BlackByte fidye yazılımı çetesi ProxyShell güvenlik açıklarını kulllanıp Microsoft Exchange sunucularını ele geçiriyor sonrasında şirket içersinde yayılıyor. Microsoft, bu güvenlik açıklarını Nisan ve Mayıs 2021’de yayınlanan güvenlik güncellemeleriyle giderilmişti.
BlackByte, ProxyShell’den yararlanmaya başladı
Araştırmacılar, saldırganların güncelleme yapılmamış bir Microsoft Exchange sunucusuna web shell yüklemek için ProxyShell güvenlik açıklarından yararlandıklarını gördüklerini aktardılar.
Saldırganlar, sisteme web shell attıktan sonra windows update agent’ına enjekte ettikleri kod ile Cobalt Strike yazılımını çalıştırırlar sonrasında Cobalt Strike’ı kullanarak sistem hesaplarını alırlar. Son olarak bu hesaparı kullanarak AnyDesk’i sisteme kurar ve ağ üzerinde yatayda ilerleyerek diğer tüm sistemleri ele geçirmeye çalışırlar.
Hala Dünya genelinde güncelleme yapılmayan Exchange Server’lar var!
ProxyShell zafiyeti, Mart 2021’den bu yana bir çok saldıgan grubu tarafından kullanılmakta , bu nedenle güvenlik güncellemelerini yapmayan kurum ve kuruşların daha fazla zaman kaybetmeden sistemlerini güncelleleri çok büyük önem arz etmektedir.
Kaynak: bleepingcomputer.com
