Haberler

Hackerlar Microsoft Exchange Sunucularını Dünya Genelinde Taramaya Başladı

Black Hat konferansında teknik ayrıntılar yayınlandıktan sonra Microsoft Exchange sunucuları ProxyShell RCE zafiyeti için Dünya genelinde taranmaya başlandı. ProxyShell aslında bir zafiyetler kompinasyonu ve Microsoft Exchange sunucularında kimlik doğrulamasını atlatan ve uzaktan kod yürütmeye izin veren güvenlik açığı olarak nitelendiriliyor.

Bu üç güvenlik açığı aşağıdaki gibidir

CVE-2021-34473  ve  CVE-2021-34523 zafiyetleri Microsoft Exchange KB5001779 toplu güncelleştirmesi ile yamalandı.

Orange Tsai Perşembe günü,  Microsoft Exchange İstemci Erişim Hizmeti (CAS)’İ üzerine çalışırken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında  Black Hat’de konuşma yaptı. Konuşmanın bir pbölümünde ProxyShell saldırı zincirinin bileşenlerinden birinin Microsoft Exchange Autodiscover servisini hedef aldığını açıkladı. Güvenlik araştırmacıları PeterJson ve JangOrange Tsai’nin konuşmasını izledikten sonra ProxyShell istismarının nasıl başarılı bir şekilde yeniden yapılabileceği hakkında teknik bilgiler sağlayan bir makale yayınladılar.

Saldırganlar, güncelleme yapılmayan Exchange sunucularını Dünya genelinde taramaya başladı

Güvenlik araştırmacısı Kevin Beaumont, kendisine ait olan Microsoft Exchange Server honeypot sunucunun Autodiscover servisinin tarandığı ile ilgili bir tweet attı.

https://twitter.com/GossiTheDog/status/1422178411385065476

Bu ilk girişimler başarısız olsa da, dün gece güvenlik açığıyla ilgili daha fazla ayrıntı yayınlandıktan sonra, saldırganlar taramalarını Tsai’nin slaytında açıklanan düzenlemiş yeni Autodiscover URL kullanacak şekilde değiştirdiler . Saldırganlar yeni URL ile tarama yaptıklarında zafiyeti olan Exchange sunucuları tespit edebildiler.

https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]

Uzmanlar “/autodiscover/autodiscover.json” veya “/mapi/nspi/” içerisindeki IIS günlüklerini kontrol etmek için Azure Sentinel kullanmalarını tavsiye ediyorlar.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"

Microsoft Exchange yöneticilerinin bu güvenlik açıklarından korunmaları için en son toplu güncelleştirmeleri yüklemeleri önemle tavsiye edilir. Ancak Tsai, şu anda internette açık olan 400.000 Microsoft Exchange sunucusunun bulunduğunu ve bu nedenle başarılı saldırılar olmasınını büyük olasılık olduğunu belirtti.

https://twitter.com/GossiTheDog/status/1423997607211327491

Microsoft şu an için konu ile iligili bir açıklama yapmış değil.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu