kötü amaçlı web kabukları bulaştığını ve ilk giriş noktasının bir tür Exchange güvenlik açığı olduğunu keşfettiği Ağustos ayının başından beri aktif olarak istismar ediliyor. Gizemli istismar, 2021’den ProxyShell adlı bir Exchange sıfır günü ile neredeyse aynı görünüyordu, ancak müşterilerin sunucularının tümü, CVE-2021-34473 olarak izlenen güvenlik açığına karşı yama uygulanmıştı. Sonunda araştırmacılar, bilinmeyen bilgisayar korsanlarının yeni bir Exchange güvenlik açığından yararlandığını keşfetti.

Web kabukları, arka kapılar ve sahte siteler

Araştırmacılar, “İstismarda başarılı bir şekilde ustalaştıktan sonra, bilgi toplamak ve kurbanın sisteminde bir dayanak oluşturmak için saldırıları kaydettik” dedi. Çarşamba günü yayınlanan yazı. “Saldırı ekibi ayrıca etkilenen sistemde arka kapılar oluşturmak ve sistemdeki diğer sunuculara yanal hareketler yapmak için çeşitli teknikler kullandı.”

Perşembe akşamı Microsoft, güvenlik açıklarının yeniydi ve bir yama geliştirmek ve yayınlamak için uğraştığını söyledi. Yeni güvenlik açıkları şunlardır: CVE-2022-41040, bir sunucu tarafı istek sahteciliği güvenlik açığı ve PowerShell’e saldırgan tarafından erişildiğinde uzaktan kod yürütülmesine izin veren CVE-2022-41082.

Microsoft Güvenlik Yanıt Merkezi ekibinin üyeleri, “Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanan sınırlı hedefli saldırıların farkındadır” diye yazdı. “Bu saldırılarda, CVE-2022-41040, kimliği doğrulanmış bir saldırganın CVE-2022-41082’yi uzaktan tetiklemesini sağlayabilir.” Ekip üyeleri, başarılı saldırıların sunucudaki en az bir e-posta kullanıcısı için geçerli kimlik bilgileri gerektirdiğini vurguladı.

Güvenlik açığı, şirket içi Exchange sunucularını etkiler ve kesinlikle Microsoft’un barındırılan Exchange hizmetini etkilemez. En büyük uyarı, Microsoft’un bulut teklifini kullanan birçok kuruluşun, şirket içi ve bulut donanımının bir karışımını kullanan bir seçenek seçmesidir. Bu hibrit ortamlar, bağımsız şirket içi ortamlar kadar savunmasızdır.

Shodan’da yapılan aramalar, şu anda İnternete açık 200.000’den fazla şirket içi Exchange sunucusu ve 1.000’den fazla hibrit yapılandırma olduğunu gösteriyor.

Çarşamba günkü GTSC gönderisi, saldırganların sunuculara komut vermelerine izin veren bir metin arayüzü olan web kabuklarını bulaştırmak için sıfır günden yararlandıklarını söyledi. Bu web kabukları basitleştirilmiş Çince karakterler içeriyor ve bu da araştırmacıların bilgisayar korsanlarının akıcı bir şekilde Çince bildiğini tahmin etmelerine yol açıyor. Verilen komutlar ayrıca Çin DoğrayıcıÇin Halk Cumhuriyeti tarafından desteklendiği bilinen birkaç gelişmiş kalıcı tehdit grubu da dahil olmak üzere, Çince konuşan tehdit aktörleri tarafından yaygın olarak kullanılan bir web kabuğu.

GTSC, tehdit aktörlerinin sonunda yüklediği kötü amaçlı yazılımın Microsoft’un Exchange Web Hizmetini taklit ettiğini söylemeye devam etti. Ayrıca 137 numaralı IP adresiyle de bağlantı kurar.[.]184[.]67[.]33, ikili kodda sabit kodlanmıştır. Bağımsız araştırmacı Kevin Beaumont söz konusu adres, yalnızca bir dakikalık oturum açma süresi olan tek bir kullanıcıya sahip sahte bir web sitesine ev sahipliği yapıyor ve yalnızca Ağustos ayından beri aktif.

Kevin Beaumont

Kötü amaçlı yazılım daha sonra çalışma zamanında oluşturulan bir RC4 şifreleme anahtarıyla şifrelenmiş verileri gönderir ve alır. Beaumont, arka kapı kötü amaçlı yazılımının yeni gibi göründüğünü söylemeye devam etti, yani bu, vahşi ortamda ilk kez kullanılıyor.

Şirket içi Exchange sunucularını çalıştıran kişiler hemen harekete geçmelidir. Özellikle, sunucuların bilinen saldırı modellerini kabul etmesini engelleyen bir engelleme kuralı uygulamalıdırlar. Kural, “IIS Yöneticisi -> Varsayılan Web Sitesi -> URL Yeniden Yazma -> Eylemler” seçeneğine gidilerek uygulanabilir. Şu an için Microsoft, saldırganların CVE-2022-41082’den yararlanmaları gereken HTTP bağlantı noktası 5985 ve HTTPS bağlantı noktası 5986’yı engellemelerini de önerir.

Microsoft’un danışma belgesi, bir yama çıkana kadar bulaşmaları tespit etmek ve istismarları önlemek için bir dizi başka öneri içerir.


Kaynak : https://arstechnica.com/?p=1886065

Yorum yapın