Haberler

Microsoft Exchange Sunucuları ProxyShell Exploit İle Hacklenmeye Başlandı

Saldırganlar, ProxyShell güvenlik açığını kullanarak Microsoft Exchange sunucularına etkin bir şekilde siber saldırı gerçekleştirmeye başladılar. ProxyShell, kimlik doğrulama yapmadan uzaktan kod yürütme gerçekleştirmek için zincirleme üç Microsoft Exchange güvenlik açığının kullanıldığı saldırıya verilen isimdir.

Aşağıda listelenen üç güvenlik açığı, Nisan ayındaki Pwn2Own 2021 bilgisayar korsanlığı yarışmasına katılan Devcore Baş Güvenlik Araştırmacısı Orange Tsai tarafından keşfedildi.

  • CVE-2021-34473 – Kimlik Doğrulama Öncesi Yol Karışıklığı, ACL Atlamasına neden oluyor (Nisan ayında KB5001779 güncellemesi ile yamalanmıştır)
  • CVE-2021-34523 – Exchange PowerShell Arka Ucunda Ayrıcalığın Yükseltilmesi (Nisan ayında KB5001779 güncellemesi ile yamalanmıştır)
  • CVE-2021-31207 – Yetkilendirme Sonrası Rastgele Dosya Yazma, uzaktan kod yürütme saldırısına olanak sağlıyor (Mayıs ayında KB5003435 güncellemesi ile yamalanmıştır)

Orange Tsai, Microsoft Exchange İstemci Erişim Hizmeti (CAS) saldırı yüzeyini hedeflerken keşfettiği son Microsoft Exchange güvenlik açıkları hakkında Black Hat konferansında bir konuşma yaptı. Tsai konuşmasının bir bölümüünde, ProxyShell açığının SSRF (Sunucu tarafı istek sahteciliği) saldırısı gerçekleştirmek için Microsoft Exchange’in “AutoDiscover” özelliğini kullandığını açıkladı.

Konuşmayı izledikten sonra, güvenlik araştırmacıları PeterJson ve Nguyen Jang, ProxyShell istismarına dair daha detaylı bilgiler yayınladı. Kısa bir süre sonra ise güvenlik araştırmacısı Kevin Beaumont, tehdit aktörlerinin ProxyShell’e karşı savunmasız Microsoft Exchange sunucularını aramaya başladığını tespit etti.

Siber saldırganlar açık bulunan sunucuları aktif olarak tarıyor

Bugün, Beaumont ve NCC Group’un güvenlik açığı araştırmacısı Rich Warren, tehdit aktörlerinin ProxyShell güvenlik açığını kullanarak Microsoft Exchange’e karşı aktif saldırılar gerçekleştirdiklerini açıkladı.

Microsoft Exchange

Saldırganlar, Microsoft Exchange’e saldırırken aşağıdaki gibi bir başlangıç URL’si kullanıyor:

https://Exchange-server/autodiscover/[email protected]/mapi/nspi/?&Email=autodiscover/autodiscover.json%[email protected]

Yapılan saldırıda, 265 KB boyutunda bir web kabuğu ‘c:\inetpub\wwwroot\aspnet_client\’ klasörüne bırakılıyor.

Jang geçen hafta, PST dosyaları oluşturmak için Exchange Powershell’in Posta Kutusu Dışa Aktarma işlevini kötüye kullanması nedeniyle ProxyShell istismarı kullanılarak oluşturulabilecek minimum dosya boyutunun 265KB olduğunu açıkladı.

Web kabukları, tehdit aktörlerinin güvenliği ihlal edilmiş Microsoft Exchange sunucusuna dosya yüklemek için kullanabilecekleri, kimlik doğrulaması korumalı basit bir komut dosyasından oluşmakta.

Warren, tehdit aktörlerinin uzaktan erişilebilir bir klasöre ek bir web kabuğu ve aşağıda listelenen C:\Windows\System32 klasörlerine iki yürütülebilir dosya yüklemek için ilk web kabuğunu kullandığını söyledi:

C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe

İki yürütülebilir dosya da bulunamazsa, aşağıdaki klasörde rastgele adlandırılmış ASPX dosyaları olarak başka bir web kabuğu oluşturulur.

