2021 yılındaki Microsoft Exchange Server hacklenmesiyle aynı ölçekte olmasa da Exchange Server’ı etkileyen güvenlik sorunları yeniden gün yüzüne çıktı.
Aylık döngü sırasında yama Microsoft, Mart 2024’ten itibaren HyperV ve Exchange Server gibi yazılımlardaki kritik sorunları düzeltti. Bu düzeltmeler güncellemenin yayınlanmasının ardından gelir 2024 1. Yarı Kümülatif Güncelleme Şubat ayında Exchange Server için.
Toplu Güncelleme 2024 H1, varsayılan olarak Genişletilmiş Korumanın (EP) etkinleştirilmesini içerir. EP, sunucuları ortadaki adam (MiTM) saldırılarına karşı koruyan bir Windows özelliğidir. EP’nin otomatik olarak dahil edilmesi ilk olarak 2013 yılında duyurulmuştu. 2023.
Güvenlik güncellemesi çözüme yardımcı olabilir CVE-2024-21410Exchange Server’ı etkileyen NTLM geçiş saldırılarına yol açan bir ayrıcalık yükseltme güvenlik açığı. Bu güvenlik açığından yararlanılıyor.
Microsoft, “Bir saldırgan, NTLM kimlik bilgileri sızıntısı güvenlik açığıyla Outlook gibi bir NTLM istemcisini hedefleyebilir” diye açıklıyor. “Sızdırılan kimlik bilgileri daha sonra kurban istemci olarak ayrıcalıklar kazanmak ve kurban adına Exchange sunucusunda işlemler gerçekleştirmek için Exchange sunucusuna iletilebilir.
CVE-2024-21410, Microsoft’un Şubat 2024 yama güncellemesinde ortaya çıktı.
İşte konuyla ilgili 2021 yılında yayımlanan makale: Microsoft Exchange: Mevcut saldırı kampanyası hakkında bilmeniz gereken her şey
Ne oldu ?
2 Mart’ta Microsoft, Microsoft Exchange Server yazılımındaki dört ciddi güvenlik açığını gidermek için yamalar yayınladı. Şirket daha sonra hatalardan “sınırlı ve hedefli saldırılarda” aktif olarak yararlanıldığını iddia etti.
Microsoft Exchange Server bir e-posta, takvim ve işbirliği çözümüdür. Kullanıcıları dünya çapında büyük hesaplardan küçük ve orta ölçekli işletmelere kadar çeşitlilik göstermektedir.
Rağmen düzeltmeler yayınlandıuzlaşmaların boyutu yamanın benimsenme hızına bağlıdır ve tahmini kurban sayısı artmaya devam etmektedir.
Güvenlik açıkları nelerdir ve neden önemlidir?
Bunlar kritik güvenlik açıklarıExchange 2013, Exchange Server 2016 ve Exchange Server 2019 sunucularını etkiler ancak Exchange Online etkilenmez.
- CVE-2021-26855 : CVSS 9.1:kimliği doğrulanmamış saldırganlar tarafından HTTP isteklerinin gönderilmesine izin veren bir SSRF (Sunucu Tarafı İstek Sahteciliği) güvenlik açığı. Hatanın kötüye kullanılması için sunucuların 443 numaralı bağlantı noktasındaki güvenilmez bağlantıları kabul edebilmesi gerekir.
- CVE-2021-26857 : CVSS 7.8:Exchange Unified Messaging hizmetinde, SİSTEM ayrıcalıklarıyla rastgele kod dağıtımına izin veren, güvenli olmayan bir seri durumdan çıkarma güvenlik açığı. Ancak bu güvenlik açığının başka bir güvenlik açığıyla birleştirilmesi veya çalınan kimlik bilgilerinin kullanılması gerekir.
- CVE-2021-26858 : CVSS 7.8:Dosyaların sisteme yüklenmesine izin veren ve özellikle güvenliği ihlal edilmiş sunuculara bir web kabuğu yüklemek için kullanılan bir güvenlik açığı.
- CVE-2021-27065 : CVSS 7.8:Dosyaların sisteme yüklenmesine izin veren ve özellikle güvenliği ihlal edilmiş sunuculara bir web kabuğu yüklemek için kullanılan bir güvenlik açığı.
Tüm bu güvenlik açıkları birlikte kullanıldığında uzaktan kod yürütülmesine, sunucunun tehlikeye atılmasına, arka kapıların yüklenmesine, veri hırsızlığına ve muhtemelen daha fazla kötü amaçlı yazılım dağıtımına yol açabilir.
