Araştırmacılar, sunuculara saldırmak ve uzaktan erişim araçları ve uzaktan yönetim yazılımı sağlamak için yeni bir Microsoft Exchange kusurunun kullanıldığını ortaya çıkardı.
CrowdStrike’tan siber güvenlik uzmanları, bir Play fidye yazılımı saldırısını araştırırken yeni bir istismar zincirine rastladı. Daha fazla analizden sonra, açıklardan yararlanma zincirinin, ProxyNotShell URL yeniden yazma kusuru için azaltmaları atlayarak tehdit aktörlerinin hedef uç noktalarda uzaktan kod yürütme (RCE) ayrıcalıklarına izin verdiği sonucuna varıldı. (yeni sekmede açılır).
Açıktan yararlanmaya OWASSRF adını verdiler ve saldırganların CVE-2022-41080 ve CVE-2022-41082 olarak izlenen kusurları kötüye kullanmak için Remote PowerShell’den yararlandıklarını açıkladılar.
Exchange sunucularında ayrıcalık artışı
Araştırmacılar, “Karşılık gelen isteklerin doğrudan Outlook Web Uygulaması (OWA) uç noktası aracılığıyla yapıldığı görüldü, bu da Exchange için daha önce açıklanmayan bir istismar yöntemini gösteriyor” dedi. Blog yazısı (yeni sekmede açılır).
Microsoft, CVE-2022-41080’i ilk keşfettiğinde, Exchange sunucularında uzaktan ayrıcalık yükseltmeye izin verdiği için ona “kritik” bir derece verdi, ancak aynı zamanda hatanın vahşi ortamda kullanıldığına dair hiçbir kanıt olmadığını da ekledi. Bu nedenle, yama kullanıma sunulmadan önce bile kusurun sıfır gün olarak kötüye kullanılıp kullanılmadığını belirlemek zor.
Ancak düzeltme eki mevcuttur ve şirket içi Microsoft Exchange sunucularına sahip tüm kuruluşların güvende olmaları için en azından Kasım 2022 toplu güncelleştirmesini uygulamaları önerilir. Şu anda yamayı uygulayamıyorlarsa, OWA’nın devre dışı bırakılması önerilir.
CrowdStrike, saldırganların bu açığı Plink ve AnyDesk uzaktan erişim araçlarının yanı sıra ConnectWise uzaktan yönetim yazılımı sağlamak için kullandıklarına inanıyor.
Microsoft Exchange sunucuları, siber suçlular için popüler bir hedeftir, ancak şirket bu gerçeğin farkındadır ve müşterilerini güvende tutmaya çalışmak için çeşitli çözümler kullanmaktadır. Diğer şeylerin yanı sıra, Ocak 2023’ün başlarında Exchange Online temel kimlik doğrulamasını kalıcı olarak kapatacağını duyurdu.
Şirket, “Ocak ayının başından itibaren, etkilenen kiracılara, kapsamdaki protokoller için Temel kimlik doğrulama kullanımını kalıcı olarak devre dışı bırakmak üzere yapılandırma değişikliğini yapmadan yaklaşık 7 gün önce Mesaj Merkezi gönderileri göndereceğiz” dedi. “Temel kimlik doğrulama kalıcı olarak devre dışı bırakıldıktan kısa bir süre sonra, etkilenen protokollerden birine Temel kimlik doğrulama kullanarak bağlanan tüm istemciler veya uygulamalar hatalı bir kullanıcı adı/şifre/HTTP 401 hatası alacak.”
Microsoft, yıllardır Exchange Online temel kimlik doğrulamasının kullanımdan kaldırılacağı ve daha modern bir kimlik doğrulama yöntemiyle değiştirileceği konusunda kullanıcıları uyarıyor.