Microsoft, bir gecede bildirilen iki Exchange Server sıfırıncı gün güvenlik açığı için yamaları hızlı bir şekilde izliyor, ancak bu arada işletmelerin saldırılara karşı tetikte olması gerekiyor. Bilgi işlem devi Cuma günü yaptığı bir güncellemede, e-posta sistemine ilk erişim ve devralma için hataları birbirine zincirleyen “sınırlı hedefli saldırılar” gördüğünü söyledi.
Microsoft’a göre, kusurlar özellikle Microsoft Exchange Server 2013, 2016 ve 2019’un İnternet’e bakan şirket içi sürümlerini etkiliyor. Ancak, güvenlik araştırmacısı Kevin Beaumont’un diyor ki Outlook Web Access (OWA) ile Exchange hibrit sunucuları çalıştıran Microsoft Exchange Online Müşterileri, Çevrimiçi örneklerin etkilenmediğini belirten resmi tavsiyeye rağmen risk altındadır. Rapid7’deki ekip bu değerlendirmeyi tekrarladı.
Hatalar şu şekilde izlenir:
- CVE-2022-41040 (CVSS 8.8), Exchange’deki herhangi bir posta kutusuna erişim sağlayan bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı;
- PowerShell’e saldırgan tarafından erişildiğinde kimliği doğrulanmış uzaktan kod yürütülmesine (RCE) izin veren CVE-2022-41082 (CVSS 6.3).
Önemli olarak, Microsoft’un uyarısı, istismar için Exchange Sunucusuna kimliği doğrulanmış erişimin gerekli olduğunu belirtti. Beaumont, “Lütfen istismarın herhangi bir e-posta kullanıcısı için yönetici olmayan geçerli kimlik bilgilerine ihtiyaç duyduğunu unutmayın.”
CVE-2022-41040, CVE-2022-41082 için Yamalar ve Azaltıcılar
Şu ana kadar kullanılabilir bir yama yok, ancak Microsoft hataları önceliklendirdi ve bir düzeltmeyi hızlı bir şekilde izliyor.
“Bir düzeltme yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz” Microsoft’un Cuma tavsiyesi. “O zamana kadar, azaltma ve algılama rehberliği sağlıyoruz.”
Azaltıcı etkenler arasında, bilinen saldırı modellerini engellemek için “IIS Yöneticisi -> Varsayılan Web Sitesi -> Otomatik Keşfet -> URL Yeniden Yazma -> Eylemler” bölümüne bir engelleme kuralı eklenmesi; ve şirket, “mevcut saldırı zincirlerini kırmada başarılı olduklarını doğruladığını” söylediği danışma belgesine URL yeniden yazma talimatlarını dahil etti.
Ayrıca uyarı, “güvenlik açığı bulunan Exchange sistemlerinde PowerShell Remoting’e erişebilen kimliği doğrulanmış saldırganların CVE-2022-41082 kullanarak RCE’yi tetikleyebileceğinden, Remote PowerShell için kullanılan bağlantı noktalarını engellemenin saldırıları sınırlayabileceğini” belirtti.
Blindsiding-Bug İfşası
Hatalar, Vietnam güvenlik şirketi GTSC’nin geçen ay Trend Micro’nun Zero Day Initiative programına hata raporları gönderdiğini belirten bir blog gönderisinde açıklandı. Tipik olarak bu, Microsoft’un sorumlu olduğu bir güvenlik açığı açıklama süreciyle sonuçlanırdı. 120 gün yama Bulgular kamuya açıklanmadan önce, GTSC vahşi saldırıları gördükten sonra yayınlamaya karar verdi, dedi.
GTSC araştırmacıları, “Dikkatli testlerden sonra, bu sistemlerin bu 0 günlük güvenlik açığı kullanılarak saldırıya uğradığını doğruladık.” Perşembe blog yazısı. “Topluluğun, Microsoft’tan resmi bir düzeltme eki yayınlanmadan önce saldırıyı geçici olarak durdurmasına yardımcı olmak için, Microsoft Exchange e-posta sistemini kullanan kuruluşları hedefleyen bu makaleyi yayınlıyoruz.”
Ayrıca, Exchange Server güvenlik açıklarının ProxyShell grubuna benzer olan hata zincirinin ayrıntılı analizini de sundu. Bu, Beaumont’u (@gossithedog) “ProxyNotShell” zincirini adlandırmaya sevk etti. kendi logosu ile tamamlayın.
Cuma günkü analizinde, hataların birçok özelliği tam olarak ProxyShell gibi olsa da, ProxyShell yamalarının sorunu çözmediğini söyledi. Ayrıca saldırı yüzeyi açısından, “çeyrek milyona yakın savunmasız Exchange sunucusunun internetle karşı karşıya olduğunu, verdiğini veya aldığını” kaydetti.
Durumu “oldukça riskli” olarak nitelendirdi. Twitter beslemesi, sömürünün en az bir aydır devam ettiğini ve kusurların artık herkese açık olduğunu belirterek, işlerin “oldukça hızlı bir şekilde kötüye gidebileceğini” belirtti. Ayrıca Microsoft’un hafifletme rehberliğini de sorguladı.
“Benim rehberliğim, azaltma yolunda ilerlemek istemiyorsanız, bir yama çıkana kadar OWA’yı internette temsil etmeyi bırakmak olacaktır… PowerShell’siz RCE için,” diye tweet attı Beaumont. “Örneğin, SSRF’niz (CVE-2022-41040) varsa, Exchange’de tanrısınız ve EWS aracılığıyla herhangi bir posta kutusuna erişebiliyorsanız — önceki etkinliğe bakın. Dolayısıyla, azaltmanın geçerli olacağından emin değilim.”
Microsoft, Dark Reading tarafından yapılan yorum talebine hemen yanıt vermedi.
