OzzTech - Microsoft Exchange Sunucusu Kusurları BEC Saldırılarında Kullanılıyor

Microsoft Exchange Sunucusu Kusurları BEC Saldırılarında Kullanılıyor

Microsoft Exchange Sunucusu Kusurları Artık BEC Saldırıları İçin Kullanılıyor

Tehdit aktörleri, Microsoft'un bu yılın başlarında yamaladığı ve Temmuz ayında yaygın saldırıların hedefi olan, şirket içi Microsoft Exchange Sunucularındaki ProxyShell güvenlik açıklarından yararlanmak için birkaç tehlikeli, yeni taktik kullanıyor.

Mandiant araştırmacıları, yakın zamanda gerçekleşen çok sayıda olay müdahale çalışmasında, saldırganların, Web kabuklarını savunmasız sistemlere önceki saldırılarda kullanılandan farklı ve tespit edilmesi daha zor bir şekilde bırakmak için ProxyShell'i kötüye kullandığını tespit etti. Bazı saldırılarda, tehdit aktörleri Web kabuklarını tamamen atladılar ve bunun yerine kendi gizli, ayrıcalıklı posta kutularını oluşturdular, bu da onlara hesapları ele geçirme ve başka sorunlar yaratma yeteneği verdi.

Mandiant, 30.000 kadar İnternete açık Exchange Sunucusunun yama yapılmadığı için bu saldırılara karşı savunmasız kaldığını söyledi.

ProxyShell 101

ProxyShell, Exchange Server'daki bir dizi üç güvenlik açığıdır: CVE-2021-34473, herhangi bir kullanıcı eylemi veya yararlanılması için ayrıcalık gerektirmeyen kritik bir uzaktan kod yürütme güvenlik açığı; CVE-2021-34523, kimlik doğrulama sonrası bir ayrıcalık yükselmesi güvenlik açığı; ve CVE-2021-31207, saldırganlara güvenlik açığı bulunan sistemlerde yönetim erişimi elde etme yolu sağlayan, orta düzeyde bir kimlik doğrulama sonrası kusur. Güvenlik açıkları, Exchange Server 2013, 2016 ve 2019'un birden çok sürümünde mevcuttur.

Microsoft, Nisan ve Mayıs aylarında kusurları yamaladı, ancak CVE'leri atamadı veya Temmuz ayına kadar yamaları açıklamadı. Ağustos ayında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), saldırganların savunmasız Exchange Sunucularından yararlanmak için üç kusuru zincirleme yapmaları konusunda uyardı.

Güvenlik tedarikçileri, tehdit aktörlerinin kusurları esas olarak gelecekteki saldırılarda kullanabilecekleri Exchange Sunucularına Web kabukları yerleştirmek için kullandığını bildirdi. Huntress Labs tarafından yapılan bir analiz, saldırganların dağıttığı en yaygın Web kabuğunun XSL Transform olduğunu buldu. Diğer yaygın Web kabukları arasında Şifreli Yansıtılmış Montaj Yükleyicisi, "güvensiz" Anahtar Kelimenin Yorum Ayırma ve Gizlenmesi, Jscript Base64 Kodlaması ve Karakter Tip Yayını ve Rastgele Dosya Yükleyici yer alır.

Mandiant'ın olay müdahale ekibinde danışman olan Joshua Goddard, ProxyShell'den yararlanan saldırganların başlangıçta posta kutusu dışa aktarma istekleri aracılığıyla Web kabuklarını düşürdüğünü söylüyor. "

Bu Web kabukları, Exchange sunucularına uzaktan erişmek ve fidye yazılımlarını cihazlara dağıtmak gibi kuruluşları daha fazla tehlikeye atmak için kullanılabilir" diyor.

Ancak virüsten koruma ve uç nokta algılama ve yanıt (EDR) satıcıları, posta kutusu dışa aktarma yoluyla oluşturulan Web kabukları için algılamalar oluşturmakta hızlıydı. Goddard, saldırganları ProxyShell'e karşı yama uygulanmamış olan Exchange Server sistemlerinden yararlanmak için yeni yollar aramaya iten şeyin muhtemelen bu olduğunu söylüyor.

Saldırganların şu anda kullandığı taktik, Web kabuklarını sertifika deposundan dışa aktarmaktır.

Goddard, "Bu yolla oluşturulan web kabukları, posta kutusu dışa aktarma ile oluşturulanlarla aynı dosya yapısına sahip değildir, bu nedenle, tüm güvenlik araçlarının yerinde uygun algılamaları olmadığı için saldırganlar bunda bir miktar başarı elde etti."

Yetkili araştırmacılar, tehdit aktörlerinin Web kabukları dağıtmadığı, bunun yerine adres listesinden gizlenen yüksek ayrıcalıklı posta kutuları oluşturduğu ProxyShell saldırılarını da gözlemledi. Bu posta kutularını diğer hesaplara izinlerle atadılar, ardından verilere göz atmak veya verileri çalmak için Web istemcisi aracılığıyla oturum açtılar.

