Haberler

Hackerlar Microsoft Exchange Sunucularını Dünya Genelinde Taramaya Başladı

Black Hat konferansında teknik ayrıntılar yayınlandıktan sonra Microsoft Exchange sunucuları ProxyShell RCE zafiyeti için Dünya genelinde taranmaya başlandı. ProxyShell aslında bir zafiyetler kompinasyonu ve Microsoft Exchange sunucularında kimlik doğrulamasını atlatan ve uzaktan kod yürütmeye izin veren güvenlik açığı olarak nitelendiriliyor.

Bu üç güvenlik açığı aşağıdaki gibidir

CVE-2021-34473  ve  CVE-2021-34523 zafiyetleri Microsoft Exchange KB5001779 toplu güncelleştirmesi ile yamalandı.

Orange Tsai Perşembe günü,  Microsoft Exchange İstemci Erişim Hizmeti (CAS)’İ üzerine çalışırken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında  Black Hat’de konuşma yaptı. Konuşmanın bir pbölümünde ProxyShell saldırı zincirinin bileşenlerinden birinin Microsoft Exchange Autodiscover servisini hedef aldığını açıkladı. Güvenlik araştırmacıları PeterJson ve JangOrange Tsai’nin konuşmasını izledikten sonra ProxyShell istismarının nasıl başarılı bir şekilde yeniden yapılabileceği hakkında teknik bilgiler sağlayan bir makale yayınladılar.

Saldırganlar, güncelleme yapılmayan Exchange sunucularını Dünya genelinde taramaya başladı

Güvenlik araştırmacısı Kevin Beaumont, kendisine ait olan Microsoft Exchange Server honeypot sunucunun Autodiscover servisinin tarandığı ile ilgili bir tweet attı.

Bu ilk girişimler başarısız olsa da, dün gece güvenlik açığıyla ilgili daha fazla ayrıntı yayınlandıktan sonra, saldırganlar taramalarını Tsai’nin slaytında açıklanan düzenlemiş yeni Autodiscover URL kullanacak şekilde değiştirdiler . Saldırganlar yeni URL ile tarama yaptıklarında zafiyeti olan Exchange sunucuları tespit edebildiler.

https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]

Uzmanlar “/autodiscover/autodiscover.json” veya “/mapi/nspi/” içerisindeki IIS günlüklerini kontrol etmek için Azure Sentinel kullanmalarını tavsiye ediyorlar.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"

Microsoft Exchange yöneticilerinin bu güvenlik açıklarından korunmaları için en son toplu güncelleştirmeleri yüklemeleri önemle tavsiye edilir. Ancak Tsai, şu anda internette açık olan 400.000 Microsoft Exchange sunucusunun bulunduğunu ve bu nedenle başarılı saldırılar olmasınını büyük olasılık olduğunu belirtti.

Microsoft şu an için konu ile iligili bir açıklama yapmış değil.

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.