çoklu ulus devlet hackerları yakın zamanda düzeltilmiş olan Microsoft Exchange e-posta sunucularında bir güvenlik açığından yararlanmaya başladı.
İngiltere merkezli siber güvenlik firması Volexity ilk olarak, güvenlik açığından vahşi doğada yararlandığını tespit etti, ancak firma ilgili hack gruplarının adını vermedi.
Tanımlayıcı altında izlenen güvenlik açığı CVE-2020-0688, geçen ay Microsoft tarafından yamalı. Yine de istismar edilirse, uzaktan kod yürütme güvenlik açığı, bir kuruluşun tüm e-postalarını okumak için kullanılabilir; çünkü saldırganlara bir Microsoft Exchange e-posta sunucusu üzerinde tam denetim sağlar.
Microsoft bu güvenlik açığını zaten yamalamış olsa da, teknik rapor hatayı şirkete ilk kez bildiren Sıfır Gün Girişimi'nden, hata ve nasıl çalıştığı hakkında kapsamlı ayrıntılar sağladı. Bu rapor, içerdiği bilgileri kendi sunucularını olası saldırılar için hazırlamak üzere kavram kanıtı istismarları oluşturmak için kullanan güvenlik araştırmacıları için bir yol haritası görevi görmüştür.
Zero-Day Initiative'in raporunun yayınlanmasının ardından, hacker grupları, gelecekte saldırılara maruz kalabilecekleri savunmasız Exchange sunucuları için İnternet'i taramaya başladı.
Güvenlik açığını silahlandırmak
Yeni bir Blog yazısıVolexity, siber suçluların savunmasız Exchange sunucularına yönelik taramalarının şunları yaparak gerçek saldırılara dönüştüğünü açıkladı:
“Volexity, şirket içi Exchange sunucularından yararlanan veya bu sunucuları kullanmaya çalışan birden fazla APT aktörü gözlemledi. Bazı durumlarda, saldırganlar, aksi takdirde hiçbir faydası olmayan kimlik bilgileriyle grev yapma fırsatı beklemektedirler. Birçok kuruluş VPN, e-postaları vb. Korumak için iki faktörlü kimlik doğrulama (2FA) kullanır ve saldırganın güvenliği ihlal edilmiş bir parola ile yapabileceklerini sınırlar. Bu güvenlik açığı, saldırganlara, basit bir kullanıcı kimlik bilgisine veya eski hizmet hesabına sahip bir kuruluştaki önemli bir öğeye erişim sağlama olanağı verir. ”
Neyse ki, Exchange'deki güvenlik açığından yararlanmak ve bunu yapmak kolay değildir, bilgisayar korsanlarının saldırmaya çalıştıkları sunucuda bir e-posta hesabının kimlik bilgilerine sahip olması gerekir. Bu, daha az gelişmiş bilgisayar korsanlarının bunu yapamayacağı anlamına gelirken, ulus devlet hackerları bu güvenlik açığından yararlanacak kaynaklara sahiptir.
Kullanım ömrünün sonuna ulaşan sürümler de dahil olmak üzere tüm Microsoft Exchange sunucularının bu saldırılara karşı savunmasız olduğu düşünülmektedir (EOL). Kuruluşlar en son yamayı en kısa zamanda uygulamalı ve bir EoL sürümü çalıştırıyorlarsa, daha yeni bir Exchange sürümüne güncellemeyi düşünmelidirler.
Üzerinden Zdnet
Bir yanıt bırakın