Şirket, Microsoft Exchange Server’ın farklı sürümlerinde bulunan iki sıfırıncı gün güvenlik açığının vahşi ortamda istismar edildiğini doğruladı.
Microsoft’un rapor edilen sıfır gün için yayınladığı son müşteri kılavuzuna göre, bir sunucu tarafı istek sahteciliği (SSRF) hatası ve uzaktan kod yürütme (RCE) hatasının tehdit aktörleri tarafından kullanıldığı belirlendi.
Güvenlik açıkları Microsoft Exchange Server 2013, 2016 ve 2019 uç noktalarında mevcuttu (yeni sekmede açılır).
Zincirleme kusurlar
“CVE-2022-41040 olarak tanımlanan ilk güvenlik açığı, Sunucu Tarafı İstek Sahteciliği (SSRF) güvenlik açığı iken, CVE-2022-41082 olarak tanımlanan ikinci güvenlik açığı, PowerShell tarafından erişilebilir olduğunda uzaktan kod yürütülmesine (RCE) izin verir. saldırgan,” Microsoft açıkladı. “Şu anda Microsoft, kullanıcıların sistemlerine girmek için iki güvenlik açığını kullanan sınırlı hedefli saldırıların farkındadır.”
Saldırı yalnızca hedef sistem tarafından kimliği doğrulanmış saldırganlar tarafından gerçekleştirilebileceğinden, SSRF kusurundan yararlanmak o kadar kolay değildir. Ancak o zaman RCE kusurundan da yararlanabilirler.
Dahası, güvenlik ekibi zaten tespitler ve hafifletmeler yerleştirdiğinden, şirket, Exchange Online kullanıcılarının herhangi bir riske maruz kalmadığını doğruladı.
Şirket ayrıca, “Microsoft, halihazırda dağıtılan bu algılamaları kötü amaçlı etkinliklere karşı izliyor ve müşterileri korumak için gerekli müdahale eylemlerini yapacak,” diye ekledi. “Bir düzeltme yayınlamak için hızlandırılmış bir zaman çizelgesi üzerinde çalışıyoruz.”
Microsoft, şu anda bu kusurlardan kimin yararlanabileceğini söylemedi. BleeBilgisayar Vietnamlı bir siber güvenlik firması olan GTSC’yi suçu Çinli bir tehdit aktörüne atarken buldu. Görünüşe göre sıfır günler, kalıcılık ve veri hırsızlığı için China Chopper web kabuklarını dağıtmak için kullanılıyordu. Aynı şirket, Microsoft’un daha sonra onayladığı azaltma önlemleri de yayınladı.
Microsoft, “Şirket içi Microsoft Exchange müşterileri aşağıdaki URL Yeniden Yazma Talimatlarını gözden geçirmeli ve uygulamalı ve açıkta kalan Uzak PowerShell bağlantı noktalarını engellemelidir” dedi. “Geçerli azaltma, bilinen saldırı modellerini engellemek için “IIS Yöneticisi -> Varsayılan Web Sitesi -> Otomatik Bulma -> URL Yeniden Yazma -> Eylemler” bölümüne bir engelleme kuralı eklemektir.”
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
