Microsoft Exchange Sunucularına Yönelik Tehditler
Son dönemde, Microsoft Exchange sunucularına yönelik artan tehditler dikkat çekiyor. Güvenlik araştırmaları, kötü niyetli kişiler tarafından yönetilen kampanyaların, dünya çapında yaygın olarak kullanılan bu platform üzerinde güvenlik açıklarını hedef aldığını göstermektedir. Bu durum, hem devlet kurumları hem de özel sektördeki işletmeler için büyük bir risk oluşturuyor.
Kötü Amaçlı Yazılımların Kullanımı
Positive Technologies, 2024 Mayıs ayında belgelenmiş olan bir kampanyanın devam ettiğini ve 26 ülkede 65 mağdurun belirlendiğini açıkladı. Bu saldırıların temel amacı, login sayfalarına kötü amaçlı kod enjekte ederek her türlü kullanıcı verisini toplamaktır. Kullanıcıların kimlik bilgilerinin çalınması, hem bireyler hem de işletmeler için ciddi sonuçlar doğurabilecek bir tehdit haline geliyor.
Kayıt Cihazı Kodları ve Çeşitleri
Araştırmalar sonucunda, gerçekleştirilmiş olan saldırılarda iki farklı JavaScript tabanlı kayıt cihazı kodu türü tespit edilmiştir. Bunlar;
- Yerel Dosyaya Veri Kaydeden: Toplanan verileri, internet üzerinden erişilebilir bir yerel dosyaya kaydeden kod.
- Dış Sunucuya Veri Gönderen: Toplanan verileri hemen bir dış sunucuya gönderen kod.
Bu tür kötü amaçlı yazılımlar, özellikle genel internet üzerindeki Microsoft Exchange sunucularında sıklıkla görülmektedir.
Yaşanan Güvenlik Açıkları
Saldırılar, Microsoft Exchange Server üzerindeki bilinen açıkları kullanarak gerçekleştirilmiştir. Bu açıkların bazıları şunlardır:
- CVE-2014-4078: IIS Güvenlik Özelliği Bypass Açığı
- CVE-2020-0796: Windows SMBv3 İstemci/Sunucu Uzak Kod Çalıştırma Açığı
- CVE-2021-26855 ve diğerleri: Microsoft Exchange Server Uzak Kod Çalıştırma Açıkları (ProxyLogon)
Bu güvenlik açıkları, saldırganların login sayfalarına kötü niyetli kod yerleştirmesine olanak tanımaktadır.
Tehditlerle Mücadele Yöntemleri
Saldırıların teknik detayları göz önüne alındığında, kötü amaçlı JavaScript kodu, kullanıcıdan alınan bilgileri işleyerek bunu ilgili sunucuya göndermektedir. Araştırmacılar, kayıtlı verilerin bir dosya halinde sunucuda saklandığını ve bu dosyaların dış ağdan erişilebilir olduğunu belirtmektedir.
Bir başka yöntem de, Telegram botlarının kullanımıdır. Bu botlar, kullanıcı bilgilerini belirli bir API anahtarı ve kimlik doğrulama belirteci aracılığıyla dış sunuculara iletmektedir. Kurumların savunma mekanizmalarını aşmak için ayrıca DNS tüneli kullanıldığı tespit edilmiştir. Bu teknikler, siber suçluların tespitini zorlaştırmakta ve kullanıcılerin verilerini açıkça ele geçirmeye yardımcı olmaktadır.
Target Ülkeler ve Etkiler
Yapılan saldırılarda en fazla etkilenen ülkeler arasında Vietnam, Rusya, Taiwan, Çin, Pakistan, Lübnan, Avustralya, Zambiya, Hollanda ve Türkiye bulunmaktadır. Bu ülkelerdeki tüzel kişilikler, devlet kurumları, bankalar, IT şirketleri ve eğitim kurumları gibi çok çeşitli sektörlerdeki kuruluşlar hedef alınmaktadır.
Sonuç ve Öneriler
Araştırmalar, internetten erişilebilen birçok Microsoft Exchange sunucusunun eski güvenlik açıklarına karşı hala savunmasız olduğunu ortaya koymaktadır. Kötü amaçlı kodların meşru kimlik doğrulama sayfalarına gömülmesi, saldırganların uzun süre boyunca tespit edilmeden kullanıcı bilgilerini toplamasına olanak sağlamaktadır.
İşletmelere önerimiz, düzenli güvenlik güncellemeleri yaparak bilinen açıkları hızlı bir şekilde kapatmalarıdır. Ayrıca, çalışanlarına güvenlik farkındalığı eğitimi vermeleri, siber psikolojik savunmalarını güçlendirmek için büyük önem taşımaktadır. Bu sayede, işletmelerin siber saldırılar karşısında alacakları önlemler daha etkili hale gelecektir.
