Microsoft, müşterilerini Exchange sunucularını güncel tutmaya ve ortamı desteklemek için etkinleştirme gibi adımlar atmaya çağırıyor. Windows Genişletilmiş Koruma ve yapılandırma sertifika tabanlı imzalama PowerShell serileştirme yükleri.
Teknoloji devinin Exchange Ekibi, “Yama uygulanmamış Exchange sunucularından yararlanmak isteyen saldırganlar peşini bırakmayacak” dedi. dedim bir gönderide. “Verileri sızdırmak veya diğer kötü niyetli eylemlerde bulunmak isteyen kötü aktörler için değerli olan, yama uygulanmamış şirket içi Exchange ortamlarının pek çok yönü vardır.”
Microsoft ayrıca, şirket tarafından yayınlanan hafifletme önlemlerinin yalnızca geçici bir çözüm olduğunu ve “bir saldırının tüm çeşitlerine karşı koruma sağlamak için yetersiz kalabileceklerini” ve kullanıcıların sunucuların güvenliğini sağlamak için gerekli güvenlik güncellemelerini yüklemelerini gerektirebileceğini vurguladı.
Exchange Server’ın kanıtlanmış bir kazançlı saldırı vektörü son yıllarda, yazılımdaki bir dizi güvenlik açığı ile sistemlere girmek için sıfır gün olarak silah haline getirildi.
Yalnızca son iki yılda, Exchange Server’da ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell ve OWASSRF olarak bilinen bir ProxyNotShell hafifletme bypass’ı dahil olmak üzere birkaç güvenlik açığı keşfedildi ve bunlardan bazıları vahşi doğada yaygın olarak sömürüldü.
Bitdefender, bu hafta yayınlanan bir teknik danışma belgesinde Exchange’i “ideal bir hedef” olarak tanımlarken, aynı zamanda Kasım 2022’nin sonlarından bu yana ProxyNotShell / OWASSRF istismar zincirlerini içeren bazı gerçek dünya saldırılarının kaydını tutuyor.
“Var Karmaşık ağ ön uç ve arka uç hizmetlerinin [in Exchange]geriye dönük uyumluluk sağlamak için eski kodla,” Bitdefender’dan Martin Zugec not alınmış. “Arka uç hizmetleri, ön uçtan gelen isteklere güvenir [Client Access Services] katman.”
Diğer bir neden ise, birden çok arka uç hizmetinin, SİSTEM ayrıcalıklarıyla birlikte gelen Exchange Server’ın kendisi olarak çalışması ve istismarların saldırganın sunucuya kötü niyetli erişim sağlamasıdır. uzak PowerShell kötü amaçlı komutların yürütülmesinin önünü etkili bir şekilde açan hizmet.
Bu amaçla, ProxyNotShell ve OWASSRF kusurlarını silah haline getiren saldırılar, Avusturya, Kuveyt, Polonya, Türkiye ve ABD’de bulunan sanat ve eğlence, danışmanlık, hukuk, imalat, emlak ve toptan satış sektörlerini hedef aldı.
“Bu tür sunucu tarafı istek sahteciliği (SSRF) saldırılar, bir saldırganın savunmasız bir sunucudan diğer sunuculara başka türlü doğrudan erişilemeyen kaynaklara veya bilgilere erişmek için hazırlanmış bir istek göndermesine olanak tanır.”
Saldırıların çoğunun odaklanmış ve hedeflenmiş olmaktan ziyade fırsatçı olduğu söyleniyor ve bulaşmalar, web kabuklarının ve ConnectWise Control ve GoTo Resolve gibi uzaktan izleme ve yönetim (RMM) yazılımlarının devreye alınma girişimleriyle sonuçlanıyor.
Web kabukları yalnızca kalıcı bir uzaktan erişim mekanizması sunmakla kalmaz, aynı zamanda suç aktörlerinin çok çeşitli takip faaliyetleri yürütmesine ve hatta erişimi diğer bilgisayar korsanı gruplarına kar için satmasına da olanak tanır.
Bazı durumlarda, yükleri barındırmak için kullanılan hazırlama sunucularının güvenliği Microsoft Exchange sunucularının kendileri tarafından ele geçirildi, bu da aynı tekniğin saldırıların ölçeğini genişletmek için uygulanmış olabileceğini düşündürüyor.
Ayrıca, düşmanların Cobalt Strike’ı ve kod adı GoBackClient olan, sistem bilgilerini toplama ve ters mermiler oluşturma yetenekleriyle birlikte gelen Go tabanlı bir implantı indirmek için giriştikleri başarısız çabalar da gözlendi.
Microsoft Exchange güvenlik açıklarının kötüye kullanılması, aynı zamanda UNC2596 (namı diğer Tropical Scorpius) tarafından da tekrarlanan bir taktik olmuştur. Küba (namı diğer COLDDRAW) fidye yazılımı, tek bir saldırıda ProxyNotShell istismar sırasını kullanarak BUGATCH indirici.
Zugec, “İlk enfeksiyon vektörü gelişmeye devam ederken ve tehdit aktörleri herhangi bir yeni fırsatı kullanmakta hızlı olsa da, istismar sonrası faaliyetleri tanıdık geliyor.” “Modern siber saldırılara karşı en iyi koruma, derinlemesine savunma mimarisidir.”
