Microsoft Exchange Server Sıfır Gün Güvenlik Açıkları

Microsoft Exchange Server'ın şirket içi sürümlerindeki dört sıfır gün güvenlik açığından yararlanan ciddi bir saldırı, devlet destekli bir tehdit aktörü olduğuna inanılan bir kuruluş tarafından gerçekleştirildi. Microsoft, bu hacker kolektifinin faaliyetlerini HAFNIUM adı altında izlemeye çoktan başlamıştı. Bulgularına göre, grup Çin'de bulunuyor ve Çin hükümeti tarafından destekleniyor.

Açıklardan yararlanma yoluyla, bilgisayar korsanları yasa dışı olarak Exchange Sunucusuna erişim elde edebilir ve onlara sistem üzerinde uzaktan kontrol sağlayan bir web kabuğu oluşturabilir. Saldırının temel amacı, kurbanın e-posta hesaplarında ve Exchange çevrimdışı adres defterinde bulunan hassas verilere erişmekti. Bununla birlikte, web kabuğu, ek kötü amaçlı yazılım yüklerinin atılmasına da izin verdi. HAFNIUM saldırısında, kurbanın sistemlerine uzun süreli erişim sağlamak için bu işlevsellik kullanıldı.

Saldırının bilgileri kamuoyuna açıldıktan sonra, Microsoft, sıfır gün güvenlik açıklarını operasyonlarına dahil eden çok sayıda ek tehdit aktörü tespit etti. Yalnızca 9 gün içinde, dört güvenlik zayıflığı nedeniyle yeni bir fidye yazılımı tehdidinin teslim edildiği gözlemlendi. Tehdit, farklı bir Microsoft güvenlik açıklarından yararlanan bir saldırıda dünyanın dört bir yanındaki kullanıcılara bulaşan kötü niyetli WannaCry kötü amaçlı yazılımına açık bir saygı olarak DearCry olarak adlandırıldı.

Dört Sıfır Gün İstismarı Saldırıyı Etkinleştirdi

HAFNIUM ve diğer tehdit aktörleri tarafından istismar edilen sıfır günler CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065 olarak izleniyor.

İlki olan CVE-2021-26855, saldırganların rastgele HTTP istekleri göndermesine ve Exchange sunucusu olarak kimlik doğrulamasına olanak tanıyan bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığıdır.

CVE-2021-26857, Birleşik Mesajlaşma hizmetindeki güvenli olmayan bir seriyi kaldırma güvenlik açığıdır. Kısacası, bu açık, saldırganların Exchange hizmetinde SYSTEM olarak kod çalıştırmasına izin verdi.

Son iki istismar - CVE-2021-26858 ve CVE-2021-27065, her ikisi de kimlik doğrulama sonrası rasgele dosya yazma güvenlik açığından oluşur.

Microsoft, Saldırıyı Azaltmak için Güvenlik Yamalarını ve Aracı Yayımladı

İhlalin ardından ve ciddiyeti nedeniyle Microsoft, Exchange Server'larının eski sürümlerindeki güvenlik açıklarını düzeltmek için birkaç güvenlik güncellemesi yayınladı. Teknoloji devi ayrıca gözlemlenen IoC (Tehlike Göstergeleri), algılama kılavuzu ve gelişmiş arama sorgularını içeren bir güvenlik blogu yayınladı, böylece müşteriler potansiyel olarak kötü niyetli etkinlik belirtilerini nerede kontrol edecekleri konusunda daha iyi bir fikre sahip olacaklar.

Microsoft, özel siber güvenlik veya BT departmanları olmayan daha küçük müşterilere yardımcı olmak için tek tıklamayla bir azaltma aracı da yayınladı. Microsoft Exchange Şirket İçi Azaltma Aracı, müşteri uygun güvenlik güncelleştirmesini yüklemeye hazırlanırken Exchange Server 2013, 2016 ve 2019 dağıtımlarında geçici bir güvenlik önlemi olarak kullanılmak üzere tasarlanmıştır.