Microsoft, saldırganların bu hatalardan yararlanarak veya çalıntı kimlik bilgilerini kullanarak Exchange sunucusuna erişimi güvence altına aldığını ve daha sonra sistemin güvenliğini aşmak ve komutları uzaktan yürütmek için bir web kabuğu oluşturabileceğini söylüyor. Microsoft, “Bu güvenlik açıkları bir saldırı zincirinin parçası olarak kullanılıyor” diye açıklıyor. “İlk saldırı, Exchange sunucusunun 443 numaralı bağlantı noktasına güvenilmeyen bir bağlantı kurma yeteneğini gerektiriyor. Güvenilmez bağlantıları sınırlayarak veya Exchange sunucusunu herhangi bir harici erişimden ayıracak bir VPN kurarak buna karşı korunmak mümkündür. Bu önlemin kullanılması saldırının yalnızca başlangıç kısmına karşı koruma sağlayacaktır; Saldırganın zaten erişimi varsa veya yöneticiyi kötü amaçlı bir dosyayı yürütmeye ikna etmeyi başarırsa zincirin diğer parçaları tetiklenebilir. »
Saldırıların sorumlusu kim?
Microsoft, bu kusurları kullanan saldırıların yapıldığını söylüyor Hafniyum grubuna atfedilen.
Hafnium, şirketin “son derece yetenekli ve sofistike bir aktör” olarak tanımladığı Çin devletiyle bağlantılı gelişmiş bir kalıcı kötü amaçlı yazılım grubudur (APT).
Hafnium’un kaynağı Çin ise grup, gerçek konumunu gizlemek için Amerika Birleşik Devletleri’nde bulunan bir sanal özel sunucu (VPS) ağını kullanıyor. Grubun daha önce hedef aldığı kuruluşlar arasında düşünce kuruluşları, kar amacı gütmeyen kuruluşlar, savunma şirketleri ve araştırmacılar yer alıyor.
Sadece Hafniyum mu?
Popüler yazılımlardaki sıfır gün güvenlik açıkları ortaya çıktığında ve acil durum güvenlik yamaları yayınlandığında, bunun sonuçları çok büyük olabilir. Düzeltme eklerinin uygulanması birçok faktör nedeniyle gecikebilir: Şirket düzeltme eklerinden haberdar olmayabilir, etkilenen yazılımı kullandığını bilmiyor olabilir veya uyumluluk sorunları nedeniyle güncelleme yapamıyor olabilir.
Buna göre VolexityBu sıfır gün kusurlarını kullanan saldırılar 6 Ocak 2021 gibi erken bir tarihte başlamış olabilir.
Mandiant’a göre ABD hedeflerine yönelik saldırılar arasında yerel devlet kurumları, bir üniversite, bir mühendislik şirketi ve perakendeciler yer alıyor. Siber güvenlik şirketi, güvenlik açıklarının fidye yazılımı dağıtımı ve veri hırsızlığı için kullanılabileceğine inanıyor.
Birden fazla kurban
Kaynaklar, siber güvenlik uzmanı Brian Krebs’e, ABD’de şu ana kadar yaklaşık 30.000 kuruluşun saldırıya uğradığını söyledi. Bloomberg bu rakamın yakın olduğunu tahmin ediyor 60.0008 Mart itibarıyla.
Avrupa Bankacılık Otoritesi son kurbanlardan biri beyan etmiş olmak. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ajansın “kötü niyetli aktörlerin savunmasız Microsoft Exchange sunucularını aramak için açık kaynaklı araçlar kullandığının farkında olduğunu” belirtiyor.
İçinde güncelleme5 Mart tarihli Microsoft, şirketin “Hafnium’un çok ötesinde birden fazla kötü niyetli aktör tarafından yama yapılmamış sistemleri hedef alan saldırılarda bu güvenlik açıklarının artan şekilde kullanıldığını görmeye devam ettiğini” belirtti.
Biden yönetimi şunları yapmalı: bir çalışma grubu oluşturmak CNN’e göre, Microsoft Exchange saldırıları ile Çin arasında bildirilen bağlantıları araştırmak için.
Sunucularımı ve güvenlik açıklarını nasıl kontrol edebilirim? Şimdi ne yapmalıyım?
Microsoft, yöneticilerden ve müşterilerden hemen başvurmalarını istedi güvenlik yamaları. Ancak yamaların şu anda uygulanıyor olması, sunucuların daha önce tehlikeye atılmadığı anlamına gelmiyor. arasında alternatif seçenekler anında yama yapmanın mümkün olmadığı durumlarda da kullanılabilir.
Redmond devi ayrıca bir senaryo yayınladı. GitHubBT yöneticilerinin kullanabileceği ve dört güvenlik açığıyla ilgili güvenlik ihlali göstergelerini (IOC’ler) içeren. IOC’ler ayrı olarak listelenir Burada.
3 Mart’ta CISA bir rapor yayınladı acil durum direktifiBu, federal kurumların Microsoft Exchange çalıştıran herhangi bir sunucuyu derhal taramasını ve şirket tarafından sağlanan düzeltmeleri uygulamasını gerektiriyordu. Şüpheli göstergeler tespit edilirse 1’e geri dönülüryani Eylül 2020, CISA, daha fazla hasar riskini sınırlamak için kurumların etkilenen cihazların internet bağlantısını kesmesini zorunlu kılıyor.
Microsoft araştırmaya devam ediyor ve ek bilgiler geldikçe güncelleyeceğiz.
Kaynak : ZDNet.com