Tehdit aktörleri, Microsoft’un bu yılın başlarında yamaladığı ve Temmuz ayında yaygın saldırıların hedefi olan, şirket içi Microsoft Exchange Sunucularındaki ProxyShell güvenlik açıklarından yararlanmak için birkaç tehlikeli, yeni taktik kullanıyor.
Mandiant araştırmacıları, yakın zamanda gerçekleşen çok sayıda olay müdahale çalışmasında, saldırganların, Web kabuklarını savunmasız sistemlere önceki saldırılarda kullanılandan farklı ve tespit edilmesi daha zor bir şekilde bırakmak için ProxyShell’i kötüye kullandığını tespit etti. Bazı saldırılarda, tehdit aktörleri Web kabuklarını tamamen atladılar ve bunun yerine kendi gizli, ayrıcalıklı posta kutularını oluşturdular, bu da onlara hesapları ele geçirme ve başka sorunlar yaratma yeteneği verdi.
Mandiant, 30.000 kadar İnternete açık Exchange Sunucusunun yama yapılmadığı için bu saldırılara karşı savunmasız kaldığını söyledi.
ProxyShell 101
ProxyShell, Exchange Server’daki bir dizi üç güvenlik açığıdır: CVE-2021-34473, herhangi bir kullanıcı eylemi veya yararlanılması için ayrıcalık gerektirmeyen kritik bir uzaktan kod yürütme güvenlik açığı; CVE-2021-34523, kimlik doğrulama sonrası bir ayrıcalık yükselmesi güvenlik açığı; ve CVE-2021-31207, saldırganlara güvenlik açığı bulunan sistemlerde yönetim erişimi elde etme yolu sağlayan, orta düzeyde bir kimlik doğrulama sonrası kusur. Güvenlik açıkları, Exchange Server 2013, 2016 ve 2019′un birden çok sürümünde mevcuttur.
Microsoft, Nisan ve Mayıs aylarında kusurları yamaladı, ancak CVE’leri atamadı veya Temmuz ayına kadar yamaları açıklamadı. Ağustos ayında, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), saldırganların savunmasız Exchange Sunucularından yararlanmak için üç kusuru zincirleme yapmaları konusunda uyardı.
Güvenlik tedarikçileri, tehdit aktörlerinin kusurları esas olarak gelecekteki saldırılarda kullanabilecekleri Exchange Sunucularına Web kabukları yerleştirmek için kullandığını bildirdi. Huntress Labs tarafından yapılan bir analiz, saldırganların dağıttığı en yaygın Web kabuğunun XSL Transform olduğunu buldu. Diğer yaygın Web kabukları arasında Şifreli Yansıtılmış Montaj Yükleyicisi, “güvensiz” Anahtar Kelimenin Yorum Ayırma ve Gizlenmesi, Jscript Base64 Kodlaması ve Karakter Tip Yayını ve Rastgele Dosya Yükleyici yer alır.
Mandiant’ın olay müdahale ekibinde danışman olan Joshua Goddard, ProxyShell’den yararlanan saldırganların başlangıçta posta kutusu dışa aktarma istekleri aracılığıyla Web kabuklarını düşürdüğünü söylüyor. “
Bu Web kabukları, Exchange sunucularına uzaktan erişmek ve fidye yazılımlarını cihazlara dağıtmak gibi kuruluşları daha fazla tehlikeye atmak için kullanılabilir” diyor.
Ancak virüsten koruma ve uç nokta algılama ve yanıt (EDR) satıcıları, posta kutusu dışa aktarma yoluyla oluşturulan Web kabukları için algılamalar oluşturmakta hızlıydı. Goddard, saldırganları ProxyShell’e karşı yama uygulanmamış olan Exchange Server sistemlerinden yararlanmak için yeni yollar aramaya iten şeyin muhtemelen bu olduğunu söylüyor.
Saldırganların şu anda kullandığı taktik, Web kabuklarını sertifika deposundan dışa aktarmaktır.