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Saldırganlar, her gün 01.00’de ‘ApplicationUpdate.exe’ yürütülebilir dosyasını başlatan ‘PowerManager’ adlı zamanlanmış bir görev oluşturan ‘createhidetask.exe’yi başlatmak için ise ikinci web kabuğunu kullanır.

Warren, ApplicationUpdate.exe yürütülebilir dosyasının arka kapı olarak kullanılan özel bir .NET yükleyicisi olduğunu söyledi. “ApplicationUpdate.exe, uzak bir sunucudan (şu anda iyi huylu bir yüke hizmet eden) başka bir .NET binary dosyayı getiren .NET yükleyicisidir”. Mevcut yük iyi huylu olsa da, yeterli sayıda sunucunun güvenliği ihlal edildiğinde kötü niyetli bir yük ile değiştirilmesi bekleniyor.

Siber güvenlik firması Bad Packets, şu anda tehdit aktörlerinin ABD, İran ve Hollanda’daki IP adreslerinden savunmasız ProxyShell cihazları taraması yaptığını gördüklerini söyledi.

Bilinen adresler ise şunlar:

  • 3.15.221.32
  • 194.147.142.0/24

BadPackets ayrıca, taramalarda kullanılan e-posta alan adlarının aşağıda gösterildiği gibi @abc.com ve @1337.com’dan olduğunu söyledi.

Microsoft Exchange

Beaumont, yöneticilere cihazlarının taranıp taranmadığını kontrol etmek için Azure Sentinel sorguları yapmalarını tavsiye ediyor.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Microsoft Exchange sunucularını yakın zamanda güncellememiş olanlar için ise güncellemeyi hemen yapmaları şiddetle tavsiye ediliyor. Önceki ProxyLogon saldırıları, açıkta kalan sunucularda fidye yazılımı, kötü amaçlı yazılım ve veri hırsızlığına yol açtığından, ProxyShell kullanan benzer saldırılarla karşılaşmamız oldukça olası görünüyor.

Kaynak: bleepingcomputer.com

Diğer Haberler

Kaseya’ın Müşterileri İçin Satın Aldığı Fidye Anahtarı Dark Web’e Düştü
Zoom, Öğrencilerin Dikkatinin Dağılmasını Önleyecek Olan Focus Modunu Duyurdu
En Büyük Kripto Para Soygununun Arkasındaki Hacker, Çaldıklarını İade Ediyor

İlgili Makaleler

Bir Yorum

  1. Socprime’da proxyshell içerik arama methodları şu şekilde; sizde kendi sisteminize göre tarayabilirsiniz.

    Azure Sentinel;
    SecurityEvent | where (c-uri contains ‘/autodiscover/autodiscover.js’ and c-uri contains ‘/mapi/nspi/’)

    Splunk;
    (c-uri=”*/autodiscover/autodiscover.js*” c-uri=”*/mapi/nspi/*”)

    Qradar;
    SELECT UTF8(payload) as search_payload from events where LOGSOURCETYPENAME(devicetype)=’Microsoft Windows Security Event Log’ and “URL” ilike ‘%/autodiscover/autodiscover.js%’ and “URL” ilike ‘%/mapi/nspi/%’

    Fireeye;
    ((metaclass:`windows` OR metaclass:`http_server`) (url:`/autodiscover/autodiscover.js` url:`/mapi/nspi/`))

    Arcsight;
    (requestUrl = “*/autodiscover/autodiscover.js*” AND requestUrl = “*/mapi/nspi/*”) AND type != 2 | rex field = flexString1 mode=sed “s//Sigma: Microsoft Exchange Servers ProxyShell vulnerability (via webserver)/g”

    Sigma olarak;
    tags:
    – attack.T1190
    logsource:
    product: windows
    category: webserver
    detection:
    selection_exchange:
    c-uri|contains|all:
    – ‘/autodiscover/autodiscover.js’
    – ‘/mapi/nspi/’
    condition: selection_exchange
    falsepositives:
    – unknown
    level: high

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu