Microsoft Exchange Online’ı Etkileyen Yanlış Pozitif Tespit Sorunu
Microsoft, Exchange Online’da geçen hafta yaşanan bir sorunun, kimlik avı kampanyalarını engellemeye yönelik hatalı sezgisel tespit kuralları tarafından tetiklendiğini açıkladı. Bu durum, kullanıcıların meşru e-postalarına erişimlerini engelleyerek önemli bir iletişim kesintisine yol açtı.
Olay Nasıl Çalışıyor?
Microsoft’un olay sonrası yaptığı incelemeye göre, e-posta güvenlik sisteminde yaşanan yazılım hatası, yaklaşık bir hafta boyunca binlerce meşru URL’yi kimlik avı bağlantısı olarak yanlış işaretledi. Bu sorun 5 Şubat’ta başlamış ve 12 Şubat’ta tamamen çözülmüştür.
- Olay Kodu: EX1227432
- Kullanıcılar, mesajlarda yer alan bağlantılara erişimde zorluk yaşamışlar, bazı e-postaları tamamen karantinaya alınmıştır.
- Yönetici panellerinde “potansiyel olarak kötü niyetli URL tıklandığı tespit edildi” uyarıları yer almış, ancak bu uyarıların yanlış pozitif olduğu sonradan onaylanmıştır.
Etkilenen Sistemler
Bu sorun, kimlik avı saldırılarını tespit etmek için tasarlanmış bir sistemdeki mantık hatası nedeniyle meydana gelmiştir. Sistemin güncellenmesinden kısa bir süre sonra, meşru URL’leri istenenden çok daha yüksek bir oranda işaretlemeye başlamış ve sorunların yayılmasına neden olmuştur.
- Yanlış Pozitiflerin Nedenleri:
- Mantık hatası
- Diğer güvenlik araçlarının durumu etkileyen amplifikasyonu
- Güvenlik imza sistemlerindeki ayrı bir hata, tespit kurallarının geri çekilmesini geciktirmiştir.
Microsoft, bu konudaki etkiyi “olay” olarak sınıflandırdı; bu da kullanıcıların önemli ölçüde etkilendiği anlamına gelmektedir.
Çözüm ve Korunma
Microsoft, sorunun çözümü için bir final raporu yayımlayacağını duyurdu. Geçmişte, e-postaların yanlış bir şekilde karantinaya alındığı veya kötü niyetli olarak işaretlendiği başka durumlar da yaşanmıştır.
Önemli Uyarılar:
- CVE Kodları: Microsoft, kullanıcıların belirli URL’leri içeren e-postalar veya Teams mesajları almış olabileceğini belirtiyor.
- Etkilenen Versiyonlar: Kullanıcıların hangi yazılım versiyonunu kullandığına dikkat etmesi önemlidir.
Aksiyon
Kullanıcıların ve sistem yöneticilerinin bu tür olumsuz etkilerden korunmak adına aşağıdaki adımları atmaları gerekmektedir:
- Güncellemeleri Kontrol Edin: Microsoft’un yeni güncellemelerini takip edin ve uygulayın.
- Portları Kapatın: Gereksiz portların kapatıldığından emin olun.
- Yanlış Pozitifleri Raporlayın: Hatalı tespit edilen e-postaları Microsoft’a bildirin.
- Güvenlik Eğitimleri: Kullanıcılarınızı kimlik avı saldırıları hakkında eğitin ve dikkatli olmalarını sağlayın.
Bu adımlar, sistemin güvenliğini artırmak ve tekrarlayan sorunların önüne geçmek için kritik öneme sahiptir.