Goddard, “Bu yolla oluşturulan web kabukları, posta kutusu dışa aktarma ile oluşturulanlarla aynı dosya yapısına sahip değildir, bu nedenle, tüm güvenlik araçlarının yerinde uygun algılamaları olmadığı için saldırganlar bunda bir miktar başarı elde etti.”
Yetkili araştırmacılar, tehdit aktörlerinin Web kabukları dağıtmadığı, bunun yerine adres listesinden gizlenen yüksek ayrıcalıklı posta kutuları oluşturduğu ProxyShell saldırılarını da gözlemledi. Bu posta kutularını diğer hesaplara izinlerle atadılar, ardından verilere göz atmak veya verileri çalmak için Web istemcisi aracılığıyla oturum açtılar.
Goddard, “Bu, taktiklerdeki en önemli değişiklik” diyor. “Saldırganlar, Web kabuklarını düşürürken olduğu gibi, yalnızca Exchange hizmetleriyle arabirim oluşturarak iş e-postası güvenliğini sağlamak için [BEC] ProxyShell güvenlik açıklarını kullanıyorlar”.
Bu tür erişime sahip saldırganlar, kurban organizasyonun e-posta altyapısını kullanarak diğer varlıklara karşı potansiyel olarak kimlik avı saldırıları başlatabilir, diye uyarıyor. Diske hiçbir kötü amaçlı dosya atılmadığından, kuruluşların bu saldırıları tespit etmesi daha zor hale gelir.
Microsoft Exchange Sunucusu Kusurları
Microsoft ve buna bağlı olarak müşterileri bu yıl Exchange Server kusurlarıyla ilgili sorunlardan payını aldı.
En dikkate değer olanı, şirketin topluca ProxyLogon olarak adlandırılan teknolojideki dört güvenlik açığı için acil durum yamaları yayınlamak zorunda kaldığı Mart ayındaydı. Yamalar, Hafnium adlı bir Çinli tehdit grubunun ve daha sonra diğerlerinin binlerce kuruluştaki kusurlardan aktif olarak yararlandığı keşfedildikten sonra geldi. Saldırılarla ilgili endişeler o kadar yüksekti ki, bir mahkeme FBI’a, saldırganların yüzlerce ABD kuruluşuna ait sistemlere attıkları Web kabuklarını önceden haber vermeden kaldırmak için benzeri görülmemiş bir adım atmasına izin verdi.
Eylül ayında, Trend Micro’dan araştırmacılar, saldırganlara hedeflenen e-postaları kopyalama veya saldırgan tarafından kontrol edilen bir hesaba iletme yolu sağlayan başka bir Exchange Server kusuru olan ProxyToken’ı bulduğunu bildirdi. Microsoft, yıl boyunca, şirketin Kasım güvenlik güncellemesinde ele aldığı sıfır gün tehdidi (CVE-2021-42321) dahil olmak üzere, değişen önem derecesine sahip diğer Exchange Server güvenlik açıklarını açıkladı.
Goddard, ProxyShell’e karşı savunmasız görünen 30.000 sistemden en azından bazılarının büyük olasılıkla bal küpleri olduğunu söylüyor ancak, çok sayıda değiller.
“Erken yama uygulayan kuruluşlar güvenli olabilir, ancak henüz yama uygulamamış ve sunucularını İnternete açık olan kuruluşlar önemli risk altındadır” diye uyarıyor.
Güvenlik açıklarının ifşa edilmesinden bu yana herhangi bir süre yama uygulanmayan kuruluşların, sunuculardaki, posta kutusu hesaplarındaki ve posta kutusu izinlerindeki bilinmeyen dosyaları incelemesi gerektiğini söylüyor.
Goddard, “Kuruluşların, değişiklik pencerelerinin dışında yeni oluşturulan dosyaları algılaması ve doğrulaması ve Exchange altyapılarında, tanımlanmış değişiklik istekleriyle bağlantılı olması gereken yapılandırma değişikliklerini görebilmesi gerekir” diyor.
Microsoft Exchange RCE hatası ile ilgili diğer yazımızı buradan okuyabilirsiniz.