Goddard, "Bu, taktiklerdeki en önemli değişiklik" diyor. "Saldırganlar, Web kabuklarını düşürürken olduğu gibi, yalnızca Exchange hizmetleriyle arabirim oluşturarak iş e-postası güvenliğini sağlamak için [BEC] ProxyShell güvenlik açıklarını kullanıyorlar".

Bu tür erişime sahip saldırganlar, kurban organizasyonun e-posta altyapısını kullanarak diğer varlıklara karşı potansiyel olarak kimlik avı saldırıları başlatabilir, diye uyarıyor. Diske hiçbir kötü amaçlı dosya atılmadığından, kuruluşların bu saldırıları tespit etmesi daha zor hale gelir.

Microsoft Exchange Sunucusu Kusurları

Microsoft ve buna bağlı olarak müşterileri bu yıl Exchange Server kusurlarıyla ilgili sorunlardan payını aldı.

En dikkate değer olanı, şirketin topluca ProxyLogon olarak adlandırılan teknolojideki dört güvenlik açığı için acil durum yamaları yayınlamak zorunda kaldığı Mart ayındaydı. Yamalar, Hafnium adlı bir Çinli tehdit grubunun ve daha sonra diğerlerinin binlerce kuruluştaki kusurlardan aktif olarak yararlandığı keşfedildikten sonra geldi. Saldırılarla ilgili endişeler o kadar yüksekti ki, bir mahkeme FBI'a, saldırganların yüzlerce ABD kuruluşuna ait sistemlere attıkları Web kabuklarını önceden haber vermeden kaldırmak için benzeri görülmemiş bir adım atmasına izin verdi.

Eylül ayında, Trend Micro'dan araştırmacılar, saldırganlara hedeflenen e-postaları kopyalama veya saldırgan tarafından kontrol edilen bir hesaba iletme yolu sağlayan başka bir Exchange Server kusuru olan ProxyToken'ı bulduğunu bildirdi. Microsoft, yıl boyunca, şirketin Kasım güvenlik güncellemesinde ele aldığı sıfır gün tehdidi (CVE-2021-42321) dahil olmak üzere, değişen önem derecesine sahip diğer Exchange Server güvenlik açıklarını açıkladı.

Goddard, ProxyShell'e karşı savunmasız görünen 30.000 sistemden en azından bazılarının büyük olasılıkla bal küpleri olduğunu söylüyor ancak, çok sayıda değiller.

"Erken yama uygulayan kuruluşlar güvenli olabilir, ancak henüz yama uygulamamış ve sunucularını İnternete açık olan kuruluşlar önemli risk altındadır" diye uyarıyor.

Güvenlik açıklarının ifşa edilmesinden bu yana herhangi bir süre yama uygulanmayan kuruluşların, sunuculardaki, posta kutusu hesaplarındaki ve posta kutusu izinlerindeki bilinmeyen dosyaları incelemesi gerektiğini söylüyor.

Goddard, "Kuruluşların, değişiklik pencerelerinin dışında yeni oluşturulan dosyaları algılaması ve doğrulaması ve Exchange altyapılarında, tanımlanmış değişiklik istekleriyle bağlantılı olması gereken yapılandırma değişikliklerini görebilmesi gerekir" diyor.

Microsoft Exchange RCE hatası ile ilgili diğer yazımızı buradan okuyabilirsiniz.


İlginizi Çekebilecek Makaleler
FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

Trellix Adıyla 2 Dev şirket McAfee ve FireEye
Siber Güvenlik

Trellix Adıyla 2 Dev şirket McAfee ve FireEye

Ocak 20, 2022 10:56

Yeni birleştirilen güvenlik ekipleri McAfee ve FireEye yeni bir isim açıkladı: “Trellix”. Başka bir...

Zoho Kritik Kusur İçin Yama Yayınladı
Siber Güvenlik

Zoho Kritik Kusur İçin Yama Yayınladı

Ocak 20, 2022 10:56

Kurumsal yazılım üreticisi Zoho, Pazartesi günü Desktop Central ve Desktop Central MSP’de, tehdit aktörlerinin...

FortiWeb Kurulumu
Network

FortiWeb Kurulumu

Ocak 19, 2022 12:38

Bu yazı ile başlayarak sizlere FortiWeb kurulumu yaparken nelere dikkat etmeniz gerektiğini ve nasıl...

FortiWeb Nedir?
Siber Güvenlik

FortiWeb Nedir?

Ocak 19, 2022 9:42

FortiWeb, Fortinet’in web uygulamaları için oluşturduğu bir web firewall’udur (WAF). Fortiweb iş açısından son...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.