Microsoft Cuma günü, Ağustos 2022’de tek bir etkinlik grubunun, dünya çapında 10’dan az kuruluşa yönelik sınırlı bir dizi saldırıda yeni açıklanan iki sıfır gün kusurunu zincirleyerek ilk erişime ulaştığını ve Exchange sunucularını ihlal ettiğini açıkladı.
Microsoft Tehdit İstihbarat Merkezi (MSTIC) “Bu saldırılar, saldırganların Active Directory keşif ve veri hırsızlığı yapmak için kullandığı klavyeden uygulamalı erişimi kolaylaştırmak için Chopper web kabuğunu kurdu.” söz konusu Cuma raporunda.
Microsoft, “son derece ayrıcalıklı erişim Exchange sistemlerinin bir saldırgana sağladığı” nedeniyle, kötü niyetli aktörler istismarları fidye yazılımı dağıtmak da dahil olmak üzere araç setlerine dahil ettikçe, güvenlik açıklarının silahlandırılmasının önümüzdeki günlerde artması beklendiği konusunda uyardı.
Teknoloji devi, devam eden saldırıları orta derecede güvenle devlet destekli bir kuruluşa bağladı ve Sıfır Gün Girişimi bu ayın başlarında 8-9 Eylül 2022’de Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) kusurları açıkladığında bu saldırıları zaten araştırdığını da sözlerine ekledi. .
İki güvenlik açığı toplu olarak adlandırıldı ProxyNotShellProxyShell ile “aynı yol ve SSRF/RCE çifti” olması, ancak kimlik doğrulaması olması nedeniyle eksik bir yama olduğunu düşündürür.
Uzaktan kod yürütülmesini sağlamak için bir araya getirilen sorunlar aşağıda listelenmiştir:
- CVE-2022-41040 – Microsoft Exchange Server Sunucu Tarafı İstek Sahteciliği Güvenlik Açığı
- CVE-2022-41082 – Microsoft Exchange Server’da Uzaktan Kod Yürütme Güvenlik Açığı
Microsoft, “Bu güvenlik açıkları kimlik doğrulaması gerektirse de, istismar için gereken kimlik doğrulama standart bir kullanıcınınki olabilir” dedi. “Standart kullanıcı kimlik bilgileri, parola püskürtme veya siber suç ekonomisi aracılığıyla satın alma gibi birçok farklı saldırı yoluyla elde edilebilir.”
Güvenlik açıkları ilk olarak Vietnamlı siber güvenlik şirketi GTSC tarafından Ağustos 2022’de bir müşteriye yönelik olay müdahale çabalarının bir parçası olarak keşfedildi. İzinsiz girişlerin arkasında Çinli bir tehdit aktörünün olduğundan şüpheleniliyor.
Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) olarak geliyor katma Bilinen Açıklardan Yararlanılan Güvenlik Açıkları (KEV) kataloğundaki iki Microsoft Exchange Server sıfırıncı gün güvenlik açığı, federal kurumların yamaları 21 Ekim 2022’ye kadar uygulamalarını gerektirir.
Microsoft, eksiklikler için bir düzeltme yayınlamak için “hızlandırılmış bir zaman çizelgesi” üzerinde çalıştığını söyledi. Ayrıca bir komut dosyası yayınladı aşağıdaki URL için “mevcut saldırı zincirlerini kırmada başarılı” olduğunu söylediği yeniden yazma azaltma adımları –
- IIS Yöneticisini Aç
- Varsayılan Web Sitesini Seçin
- Özellik Görünümünde, URL Yeniden Yaz’ı tıklayın.
- Sağ taraftaki Eylemler bölmesinde, Kural(lar) Ekle… seçeneğine tıklayın.
- Engelleme İste’yi seçin ve Tamam’a tıklayın
- “.*autodiscover.json.*@.*Powershell.*” dizesini ekleyin (tırnak işaretleri hariç)
- Kullanma altında Normal İfade’yi seçin
- Nasıl engellenir altında İsteği İptal Et’i seçin ve ardından Tamam’a tıklayın.
- Kuralı genişletin ve .*autodiscover.json.*@.*Powershell.* kalıbına sahip kuralı seçin ve Koşullar altında Düzenle’yi tıklayın.
- URL olan Koşul girişini REQUEST_URI olarak değiştirin
Ek önleme önlemleri olarak şirket, şirketleri çok faktörlü kimlik doğrulamayı (MFA) uygulamaya, devre dışı bırakmaya çağırıyor. eski kimlik doğrulamave kullanıcıları beklenmedik iki faktörlü kimlik doğrulama (2FA) istemlerini kabul etmeme konusunda eğitin.
Qualys’te kötü amaçlı yazılım tehdidi araştırmalarından sorumlu başkan yardımcısı Travis Smith, The Hacker News’e verdiği demeçte, “Microsoft Exchange, tehdit aktörlerinin iki temel nedenden dolayı yararlanmaları için cazip bir hedeftir.”
“Birincisi, Değişim […] doğrudan internete bağlı olmak, dünyanın her yerinden erişilebilen bir saldırı yüzeyi oluşturarak saldırıya uğrama riskini önemli ölçüde artırır. İkincisi, Exchange kritik bir işlevdir – kuruluşlar, işlerini olumsuz bir şekilde ciddi şekilde etkilemeden e-postayı fişten çekemez veya kapatamaz.”