Microsoft, Exchange Server için aynı anda 7 güvenlik açığı duyurdu

Microsoft Güvenlik Yanıt Merkezi (Microsoft Security Response Center) tarafından 2 Mart 2021 tarihinde Tyler Nevitt ve Britney Thompson imzalı yapılan açıklama şöyle;

Bugün, sınırlı hedefli saldırılarda kullanılan güvenlik açıklarını ele almak için Microsoft Exchange Server için birkaç güvenlik güncellemesi yayınlıyoruz. Bu güvenlik açıklarının kritik doğası nedeniyle, müşterilerin bu istismarlara karşı koruma sağlamak ve ekosistem genelinde gelecekteki kötüye kullanımı önlemek için güncellemeleri etkilenen sistemlere hemen uygulamalarını öneririz.

Güvenlik açıkları Microsoft Exchange Server’ı etkiler. Exchange Online etkilenmez.

Etkilenen sürümler şunlardır:

Microsoft Exchange Sunucusu 2013
Microsoft Exchange Sunucusu 2016
Microsoft Exchange Sunucusu 2019
Microsoft Exchange Server 2010, Derinlemesine Savunma amacıyla güncellenmektedir.

Bu güvenlik açıkları, bir saldırı zincirinin parçası olarak kullanılır. İlk saldırı, Exchange sunucusu bağlantı noktası 443 ile güvenilmeyen bir bağlantı kurma yeteneğini gerektirir. Bu, güvenilmeyen bağlantıları kısıtlayarak veya Exchange sunucusunu harici erişimden ayırmak için bir VPN kurarak korunabilir. Bu kısıtlamanın kullanılması saldırının yalnızca ilk kısmına karşı koruma sağlayacaktır; Zincirin diğer bölümleri, bir saldırganın zaten erişimi varsa veya bir yöneticiyi kötü amaçlı bir dosyayı çalıştırmaya ikna edebiliyorsa tetiklenebilir.

Dışarıya açık Exchange Sunucularına güncellemelerin yüklenmesine öncelik vermenizi öneririz. Etkilenen tüm Exchange Sunucuları mutlaka güncellenmelidir.

Daha fazla bilgi ve rehberlik için aşağıdaki bağlantıları inceleyiniz

Bilinen saldırılarla ilgili olmayan açıklar

Tyler Nevitt, Britney Thompson, Microsoft Güvenlik Yanıt Merkezi

Şimdi bu yazılanlardan ve diğer haberlerden anlıyoruz ki, Çin devleti tarafından desteklenen bir grup tarafından 6 Ocak 2021 tarihinden bu yana aktif olarak istismar edilen 4 kritik açık duyurulmuş.

Microsoft Tehdit İstihbarat Merkezi, saldırıları “sınırlı ve hedefli” olarak tanımlıyor. Saldırganlar bu açıkları şirket içerisindeki Exchange sunuculara erişim için kullanıyor ve elektronik posta hesaplarına erişim sağlıyor. Ayrıca daha sonrasında yine kötü amaçlı yazılım yükleyebilmelerini sağlayan ayrıcalığı edindikleri ve uzun süreli erişim sağlayabildikleri belirtilmiş.

Yine Microsoft’un açıklamalarına göre, bu saldırıların arkasında Çin dışında faaliyet gösteren, devlet destekli hacker grubu HAFNIUM var. Ancak başka grupların da olabileceğinden de şüpheleniliyor.

Microsoft, HAFNIUM’u bir dizi endüstri sektöründen hassas bilgileri almak için ABD’deki varlıkları seçen “çok yetenekli ve sofistike bir aktör” olarak tanımlıyor.
Bulaşıcı hastalık araştırmacıları, hukuk firmaları, yüksek öğretim kurumları, savunma müteahhitleri, politika düşünce kuruluşları ve STK’lar HAFNIUM’un öncelikli hedefleri arasında yer alıyor.

HAFNIUM , Volexity ve Dubex’teki araştırmacılar tarafından keşfedilen dört sıfır gün güvenlik açığını saldırı zincirinin bir parçası olarak kullanıyor.

Burada bizim açımızdan bilinmesi gereken 2 konu var. Birisi eğer Exchange sunucularınıza internetten 443 ile erişim varsa, zaman kaybetmeden güncellemeleri yüklememiz gerektiği. Eğer yoksa, hafta sonuna kadar bekleyip bizden önce birilerinin yüklediğini ve olumsuz bir sonuçla karşılaşmadığını görmek daha iyi olabilir. Diğer konu ise saldırıların öncelikle ABD’deki belirli sektör kuruluşlarını öncelikli olarak hedefliyor olması. Bu da benim bakış açımla bize hafta sonuna kadar bekleyebileceğimiz zamanı kazandırabilir. Yine de çok dikkatli olmak gerekiyor. Eğer ortamınızda yeterli seviyede güvenlik olmadığı konusunda en ufak şüpheniz varsa böyle bir risk almamalısınız.

Was this article helpful?

Related Articles

Leave A Comment?

You must be logged in to post a comment.